I seguenti bollettini sulla sicurezza sono relativi ai prodotti Google Cloud.
Utilizza questo feed XML per iscriverti ai bollettini sulla sicurezza per questa pagina.
GCP-2024-060
Pubblicato il: 17/10/2024
Descrizione | Gravità | Note |
---|---|---|
In base all'avviso sulla sicurezza VMware VMSA-2024-0020, diverse vulnerabilità in VMware NSX sono state segnalate in modo responsabile a VMware. La versione NSX-T in esecuzione nel tuo ambiente VMware Engine non è interessata da CVE-2024-38815, CVE-2024-38818 o CVE-2024-38817. Che cosa devo fare?Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni. |
Medio |
GCP-2024-059
Pubblicato il: 16/10/2024
Descrizione | Gravità | Note |
---|---|---|
In base all'avviso sulla sicurezza VMware VMSA-2024-0021, una vulnerabilità di SQL injection autenticata in VMware HCX è stata segnalata privatamente a VMware. Abbiamo applicato la mitigazione approvata da VMware per risolvere questa vulnerabilità. Questa correzione risolve una vulnerabilità di sicurezza descritta in CVE-2024-38814. Al momento le versioni delle immagini in esecuzione nel cloud privato VMware Engine non riflettono alcuna modifica per indicare le modifiche applicate. Sono state installate misure di mitigazione appropriate e il tuo ambiente è protetto da questa vulnerabilità. Che cosa devo fare?Ti consigliamo di eseguire l'upgrade alla versione 4.9.2 di VMware HCX. |
Alta |
GCP-2024-058
Pubblicato il: 16/10/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Migrate to Containers per Windows nelle versioni da 1.1.0 a 1.2.2 ha creato
un Che cosa devo fare?Le seguenti versioni dell'interfaccia a riga di comando Migrate to Containers per Windows sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire manualmente l'upgrade dell'interfaccia a riga di comando di Migrate to Containers alla versione seguente o successiva:
Quali vulnerabilità vengono affrontate?La vulnerabilità CVE-2024-9858 consente a un utente malintenzionato di ottenere accesso amministrativo alle macchine Windows interessate utilizzando l'utente amministrativo locale creato dal software Migrate to Containers. |
Medio | CVE-2024-9858 |
GCP-2024-057
Pubblicato il: 03/10/2024
Aggiornamento: 19/11/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 19/11/2024: sono state aggiunte le versioni delle patch per i pool di nodi Ubuntu su GKE. Aggiornamento del 15/10/2024: sono state aggiunte le versioni delle patch per GDC (VMware). Livelli di gravità aggiornati per GKE e GDC (VMware). Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Medio | CVE-2024-45016 |
GCP-2024-056
Pubblicato il: 27/09/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel sistema di stampa CUPS utilizzato da alcune distribuzioni Linux è stata scoperta una catena di vulnerabilità (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) che potrebbe comportare l'esecuzione di codice da remoto. Un malintenzionato può sfruttare questa vulnerabilità se i servizi CUPS sono in ascolto sulla porta UDP 631 e possono connettersi. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Nessuno |
GCP-2024-055
Pubblicato il: 24/09/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Una vulnerabilità di contrabbando di richieste HTTP in Looker ha consentito a un malintenzionato non autorizzato di acquisire le risposte HTTP destinate a utenti legittimi. Esistono due versioni di Looker ospitate da Looker:
È stato rilevato che le istanze di Looker ospitate dal cliente sono vulnerabili e devono essere sottoposte ad upgrade a una delle versioni riportate di seguito. Questa vulnerabilità è stata corretta in tutte le versioni supportate di Looker ospitato dal cliente, disponibili nella pagina di download di Looker. Che cosa devo fare?
Quali vulnerabilità vengono affrontate?La vulnerabilità CVE-2024-8912 consente a un malintenzionato di inviare a Looker intestazioni di richieste HTTP create appositamente, con possibile intercettazione delle risposte HTTP destinate ad altri utenti. Queste risposte potrebbero contenere informazioni sensibili. Questa vulnerabilità è sfruttabile solo in determinate configurazioni specifiche. |
Medio | CVE-2024-8912 |
GCP-2024-054
Pubblicato il: 23/09/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stato rilevato un problema di sicurezza nei cluster Kubernetes con nodi Windows
in cui Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Medio | CVE-2024-5321 |
GCP-2024-053
Pubblicato il: 19/09/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Durante l'analisi di campi sconosciuti nelle librerie Protobuf Java Full e Lite, un messaggio creato con intenti dannosi può causare un errore StackOverflow e portare all'arresto anomalo del programma. Che cosa devo fare? Stiamo lavorando diligentemente per risolvere il problema e abbiamo rilasciato una soluzione che è già disponibile. Ti consigliamo di utilizzare le versioni più recenti dei seguenti pacchetti software:
Quali vulnerabilità vengono affrontate da questa patch? Questa vulnerabilità è un potenziale Denial of Service. L'analisi di gruppi nidificati come campi sconosciuti con DiscardUnknownFieldsParser o con il parser Java Protobuf Lite o con i campi della mappa Protobuf crea ricorsioni illimitate che possono essere usate in modo improprio da un malintenzionato. |
Punteggio CVSS4.0 8,7 Alta |
CVE-2024-7254 |
GCP-2024-052
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Le seguenti CVE espongono Cloud Service Mesh a vulnerabilità sfruttabili:
Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Service Mesh. |
Da medio ad alto |
GCP-2024-051
Pubblicato il: 18/09/2024
Descrizione | Gravità | Note |
---|---|---|
VMware ha divulgato più vulnerabilità nel documento VMSA-2024-0019 che interessano i componenti di vCenter di cui è stato eseguito il deployment negli ambienti dei clienti. Impatto di VMware Engine
Che cosa devo fare?Al momento non sono necessarie ulteriori azioni. |
Critico |
GCP-2024-050
Pubblicato il: 04/09/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
In Windows è stata scoperta una nuova vulnerabilità di esecuzione di codice remoto (CVE-2024-38063). Un malintenzionato potrebbe sfruttare questa vulnerabilità da remoto inviando pacchetti IPv6 appositamente creati a un host. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Nessuno | CVE-2024-38063 |
GCP-2024-049
Pubblicato il: 21/08/2024
Aggiornamento: 01/11/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 01/11/2024: sono state aggiunte le versioni delle patch per i pool di nodi Ubuntu su GKE. Aggiornamento del 21/10/2024: sono state aggiunte le versioni delle patch e aggiornata la gravità per GDC (VMware). Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-36978 |
GCP-2024-048
Pubblicato il: 20/08/2024
Aggiornamento: 30/10/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 30/10/2024: sono state aggiunte le versioni delle patch per i pool di nodi Ubuntu su GKE. Aggiornamento del 25/10/2024: sono state aggiunte le versioni delle patch e aggiornata la gravità per GDC (VMware). Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-41009 |
GCP-2024-047
Pubblicato il: 19/08/2024
Aggiornamento: 30/10/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 30/10/2024: sono state aggiunte le versioni delle patch per i pool di nodi Ubuntu su GKE. Aggiornamento del 21/10/2024: sono state aggiunte le versioni delle patch e aggiornata la gravità per GDC (VMware). Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-39503 |
GCP-2024-046
Pubblicato il: 05/08/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
AMD ha informato Google di tre nuove vulnerabilità del firmware (2 a rischio medio e 1 a rischio elevato) che interessano SEV-SNP nelle CPU AMD EPYC di 3ª (Milan) e 4ª generazione (Genova). Google ha applicato correzioni agli asset interessati, tra cui Google Cloud, per garantire la protezione dei clienti. Al momento, non sono state trovate o segnalate a Google prove di sfruttamento. Che cosa devo fare? Non è richiesta alcuna azione da parte del cliente. I fix sono già stati applicati al parco di server di Google. Per ulteriori informazioni, consulta l'avviso di sicurezza AMD AMD-SN-3011. |
Medio-alto |
GCP-2024-045
Pubblicato il: 17/07/2024
Aggiornamento: 19-09-2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 19/09/2024: sono state aggiunte le versioni delle patch per il software GDC per VMware. Aggiornamento del 21/08/2024: sono state aggiunte le versioni delle patch per i pool di nodi Ubuntu su GKE. Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-26925 |
GCP-2024-044
Pubblicato il: 16/07/2024
Aggiornamento: 30/10/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 30/10/2024: sono state aggiunte le versioni delle patch per i pool di nodi Ubuntu su GKE. Aggiornamento del 21/10/2024: sono state aggiunte le versioni delle patch e aggiornata la gravità per GDC (VMware). Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-36972 |
GCP-2024-043
Pubblicato il: 16/07/2024
Aggiornamento: 02/10/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 02/10/2024: sono state aggiunte le versioni patch per i pool di nodi Ubuntu su GKE. Aggiornamento del 20/09/2024: sono state aggiunte le versioni con patch per il software GDC per VMware. Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-26921 |
GCP-2024-042
Pubblicato il: 15/07/2024
Aggiornamento: 18/07/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 18/07/2024: è stato chiarito che i cluster Autopilot nella configurazione predefinita non sono interessati. Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-26809 |
GCP-2024-041
Pubblicato il: 08/07/2024
Aggiornamento: 16-09-2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 16/09/2024: sono state aggiunte le versioni delle patch per il software GDC per VMware. Aggiornamento del 19/07/2024: sono state aggiunte le versioni delle patch per i pool di nodi Ubuntu su GKE. Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta |
GCP-2024-040
Pubblicato il: 01/07/2024
Aggiornamento: 16/07/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamenti del 16/07/2024: Alcuni clienti di Accesso VPC serverless potrebbero essere interessati da una vulnerabilità in OpenSSH (CVE-2024-6387). In caso di exploit riuscito, un malintenzionato non autenticato potrebbe eseguire codice arbitrario come utente root sulla macchina virtuale di destinazione. Si ritiene che l'utilizzo sia difficile. Ad esempio, i clienti non possono accedere alle VM e le VM non hanno IP pubblici. Non siamo a conoscenza di tentativi di sfruttamento. Che cosa devo fare? Ove possibile, i deployment di Accesso VPC serverless sono stati aggiornati automaticamente da Google. Tuttavia, devi verificare che l'agente di servizio gestito da Google abbia il ruolo richiesto. In caso contrario, il connettore di accesso VPC serverless potrebbe essere ancora vulnerabile. Ti consigliamo di eseguire la migrazione al traffico in uscita diretto VPC o di implementare un nuovo connettore ed eliminare quello precedente per assicurarti di disporre dell'aggiornamento necessario con la correzione. Aggiornamento del 11/07/2024: sono state aggiunte le versioni delle patch per il software GDC per VMware, GKE su AWS e GKE su Azure. Per maggiori dettagli, consulta i seguenti bollettini nella documentazione di GKE:
Aggiornamento del 10/07/2024:
Aggiornamenti del 09/07/2024: Alcuni clienti dell'ambiente flessibile di App Engine sono potenzialmente interessati da una vulnerabilità in OpenSSH (CVE-2024-6387). In caso di exploit riuscito, un malintenzionato non autenticato potrebbe eseguire codice arbitrario come utente root sulla macchina virtuale di destinazione. Che cosa devo fare? Google ha già aggiornato automaticamente, ove possibile, i deployment in ambiente flessibile. Tuttavia, alcuni clienti che hanno disattivato l'agente di servizio gestito da Google, o apportato modifiche alle API Google Cloud o ad altre configurazioni predefinite, non sono stati aggiornati e potrebbero essere ancora vulnerabili. Dovresti eseguire il deployment di una nuova versione della tua app per ricevere l'aggiornamento con la correzione. Tieni presente che i deployment aggiornati segnaleranno la versione ssh Quali vulnerabilità vengono affrontate? La vulnerabilità CVE-2024-6387, che consente a un utente malintenzionato remoto non autenticato di eseguire codice arbitrario come root sulla macchina di destinazione. Aggiornamenti del 08/07/2024: I cluster Dataproc su Google Compute Engine in esecuzione su immagini di versione 2.2 (tutti i sistemi operativi) e 2.1 (solo Debian) sono interessati da una vulnerabilità in OpenSSH (CVE-2024-6387) che, in caso di exploit riuscito, potrebbe consentire a un malintenzionato non autenticato remoto di eseguire codice arbitrario come root sulla macchina di destinazione. Le versioni 2.0 e 1.5 delle immagini Dataproc su Google Compute Engine, nonché le immagini Dataproc versione 2.1 non in esecuzione su Debian, non sono interessate. I cluster Dataproc con l'autenticazione personale attivata non sono interessati. Anche Dataproc Serverless non è interessato. Che cosa devo fare? Aggiorna i tuoi cluster Dataproc su Google Compute Engine a una delle seguenti versioni:
Se non riesci ad aggiornare i tuoi cluster Dataproc a
una delle versioni precedenti, ti consigliamo di utilizzare l'azione di inizializzazione
disponibile in questa posizione:
Segui queste istruzioni su come specificare le azioni di inizializzazione per Dataproc. Tieni presente che l'azione di inizializzazione deve essere eseguita su ogni nodo (master e worker) per i cluster preesistenti. Aggiornamenti del 03/07/2024:
Aggiornamenti del 02/07/2024:
Di recente è stata scoperta in OpenSSH una vulnerabilità di esecuzione di codice da remoto, CVE-2024-6387. La vulnerabilità sfrutta una race condition che può essere utilizzata per ottenere l'accesso a una shell remota, consentendo agli aggressori di ottenere l'accesso root. Al momento della pubblicazione, si ritiene che lo sfruttamento sia difficile e richieda diverse ore per ogni macchina sotto attacco. Non siamo a conoscenza di tentativi di sfruttamento. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:
|
Critico | CVE-2024-6387 |
GCP-2024-039
Pubblicato il: 28/06/2024
Aggiornamento: 25-09-2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 25-09-2024: sono state aggiunte le versioni con patch per il software GDC per VMware. Aggiornamento del 20/08/2024: sono state aggiunte le versioni delle patch per i pool di nodi Ubuntu su GKE. Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-26923 |
GCP-2024-038
Pubblicato il: 26/06/2024
Aggiornamento: 17-09-2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 17/09/2024: sono state aggiunte le versioni delle patch per il software GDC per VMware. Aggiornamento del 06/08/2024: sono state aggiunte le versioni patch per i pool di nodi Ubuntu su GKE. Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-26924 |
GCP-2024-037
Pubblicato il: 18/06/2024
Descrizione | Gravità | Note |
---|---|---|
VMware ha divulgato più vulnerabilità nel documento VMSA-2024-0012 che interessano i componenti di vCenter di cui è stato eseguito il deployment negli ambienti dei clienti. Impatto di Google Cloud VMware Engine
Che cosa devo fare?Al momento non sono necessarie ulteriori azioni. |
Critico |
GCP-2024-036
Pubblicato il: 18/06/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-26584 |
GCP-2024-035
Pubblicato il: 12/06/2024
Aggiornamento: 18/07/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 18/07/2024: sono state aggiunte le versioni patch per i node pool Ubuntu su GKE e una versione patch per la versione 1.27 sui node pool Container-Optimized OS. Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-26584 |
GCP-2024-034
Pubblicato il: 11/06/2024
Aggiornamento: 10-07-2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 10/07/2024: sono state aggiunte le versioni delle patch per i nodi Container-Optimized OS che eseguono le versioni secondarie 1.26 e 1.27 e le versioni delle patch per i nodi Ubuntu. Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-26583 |
GCP-2024-033
Pubblicato il: 10/06/2024
Aggiornamento: 26-09-2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 26/09/2024: sono state aggiunte le versioni delle patch per il software GDC per VMware. Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2022-23222 |
GCP-2024-032
Pubblicato il: 04/06/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Le seguenti CVE espongono Cloud Service Mesh a vulnerabilità sfruttabili:
Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Service Mesh. |
Alta |
GCP-2024-031
Pubblicato il: 24/05/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
In Fluent Bit è stata scoperta una nuova vulnerabilità (CVE-2024-4323) che potrebbe comportare l'esecuzione di codice da remoto. Sono interessate le versioni di Fluent Bit da 2.0.7 a 3.0.3. GKE, GKE su VMware, GKE su AWS, GKE su Azure e GKE on Bare Metal non utilizzano una versione vulnerabile di Fluent Bit e non sono interessati. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Nessuno | CVE-2024-4323 |
GCP-2024-030
Pubblicato il: 15/05/2024
Aggiornamento: 18/07/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 18/07/2024: sono state aggiunte le versioni delle patch per i pool di nodi Ubuntu su GKE Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-52620 |
GCP-2024-029
Pubblicato il: 14/05/2024
Aggiornamento: 19/08/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 19/08/2024: sono state aggiunte le versioni delle patch per i pool di nodi Ubuntu su GKE. Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-26642 |
GCP-2024-028
Pubblicato il: 13/05/2024
Aggiornamento: 22/05/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 22/05/2024: sono state aggiunte le versioni con patch per Ubuntu Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-26581 |
GCP-2024-027
Pubblicato il: 08/05/2024
Aggiornamento: 25-09-2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 25-09-2024: sono state aggiunte le versioni delle patch per il software GDC per VMware. Aggiornamento del 15/05/2024: sono state aggiunte le versioni delle patch per i pool di nodi Ubuntu GKE. Aggiornamento del 09/05/2024: la gravità è stata corretta da Media a Alta e chiarito che i cluster GKE Autopilot nella configurazione predefinita non sono interessati. Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-26808 |
GCP-2024-026
Pubblicato il: 07/05/2024
Aggiornamento: 06/08/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 06/08/2024: sono state aggiunte le versioni patch per i pool di nodi Ubuntu su GKE. Aggiornamento del 09/05/2024: la gravità è stata corretta da Media ad Alta. Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-26643 |
GCP-2024-025
Pubblicato il: 26/04/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Looker ha corretto le vulnerabilità segnalate da un ricercatore esterno tramite il programma Vulnerability Reward Program (VRP) di Google e Alphabet, ma non sono state trovate prove di sfruttamento. Questi problemi sono stati risolti e non è richiesta alcuna azione da parte degli utenti per i clienti ospitati su Looker su Looker (Google Cloud core) e Looker (originale). Per le istanze di Looker auto-hosted è consigliabile eseguire l'aggiornamento alla versione più recente supportata. Che cosa devo fare? Istanze ospitate da Looker: istanze di Looker (Google Cloud core) e Looker (originale) Non è richiesta alcuna azione da parte del cliente. Solo istanze di Looker ospitate autonomamente Se la tua istanza Looker è self-hosted, ti consigliamo di eseguire l'upgrade delle istanze a una delle seguenti versioni:
Come è stato risolto il problema? Google ha disattivato l'accesso amministrativo diretto al database interno dall'applicazione Looker, ha rimosso i privilegi elevati che consentivano l'accesso tra tenant e ha ruotato i secret esposti. Inoltre, abbiamo corretto le vulnerabilità di attraversamento del percorso che potenzialmente esponevano le credenziali dell'account di servizio. Stiamo anche conducendo un'attenta revisione del nostro codice e dei nostri sistemi per identificare e risolvere eventuali potenziali vulnerabilità simili. |
Critico |
GCP-2024-024
Pubblicato il: 25/04/2024
Aggiornamento: 18/07/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 18/07/2024: sono state aggiunte le versioni delle patch per i pool di nodi Ubuntu su GKE Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-26585 |
GCP-2024-023
Pubblicato il: 24/04/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Le seguenti CVE espongono Cloud Service Mesh a vulnerabilità sfruttabili:
Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Service Mesh. |
Alta |
GCP-2024-022
Pubblicato il: 03/04/2024
Aggiornamento: 17/07/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 17/07/2024: sono state aggiunte le versioni delle patch per GKE su VMware Aggiornamento del 09/07/2024: sono state aggiunte le versioni delle patch per GKE on Bare Metal Aggiornamento del 24/04/2024: sono state aggiunte le versioni con patch per GKE. Di recente è stata scoperta una vulnerabilità di tipo denial of service (DoS) (CVE-2023-45288) in più implementazioni del protocollo HTTP/2, incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un attacco DoS del piano di controllo di Google Kubernetes Engine (GKE). Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-45288 |
GCP-2024-021
Pubblicato il: 03/04/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Compute Engine non è interessato da CVE-2024-3094, che interessa le versioni 5.6.0 e 5.6.1 del pacchetto xz-utils nella libreria liblzma e potrebbe portare alla compromissione dell'utilità OpenSSH. Per ulteriori dettagli, consulta il Bollettino sulla sicurezza di Compute Engine. |
Medio | CVE-2024-3094 |
GCP-2024-020
Pubblicato il: 02/04/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
I ricercatori hanno scoperto una vulnerabilità (CVE-2023-48022) in Ray. Ray è un strumento open source di terze parti per i carichi di lavoro di AI. Poiché Ray non richiede l'autenticazione, gli autori delle minacce possono eseguire codice da remoto inviando job a istanze esposte pubblicamente. La vulnerabilità è stata contestata da Anyscale, lo sviluppatore di Ray. Ray sostiene che le sue funzioni sono una funzionalità di prodotto principale intenzionale e che la sicurezza deve invece essere implementata al di fuori di un cluster Ray, in quanto qualsiasi esposizione alla rete non intenzionale del cluster Ray potrebbe comportare un rischio di compromissione. In base alla risposta, questa CVE è contestata e potrebbe non essere visualizzata negli scanner di vulnerabilità. Tuttavia, viene sfruttato attivamente in rete e gli utenti devono configurarne l'utilizzo come suggerito di seguito. Che cosa devo fare? Segui le linee guida e le best practice di Ray, inclusa l'esecuzione di codice attendibile su reti attendibili, per proteggere i tuoi carichi di lavoro Ray. Il deployment di ray.io nelle istanze cloud del cliente rientra nel modello di responsabilità condivisa. Il team di sicurezza di Google Kubernetes Engine (GKE) ha pubblicato un post del blog sull'hardening di Ray su GKE. Per ulteriori informazioni su come aggiungere l'autenticazione e l'autorizzazione ai servizi Ray, consulta la documentazione di Identity-Aware Proxy (IAP). Gli utenti di GKE possono implementare IAP seguendo queste indicazioni o riutilizzando i moduli Terraform collegati nel blog. |
Alta | CVE-2023-48022 |
GCP-2024-018
Pubblicato il: 12/03/2024
Aggiornamento: 04/04/2024, 06/05/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 06/05/2024: sono state aggiunte le versioni delle patch per i pool di nodi Ubuntu GKE. Aggiornamento del 04/04/2024: sono state corrette le versioni minime per i pool di nodi GKE Container-Optimized OS. Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-1085 |
GCP-2024-017
Pubblicato il: 06/03/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-3611 |
GCP-2024-016
Pubblicato il: 05/03/2024
Descrizione | Gravità | Note |
---|---|---|
VMware ha divulgato più vulnerabilità nel documento VMSA-2024-0006 che hanno un impatto sui componenti ESXi implementati negli ambienti dei clienti. Impatto di Google Cloud VMware EngineI tuoi cloud privati sono stati aggiornati per risolvere la vulnerabilità di sicurezza. Che cosa devo fare?Non è necessario alcun intervento da parte tua. |
Critico |
GCP-2024-014
Pubblicato il: 26/02/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-3776 |
GCP-2024-013
Pubblicato il: 27/02/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-3610 |
GCP-2024-012
Pubblicato il: 20/02/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-0193 |
GCP-2024-011
Pubblicato il: 15/02/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-6932 |
GCP-2024-010
Pubblicato il: 14/02/2024
Aggiornamento: 17/04/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 17/04/2024: sono state aggiunte le versioni delle patch per GKE su VMware. Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-6931 |
GCP-2024-009
Pubblicato il: 13/02/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Il 13 febbraio 2024 AMD ha divulgato due vulnerabilità che interessano SEV-SNP sulle CPU EPYC basate su core Zen "Milan" di terza generazione e "Genova" di quarta generazione. Le vulnerabilità consentono agli utenti malintenzionati con privilegi di accedere ai dati устаревших degli ospiti o di causare una perdita di integrità degli ospiti. Google ha applicato correzioni agli asset interessati, tra cui Google Cloud, per garantire la protezione dei clienti. Al momento, non sono state trovate o segnalate a Google prove di sfruttamento. Che cosa devo fare? Non è richiesta alcuna azione da parte del cliente. Le correzioni sono già state applicate al parco di server Google per Google Cloud, incluso Compute Engine. Per ulteriori informazioni, consulta l'avviso di sicurezza AMD AMD-SN-3007. |
Moderata |
GCP-2024-008
Pubblicato il: 12/02/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
CVE-2023-5528 consente a un malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-5528 |
GCP-2024-007
Pubblicato il: 08/02/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Le seguenti CVE espongono Cloud Service Mesh a vulnerabilità sfruttabili:
Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Service Mesh. |
Alta |
GCP-2024-006
Pubblicato il: 5/02/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Quando un proxy di gestione API Apigee si connette a un endpoint di destinazione o a un server di destinazione, per impostazione predefinita il proxy non esegue la convalida del nome host per il certificato presentato dall'endpoint o dal server di destinazione. Se la convalida del nome host non è attivata utilizzando una delle seguenti opzioni, i proxy Apigee che si connettono a un endpoint o a un server di destinazione potrebbero essere a rischio di un attacco man-in-the-middle da parte di un utente autorizzato. Per ulteriori informazioni, consulta Configurare TLS dall'Edge al backend (Cloud e Private Cloud). Sono interessati i deployment dei proxy Apigee sulle seguenti piattaforme Apigee:
Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Apigee. |
Alta |
GCP-2024-005
Pubblicato il: 31/01/2024
Aggiornamento: 02/04/2024, 06/05/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 06/05/2024: sono state aggiunte le versioni delle patch per GKE su AWS e GKE su Azure. Aggiornamento del 02/04/2024: sono state aggiunte le versioni delle patch per GKE on Bare Metal Aggiornamento del 06/03/2024: sono state aggiunte le versioni delle patch per GKE su VMware Aggiornamento del 28/02/2024: sono state aggiunte le versioni con patch per Ubuntu Aggiornamento del 15/02/2024: è stato chiarito che le versioni delle patch Ubuntu 1.25 e 1.26 nell'aggiornamento del 14/02/2024 potrebbero causare nodi non validi. Aggiornamento del 14/02/2024: sono state aggiunte le versioni con patch per Ubuntu Aggiornamento del 06/02/2024: sono state aggiunte le versioni delle patch per Container-Optimized OS. In Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-21626 |
GCP-2024-004
Pubblicato il: 24/01/2024
Aggiornamento: 07/02/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 07/02/2024: sono state aggiunte le versioni con patch per Ubuntu. Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-6817 |
GCP-2024-003
Pubblicato il: 19/01/2024
Aggiornamento: 26/01/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 26/01/2024: è stato chiarito il numero di cluster interessati e le azioni intraprese per contribuire ad attenuare l'impatto. Per informazioni dettagliate, consulta il Bollettino sulla sicurezza GCP-2024-003. Abbiamo identificato diversi cluster in cui gli utenti hanno concesso i privilegi Kubernetes
al gruppo Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Medio |
GCP-2024-002
Pubblicato il: 17/01/2024
Aggiornamento: 20/02/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 20/02/2024: sono state aggiunte le versioni delle patch per GKE su VMware. Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-6111 |
GCP-2024-001
Pubblicato il: 09/01/2024Descrizione
Descrizione | Gravità | Note |
---|---|---|
Sono state scoperte diverse vulnerabilità nel firmware UEFI EDK II di TianoCore. Questo firmware viene utilizzato nelle VM Google Compute Engine. Se sfruttate, le vulnerabilità potrebbero consentire il bypass dell'avvio protetto, che fornirebbe misurazioni false nel processo di avvio protetto, anche se utilizzato nelle VM schermate. Che cosa devo fare?Non è richiesta alcuna azione da parte tua. Google ha applicato la patch a questa vulnerabilità su Compute Engine e tutte le VM sono protette da questa vulnerabilità. Quali vulnerabilità vengono affrontate da questa patch?La patch ha attenuato le seguenti vulnerabilità:
|
Medio |
GCP-2023-051
Pubblicato il: 28/12/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-3609 |
GCP-2023-050
Pubblicato il: 27/12/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-3389 |
GCP-2023-049
Pubblicato il: 20/12/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-3090 |
GCP-2023-048
Pubblicato il: 15/12/2023
Aggiornamento: 21-12-2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 21/12/2023: è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non sono interessati. Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-3390 |
GCP-2023-047
Pubblicato il: 14/12/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Un malintenzionato che ha compromesso il contenitore di registrazione di Fluent Bit potrebbe combinare questo accesso con i privilegi elevati richiesti da Cloud Service Mesh (sui cluster in cui è stato attivato) per eseguire la riassegnazione dei privilegi nel cluster. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Medio |
GCP-2023-046
Pubblicato il: 22/11/2023
Aggiornamento: 04/03/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 04/03/2024: sono state aggiunte le versioni GKE per GKE su VMware. Aggiornamento del 22/01/2024: sono state aggiunte le versioni con patch di Ubuntu Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-5717 |
GCP-2023-045
Pubblicato il: 20/11/2023
Aggiornamento: 21-12-2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 21/12/2023: è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non sono interessati. Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-5197 |
GCP-2023-044
Pubblicato il: 15/11/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Il 14 novembre AMD ha divulgato più vulnerabilità che interessano varie CPU AMD per server. Nello specifico, le vulnerabilità interessano le CPU EPYC Server che sfruttano i core Zen di 2ª gen. "Rome", 3ª gen. "Milan" e 4ª gen. "Genova". Google ha applicato correzioni agli asset interessati, tra cui Google Cloud, per garantire la protezione dei clienti. Al momento, non sono state rilevate o segnalate a Google prove di sfruttamento. Che cosa devo fare? Non è richiesta alcuna azione da parte del cliente. Le correzioni sono già state applicate al parco di server Google per Google Cloud, incluso Google Compute Engine. Quali vulnerabilità vengono affrontate? La patch ha attenuato le seguenti vulnerabilità:
Per ulteriori informazioni, consulta l'avviso sulla sicurezza di AMD AMD-SN-3005: "AMD INVD Instruction Security Notice", pubblicato anche come CacheWarp, e AMD-SN-3002: "AMD Server Vulnerabilities – November 2023". |
Moderata |
GCP-2023-043
Pubblicato il: 14/11/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Intel ha divulgato una vulnerabilità della CPU in alcuni processori. Google ha adottato misure per mitigare il proprio parco di server, tra cui Google Compute Engine per Google Cloud, e i dispositivi ChromeOS per garantire la protezione dei clienti. I dettagli della vulnerabilità:
Che cosa devo fare? Non è richiesta alcuna azione da parte del cliente. Il rimedio fornito da Intel per i processori interessati è stato applicato al parco di server di Google, incluso Google Compute Engine per Google Cloud. Al momento, Google Distributed Cloud Edge richiede un aggiornamento dall'OEM. Google correggerà il problema relativo a questo prodotto non appena l'aggiornamento sarà disponibile e questo bollettino verrà aggiornato di conseguenza. I dispositivi ChromeOS con i processori interessati hanno ricevuto la correzione automaticamente nell'ambito delle release 119, 118 e 114 (LTS). Quali vulnerabilità vengono affrontate? CVE-2023-23583. Per maggiori dettagli, consulta l'Intel Security Advisory INTEL-SA-00950. |
Alta | CVE-2023-23583 |
GCP-2023-042
Pubblicato il: 13/11/2023
Aggiornamento: 15/11/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 15/11/2023: è stato chiarito che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione con patch corrispondente per GKE. Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-4147 |
GCP-2023-041
Pubblicato il: 08/11/2023
Aggiornamento: 21/11/2023, 05/12/2023, 21/12/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 21/12/2023: è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non sono interessati. Aggiornamento del 05/12/2023: sono state aggiunte altre versioni di GKE per i node pool Container-Optimized OS. Aggiornamento del 21/11/2023: è stato chiarito che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione con patch corrispondente per GKE. Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-4004 |
GCP-2023-040
Pubblicato il: 06/11/2023
Aggiornamento: 21/11/2023, 21/12/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 21/12/2023: è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non sono interessati. Aggiornamento del 21/11/2023: è stato chiarito che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione con patch corrispondente per GKE. Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-4921 |
GCP-2023-039
Pubblicato il: 06/11/2023
Aggiornamento: 21/11/2023, 16/11/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 21/11/2023: è stato chiarito che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione con patch corrispondente per GKE. Aggiornamento del 16/11/2023: la vulnerabilità associata a questo bollettino sulla sicurezza è CVE-2023-4622. CVE-2023-4623 è stata elencata erroneamente come vulnerabilità in una versione precedente del bollettino sulla sicurezza. Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-4622 |
GCP-2023-038
Pubblicato il: 06/11/2023
Aggiornamento: 21/11/2023, 21/12/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 21/12/2023: è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non sono interessati. Aggiornamento del 21/11/2023: è stato chiarito che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione con patch corrispondente per GKE. Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-4623 |
GCP-2023-037
Pubblicato il: 06/11/2023
Aggiornamento: 21/11/2023, 21/12/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 21/12/2023: è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non sono interessati. Aggiornamento del 21/11/2023: è stato chiarito che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione con patch corrispondente per GKE. Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-4015 |
GCP-2023-036
Pubblicato il: 30/10/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Le immagini VM di deep learning sono un insieme di immagini di macchine virtuali preconfezionate con un framework di deep learning che sono pronte per essere eseguite immediatamente. Di recente è stata scoperta una vulnerabilità di scrittura fuori limite nella funzione "ReadHuffmanCodes()" della libreria "libwebp". Ciò potrebbe influire sulle immagini che utilizzano questa libreria. Google Cloud analizza continuamente le immagini pubblicate pubblicamente e aggiorna i pacchetti per garantire che le distribuzioni con patch siano incluse nelle ultime release disponibili per l'adozione da parte dei clienti. Le immagini VM di deep learning sono state aggiornate per garantire che le immagini VM più recenti includano le distribuzioni con patch. I clienti che adottano le immagini VM più recenti non sono esposti a questa vulnerabilità. Che cosa devo fare? I clienti Google Cloud che utilizzano immagini VM pubblicate devono assicurarsi di adottare le immagini più recenti e che i loro ambienti siano aggiornati in base al modello di responsabilità condivisa. CVE-2023-4863 potrebbe essere sfruttata da un malintenzionato per eseguire codice arbitrario. Questa vulnerabilità è stata identificata in Google Chrome precedenti alla versione 116.0.5845.187 e in "libwebp" precedenti alla versione 1.3.2 ed è elencata come CVE-2023-4863. |
Alta | CVE-2023-4863 |
GCP-2023-035
Pubblicato il: 26/10/2023
Aggiornamento: 21/11/2023, 21/12/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 21/12/2023: è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non sono interessati. Aggiornamento del 21/11/2023: è stato chiarito che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione con patch corrispondente per GKE. Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-4206CVE-2023-4207, CVE-2023-4208, CVE-2023-4128 |
GCP-2023-034
Pubblicato il: 25/10/2023
Aggiornamento: 27/10/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
VMware ha divulgato più vulnerabilità nel VMSA-2023-0023 che interessano i componenti di vCenter di cui è stato eseguito il deployment negli ambienti dei clienti. Impatto dell'assistenza clienti Google Cloud
Che cosa devo fare?Al momento non sono necessarie ulteriori azioni |
Critico | CVE-2023-34048,CVE-2023-34056 |
GCP-2023-033
Pubblicato il: 24/10/2023
Aggiornamento: 21/11/2023, 21/12/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 21/12/2023: è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non sono interessati e che i carichi di lavoro GKE Sandbox non sono interessati. Aggiornamento del 21/11/2023: è stato chiarito che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione con patch corrispondente per GKE. Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-3777 |
GCP-2023-032
Pubblicato il: 13/10/2023
Aggiornamento: 03/11/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 03/11/2023: è stato aggiunto un problema noto per Apigee Edge for Private Cloud. Di recente è stata scoperta una vulnerabilità di tipo denial of service (DoS) in più implementazioni del protocollo HTTP/2 (CVE-2023-44487), incluso il servizio Apigee Ingress (Cloud Service Mesh) utilizzato da Apigee X e Apigee Hybrid. La vulnerabilità potrebbe causare un attacco DoS della funzionalità di gestione delle API di Apigee. Per istruzioni e ulteriori dettagli, consulta il bollettino sulla sicurezza di Apigee. |
Alta | CVE-2023-44487 |
GCP-2023-031
Pubblicato il: 10/10/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Un attacco di denial of service può influire sul piano dati quando si utilizza il protocollo HTTP/2. Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Service Mesh. |
Alta | CVE-2023-44487 |
GCP-2023-030
Pubblicato il: 10/10/2023
Aggiornamento: 20/03/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 20/03/2024: sono state aggiunte le versioni delle patch per GKE su AWS e GKE su Azure con le patch più recenti per CVE-2023-44487. Aggiornamento del 14/02/2024: sono state aggiunte le versioni delle patch per GKE su VMware. Aggiornamento del 09/11/2023: è stata aggiunta CVE-2023-39325. Versioni GKE aggiornate con le patch più recenti per CVE-2023-44487 e CVE-2023-39325. Di recente è stata scoperta una vulnerabilità di tipo Denial of Service (DoS) in più implementazioni del protocollo HTTP/2 (CVE-2023-44487), incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un attacco DoS del piano di controllo di Google Kubernetes Engine (GKE). I cluster GKE con reti autorizzate configurate sono protetti limitando l'accesso alla rete, ma tutti gli altri cluster sono interessati. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-44487, CVE-2023-39325 |
GCP-2023-029
Pubblicato il: 03/10/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
TorchServe viene utilizzato per ospitare modelli di machine learning PyTorch per la previsione online. Vertex AI fornisce container di pubblicazione di modelli PyTorch predefiniti che dipendono da TorchServe. Di recente sono state scoperte vulnerabilità in TorchServe che potrebbero consentire a un malintenzionato di prendere il controllo di un deployment di TorchServe se la relativa API di gestione dei modelli è esposta. I clienti con modelli PyTorch di cui è stato eseguito il deployment per le previsioni online di Vertex AI non sono interessati da queste vulnerabilità, poiché Vertex AI non espone l'API di gestione dei modelli di TorchServe. I clienti che utilizzano TorchServe al di fuori di Vertex AI devono adottare precauzioni per assicurarsi che i loro implementazioni siano configurate in modo sicuro. Che cosa devo fare? I clienti di Vertex AI con modelli di cui è stato eseguito il deployment utilizzando i container di servizio PyTorch predefiniti di Vertex AI non devono intraprendere alcuna azione per risolvere le vulnerabilità, poiché i deployment di Vertex AI non espongono il server di gestione di TorchServe a internet. I clienti che utilizzano i container PyTorch predefiniti in altri contesti o che utilizzano una distribuzione di TorchServe personalizzata o di terze parti devono eseguire le seguenti operazioni:
Quali vulnerabilità vengono affrontate? L'API di gestione di TorchServe è associata a CVE-2023-43654 e CVE-2022-1471 consentono a un utente con accesso all'API di gestione di caricare modelli da origini arbitrarie ed eseguire codice da remoto. Le mitigazioni per entrambi i problemi sono incluse in TorchServe 0.8.2: il percorso di esecuzione del codice remoto viene rimosso e viene emesso un avviso se viene utilizzato il valore predefinito per |
Alta | CVE-2023-43654, CVE-2022-1471 |
GCP-2023-028
Pubblicato il: 19/09/2023
Aggiornamento: 29-05-2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 29 maggio 2024: i nuovi feed non utilizzano più l'account di servizio condiviso, che rimane attivo per i feed esistenti per evitare interruzioni del servizio. Le modifiche all'origine nei feed precedenti sono bloccate per impedire l'uso improprio dell'account di servizio condiviso. I clienti possono continuare a utilizzare normalmente i propri vecchi feed, a condizione che non cambino l'origine.
I clienti possono configurare Google Security Operations per importare i dati dai bucket Cloud Storage di proprietà del cliente utilizzando un feed di importazione. Fino a poco tempo fa, Google Security Operations forniva un account di servizio condiviso che i clienti utilizzavano per concedere l'autorizzazione al bucket. Esisteva un'opportunità per cui l'istanza Google Security Operations di un cliente poteva essere configurata per importare i dati dal bucket Cloud Storage di un altro cliente. Dopo aver eseguito un'analisi dell'impatto, non abbiamo rilevato alcun utilizzo attuale o precedente di questa vulnerabilità. La vulnerabilità era presente in tutte le versioni di Google Security Operations precedenti al 19 settembre 2023. Che cosa devo fare? A partire dal 19 settembre 2023, Google Security Operations è stato aggiornato per risolvere questa vulnerabilità. Non è richiesta alcuna azione da parte del cliente. Quali vulnerabilità vengono affrontate? In precedenza, Google Security Operations forniva un account di servizio condiviso che i clienti utilizzavano per concedere l'autorizzazione a un bucket. Poiché clienti diversi hanno assegnato la stessa autorizzazione all'account di servizio Google Security Operations al proprio bucket, esisteva un vettore di sfruttamento che consentiva al feed di un cliente di accedere al bucket di un altro cliente durante la creazione o la modifica di un feed. Questo vettore di sfruttamento richiedeva la conoscenza dell'URI del bucket. Ora, durante la creazione o la modifica dei feed, Google Security Operations utilizza account di servizio univoci per ogni cliente. |
Alta |
GCP-2023-027
Pubblicato il: 11/09/2023Descrizione | Gravità | Note |
---|---|---|
Gli aggiornamenti di VMware vCenter Server risolvono più vulnerabilità di corruzione della memoria (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896) Impatto sull'assistenza clientiVMware vCenter Server (vCenter Server) e VMware Cloud Foundation (Cloud Foundation). Che cosa devo fare?I clienti non sono interessati e non è richiesta alcuna azione. |
Medio |
GCP-2023-026
Pubblicato il: 06/09/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) che consentono a un utente che può creare pod su nodi Windows di eseguire l'escalation ai privilegi amministrativi su questi nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e del proxy CSI di Kubernetes. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-3676, CVE-2023-3955, CVE-2023-3893 |
GCP-2023-025
Pubblicato il: 08/08/2023Descrizione | Gravità | Note |
---|---|---|
Di recente Intel ha annunciato l'Intel Security Advisory INTEL-SA-00828 che interessa alcune delle sue famiglie di processori. Ti invitiamo a valutare i rischi in base all'avviso. Impatto di Google Cloud VMware EngineLa nostra flotta utilizza le famiglie di processori interessate. Nel nostro deployment, l'intero server è dedicato a un cliente. Di conseguenza, il nostro modello di deployment non aggiunge alcun rischio aggiuntivo alla valutazione di questa vulnerabilità. Stiamo collaborando con i nostri partner per ottenere le patch necessarie e le implementeremo con priorità nell'intero parco utilizzando la procedura di upgrade standard nelle prossime settimane. Che cosa devo fare?Non è richiesta alcuna azione da parte tua. Stiamo lavorando all'upgrade di tutti i sistemi interessati. |
Alta |
GCP-2023-024
Pubblicato il: 08/08/2023
Aggiornamento: 10/08/2023, 04/06/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 04/06/2024: i seguenti prodotti mancanti sono stati aggiornati per correggere questa vulnerabilità:
Aggiornamento del 10/08/2023: è stato aggiunto il numero di versione LTS di ChromeOS. Intel ha divulgato una vulnerabilità in alcuni processori (CVE-2022-40982). Google ha adottato misure per mitigare il proprio parco di server, incluso Google Cloud, per garantire la protezione dei clienti. I dettagli della vulnerabilità:
Che cosa devo fare?
Non è richiesta alcuna azione da parte del cliente. Tutte le patch disponibili sono già state applicate al parco di server Google per Google Cloud, incluso Google Compute Engine. Al momento, i seguenti prodotti richiedono aggiornamenti aggiuntivi da parte di partner e fornitori.
Google correggerà questi prodotti non appena le patch saranno disponibili e questo bollettino verrà aggiornato di conseguenza. I clienti di Google Chromebook e ChromeOS Flex hanno ricevuto automaticamente le mitigazioni fornite da Intel nelle versioni stabili (115), LTS (108), beta (116) e LTC (114). I clienti di Chromebook e ChromeOS Flex che hanno bloccato una release precedente dovrebbero prendere in considerazione la possibilità di sbloccarla e passare alle release stabili o LTS per assicurarsi di ricevere questa e altre correzioni di vulnerabilità. Quali vulnerabilità vengono affrontate? CVE-2022-40982: per ulteriori informazioni, consulta Intel Security Advisory INTEL-SA-00828. |
Alta | CVE-2022-40982 |
GCP-2023-023
Pubblicato il: 08/08/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
AMD ha divulgato una vulnerabilità in alcuni processori (CVE-2023-20569). Google ha adottato misure per mitigare il proprio parco di server, incluso Google Cloud, per garantire la protezione dei clienti. I dettagli della vulnerabilità:
Che cosa devo fare?
Gli utenti delle VM Compute Engine devono prendere in considerazione le mitigazioni fornite dal sistema operativo se utilizzano l'esecuzione di codice non attendibile all'interno dell'istanza. Consigliamo ai clienti di contattare i propri fornitori di sistemi operativi per indicazioni più specifiche. Le correzioni sono già state applicate al parco di server Google per Google Cloud, incluso Google Compute Engine. Quali vulnerabilità vengono affrontate? CVE-2023-20569: per ulteriori informazioni, consulta AMD SB-7005. |
Moderata | CVE-2023-20569 |
GCP-2023-022
Pubblicato il: 03/08/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Google ha identificato una vulnerabilità nelle implementazioni C++ di gRPC precedenti alla release 1.57. Si trattava di una vulnerabilità Denial of Service nell'implementazione C++ di gRPC. Questi problemi sono stati risolti nelle release 1.53.2, 1.54.3, 1.55.2, 1.56.2 e 1.57. Che cosa devo fare? Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software:
Quali vulnerabilità vengono affrontate? Queste patch attenuano le seguenti vulnerabilità:
| Alta | CVE-2023-33953 |
GCP-2023-021
Updated:2023-07-26
Published:2023-07-25
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Le seguenti CVE espongono Cloud Service Mesh a vulnerabilità sfruttabili:
Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Service Mesh. |
Alta |
GCP-2023-020
Updated:2023-07-26
Pubblicato il: 24/07/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
AMD ha rilasciato un aggiornamento del microcodice che risolve una vulnerabilità di sicurezza hardware (CVE-2023-20593). Google ha applicato le correzioni necessarie per questa vulnerabilità al proprio parco di server, inclusi i server per la Google Cloud Platform. I test indicano che non vi è alcun impatto sul rendimento dei sistemi. Che cosa devo fare? Non è richiesta alcuna azione da parte dei clienti, poiché le correzioni sono già state applicate al parco di server Google per la Google Cloud Platform. Quali vulnerabilità vengono affrontate? CVE-2023-20593 risolve una vulnerabilità in alcune CPU AMD. Puoi trovare altre informazioni qui. | Alta | CVE-2023-20593 |
GCP-2023-019
Published:2023-07-18
Descrizione
Descrizione | Gravità | Note |
---|---|---|
In Envoy è stata scoperta una nuova vulnerabilità (CVE-2023-35945) in cui una risposta creata appositamente da un servizio upstream non attendibile può causare un attacco di tipo denial of service tramite esaurimento della memoria. Questo problema è causato dal codec HTTP/2 di Envoy, che potrebbe rivelare una mappa degli header e strutture di contabilità al momento della ricezione di Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Service Mesh. | Alta | CVE-2023-35945 |
GCP-2023-018
Pubblicato il: 27/06/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel di Linux è stata scoperta una nuova vulnerabilità (CVE-2023-2235) che può portare a un'escalation dei privilegi sul nodo. I cluster GKE Autopilot sono interessati perché i nodi GKE Autopilot utilizzano sempre immagini dei nodi Container-Optimized OS. I cluster GKE Standard con versioni 1.25 o successive che eseguono immagini dei nodi Container-Optimized OS sono interessati. I cluster GKE non sono interessati se eseguono solo immagini dei nodi Ubuntu, versioni precedenti alla 1.25 o GKE Sandbox. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-2235 |
GCP-2023-017
Pubblicato il: 26/06/2023
Aggiornamento: 11/07/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 11/07/2023: le nuove versioni di GKE sono state aggiornate per includere le ultime versioni di Ubuntu con patch per CVE-2023-31436. Nel kernel di Linux è stata scoperta una nuova vulnerabilità (CVE-2023-31436) che può portare a un'escalation dei privilegi sul nodo. I cluster GKE, inclusi i cluster Autopilot, sono interessati. I cluster GKE che utilizzano GKE Sandbox non sono interessati. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-31436 |
GCP-2023-016
Pubblicato il: 26/06/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
In Envoy, utilizzato in Cloud Service Mesh, sono state scoperte diverse vulnerabilità che consentono a un malintenzionato di causare un denial of service o un arresto anomalo di Envoy. Questi problemi sono stati segnalati separatamente come GCP-2023-002. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487 |
GCP-2023-015
Pubblicato il: 20/06/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2023-0468, che potrebbe consentire a un utente senza privilegi di eseguire l'escalation dei privilegi a root quando io_poll_get_ownership continuerà ad aumentare req->poll_refs su ogni io_poll_wake e poi verrà superato il valore 0, il che comporterà l'esecuzione di fput req->file due volte e causerà un problema di refcount della struttura file. Sono interessati i cluster GKE, inclusi i cluster Autopilot, con Container-Optimized OS che utilizza la versione 5.15 del kernel Linux. I cluster GKE che utilizzano immagini Ubuntu o GKE Sandbox non sono interessati. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Medio | CVE-CVE-2023-0468 |
GCP-2023-014
Aggiornamento: 11/08/2023
Pubblicato il: 15/06/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 11/08/2023: sono state aggiunte le versioni delle patch per GKE su VMware, GKE su AWS, GKE su Azure e Google Distributed Cloud Virtual per Bare Metal. In Kubernetes sono stati scoperti due nuovi problemi di sicurezza che potrebbero consentire agli utenti di lanciare contenitori che aggirino le restrizioni dei criteri quando utilizzano contenitori effimeri e ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728). Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Medio | CVE-2023-2727, CVE-2023-2728 |
GCP-2023-013
Pubblicato il: 08/06/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Quando attivi l'API Cloud Build in un progetto,
Cloud Build crea automaticamente un account di servizio predefinito
per eseguire le build per tuo conto. In precedenza, questo account di servizio Cloud Build aveva l'autorizzazione IAM Per istruzioni e ulteriori dettagli, consulta il bollettino sulla sicurezza di Cloud Build. |
Bassa |
GCP-2023-010
Pubblicato il: 07/06/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Google ha identificato tre nuove vulnerabilità nell'implementazione di gRPC C++. Queste verranno presto pubblicate pubblicamente come CVE-2023-1428, CVE-2023-32731 e CVE-2023-32732. Ad aprile abbiamo identificato due vulnerabilità nelle release 1.53 e 1.54. Una era una vulnerabilità di Denial-of-Service nell'implementazione C++ di gRPC e l'altra una vulnerabilità di esfiltrazione di dati da remoto. Questi problemi sono stati risolti nelle release 1.53.1, 1.54.2 e successive. A marzo, i nostri team interni hanno scoperto una vulnerabilità di Denial of Service nell'implementazione C++ di gRPC durante l'esecuzione di attività di fuzzing di routine. È stato rilevato nella release gRPC 1.52 ed è stato corretto nelle release 1.52.2 e 1.53. Che cosa devo fare?Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software:
Quali vulnerabilità vengono affrontate da queste patch?Queste patch attenuano le seguenti vulnerabilità:
Ti consigliamo di eseguire l'upgrade alle versioni più recenti dei seguenti pacchetti software elencati sopra. |
Elevata (CVE-2023-1428, CVE-2023-32731). Medio (CVE-2023-32732) | CVE-2023-1428, CVE-2023-32731, CVE-023-32732 |
GCP-2023-009
Pubblicato il: 06/06/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-2878) nel driver secrets-store-csi, in cui un attore con accesso ai log del driver potrebbe osservare i token dell'account di servizio. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Nessuno | CVE-2023-2878 |
GCP-2023-008
Pubblicato il: 05/06/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-1872) che può portare a un'escalation dei privilegi a root sul nodo. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-1872 |
GCP-2023-007
Pubblicato il: 02/06/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Di recente è stata scoperta una vulnerabilità in Cloud SQL per SQL Server che
consentiva agli account amministratore dei clienti di creare trigger nel
Google Cloud ha risolto il problema applicando una patch alla vulnerabilità di sicurezza entro il 1° marzo 2023. Google Cloud non ha trovato istanze dei clienti compromesse. Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud SQL. |
Alta |
GCP-2023-005
Pubblicato il: 18/05/2023
Aggiornamento: 06/06/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 06/06/2023: le nuove versioni di GKE sono state aggiornate per includere le versioni più recenti di Ubuntu che applicano patch a CVE-2023-1281 e CVE-2023-1829. Nel kernel di Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a un'escalation dei privilegi a root sul nodo. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-1281 CVE-2023-1829 |
GCP-2023-004
Pubblicato il: 26/04/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
In Trusted Platform Module (TPM) 2.0 sono state scoperte due vulnerabilità (CVE-2023-1017 e CVE-2023-1018). Le vulnerabilità potrebbero aver consentito a un utente malintenzionato sofisticato di sfruttare una lettura/scrittura fuori limite di 2 byte su alcune VM Compute Engine. Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Compute Engine. |
Medio |
GCP-2023-003
Pubblicato il: 11/04/2023
Aggiornamento: 21-12-2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 21/12/2023: è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non sono interessati. Nel kernel di Linux sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586, che potrebbero consentire a un utente senza privilegi di eseguire l'escalation dei privilegi. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-0240, CVE-2023-23586 |
GCP-2023-002
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Le seguenti CVE espongono Cloud Service Mesh a vulnerabilità sfruttabili:
Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Service Mesh. |
Alta |
GCP-2023-001
Pubblicato il: 01/03/2023, 21/12/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 21/12/2023: è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non sono interessati. Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-4696) che può portare a un'escalation dei privilegi sul nodo. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2022-4696 |
GCP-2022-026
Pubblicato il: 11/01/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
In OpenSSL 3.0.6 sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) che possono potenzialmente causare un arresto anomalo. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Medio |
GCP-2022-025
Pubblicato il: 21/12/2022
Aggiornamento: 19/01/2023, 21/12/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 21/12/2023: è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non sono interessati. Aggiornamento del 19/01/2023: sono state aggiunte informazioni sulla disponibilità della versione GKE 1.21.14-gke.14100. In OpenSSL 3.0.6 sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) che possono potenzialmente causare un arresto anomalo. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Medio |
GCP-2022-024
Pubblicato il: 09/11/2022
Aggiornamento: 19/01/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 19/01/2023: sono state aggiunte informazioni sulla disponibilità della versione GKE 1.21.14-gke.14100. Aggiornamento del 16/12/2022: sono state aggiunte le versioni delle patch per GKE e GKE su VMware. Nel kernel di Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare a un'estrazione completa del container in root sul nodo. Per istruzioni e ulteriori dettagli, consulta: |
Alta |
GCP-2022-023
Pubblicato il: 04/11/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2022-39278, in Istio, utilizzato in Cloud Service Mesh, che consente a un malintenzionato di arrestare in modo anomalo il control plane. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2022-39278 |
GCP-2022-022
Pubblicato il: 28/10/2022
Aggiornato: 14/12/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 14/12/2022: sono state aggiunte le versioni delle patch per GKE e GKE su VMware. Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-20409) che potrebbe consentire a un utente senza privilegi di eseguire l'escalation al privilegio di esecuzione di sistema. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2022-20409 |
GCP-2022-021
Pubblicato il: 27/10/2022
Aggiornamento: 19/01/2023, 21/12/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 21/12/2023: è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non sono interessati. Aggiornamento del 19/01/2023: sono state aggiunte informazioni sulla disponibilità della versione GKE 1.21.14-gke.14100. Aggiornamento del 15/12/2022: sono state aggiornate le informazioni sulla versione 1.21.14-gke.9400 di Google Kubernetes Engine, che è in attesa di implementazione e potrebbe essere sostituita da un numero di versione superiore. Aggiornamento del 22/11/2022: sono state aggiunte le versioni delle patch per GKE su VMware, GKE su AWS e GKE su Azure. Nel kernel di Linux è stata scoperta una nuova vulnerabilità (CVE-2022-3176) che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente non privilegiato di eseguire un attacco di estrazione completa del contenitore per ottenere l'accesso root sul nodo. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2022-3176 |
GCP-2022-020
Pubblicato il: 05/10/2022
Aggiornato: 12/10/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Il control plane di Istio Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Service Mesh. |
Alta | CVE-2022-39278 |
GCP-2022-019
Pubblicato il: 22/09/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Una vulnerabilità di analisi e gestione della memoria dei messaggi nelle implementazioni di ProtocolBuffer in C++ e Python può attivare un errore di esaurimento della memoria (OOM) durante l'elaborazione di un messaggio appositamente creato. Ciò potrebbe portare a un attacco denial of service (DoS) sui servizi che utilizzano le librerie. Che cosa devo fare?Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti di software:
Quali vulnerabilità vengono affrontate da questa patch?La patch attenua la seguente vulnerabilità:
Un piccolo messaggio appositamente creato che causa l'allocazione di grandi quantità di RAM da parte del servizio in esecuzione. Le piccole dimensioni della richiesta fanno sì
che sia facile sfruttare la vulnerabilità ed esaurire
le risorse. I sistemi C++ e Python che utilizzano protobuf non attendibili
sarebbero vulnerabili agli attacchi DoS se contengono un
oggetto |
Medio | CVE-2022-1941 |
GCP-2022-018
Pubblicato il: 01/08/2022
Aggiornamento: 14-09-2022, 21-12-2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 21/12/2023: è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non sono interessati. Aggiornamento del 14/09/2022: sono state aggiunte le versioni delle patch per GKE su VMware, GKE su AWS e GKE su Azure. Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-2327) che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente non privilegiato di eseguire un breakout completo del contenitore per ottenere l'accesso root sul nodo. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: | Alta | CVE-2022-2327 |
GCP-2022-017
Pubblicato il: 29/06/2022
Aggiornamento: 22/11/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 22/11/2022: i carichi di lavoro che utilizzano GKE Sandbox non sono interessati da queste vulnerabilità. Aggiornamento del 21/07/2022: ulteriori informazioni su GKE su VMware. È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 e 5.11 del kernel Linux. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di eseguire un'estrazione completa del contenitore per ottenere l'accesso root sul nodo. Sono interessati solo i cluster che eseguono Container-Optimized OS. Le versioni Ubuntu di GKE utilizzano la versione 5.4 o 5.15 del kernel e non sono interessate. Per istruzioni e ulteriori dettagli, consulta: |
Alta | CVE-2022-1786 |
GCP-2022-016
Pubblicato il: 23/06/2022
Aggiornamento: 22/11/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 22/11/2022: i cluster Autopilot non sono interessati da CVE-2022-29581, ma sono vulnerabili a CVE-2022-29582 e CVE-2022-1116. Nel kernel Linux sono state scoperte tre nuove vulnerabilità di corruzione della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di eseguire un breakout completo del contenitore per ottenere l'accesso come utente root sul nodo. Sono interessati tutti i cluster Linux (Container-Optimized OS e Ubuntu). Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta |
GCP-2022-015
Pubblicato il: 09/06/2022
Ultimo aggiornamento: 10/06/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 10/06/2022: le versioni di Cloud Service Mesh sono state aggiornate. Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Service Mesh. Le seguenti CVE di Envoy e Istio espongono Cloud Service Mesh e Istio on GKE a vulnerabilità sfruttabili da remoto:
Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Service Mesh. |
Critico |
GCP-2022-014
Pubblicato il: 26/04/2022
Aggiornamento: 22/11/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 22/11/2022: i cluster e i carichi di lavoro GKE Autopilot in esecuzione in GKE Sandbox non sono interessati. Aggiornamento del 12/05/2022: le versioni GKE su AWS e GKE su Azure sono state aggiornate. Per istruzioni e maggiori dettagli, consulta:
Nel kernel Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno può consentire a un malintenzionato locale di eseguire un'container breakout, l'escalation dei privilegi sull'host o entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu). Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza: |
Alta |
CVE-2022-1055 CVE-2022-27666 |
GCP-2022-013
Pubblicato il: 11/04/2022
Aggiornamento: 22/04/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2022-23648, nella gestione del traversale del percorso di containerd nella specifica del volume dell'immagine OCI. I container lanciati tramite l'implementazione CRI di containerd con una configurazione dell'immagine appositamente creata potrebbero ottenere l'accesso di lettura completo a file e directory arbitrari sull'host. Questa vulnerabilità potrebbe aggirare qualsiasi applicazione basata su criteri per la configurazione dei container (incluso un criterio di sicurezza dei pod Kubernetes). Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza: |
Medio | CVE-2022-23648 |
GCP-2022-012
Pubblicato il: 07/04/2022
Aggiornamento: 22/11/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 22/11/2022: per i cluster GKE in entrambe le modalità, Standard e Autopilot, i carichi di lavoro che utilizzano GKE Sandbox non sono interessati. È stata scoperta una vulnerabilità di sicurezza, CVE-2022-0847, nel kernel Linux 5.8 e versioni successive che può potenzialmente eseguire l'escalation dei privilegi del contenitore a root. Questa vulnerabilità interessa i seguenti prodotti:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza: |
Alta | CVE-2022-0847 |
GCP-2022-011
Pubblicato il: 22/03/2022
Aggiornamento: 11/08/2022
Descrizione
Descrizione | Gravità |
---|---|
Aggiornamento del 11/08/2022: sono state aggiunte ulteriori informazioni sulla configurazione del multi-threading simultaneo (SMT). SMT doveva essere disattivato, ma è stato attivato nelle versioni elencate. Se hai attivato manualmente SMT per un pool di nodi con limitazione tramite sandbox, SMT rimarrà attivato manualmente nonostante il problema. Esiste una configurazione errata del multi-threading simultaneo (SMT), noto anche come hyper-threading, nelle immagini di GKE Sandbox. La configurazione errata lascia i nodi potenzialmente esposti a attacchi lato canale come il Microarchitectural Data Sampling (MDS) (per maggiori informazioni, consulta la documentazione di GKE Sandbox). Ti sconsigliamo di utilizzare le seguenti versioni interessate:
Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE. |
Medio |
GCP-2022-010
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Il seguente CVE di Istio espone Cloud Service Mesh a una vulnerabilità sfruttabile da remoto:
Per istruzioni e ulteriori dettagli, consulta il seguente bollettino sulla sicurezza: |
Alta |
GCP-2022-009
Pubblicato il: 01/03/2022Descrizione
Descrizione | Gravità |
---|---|
Alcuni percorsi imprevisti per accedere alla VM del nodo sui cluster GKE Autopilot potrebbero essere stati utilizzati per eseguire la riassegnazione dei privilegi nel cluster. Questi problemi sono stati risolti e non sono richieste ulteriori azioni. Le correzioni risolvono i problemi segnalati tramite il nostro Vulnerability Reward Program. Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE. |
Bassa |
GCP-2022-008
Pubblicato il: 23/02/2022
Aggiornamento: 28/04/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 28/04/2022: sono state aggiunte versioni di GKE on VMware che correggono queste vulnerabilità. Per informazioni dettagliate, consulta il Bollettino sulla sicurezza di GKE on VMware. Di recente il progetto Envoy ha scoperto una serie di vulnerabilità. Tutti i problemi elencati di seguito sono stati risolti nella release 1.21.1 di Envoy.
Che cosa devo fare? Gli utenti di Envoy che gestiscono i propri Envoy devono assicurarsi di utilizzare la versione 1.21.1 di Envoy. Gli utenti di Envoy che gestiscono i propri Envoy compilano i binari da una fonte come GitHub ed eseguono il loro deployment. Gli utenti che eseguono Envoy gestiti (Google Cloud fornisce i binari di Envoy) non devono intraprendere alcuna azione, in quanto i prodotti Google Cloud passeranno alla versione 1.21.1. |
Alta |
CVE-2022-23606 CVE-2022-21655 CVE-2021-43826 CVE-2021-43825 CVE-2021-43824 CVE-2022-21654 CVE-2022-21657 CVE-2022-21656 |
GCP-2022-007
Pubblicato il: 22/02/2022Descrizione
Descrizione | Gravità | Note |
---|---|---|
Le seguenti CVE di Envoy e Istio espongono Cloud Service Mesh e Istio on GKE a vulnerabilità sfruttabili da remoto:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza: |
Alta |
GCP-2022-006
Pubblicato il: 14/02/2022Aggiornamento: 16/05/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 16/05/2022: è stata aggiunta la versione GKE 1.19.16-gke.7800 o successiva all'elenco delle versioni con codice per correggere questa vulnerabilità. Per maggiori dettagli, consulta il Bollettino sulla sicurezza di GKE. Aggiornamento del 12/05/2022: le versioni GKE, GKE su VMware, GKE su AWS e GKE su Azure sono state aggiornate. Per istruzioni e maggiori dettagli, consulta:
È stata scoperta una vulnerabilità di sicurezza, CVE-2022-0492,
nella funzione |
Bassa |
Per istruzioni e ulteriori dettagli, consulta: |
GCP-2022-005
Pubblicato il: 11/02/2022Aggiornamento: 15/02/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2021-43527, in qualsiasi file binario che rimandi alle versioni vulnerabili di libnss3 presenti nelle versioni di NSS (Network Security Services) precedenti alla 3.73 o alla 3.68.1. Le applicazioni che utilizzano NSS per la convalida dei certificati o altre funzionalità TLS, X.509, OCSP o CRL potrebbero essere interessate, a seconda di come NSS viene utilizzato/configurato. Per istruzioni e ulteriori dettagli, consulta: |
Medio | CVE-2021-43527 |
GCP-2022-004
Pubblicato il: 04/02/2022Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2021-4034, in pkexec, parte del pacchetto del kit di criteri di Linux (polkit), che consente a un utente autenticato di eseguire un attacco di escalation dei privilegi. PolicyKit viene generalmente utilizzato solo sui sistemi desktop Linux per consentire agli utenti non root di eseguire azioni come il riavvio del sistema, l'installazione di pacchetti, il riavvio dei servizi e così via, come stabilito da un criterio. Per istruzioni e ulteriori dettagli, consulta: |
Nessuno | CVE-2021-4034 |
GCP-2022-002
Pubblicato il: 01/02/2022Aggiornamento: 25/02/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 25/02/2022: le versioni GKE sono state aggiornate. Per istruzioni e maggiori dettagli, consulta: Aggiornamento del 23/02/2022: le versioni GKE e GKE su VMware sono state aggiornate. Per istruzioni e maggiori dettagli, consulta: Aggiornamento del 04/02/2022: la data di inizio dell'implementazione delle versioni con patch di GKE è stata il 2 febbraio. Nel kernel Linux sono state scoperte tre vulnerabilità di sicurezza, CVE-2021-4154, CVE-2021-22600, e CVE-2022-0185, ognuna delle quali può portare a un'container breakout, a un'escalation dei privilegi sull'host o a entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi (COS e Ubuntu) su GKE, GKE su VMware, GKE su AWS (attuale e generazione precedente) e GKE su Azure. I pod che utilizzano GKE Sandbox non sono vulnerabili a queste vulnerabilità. Per ulteriori dettagli, consulta le note di rilascio di COS. Per istruzioni e ulteriori dettagli, consulta: |
Alta |
GCP-2022-001
Pubblicato il: 06/01/2022Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stato rilevato un potenziale problema di Denial of Service in Che cosa devo fare? Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software:
Gli utenti di Protobuf "javalite" (in genere Android) non sono interessati. Quali vulnerabilità vengono affrontate da questa patch? La patch attenua la seguente vulnerabilità: Una debolezza di implementazione nel modo in cui i campi sconosciuti vengono analizzati in Java. Un payload malevolo di piccole dimensioni (~800 KB) può occupare il parser per diversi minuti creando un numero elevato di oggetti di breve durata che causano frequenti e ripetute interruzioni garbage collection. |
Alta | CVE-2021-22569 |
GCP-2021-024
Pubblicato il: 21/10/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stato rilevato un problema di sicurezza nel controller Kubernetes ingress-nginx, CVE-2021-25742. Gli snippet personalizzati di Ingress-nginx consentono di recuperare i token e i secret degli account di servizio ingress-nginx in tutti gli spazi dei nomi. Per istruzioni e ulteriori dettagli, consulta: | Nessuno | CVE-2021-25742 |
GCP-2021-019
Pubblicato il: 29/09/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Esiste un problema noto per cui l'aggiornamento di una risorsa Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE. |
Bassa |
GCP-2021-022
Pubblicato il: 22/09/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stata scoperta una vulnerabilità nel modulo LDAP di GKE Enterprise Identity Service (AIS) di GKE sulle versioni 1.8 e 1.8.1 di VMware, in cui una chiave di seed utilizzata per la generazione delle chiavi è prevedibile. Con questa vulnerabilità, un utente autenticato potrebbe aggiungere rivendicazioni arbitrarie ed eseguire l'escalation dei privilegi a tempo indeterminato. Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE su VMware. |
Alta |
GCP-2021-021
Pubblicato il: 22/09/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
In Kubernetes è stata scoperta una vulnerabilità di sicurezza, CVE-2020-8561, che consente di creare determinati webhook per reindirizzare le richieste di kube-apiserver alle reti private di quel server API. Per istruzioni e ulteriori dettagli, consulta: |
Medio | CVE-2020-8561 |
GCP-2021-023
Pubblicato il: 21/09/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
In base all'avviso sulla sicurezza VMware VMSA-2021-0020, VMware ha ricevuto segnalazioni di più vulnerabilità in vCenter. VMware ha reso disponibili aggiornamenti per risolvere queste vulnerabilità nei prodotti VMware interessati. Abbiamo già applicato le patch fornite da VMware per lo stack vSphere a Google Cloud VMware Engine in base all'avviso di sicurezza VMware. Questo aggiornamento risolve le vulnerabilità di sicurezza descritte in CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 e CVE-2021-22010. Altri problemi di sicurezza non critici verranno risolti nell'imminente upgrade dello stack VMware (in base all'avviso inviato a luglio, a breve verranno forniti ulteriori dettagli sulle tempistiche specifiche dell'upgrade). Impatto di VMware EngineDai nostri accertamenti è emerso che nessun cliente è stato interessato. Che cosa devo fare?Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni. |
Critico |
GCP-2021-020
Pubblicato il: 17/09/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Alcuni bilanciatori del carico di Google Cloud che indirizzano a un servizio di backend abilitato per Identity-Aware Proxy (IAP) potrebbero essere stati vulnerabili a una parte non attendibile in condizioni limitate. Questo aggiornamento risolve un problema segnalato tramite il nostro Vulnerability Reward Program. Le condizioni erano che i server:
Inoltre, un utente della tua organizzazione deve aver fatto clic su un link creato appositamente inviato da una terza parte non attendibile. Il problema è stato risolto. A partire dal 17 settembre 2021, IAP è stato aggiornato per emettere cookie solo per gli host autorizzati. Un host è considerato autorizzato se corrisponde ad almeno un nome alternativo del soggetto (SAN) in uno dei certificati installati sui bilanciatori del carico. Cosa fare
Alcuni utenti potrebbero ricevere una risposta HTTP 401 Unauthorized con un codice di errore IAP 52 durante il tentativo di accedere ad app o servizi. Questo codice di errore indica che il client ha inviato un'intestazione |
Alta |
GCP-2021-018
Pubblicato il: 15/09/2021Ultimo aggiornamento: 20/09/2021
Descrizione
Descrizione | Gravità | Note |
---|---|---|
In Kubernetes è stato rilevato un problema di sicurezza, CVE-2021-25741, per cui un utente potrebbe essere in grado di creare un contenitore con montaggi di volume del sottopercorso per accedere a file e directory al di fuori del volume, incluso nel file system dell'host. Per istruzioni e ulteriori dettagli, consulta: |
Alta | CVE-2021-25741 |
GCP-2021-017
Pubblicato il: 01/09/2021Ultimo aggiornamento: 23/09/2021
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 23/09/2021: i container in esecuzione all'interno di GKE Sandbox non sono interessati da questa vulnerabilità per gli attacchi provenienti dall'interno del container. Nel kernel di Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2021-33909 e CVE-2021-33910, che possono causare un arresto anomalo del sistema operativo o un'escalation a root da parte di un utente senza privilegi. Questa vulnerabilità riguarda tutti i sistemi operativi dei nodi GKE (COS e Ubuntu). Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza: |
Alta | CVE-2021-33909, CVE-2021-33910 |
GCP-2021-016
Pubblicato il: 24/08/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Le seguenti CVE di Envoy e Istio espongono Cloud Service Mesh e Istio on GKE a vulnerabilità sfruttabili da remoto:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza: |
Alta |
GCP-2021-015
Pubblicato il: 13/07/2021Aggiornamento: 15/07/2021
Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stata scoperta una nuova vulnerabilità di sicurezza, CVE-2021-22555,
in cui un attore malintenzionato con privilegi Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza: |
Alta | CVE-2021-22555 |
GCP-2021-014
Pubblicato il: 05/07/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Microsoft ha pubblicato un bollettino sulla sicurezza relativo a una vulnerabilità di esecuzione di codice remoto (RCE), CVE-2021-34527, che interessa lo spooler di stampa nei server Windows. Il CERT Coordination Center (CERT/CC) ha pubblicato una nota di aggiornamento su una vulnerabilità correlata, denominata "PrintNightmare", che interessa anche gli spooler di stampa di Windows: PrintNightmare, Critical Windows Print Spooler Vulnerability Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE. |
Alta | CVE-2021-34527 |
GCP-2021-012
Pubblicato il: 24/06/2021Aggiornamento: 09/07/2021
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Di recente il progetto Istio ha annunciato una vulnerabilità di sicurezza in cui è possibile accedere alle credenziali specificate nel campo credentialName di Gateway e DestinationRule da diversi spazi dei nomi. Per istruzioni specifiche per il prodotto e ulteriori dettagli, consulta:
|
Alta | CVE-2021-34824 |
GCP-2021-011
Pubblicato il: 04/06/2021Ultimo aggiornamento: 19/10/2021
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 19/10/2021: Per istruzioni e maggiori dettagli, consulta i seguenti bollettini sulla sicurezza:
La community di sicurezza ha recentemente divulgato una nuova vulnerabilità di sicurezza
(CVE-2021-30465)
trovata in Per GKE, poiché lo sfruttamento di questa vulnerabilità richiede la possibilità di creare pod, abbiamo valutato la gravità di questa vulnerabilità come MEDIA. Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE. |
Medio | CVE-2021-30465 |
GCP-2021-010
Pubblicato il: 25/05/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
In base all'avviso sulla sicurezza VMware VMSA-2021-0010, le vulnerabilità di bypass dell'autenticazione e di esecuzione di codice remoto in vSphere Client (HTML5) sono state segnalate privatamente a VMware. VMware ha reso disponibili aggiornamenti per rimediare a queste vulnerabilità nei prodotti VMware interessati. Abbiamo applicato le patch fornite da VMware per lo stack vSphere in base all'avviso sulla sicurezza di VMware. Questo aggiornamento risolve le vulnerabilità di sicurezza descritte in CVE-2021-21985 e CVE-2021-21986. Al momento le versioni delle immagini in esecuzione nel cloud privato VMware Engine non riflettono alcuna modifica per indicare le patch applicate. Ti assicuriamo che sono state installate patch appropriate e che il tuo ambiente è protetto da queste vulnerabilità. Impatto di VMware EngineDai nostri accertamenti è emerso che nessun cliente è stato interessato. Che cosa devo fare?Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni. |
Critico |
GCP-2021-008
Pubblicato il: 17/05/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Istio contiene una vulnerabilità sfruttabile da remoto in cui un client esterno può accedere a servizi imprevisti nel cluster, bypassando i controlli di autorizzazione, quando un gateway è configurato con la configurazione di routing Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Service Mesh. |
Alta |
CVE-2021-31921 |
GCP-2021-007
Pubblicato il: 17/05/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Istio contiene una vulnerabilità sfruttabile da remoto in cui un percorso della richiesta HTTP con più barre o caratteri barra emessi ( Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Service Mesh. |
Alta |
CVE-2021-31920 |
GCP-2021-006
Pubblicato il: 11/05/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Di recente il progetto Istio ha divulgato una nuova vulnerabilità di sicurezza (CVE-2021-31920) che interessa Istio. Istio contiene una vulnerabilità sfruttabile da remoto in cui una richiesta HTTP con più barre o caratteri barra emessi può bypassare il criterio di autorizzazione di Istio quando vengono utilizzate regole di autorizzazione basate sul percorso. Per istruzioni e ulteriori dettagli, consulta: |
Alta |
CVE-2021-31920 |
GCP-2021-005
Pubblicato il: 11/05/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Una vulnerabilità segnalata ha dimostrato che Envoy non decodifica le sequenze di barre Che cosa devo fare?
Se i server di backend trattano Quali modifiche comportamentali sono state introdotte?Le opzioni normalize_path e merge adjacent slashes di Envoy sono state attivate per risolvere altre vulnerabilità comuni di confusione dei percorsi nei prodotti basati su Envoy. |
Alta |
CVE-2021-29492 |
GCP-2021-004
Pubblicato il: 06/05/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
I progetti Envoy e Istio hanno recentemente annunciato diverse nuove vulnerabilità di sicurezza (CVE-2021-28683, CVE-2021-28682 e CVE-2021-29258), che potrebbero consentire a un malintenzionato di arrestare in modo anomalo Envoy. I cluster Google Kubernetes Engine non eseguono Istio per impostazione predefinita e non sono vulnerabili. Se Istio è stato installato in un cluster e configurato per esporre i servizi a internet, questi servizi potrebbero essere vulnerabili al rifiuto di servizio. Google Distributed Cloud Virtual for Bare Metal e GKE su VMware utilizzano Envoy per impostazione predefinita per Ingress, pertanto i servizi Ingress potrebbero essere vulnerabili al rifiuto di servizio. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza: |
Medio |
GCP-2021-003
Pubblicato il: 19/04/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Di recente il progetto Kubernetes ha annunciato una nuova vulnerabilità di sicurezza, CVE-2021-25735, che potrebbe consentire agli aggiornamenti dei nodi di bypassare un webhook di ammissione con convalida.
In uno scenario in cui un utente malintenzionato dispone di privilegi sufficienti e in cui è implementato un webhook di ammissione con convalida che utilizza vecchie proprietà dell'oggetto Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza: |
Medio |
GCP-2021-002
Pubblicato il: 05/03/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
In base all'avviso sulla sicurezza VMware VMSA-2021-0002, VMware ha ricevuto segnalazioni di più vulnerabilità in VMware ESXi e vSphere Client (HTML5). VMware ha reso disponibili aggiornamenti per correggere queste vulnerabilità nei prodotti VMware interessati. Abbiamo applicato le soluzioni alternative ufficialmente documentate per lo stack vSphere in base all'avviso sulla sicurezza di VMware. Questo aggiornamento risolve le vulnerabilità di sicurezza descritte in CVE-2021-21972, CVE-2021-21973 e CVE-2021-21974. Impatto di VMware EngineDai nostri accertamenti è emerso che nessun cliente è stato interessato. Che cosa devo fare?Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni. |
Critico |
GCP-2021-001
Pubblicato il: 28/01/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Di recente è stata scoperta una vulnerabilità nell'utilità L'infrastruttura di base su cui viene eseguito Compute Engine non è interessata da questa vulnerabilità. Tutti i cluster Google Kubernetes Engine (GKE), GKE on VMware, GKE on AWS e Google Distributed Cloud Virtual for Bare Metal non sono interessati da questa vulnerabilità. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza: |
Nessuno | CVE-2021-3156 |
GCP-2020-015
Pubblicato il: 07/12/2020Ultimo aggiornamento: 22/12/2020
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento: 22/12/2021 Il comando per GKE
nella sezione seguente deve utilizzare
gcloud container clusters update –no-enable-service-externalips Aggiornamento del 15/12/2021 Per GKE, ora è disponibile la seguente misura di mitigazione:
Per ulteriori informazioni, consulta Rafforzamento della sicurezza del cluster. Il progetto Kubernetes ha recentemente scoperto una nuova vulnerabilità di sicurezza, CVE-2020-8554, che potrebbe consentire a un utente malintenzionato che ha ottenuto le autorizzazioni per creare un servizio Kubernetes di tipo LoadBalancer o ClusterIP di intercettare il traffico di rete proveniente da altri pod nel cluster. Questa vulnerabilità da sola non concede all'utente malintenzionato le autorizzazioni per creare un servizio Kubernetes. Tutti i cluster Google Kubernetes Engine (GKE), GKE on VMware e GKE on AWS sono interessati da questa vulnerabilità. Che cosa devo fare?Per istruzioni e ulteriori dettagli, consulta: |
Medio |
CVE-2020-8554 |
GCP-2020-014
Pubblicato il: 20/10/2020Ultimo aggiornamento: 20/10/2020
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Il progetto Kubernetes ha recentemente scoperto diversi problemi che consentono l'esposizione di dati riservati quando sono attivate le opzioni di registrazione dettagliata. I problemi sono:
Che cosa devo fare?Non sono necessarie ulteriori azioni a causa dei livelli di logging della verbosità predefiniti di GKE. |
Nessuno |
Impatto su Google Cloud
Di seguito sono elencati i dettagli per i singoli prodotti.
Prodotto |
Impatto |
---|---|
Google Kubernetes Engine (GKE) non è interessato. |
|
GKE On-Prem non è interessato. |
|
GKE su AWS non è interessato. |
GCP-2020-013
Pubblicato il: 29/09/2020Descrizione
Microsoft ha divulgato la seguente vulnerabilità:
Vulnerabilità |
Gravità |
CVE |
---|---|---|
CVE-2020-1472: una vulnerabilità in Windows Server consente agli utenti malintenzionati di utilizzare il protocollo remoto Netlogon per eseguire un'applicazione creata appositamente su un dispositivo della rete. |
Punteggio base NVD: 10 (critico) |
Per ulteriori informazioni, consulta la divulgazione di Microsoft.
Impatto su Google Cloud
L'infrastruttura che ospita Google Cloud e i prodotti Google non è interessata da questa vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.
Prodotto |
Impatto |
---|---|
Compute Engine |
CVE-2020-1472 |
Google Kubernetes Engine |
CVE-2020-1472 |
Managed Service for Microsoft Active Directory |
CVE-2020-1472 |
Google Workspace |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Ambiente standard di App Engine |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Ambiente flessibile di App Engine |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Cloud Run |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Funzioni Cloud Run |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Cloud Composer |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Dataflow |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Dataproc |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Cloud SQL |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
GCP-2020-012
Pubblicato il: 14/09/2020Aggiornamento: 17/09/2020
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Di recente è stata scoperta una vulnerabilità nel kernel Linux, descritta in CVE-2020-14386, che potrebbe consentire di container escape per ottenere privilegi di utente root sul nodo host. Sono interessati tutti i nodi GKE. I pod in esecuzione in GKE Sandbox non sono in grado di sfruttare questa vulnerabilità. Per istruzioni e ulteriori dettagli, consulta:
Quale vulnerabilità viene affrontata da questa patch? La patch attenua la seguente vulnerabilità: La vulnerabilità CVE-2020-14386, che consente ai container con CAP_NET_RAW di scrivere da 1 a 10 byte di memoria del kernel, nonché di uscire dal container e ottenere privilegi di utente root sul nodo host. Questa è classificata come vulnerabilità di gravità Alta. |
Alta |
GCP-2020-011
Pubblicato il: 24/07/2020Descrizione
Descrizione | Gravità | Note |
---|---|---|
Di recente è stata scoperta una vulnerabilità di rete, CVE-2020-8558, in Kubernetes. A volte i servizi comunicano con altre applicazioni in esecuzione nello stesso pod utilizzando l'interfaccia loopback locale (127.0.0.1). Questa vulnerabilità consente a un utente malintenzionato con accesso alla rete del cluster di inviare traffico all'interfaccia loopback di pod e nodi adiacenti. I servizi che si basano sull'interfaccia loopback non accessibile al di fuori del pod potrebbero essere sfruttati. Per istruzioni e ulteriori dettagli, consulta: |
Basso (GKE e GKE su AWS), |
GCP-2020-010
Pubblicato il: 27/07/2020Descrizione
Microsoft ha divulgato la seguente vulnerabilità:
Vulnerabilità |
Gravità |
CVE |
---|---|---|
CVE-2020-1350: i server Windows che fungono da server DNS possono essere sfruttati per eseguire codice non attendibile dall'account di sistema locale. |
Punteggio base NVD: 10,0 (critico) |
Per ulteriori informazioni, consulta la divulgazione di Microsoft.
Impatto su Google Cloud
L'infrastruttura che ospita Google Cloud e i prodotti Google non è interessata da questa vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.
Prodotto |
Impatto |
---|---|
Compute Engine |
CVE-2020-1350 |
Google Kubernetes Engine |
CVE-2020-1350 |
Managed Service for Microsoft Active Directory |
CVE-2020-1350 |
Google Workspace |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Ambiente standard di App Engine |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Ambiente flessibile di App Engine |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Cloud Run |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Funzioni Cloud Run |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Cloud Composer |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Dataflow |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Dataproc |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Cloud SQL |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
GCP-2020-009
Pubblicato il: 15/07/2020Descrizione
Descrizione | Gravità | Note |
---|---|---|
Di recente è stata scoperta in Kubernetes una vulnerabilità di escalation dei privilegi, CVE-2020-8559. Questa vulnerabilità consente a un malintenzionato che ha già compromesso un nodo di eseguire un comando in qualsiasi pod del cluster. In questo modo, l'attaccante può utilizzare il nodo già compromesso per compromettere altri nodi e potenzialmente leggere informazioni o causare azioni distruttive. Tieni presente che, affinché un malintenzionato possa sfruttare questa vulnerabilità, un nodo del tuo cluster deve essere già stato compromesso. Questa vulnerabilità, da sola, non comprometterà nessun nodo del cluster. Per istruzioni e ulteriori dettagli, consulta: |
Medio |
GCP-2020-008
Pubblicato il: 19/06/2020Descrizione
Descrizione | Gravità | Note |
---|---|---|
DescrizioneLe VM in cui è abilitato OS Login potrebbero essere soggette a vulnerabilità di riassegnazione dei privilegi. Queste vulnerabilità consentono agli utenti a cui sono state concesse le autorizzazioni di OS Login (ma non l'accesso amministrativo) di eseguire la riassegnazione dell'accesso come utente root nella VM. Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Compute Engine.
|
Alta |
GCP-2020-007
Pubblicato il: 01/06/2020Descrizione
Descrizione | Gravità | Note |
---|---|---|
Di recente è stata scoperta in Kubernetes la vulnerabilità di falsificazione delle richieste lato server (SSRF), CVE-2020-8555, che consente a determinati utenti autorizzati di divulgare fino a 500 byte di informazioni sensibili dalla rete host del piano di controllo. Il piano di controllo Google Kubernetes Engine (GKE) utilizza i controller di Kubernetes ed è quindi interessato da questa vulnerabilità. Ti consigliamo di eseguire l'upgrade del piano di controllo alla versione patch più recente. Non è necessario eseguire l'upgrade dei nodi. Per istruzioni e ulteriori dettagli, consulta: |
Medio |
GCP-2020-006
Pubblicato il: 01/06/2020Descrizione
Descrizione | Gravità | Note |
---|---|---|
Kubernetes ha divulgato una vulnerabilità che consente a un container con privilegi di reindirizzare il traffico del nodo a un altro container. Il traffico TLS/SSH reciproco, ad esempio tra il kubelet e il server API o il traffico proveniente da applicazioni che utilizzano mTLS, non può essere letto o modificato da questo attacco. Tutti i nodi di Google Kubernetes Engine (GKE) sono interessati da questa vulnerabilità e ti consigliamo di eseguire l'upgrade alla versione più recente della patch. Per istruzioni e ulteriori dettagli, consulta: |
Medio |
GCP-2020-005
Pubblicato il: 07/05/2020Descrizione
Vulnerabilità |
Gravità |
CVE |
---|---|---|
Recentemente è stata scoperta una vulnerabilità nel kernel Linux, descritta in CVE-2020-8835, che consente di uscire dai limiti del container per ottenere privilegi di utente root sul nodo host. I nodi di Google Kubernetes Engine (GKE) Ubuntu che eseguono GKE 1.16 o 1.17 sono interessati da questa vulnerabilità e consigliamo di eseguire l'upgrade alla versione più recente della patch il prima possibile. Consulta il Bollettino sulla sicurezza di GKE per istruzioni e ulteriori dettagli. |
Alta |
GCP-2020-004
Pubblicato il: 31/03/2020Aggiornamento: 31/03/2020
Descrizione
Kubernetes ha divulgato le seguenti vulnerabilità:
Vulnerabilità |
Gravità |
CVE |
---|---|---|
CVE-2019-11254: si tratta di una vulnerabilità di tipo Denial of Service (DoS) che interessa il server API. |
Medio |
Per istruzioni e ulteriori dettagli, consulta il bollettino sulla sicurezza di GKE on VMware.
GCP-2020-003
Pubblicato il: 31/03/2020Aggiornamento: 31/03/2020
Descrizione
Kubernetes ha divulgato le seguenti vulnerabilità:
Vulnerabilità |
Gravità |
CVE |
---|---|---|
CVE-2019-11254: si tratta di una vulnerabilità di tipo Denial of Service (DoS) che interessa il server API. |
Medio |
Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE.
GCP-2020-002
Pubblicato il: 23/03/2020Aggiornamento: 23/03/2020
Descrizione
Kubernetes ha divulgato le seguenti vulnerabilità:
Vulnerabilità |
Gravità |
CVE |
---|---|---|
CVE-2020-8551: si tratta di una vulnerabilità di tipo Denial of Service (DoS) che interessa kubelet. |
Medio |
|
CVE-2020-8552: si tratta di una vulnerabilità di tipo Denial of Service (DoS) che interessa il server API. |
Medio |
Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE.
GCP-2020-001
Pubblicato il: 21/01/2020Aggiornamento: 21/01/2020
Descrizione
Microsoft ha divulgato la seguente vulnerabilità:
Vulnerabilità |
Gravità |
CVE |
---|---|---|
CVE-2020-0601: questa vulnerabilità è nota anche come vulnerabilità di spoofing dell'API Crypto di Windows. Potrebbe essere sfruttato per far apparire attendibili gli eseguibili dannosi o consentire all'aggressore di eseguire attacchi man-in-the-middle e decriptare le informazioni riservate sulle connessioni degli utenti al software interessato. |
Punteggio base NVD: 8,1 (Alta) |
Per ulteriori informazioni, consulta la divulgazione di Microsoft.
Impatto su Google Cloud
L'infrastruttura che ospita Google Cloud e i prodotti Google non è interessata da questa vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.
Prodotto |
Impatto |
---|---|
Compute Engine |
CVE-2020-0601 |
Google Kubernetes Engine |
CVE-2020-0601 |
Managed Service for Microsoft Active Directory |
CVE-2020-0601 |
Google Workspace |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Ambiente standard di App Engine |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Ambiente flessibile di App Engine |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Cloud Run |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Funzioni Cloud Run |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Cloud Composer |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Dataflow |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Dataproc |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Cloud SQL |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
GCP-2019-001
Pubblicato il: 12/11/2019Aggiornamento: 12/11/2019
Descrizione
Intel ha divulgato le seguenti vulnerabilità:
Vulnerabilità |
Gravità |
CVE |
---|---|---|
CVE-2019-11135 — Questa vulnerabilità, indicata come TSX Async Abort (TAA) può essere utilizzata per sfruttare l'esecuzione speculativa in una transazione TSX. Questa vulnerabilità può determinare un'esposizione dei dati attraverso le stesse strutture di dati della microarchitettura esposte dal Microarchitectural Data Sampling (MDS). |
Medio |
|
CVE-2018-12207 — Questa è una vulnerabilità di tipo Denial of Service (DoS) che interessa le macchine virtuali host (non ospiti). Questo problema è noto come "Machine Check Error on Page Size Change". |
Medio |
Per ulteriori informazioni, consulta le divulgazioni di Intel:
Impatto su Google Cloud
L'infrastruttura che ospita Google Cloud e i prodotti Google è protetta da queste vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.
Prodotto |
Impatto |
---|---|
Compute Engine |
CVE-2019-11135 CVE-2018-12207 |
Google Kubernetes Engine |
CVE-2019-11135 CVE-2018-12207 |
Ambiente standard di App Engine |
Non è necessario alcun intervento aggiuntivo. |
Ambiente flessibile di App Engine |
CVE-2019-11135 CVE-2018-12207 |
Cloud Run |
Non è necessario alcun intervento aggiuntivo. |
Funzioni Cloud Run |
Non è necessario alcun intervento aggiuntivo. |
Cloud Composer |
Non è necessario alcun intervento aggiuntivo. |
Dataflow |
CVE-2019-11135 CVE-2018-12207 |
Dataproc |
CVE-2019-11135 CVE-2018-12207 |
Cloud SQL |
Non è necessario alcun intervento aggiuntivo. |