此页面由 Cloud Translation API 翻译。

安全公告

以下安全公告与 Google Cloud 产品相关。

使用此 XML Feed 可订阅此页面的安全公告。

GCP-2024-045

发布日期 ：2024-07-17

说明

说明	严重级别	备注
在 Linux 内核中发现了以下漏洞，提权： CVE-2024-26925 有关说明和更多详情，请参阅以下公告： GKE 安全公告适用于 VMware 的 GDC 软件安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告用于裸机安全公告的 GDC 软件	高	CVE-2024-26925

严重级别

备注

在 Linux 内核中发现了以下漏洞，提权：

CVE-2024-26925

有关说明和更多详情，请参阅以下公告：

高

CVE-2024-26925

GCP-2024-044

发布日期 ：2024-07-16

说明

说明	严重级别	备注
在 Linux 内核中发现了以下漏洞，提权： CVE-2024-36972 有关说明和更多详情，请参阅以下公告： GKE 安全公告适用于 VMware 的 GDC 软件安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告用于裸机安全公告的 GDC 软件	高	CVE-2024-36972

严重级别

备注

在 Linux 内核中发现了以下漏洞，提权：

CVE-2024-36972

有关说明和更多详情，请参阅以下公告：

高

CVE-2024-36972

GCP-2024-043

发布日期 ：2024-07-16

说明

说明	严重级别	备注
在 Linux 内核中发现了以下漏洞，提权： CVE-2024-26921 有关说明和更多详情，请参阅以下公告： GKE 安全公告适用于 VMware 的 GDC 软件安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告用于裸机安全公告的 GDC 软件	高	CVE-2024-26921

严重级别

备注

在 Linux 内核中发现了以下漏洞，提权：

CVE-2024-26921

有关说明和更多详情，请参阅以下公告：

高

CVE-2024-26921

GCP-2024-042

发布日期 ：2024-07-15

说明

说明	严重级别	备注
在 Linux 内核中发现了以下漏洞，提权： CVE-2024-26809 有关说明和更多详情，请参阅以下公告： GKE 安全公告适用于 VMware 的 GDC 软件安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告用于裸机安全公告的 GDC 软件	高	CVE-2024-26809

严重级别

备注

在 Linux 内核中发现了以下漏洞，提权：

CVE-2024-26809

有关说明和更多详情，请参阅以下公告：

高

CVE-2024-26809

GCP-2024-041

发布日期 ：2024-07-08

说明

说明	严重级别	备注
在 Linux 内核中发现了以下漏洞，提权： CVE-2023-52654 CVE-2023-52656 有关说明和更多详情，请参阅以下公告： GKE 安全公告适用于 VMware 的 GDC 软件安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告用于裸机安全公告的 GDC 软件	高	CVE-2023-52654 CVE-2023-52656

严重级别

备注

在 Linux 内核中发现了以下漏洞，提权：

CVE-2023-52654
CVE-2023-52656

有关说明和更多详情，请参阅以下公告：

高

GCP-2024-040

发布日期：2024 年 7 月 1 日

更新日期：2024 年 7 月 16 日

说明

说明严重级别备注

说明	严重级别	备注
2024 年 7 月 16 日更新：部分无服务器 VPC 访问通道客户可能会受到以下因素的影响： OpenSSH 中的漏洞 (CVE-2024-6387)。如果成功因此，如果攻击者得不到身份验证，以根用户身份在目标虚拟机上访问任意代码。“利用”现为并不容易。例如，客户无法访问这些虚拟机虚拟机没有公共 IP我们未发现任何利用错误。该怎么做？无服务器 VPC 访问通道部署已自动由 Google 尽可能更新。不过，您应验证 Google 代管式服务代理具有所需角色。否则，您的无服务器 VPC 访问通道连接器可能仍易受攻击我们建议您迁移到直接 VPC 出站流量，或部署新的连接器并删除旧连接器，以确保您拥有与修复。 2024 年 7 月 11 日更新：添加了针对适用于 VMware、GKE on AWS 和 GKE on Azure。如需了解详情，请参阅 GKE 中的文档，请参阅以下公告：适用于 VMware 的 GDC 软件安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告 2024 年 7 月 10 日更新：添加了关于 Migrate to Virtual Machines 的安全公告。 2024 年 7 月 9 日更新：部分 App Engine 柔性环境客户可能会受到 OpenSSH 中的漏洞 (CVE-2024-6387)。如果成功因此，如果攻击者得不到身份验证，以根用户身份在目标虚拟机上访问任意代码。该怎么做？ Google 已经更新了柔性环境部署自动管理。不过，部分已停用 Google 管理的服务代理的客户或更改 Google Cloud API 或其他默认配置，无法更新，可能仍然容易受到攻击。您应该部署新版本以获取包含修复程序的更新。请注意，更新后的部署将报告 SSH 版本 `OpenSSH_9.6p1`。此版本已修补 CVE-2024-6387。解决了哪些漏洞？漏洞 CVE-2024-6387，可以允许未经身份验证的远程攻击者可以在目标机器上以 root 身份执行任意代码。 2024 年 7 月 8 日更新： Google Compute Engine 上的 Dataproc 集群映像版本 2.2（所有操作系统）和 2.1（仅限 Debian）受 OpenSSH 漏洞 (CVE-2024-6387) 影响，如果成功利用该漏洞，就可能允许未经身份验证的远程攻击者在目标机器上以 root 身份执行任意代码。 Dataproc on Google Compute Engine 映像版本 2.0 和以及不运行 Debian 不受影响。具有个人的 Dataproc 集群已启用身份验证不受影响。Dataproc 无服务器也不会受到影响该怎么做？请更新 Google 上的 Dataproc 集群 Compute Engine 更新为以下版本之一： 2.2.24 或更高版本 2.1.58 或更高版本如果您无法将 Dataproc 集群更新为上述版本之一，我们建议使用可执行的操作： `gs://dataproc-initialization-actions/hotfixes/openssh-CVE-2024-6387-mitigation.sh` 请按照以下说明操作指定 Dataproc 的初始化操作。请注意，初始化操作必须在每个节点上运行（主实例和工作器）。 2024 年 7 月 3 日更新：添加了 GKE 的补丁版本。为游戏开发者大会添加了安全公告已连接。 2024 年 7 月 2 日更新：阐明了 Autopilot 集群会受到影响，将需要用户执行操作添加了影响评估和缓解步骤，适用于 VMware、GKE on AWS 和 GKE on Azure 的 GDC 软件。更正了针对裸金属解决方案的 GDC 软件安全公告，以明确指出用于裸金属的 GDC 软件不能直接客户应向操作系统供应商联系以获取补丁。远程代码执行漏洞 CVE-2024-6387、是近期在 OpenSSH 中发现的此漏洞利用了竞态条件可以用来获取对远程 shell 的访问权限，使攻击者能够获得 root 访问权限。在发布时，人们认为很难进行利用，小时。我们未发现任何试图利用漏洞的攻击行为。有关说明和更多详情，请参阅以下公告： Compute Engine 安全公告 GKE 安全公告适用于 VMware 的 GDC 软件安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告用于裸机安全公告的 GDC 软件 Google Cloud VMware Engine 安全公告 Apigee 安全公告 Dataflow 安全公告关联 GDC 的安全公告迁移到虚拟机安全公告	严重	CVE-2024-6387

2024 年 7 月 16 日更新：

部分无服务器 VPC 访问通道客户可能会受到以下因素的影响： OpenSSH 中的漏洞 (CVE-2024-6387)。如果成功因此，如果攻击者得不到身份验证，以根用户身份在目标虚拟机上访问任意代码。“利用”现为并不容易。例如，客户无法访问这些虚拟机虚拟机没有公共 IP我们未发现任何利用错误。

该怎么做？

无服务器 VPC 访问通道部署已自动由 Google 尽可能更新。不过，您应验证 Google 代管式服务代理具有所需角色。否则，您的无服务器 VPC 访问通道连接器可能仍易受攻击我们建议您迁移到直接 VPC 出站流量，或部署新的连接器并删除旧连接器，以确保您拥有与修复。

2024 年 7 月 11 日更新：添加了针对适用于 VMware、GKE on AWS 和 GKE on Azure。如需了解详情，请参阅 GKE 中的文档，请参阅以下公告：

2024 年 7 月 10 日更新：

添加了关于 Migrate to Virtual Machines 的安全公告。

2024 年 7 月 9 日更新：

部分 App Engine 柔性环境客户可能会受到 OpenSSH 中的漏洞 (CVE-2024-6387)。如果成功因此，如果攻击者得不到身份验证，以根用户身份在目标虚拟机上访问任意代码。

该怎么做？

Google 已经更新了柔性环境部署自动管理。不过，部分已停用 Google 管理的服务代理的客户或更改 Google Cloud API 或其他默认配置，无法更新，可能仍然容易受到攻击。您应该部署新版本以获取包含修复程序的更新。

请注意，更新后的部署将报告 SSH 版本 OpenSSH_9.6p1。此版本已修补 CVE-2024-6387。

解决了哪些漏洞？

漏洞 CVE-2024-6387，可以允许未经身份验证的远程攻击者可以在目标机器上以 root 身份执行任意代码。

2024 年 7 月 8 日更新：

Google Compute Engine 上的 Dataproc 集群映像版本 2.2（所有操作系统）和 2.1（仅限 Debian）受 OpenSSH 漏洞 (CVE-2024-6387) 影响，如果成功利用该漏洞，就可能允许未经身份验证的远程攻击者在目标机器上以 root 身份执行任意代码。

Dataproc on Google Compute Engine 映像版本 2.0 和以及不运行 Debian 不受影响。具有个人的 Dataproc 集群已启用身份验证不受影响。Dataproc 无服务器也不会受到影响

该怎么做？

请更新 Google 上的 Dataproc 集群 Compute Engine 更新为以下版本之一：

2.2.24 或更高版本
2.1.58 或更高版本

如果您无法将 Dataproc 集群更新为上述版本之一，我们建议使用可执行的操作： gs://dataproc-initialization-actions/hotfixes/openssh-CVE-2024-6387-mitigation.sh

请按照以下说明操作指定 Dataproc 的初始化操作。请注意，初始化操作必须在每个节点上运行（主实例和工作器）。

2024 年 7 月 3 日更新：

添加了 GKE 的补丁版本。
为游戏开发者大会添加了安全公告已连接。

2024 年 7 月 2 日更新：

阐明了 Autopilot 集群会受到影响，将需要用户执行操作
添加了影响评估和缓解步骤，适用于 VMware、GKE on AWS 和 GKE on Azure 的 GDC 软件。
更正了针对裸金属解决方案的 GDC 软件安全公告，以明确指出用于裸金属的 GDC 软件不能直接客户应向操作系统供应商联系以获取补丁。

远程代码执行漏洞 CVE-2024-6387、是近期在 OpenSSH 中发现的此漏洞利用了竞态条件可以用来获取对远程 shell 的访问权限，使攻击者能够获得 root 访问权限。在发布时，人们认为很难进行利用，小时。我们未发现任何试图利用漏洞的攻击行为。

有关说明和更多详情，请参阅以下公告：

严重

CVE-2024-6387

GCP-2024-039

发布日期 ：2024 年 6 月 28 日

说明

说明	严重级别	备注
在 Linux 内核中发现了以下漏洞，提权： CVE-2024-26923 有关说明和更多详情，请参阅以下公告： GKE 安全公告适用于 VMware 的 GDC 软件安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告用于裸机安全公告的 GDC 软件	高	CVE-2024-26923

严重级别

备注

在 Linux 内核中发现了以下漏洞，提权：

CVE-2024-26923

有关说明和更多详情，请参阅以下公告：

高

CVE-2024-26923

GCP-2024-038

发布日期 ：2024 年 6 月 26 日

说明

说明	严重级别	备注
在 Linux 内核中发现了以下漏洞，提权： CVE-2024-26924 有关说明和更多详情，请参阅以下公告： GKE 安全公告适用于 VMware 的 GDC 软件安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告用于裸机安全公告的 GDC 软件	高	CVE-2024-26924

严重级别

备注

在 Linux 内核中发现了以下漏洞，提权：

CVE-2024-26924

有关说明和更多详情，请参阅以下公告：

高

CVE-2024-26924

GCP-2024-037

发布日期 ：2024-06-18

说明	严重级别	备注
VMware 披露了 VMSA-2024-0012 中的多个漏洞对客户环境中部署的 vCenter 组件造成的影响。对 Google Cloud VMware Engine 的影响此漏洞可通过访问 vCenter 中的特定端口加以利用服务器。Google 已禁止 vCenter 上存在漏洞的端口这样可以阻止此漏洞被利用。此外，Google 还会确保日后所有 vCenter 的部署这个漏洞该怎么做？目前您无需采取进一步行动。	严重	CVE-2024-37079 CVE-2024-37080 CVE-2024-37081

说明

严重级别

备注

VMware 披露了 VMSA-2024-0012 中的多个漏洞对客户环境中部署的 vCenter 组件造成的影响。

对 Google Cloud VMware Engine 的影响

此漏洞可通过访问 vCenter 中的特定端口加以利用服务器。Google 已禁止 vCenter 上存在漏洞的端口这样可以阻止此漏洞被利用。
此外，Google 还会确保日后所有 vCenter 的部署这个漏洞

该怎么做？

目前您无需采取进一步行动。

严重

GCP-2024-036

发布日期 ：2024-06-18

说明

说明	严重级别	备注
在 Linux 内核中发现了以下漏洞，提权： CVE-2024-26584 如需了解相关说明和更多详情，请参阅以下公告： GKE 安全公告 GKE on VMware 安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告 GKE on Bare Metal 安全公告	高	CVE-2024-26584

严重级别

备注

在 Linux 内核中发现了以下漏洞，提权：

CVE-2024-26584

如需了解相关说明和更多详情，请参阅以下公告：

高

CVE-2024-26584

GCP-2024-035

发布日期 ：2024-06-12

说明

说明	严重级别	备注
在 Linux 内核中发现了以下漏洞，提权： CVE-2024-26584 有关说明和更多详情，请参阅以下公告： GKE 安全公告 GKE on VMware 安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告 GKE on Bare Metal 安全公告	高	CVE-2024-26584

严重级别

备注

在 Linux 内核中发现了以下漏洞，提权：

CVE-2024-26584

有关说明和更多详情，请参阅以下公告：

高

CVE-2024-26584

GCP-2024-034

发布日期 ：2024-06-11

更新日期：2024 年 7 月 10 日

说明

说明	严重级别	备注
2024 年 7 月 10 日更新：添加了针对运行次要版本 1.26 和 1.27 的 Container-Optimized OS 节点并为 Ubuntu 节点添加了补丁版本。在 Linux 内核中发现了以下漏洞，提权： CVE-2024-26583 有关说明和更多详情，请参阅以下公告： GKE 安全公告 GKE on VMware 安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告 GKE on Bare Metal 安全公告	高	CVE-2024-26583

严重级别

备注

2024 年 7 月 10 日更新：添加了针对运行次要版本 1.26 和 1.27 的 Container-Optimized OS 节点并为 Ubuntu 节点添加了补丁版本。

在 Linux 内核中发现了以下漏洞，提权：

CVE-2024-26583

有关说明和更多详情，请参阅以下公告：

高

CVE-2024-26583

GCP-2024-033

发布日期 ：2024-06-10

说明

说明	严重级别	备注
在 Linux 内核中发现了以下漏洞，提权： CVE-2022-23222 如需了解相关说明和更多详情，请参阅以下公告： GKE 安全公告 GKE on VMware 安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告 GKE on Bare Metal 安全公告	高	CVE-2022-23222

严重级别

备注

在 Linux 内核中发现了以下漏洞，提权：

CVE-2022-23222

如需了解相关说明和更多详情，请参阅以下公告：

高

CVE-2022-23222

GCP-2024-032

发布日期：2024 年 6 月 4 日

说明

说明	严重级别	备注
以下 CVE 会让 Cloud Service Mesh 面临可利用的漏洞： CVE-2024-23326：Envoy 错误地接受 HTTP 200 响应以进入升级模式。 CVE-2024-32974：EnvoyQuicServerStream::OnInitialHeadersComplete() 发生崩溃。 CVE-2024-32975： QuicheDataReader::PeekVarInt62Length() 中发生崩溃。 CVE-2024-32976：使用额外输入解压缩 Brotli 数据时无限循环。 CVE-2024-34362：EnvoyQuicServerStream 中发生崩溃（释放后使用）。 CVE-2024-34363：由于未捕获的 nlohmann JSON 异常导致崩溃。 CVE-2024-34364：来自 HTTP 异步客户端的 Envoy OOM 矢量，具有用于镜像响应的无界限响应缓冲区。如需了解相关说明和更多详情，请参阅 Cloud Service Mesh 安全公告。	高	CVE-2024-23326 CVE-2024-32974 CVE-2024-32975 CVE-2024-32976 CVE-2024-34362 CVE-2024-34363 CVE-2024-34364

严重级别

备注

以下 CVE 会让 Cloud Service Mesh 面临可利用的漏洞：

CVE-2024-23326：Envoy 错误地接受 HTTP 200 响应以进入升级模式。
CVE-2024-32974：EnvoyQuicServerStream::OnInitialHeadersComplete() 发生崩溃。
CVE-2024-32975： QuicheDataReader::PeekVarInt62Length() 中发生崩溃。
CVE-2024-32976：使用额外输入解压缩 Brotli 数据时无限循环。
CVE-2024-34362：EnvoyQuicServerStream 中发生崩溃（释放后使用）。
CVE-2024-34363：由于未捕获的 nlohmann JSON 异常导致崩溃。
CVE-2024-34364：来自 HTTP 异步客户端的 Envoy OOM 矢量，具有用于镜像响应的无界限响应缓冲区。

如需了解相关说明和更多详情，请参阅 Cloud Service Mesh 安全公告。

高

GCP-2024-031

发布日期：2024 年 5 月 24 日

说明

说明	严重级别	备注
在 Fluent Bit 中发现了一个新漏洞 (CVE-2024-4323) 进而导致远程代码执行Fluent Bit 版本 2.0.7 都会受到影响 GKE、GKE on VMware、GKE on AWS GKE on Azure 和 GKE on Bare Metal 不使用易受攻击的 Fluent Bit 版本，并且不受影响。有关说明和更多详情，请参阅以下公告： GKE 安全公告 GKE on VMware 安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告 GKE on Bare Metal 安全公告	无	CVE-2024-4323

严重级别

备注

在 Fluent Bit 中发现了一个新漏洞 (CVE-2024-4323) 进而导致远程代码执行Fluent Bit 版本 2.0.7 都会受到影响

GKE、GKE on VMware、GKE on AWS GKE on Azure 和 GKE on Bare Metal 不使用易受攻击的 Fluent Bit 版本，并且不受影响。

有关说明和更多详情，请参阅以下公告：

无

CVE-2024-4323

GCP-2024-030

发布日期 ：2024-05-15

说明

说明	严重级别	备注
在 Linux 内核中发现了以下漏洞，提权： CVE-2023-52620 有关说明和更多详情，请参阅以下公告： GKE 安全公告 GKE on VMware 安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告 GKE on Bare Metal 安全公告	高	CVE-2023-52620

严重级别

备注

在 Linux 内核中发现了以下漏洞，提权：

CVE-2023-52620

有关说明和更多详情，请参阅以下公告：

高

CVE-2023-52620

GCP-2024-029

发布日期 ：2024 年 5 月 14 日

说明

说明	严重级别	备注
在 Linux 内核中发现了以下漏洞，提权： CVE-2024-26642 有关说明和更多详情，请参阅以下公告： GKE 安全公告 GKE on VMware 安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告 GKE on Bare Metal 安全公告	高	CVE-2024-26642

严重级别

备注

在 Linux 内核中发现了以下漏洞，提权：

CVE-2024-26642

有关说明和更多详情，请参阅以下公告：

高

CVE-2024-26642

GCP-2024-028

发布日期 ：2024-05-13

更新日期：2024 年 5 月 22 日

说明

说明	严重级别	备注
2024 年 5 月 22 日更新：添加了针对 Ubuntu 在 Linux 内核中发现了以下漏洞，提权： CVE-2024-26581 有关说明和更多详情，请参阅以下公告： GKE 安全公告 GKE on VMware 安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告 GKE on Bare Metal 安全公告	高	CVE-2024-26581

严重级别

备注

2024 年 5 月 22 日更新：添加了针对 Ubuntu

在 Linux 内核中发现了以下漏洞，提权：

CVE-2024-26581

有关说明和更多详情，请参阅以下公告：

高

CVE-2024-26581

GCP-2024-027

发布日期 ：2024-05-08

更新日期：2024 年 5 月 9 日、2024 年 5 月 15 日

说明

说明	严重级别	备注
2024 年 5 月 15 日更新：添加了针对 GKE Ubuntu 节点池。 2024 年 5 月 9 日更新：更正了“中”的严重程度并阐明了 GKE Autopilot 默认配置中的集群不受影响。在 Linux 内核中发现了以下漏洞，提权： CVE-2024-26808 有关说明和更多详情，请参阅以下公告： GKE 安全公告 GKE on VMware 安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告 GKE on Bare Metal 安全公告	高	CVE-2024-26808

严重级别

备注

2024 年 5 月 15 日更新：添加了针对 GKE Ubuntu 节点池。

2024 年 5 月 9 日更新：更正了“中”的严重程度并阐明了 GKE Autopilot 默认配置中的集群不受影响。

在 Linux 内核中发现了以下漏洞，提权：

CVE-2024-26808

有关说明和更多详情，请参阅以下公告：

高

CVE-2024-26808

GCP-2024-026

发布日期 ：2024-05-07

更新日期：2024 年 5 月 9 日

说明

说明	严重级别	备注
2024 年 5 月 9 日更新：更正了“中”的严重程度高。在 Linux 内核中发现了以下漏洞，提权： CVE-2024-26643 有关说明和更多详情，请参阅以下公告： GKE 安全公告 GKE on VMware 安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告 GKE on Bare Metal 安全公告	高	CVE-2024-26643

严重级别

备注

2024 年 5 月 9 日更新：更正了“中”的严重程度高。

在 Linux 内核中发现了以下漏洞，提权：

CVE-2024-26643

有关说明和更多详情，请参阅以下公告：

高

CVE-2024-26643

GCP-2024-025

发布日期：2024 年 4 月 26 日

说明

说明	严重级别	备注
Looker 修复了外部研究人员通过 Google 和 Alphabet 漏洞奖励计划 (VRP) 计划报告的漏洞，但未发现有漏洞被利用的证据。这些问题现已解决，Looker (Google Cloud Core) 和 Looker（原始版本）上由 Looker 托管的客户不需要用户执行任何操作。我们建议自行托管的 Looker 实例更新到受支持的最新版本。该怎么做？ Looker 托管的实例：Looker (Google Cloud Core) 和 Looker（原始版本）实例客户无需采取任何行动。仅限自行托管的 Looker 实例如果您的 Looker 实例是自行托管的，我们建议您将 Looker 实例升级到以下某个版本： 24.6.12+ 24.4.27+ 24.2.58+ 24.0.65+ 23.18.100+ 23.12.105+ 23.6.163+ 如何修正此问题？ Google 停用了 Looker 应用对内部数据库的直接管理员权限，移除了启用跨租户访问权限的提升权限，并轮替已泄露的 Secret。此外，我们还修补了可能会泄露服务账号凭据的路径遍历漏洞。我们还会全面审核我们的代码和系统，以发现并解决任何类似的潜在漏洞。	严重

严重级别

备注

Looker 修复了外部研究人员通过 Google 和 Alphabet 漏洞奖励计划 (VRP) 计划报告的漏洞，但未发现有漏洞被利用的证据。这些问题现已解决，Looker (Google Cloud Core) 和 Looker（原始版本）上由 Looker 托管的客户不需要用户执行任何操作。我们建议自行托管的 Looker 实例更新到受支持的最新版本。

该怎么做？

Looker 托管的实例：Looker (Google Cloud Core) 和 Looker（原始版本）实例

客户无需采取任何行动。

仅限自行托管的 Looker 实例

如果您的 Looker 实例是自行托管的，我们建议您将 Looker 实例升级到以下某个版本：

24.6.12+
24.4.27+
24.2.58+
24.0.65+
23.18.100+
23.12.105+
23.6.163+

如何修正此问题？

Google 停用了 Looker 应用对内部数据库的直接管理员权限，移除了启用跨租户访问权限的提升权限，并轮替已泄露的 Secret。此外，我们还修补了可能会泄露服务账号凭据的路径遍历漏洞。我们还会全面审核我们的代码和系统，以发现并解决任何类似的潜在漏洞。

严重

GCP-2024-024

发布日期 ：2024 年 4 月 25 日

说明

说明	严重级别	备注
在 Linux 内核中发现了以下漏洞，提权： CVE-2024-26585 有关说明和更多详情，请参阅以下公告： GKE 安全公告 GKE on VMware 安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告 GKE on Bare Metal 安全公告	高	CVE-2024-26585

严重级别

备注

在 Linux 内核中发现了以下漏洞，提权：

CVE-2024-26585

有关说明和更多详情，请参阅以下公告：

高

CVE-2024-26585

GCP-2024-023

发布日期：2024 年 4 月 24 日

说明

说明	严重级别	备注
以下 CVE 会让 Cloud Service Mesh 面临可利用的漏洞： CVE-2024-27919：HTTP/2：因 CONTINUATION 帧泛洪而导致内存耗尽。 CVE-2024-30255：HTTP/2：因 CONTINUATION 帧泛洪而导致 CPU 耗尽 CVE-2024-32475：使用“auto_sni”时异常终止带有“:authority”超过 255 个字符的标题。 CVE-2023-45288：可利用 HTTP/2 CONTINUATION 帧进行 DoS 攻击。如需了解相关说明和更多详情，请参阅 Cloud Service Mesh 安全公告。	高	CVE-2024-27919 CVE-2024-30255 CVE-2024-32475 CVE-2023-45288

严重级别

备注

以下 CVE 会让 Cloud Service Mesh 面临可利用的漏洞：

CVE-2024-27919：HTTP/2：因 CONTINUATION 帧泛洪而导致内存耗尽。
CVE-2024-30255：HTTP/2：因 CONTINUATION 帧泛洪而导致 CPU 耗尽
CVE-2024-32475：使用“auto_sni”时异常终止带有“:authority”超过 255 个字符的标题。
CVE-2023-45288：可利用 HTTP/2 CONTINUATION 帧进行 DoS 攻击。

如需了解相关说明和更多详情，请参阅 Cloud Service Mesh 安全公告。

高

GCP-2024-022

发布日期：2024 年 4 月 3 日

更新日期：2024 年 7 月 17 日

说明

说明	严重级别	备注
2024 年 7 月 17 日更新：添加了 GKE on VMware 的补丁版本 2024 年 7 月 9 日更新：添加了 GKE on Bare Metal 的补丁版本 2024 年 4 月 24 日更新：添加了 GKE 的补丁版本。最近在 HTTP/2 协议的多种实现（包括 Kubernetes 使用的 golang HTTP 服务器）中发现了一个拒绝服务攻击 (DoS) 漏洞 (CVE-2023-45288)。此漏洞可能会导致 Google Kubernetes Engine (GKE) 控制平面遭到 DoS 攻击。有关说明和更多详情，请参阅以下公告： GKE 安全公告 GKE on VMware 安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告 GKE on Bare Metal 安全公告	高	CVE-2023-45288

严重级别

备注

2024 年 7 月 17 日更新：添加了 GKE on VMware 的补丁版本

2024 年 7 月 9 日更新：添加了 GKE on Bare Metal 的补丁版本

2024 年 4 月 24 日更新：添加了 GKE 的补丁版本。

最近在 HTTP/2 协议的多种实现（包括 Kubernetes 使用的 golang HTTP 服务器）中发现了一个拒绝服务攻击 (DoS) 漏洞 (CVE-2023-45288)。此漏洞可能会导致 Google Kubernetes Engine (GKE) 控制平面遭到 DoS 攻击。

有关说明和更多详情，请参阅以下公告：

高

CVE-2023-45288

GCP-2024-021

发布日期 ：2024-04-03

说明

说明	严重级别	备注
Compute Engine 不受 CVE-2024-3094、这会影响 liblzma 库，可能会导致 OpenSSH 实用程序遭到入侵。有关详情，请参阅 Compute Engine 安全公告。	中	CVE-2024-3094

严重级别

备注

Compute Engine 不受 CVE-2024-3094、这会影响 liblzma 库，可能会导致 OpenSSH 实用程序遭到入侵。

有关详情，请参阅 Compute Engine 安全公告。

中

CVE-2024-3094

GCP-2024-020

发布日期 ：2024-04-02

说明

说明	严重级别	备注
研究人员发现了一个漏洞 (CVE-2023-48022) 。Ray 是第三方、开源工具。由于 Ray 不需要身份验证，威胁者可以远程执行代码向公开的实例提交作业。通过已经有争议 Ray 的开发者 Anyscale 所推出的。Ray 会维护其函数是预期的核心产品功能，而安全机制必须任何非预期网络暴露 Ray 星团就有可能会带来危害。根据回复，此 CVE 存在争议，可能不会显示在漏洞扫描工具无论如何，它正被广泛利用野外，用户应按照建议配置其使用方式。该怎么做？关注 Ray 最佳做法和指南，包括在来保护您的 Ray 工作负载。部署客户云实例中的 ray.io 均需承担共同责任。 Google Kubernetes Engine (GKE) 安全团队发布了博客强化 Ray on GKE。如需详细了解添加身份验证 Ray 服务授权，请查阅 Identity-Aware Proxy (IAP) 文档。GKE 用户可以 IAP 后续操作指南或者将博客。	高	CVE-2023-48022

严重级别

备注

研究人员发现了一个漏洞 (CVE-2023-48022) 。Ray 是第三方、开源工具。由于 Ray 不需要身份验证，威胁者可以远程执行代码向公开的实例提交作业。通过已经有争议 Ray 的开发者 Anyscale 所推出的。Ray 会维护其函数是预期的核心产品功能，而安全机制必须任何非预期网络暴露 Ray 星团就有可能会带来危害。

根据回复，此 CVE 存在争议，可能不会显示在漏洞扫描工具无论如何，它正被广泛利用野外，用户应按照建议配置其使用方式。

该怎么做？

关注 Ray 最佳做法和指南，包括在来保护您的 Ray 工作负载。部署客户云实例中的 ray.io 均需承担共同责任。

Google Kubernetes Engine (GKE) 安全团队发布了博客强化 Ray on GKE。

如需详细了解添加身份验证 Ray 服务授权，请查阅 Identity-Aware Proxy (IAP) 文档。GKE 用户可以 IAP 后续操作指南或者将博客。

高

CVE-2023-48022

GCP-2024-018

发布日期 ：2024-03-12

更新日期：2024 年 4 月 4 日、2024 年 5 月 6 日

说明

说明	严重级别	备注
2024 年 5 月 6 日更新：添加了 GKE Ubuntu 节点池的补丁版本。 2024 年 4 月 4 日更新：更正了 GKE Container-Optimized OS 节点池的最低版本。在 Linux 内核中发现了以下漏洞，提权： CVE-2024-1085 有关说明和更多详情，请参阅以下公告： GKE 安全公告 GKE on VMware 安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告 GKE on Bare Metal 安全公告	高	CVE-2024-1085

严重级别

备注

2024 年 5 月 6 日更新：添加了 GKE Ubuntu 节点池的补丁版本。

2024 年 4 月 4 日更新：更正了 GKE Container-Optimized OS 节点池的最低版本。

在 Linux 内核中发现了以下漏洞，提权：

CVE-2024-1085

有关说明和更多详情，请参阅以下公告：

高

CVE-2024-1085

GCP-2024-017

发布日期 ：2024-03-06

说明

说明	严重级别	备注
在 Linux 内核中发现了以下漏洞，提权： CVE-2023-3611 有关说明和更多详情，请参阅以下公告： GKE 安全公告 GKE on VMware 安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告 GKE on Bare Metal 安全公告	高	CVE-2023-3611

严重级别

备注

在 Linux 内核中发现了以下漏洞，提权：

CVE-2023-3611

有关说明和更多详情，请参阅以下公告：

高

CVE-2023-3611

GCP-2024-016

发布日期 ：2024-03-05

说明	严重级别	备注
VMware 披露了 VMSA-2024-0006 中的多个漏洞，影响部署在客户环境中的 ESXi 组件。对 Google Cloud VMware Engine 的影响您的私有云已更新，以解决此安全漏洞。该怎么做？您无需执行任何操作。	严重	VMSA-2024-0006 CVE-2024-22252 CVE-2024-22253 CVE-2024-22254 CVE-2024-22255

说明

严重级别

备注

VMware 披露了 VMSA-2024-0006 中的多个漏洞，影响部署在客户环境中的 ESXi 组件。

对 Google Cloud VMware Engine 的影响

您的私有云已更新，以解决此安全漏洞。

该怎么做？

您无需执行任何操作。

严重

GCP-2024-014

发布日期 ：2024 年 2 月 26 日

说明

说明	严重级别	备注
在 Linux 内核中发现了以下漏洞，提权： CVE-2023-3776 有关说明和更多详情，请参阅以下公告： GKE 安全公告 GKE on VMware 安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告 GKE on Bare Metal 安全公告	高	CVE-2023-3776

严重级别

备注

在 Linux 内核中发现了以下漏洞，提权：

CVE-2023-3776

有关说明和更多详情，请参阅以下公告：

高

CVE-2023-3776

GCP-2024-013

发布日期 ：2024 年 2 月 27 日

说明

说明	严重级别	备注
在 Linux 内核中发现了以下漏洞，提权： CVE-2023-3610 有关说明和更多详情，请参阅以下公告： GKE 安全公告 GKE on VMware 安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告 GKE on Bare Metal 安全公告	高	CVE-2023-3610

严重级别

备注

在 Linux 内核中发现了以下漏洞，提权：

CVE-2023-3610

有关说明和更多详情，请参阅以下公告：

高

CVE-2023-3610

GCP-2024-012

发布日期 ：2024 年 2 月 20 日

说明

说明	严重级别	备注
在 Linux 内核中发现了以下漏洞，提权： CVE-2024-0193 如需了解相关说明和更多详情，请参阅以下公告： GKE 安全公告 GKE on VMware 安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告 GKE on Bare Metal 安全公告	高	CVE-2024-0193

严重级别

备注

在 Linux 内核中发现了以下漏洞，提权：

CVE-2024-0193

如需了解相关说明和更多详情，请参阅以下公告：

高

CVE-2024-0193

GCP-2024-011

发布日期 ：2024 年 2 月 15 日

说明

说明	严重级别	备注
在 Linux 内核中发现了以下漏洞，提权： CVE-2023-6932 如需了解相关说明和更多详情，请参阅以下公告： GKE 安全公告 GKE on VMware 安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告 GKE on Bare Metal 安全公告	高	CVE-2023-6932

严重级别

备注

在 Linux 内核中发现了以下漏洞，提权：

CVE-2023-6932

如需了解相关说明和更多详情，请参阅以下公告：

高

CVE-2023-6932

GCP-2024-010

发布日期 ：2024 年 2 月 14 日

更新日期：2024 年 4 月 17 日

说明

说明	严重级别	备注
2024 年 4 月 17 日更新：添加了 GKE on VMware 的补丁版本。在 Linux 内核中发现了以下漏洞，提升 Container-Optimized OS 和 Ubuntu 节点的权限。 CVE-2023-6931 有关说明和更多详情，请参阅以下公告： GKE 安全公告 GKE on VMware 安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告 GKE on Bare Metal 安全公告	高	CVE-2023-6931

严重级别

备注

2024 年 4 月 17 日更新：添加了 GKE on VMware 的补丁版本。

在 Linux 内核中发现了以下漏洞，提升 Container-Optimized OS 和 Ubuntu 节点的权限。

CVE-2023-6931

有关说明和更多详情，请参阅以下公告：

高

CVE-2023-6931

GCP-2024-009

发布日期：2024 年 2 月 13 日

说明

说明	严重级别	备注
2024 年 2 月 13 日，AMD 披露了两个影响 SEV-SNP 的漏洞采用基于第三代“Milan”的 EPYC CPU以及第四代“Genoa” 禅意核心。这些漏洞可让特权攻击者访问过时的来自访客的数据，也会导致访客完整性丢失。 Google 已对受影响的资产（包括 Google Cloud）应用了修复措施，确保客户受到保护。目前还没有发现存在漏洞被利用的证据或向 Google 举报。该怎么做？客户无需采取任何行动。已对适用于 Google Cloud（包括 Compute Engine）的 Google 服务器舰队。如需了解详情，请参阅 AMD 安全建议 AMD-SN-3007。	中	<ph type="x-smartling-placeholder"></ph> CVE-2023-31346 <ph type="x-smartling-placeholder"></ph> CVE-2023-31347

严重级别

备注

2024 年 2 月 13 日，AMD 披露了两个影响 SEV-SNP 的漏洞采用基于第三代“Milan”的 EPYC CPU以及第四代“Genoa” 禅意核心。这些漏洞可让特权攻击者访问过时的来自访客的数据，也会导致访客完整性丢失。

Google 已对受影响的资产（包括 Google Cloud）应用了修复措施，确保客户受到保护。目前还没有发现存在漏洞被利用的证据或向 Google 举报。

该怎么做？

客户无需采取任何行动。已对适用于 Google Cloud（包括 Compute Engine）的 Google 服务器舰队。

如需了解详情，请参阅 AMD 安全建议 AMD-SN-3007。

中

<ph type="x-smartling-placeholder"></ph> CVE-2023-31346
<ph type="x-smartling-placeholder"></ph> CVE-2023-31347

GCP-2024-008

发布日期：2024 年 2 月 12 日

说明

说明	严重级别	备注
CVE-2023-5528 允许攻击者在 Windows 节点上创建 Pod 和永久性卷，从而在这些节点上实现管理员权限提升。有关说明和更多详情，请参阅以下公告： GKE 安全公告 GKE on VMware 安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告 GKE on Bare Metal 安全公告	高	CVE-2023-5528

严重级别

备注

CVE-2023-5528 允许攻击者在 Windows 节点上创建 Pod 和永久性卷，从而在这些节点上实现管理员权限提升。

有关说明和更多详情，请参阅以下公告：

高

CVE-2023-5528

GCP-2024-007

发布日期：2024 年 2 月 8 日

说明

说明严重级别备注

说明	严重级别	备注
以下 CVE 会让 Cloud Service Mesh 面临可利用的漏洞： CVE-2024-23322：Envoy 在空闲时崩溃，并且每次尝试超时的请求都发生在退避间隔内。 CVE-2024-23323：使用正则表达式配置 URI 模板匹配器时 CPU 使用率过高。 CVE-2024-23324：当代理协议过滤器设置无效的 UTF-8 元数据时，可以绕过外部授权。使用操作系统不支持的地址类型时，Envoy 会崩溃。 CVE-2024-23327：当命令类型为 `LOCAL` 时，代理协议发生崩溃。如需了解相关说明和更多详情，请参阅 Cloud Service Mesh 安全公告。	高	CVE-2024-23322 CVE-2024-23323 CVE-2024-23324 CVE-2024-23325 CVE-2024-23327

以下 CVE 会让 Cloud Service Mesh 面临可利用的漏洞：

CVE-2024-23322：Envoy 在空闲时崩溃，并且每次尝试超时的请求都发生在退避间隔内。
CVE-2024-23323：使用正则表达式配置 URI 模板匹配器时 CPU 使用率过高。
CVE-2024-23324：当代理协议过滤器设置无效的 UTF-8 元数据时，可以绕过外部授权。
使用操作系统不支持的地址类型时，Envoy 会崩溃。
CVE-2024-23327：当命令类型为 LOCAL 时，代理协议发生崩溃。

如需了解相关说明和更多详情，请参阅 Cloud Service Mesh 安全公告。

高

GCP-2024-006

发布日期：2024 年 2 月 5 日

说明

说明	严重级别	备注
当 Apigee API Management 代理连接到目标端点或 <ph type="x-smartling-placeholder"></ph> 目标服务器，则代理不会对目标端点或目标服务器默认提供的证书。如果未使用以下选项之一启用主机名验证，则连接到目标端点或目标服务器的 Apigee 代理可能会面临已获授权的用户发起中间人攻击的风险。如需更多信息请参阅从边缘配置 TLS 到后端（云和私有云）。以下 Apigee 平台上的 Apigee 代理部署会受到影响：适用于公有云的 Apigee Edge 适用于私有云的 Apigee Edge 如需了解相关说明和更多详情，请参阅 Apigee 安全公告。	高

严重级别

备注

当 Apigee API Management 代理连接到目标端点或 <ph type="x-smartling-placeholder"></ph> 目标服务器，则代理不会对目标端点或目标服务器默认提供的证书。如果未使用以下选项之一启用主机名验证，则连接到目标端点或目标服务器的 Apigee 代理可能会面临已获授权的用户发起中间人攻击的风险。如需更多信息请参阅从边缘配置 TLS 到后端（云和私有云）。

以下 Apigee 平台上的 Apigee 代理部署会受到影响：

适用于公有云的 Apigee Edge
适用于私有云的 Apigee Edge

如需了解相关说明和更多详情，请参阅 Apigee 安全公告。

高

GCP-2024-005

发布日期：2024 年 1 月 31 日
更新日期：2024 年 4 月 2 日、2024 年 5 月 6 日

说明

说明严重级别备注

说明	严重级别	备注
2024 年 5 月 6 日更新：添加了 GKE on AWS 和 GKE on Azure 的补丁版本。 2024 年 4 月 2 日更新：添加了 GKE on Bare Metal 的补丁版本 2024 年 3 月 6 日更新：添加了 GKE on VMware 的补丁版本 2024 年 2 月 28 日更新：添加了 Ubuntu 的补丁版本 2024 年 2 月 15 日更新：阐明了 1.25 和 1.26 2024-02-14 更新中的 Ubuntu 补丁版本可能会导致运行状况不佳节点。 2024 年 2 月 14 日更新：添加了 Ubuntu 的补丁版本 2024 年 2 月 6 日更新：添加了 Container-Optimized OS 的补丁版本。在 `runc` 中发现了一个安全漏洞 CVE-2024-21626，有权在 Container-Optimized OS 和 Ubuntu 节点上创建 Pod 的用户也许可以获得对节点文件系统的完整访问权限。有关说明和更多详情，请参阅以下公告： GKE 安全公告 GKE on VMware 安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告 GKE on Bare Metal 安全公告	高	CVE-2024-21626

2024 年 5 月 6 日更新：添加了 GKE on AWS 和 GKE on Azure 的补丁版本。

2024 年 4 月 2 日更新：添加了 GKE on Bare Metal 的补丁版本

2024 年 3 月 6 日更新：添加了 GKE on VMware 的补丁版本

2024 年 2 月 28 日更新：添加了 Ubuntu 的补丁版本

2024 年 2 月 15 日更新：阐明了 1.25 和 1.26 2024-02-14 更新中的 Ubuntu 补丁版本可能会导致运行状况不佳节点。

2024 年 2 月 14 日更新：添加了 Ubuntu 的补丁版本

2024 年 2 月 6 日更新 ：添加了 Container-Optimized OS 的补丁版本。

在 runc 中发现了一个安全漏洞 CVE-2024-21626，有权在 Container-Optimized OS 和 Ubuntu 节点上创建 Pod 的用户也许可以获得对节点文件系统的完整访问权限。

有关说明和更多详情，请参阅以下公告：

高

CVE-2024-21626

GCP-2024-004

发布日期 ：2024 年 1 月 24 日
更新日期：2024 年 2 月 7 日

说明

说明	严重级别	备注
2024 年 2 月 7 日更新：添加了 Ubuntu 的补丁版本。在 Linux 内核中发现了以下漏洞，提升 Container-Optimized OS 和 Ubuntu 节点的权限。 CVE-2023-6817 有关说明和更多详情，请参阅以下公告： GKE 安全公告 GKE on VMware 安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告 GKE on Bare Metal 安全公告	高	CVE-2023-6817

严重级别

备注

2024 年 2 月 7 日更新：添加了 Ubuntu 的补丁版本。

在 Linux 内核中发现了以下漏洞，提升 Container-Optimized OS 和 Ubuntu 节点的权限。

CVE-2023-6817

有关说明和更多详情，请参阅以下公告：

高

CVE-2023-6817

GCP-2024-003

发布日期：2024 年 1 月 19 日
更新日期：2024 年 1 月 26 日

说明

说明严重级别备注

说明	严重级别	备注
2024 年 1 月 26 日更新：阐明了受影响集群的数量以及来减轻影响如需了解详情，请参阅 GCP-2024-003 安全公告。我们已经确定了若干集群，其中用户已向 `system:authenticated` 群组（包括拥有 Google 账号的所有用户）授予了 Kubernetes 权限。我们不建议进行上述类型的绑定，因为这违反了最小权限原则，向大量用户授予了访问权限。请参阅“我该怎么办”下的指南，了解有关如何查找这些类型的绑定的说明。有关说明和更多详情，请参阅以下公告： GKE 安全公告	中

2024 年 1 月 26 日更新：阐明了受影响集群的数量以及来减轻影响如需了解详情，请参阅 GCP-2024-003 安全公告。

我们已经确定了若干集群，其中用户已向 system:authenticated 群组（包括拥有 Google 账号的所有用户）授予了 Kubernetes 权限。我们不建议进行上述类型的绑定，因为这违反了最小权限原则，向大量用户授予了访问权限。请参阅“我该怎么办”下的指南，了解有关如何查找这些类型的绑定的说明。

有关说明和更多详情，请参阅以下公告：

GKE 安全公告

中

GCP-2024-002

发布日期 ：2024-01-17

更新日期：2024 年 2 月 20 日

说明

说明	严重级别	备注
2024 年 2 月 20 日更新：添加了 GKE on VMware 的补丁版本。在 Linux 内核中发现了以下漏洞， Container-Optimized OS 节点上的提权。 CVE-2023-6111 有关说明和更多详情，请参阅以下公告： GKE 安全公告 GKE on VMware 安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告 GKE on Bare Metal 安全公告	高	CVE-2023-6111

严重级别

备注

2024 年 2 月 20 日更新：添加了 GKE on VMware 的补丁版本。

在 Linux 内核中发现了以下漏洞， Container-Optimized OS 节点上的提权。

CVE-2023-6111

有关说明和更多详情，请参阅以下公告：

高

CVE-2023-6111

GCP-2024-001

发布日期：2024 年 1 月 9 日

说明

说明	严重级别	备注
在 TianoCore EDK II UEFI 中发现了多个漏洞固件。此固件用于 Google Compute Engine 虚拟机。如果这些漏洞可让系统绕过安全启动会导致安全启动过程中出现错误的测量结果，包括。该怎么做？无需进行任何操作。Google 已在 Compute Engine 和所有虚拟机均可抵御此漏洞。该补丁解决了哪些漏洞？该补丁缓解了以下漏洞： CVE-2022-36763 CVE-2022-36764 CVE-2022-36765	中	CVE-2022-36763 CVE-2022-36764 CVE-2022-36765

严重级别

备注

在 TianoCore EDK II UEFI 中发现了多个漏洞固件。此固件用于 Google Compute Engine 虚拟机。如果这些漏洞可让系统绕过安全启动会导致安全启动过程中出现错误的测量结果，包括。

该怎么做？

无需进行任何操作。Google 已在 Compute Engine 和所有虚拟机均可抵御此漏洞。

该补丁解决了哪些漏洞？

该补丁缓解了以下漏洞：

CVE-2022-36763
CVE-2022-36764
CVE-2022-36765

中

GCP-2023-051

发布日期 ：2023 年 12 月 28 日

说明

说明	严重级别	备注
在 Linux 内核中发现了以下漏洞，提升 Container-Optimized OS 和 Ubuntu 节点的权限。 CVE-2023-3609 有关说明和更多详情，请参阅以下公告： GKE 安全公告 GKE on VMware 安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告 GKE on Bare Metal 安全公告	高	CVE-2023-3609

严重级别

备注

在 Linux 内核中发现了以下漏洞，提升 Container-Optimized OS 和 Ubuntu 节点的权限。

CVE-2023-3609

有关说明和更多详情，请参阅以下公告：

高

CVE-2023-3609

GCP-2023-050

发布日期 ：2023 年 12 月 27 日

说明

说明	严重级别	备注
在 Linux 内核中发现了以下漏洞，提升 Container-Optimized OS 和 Ubuntu 节点的权限。 CVE-2023-3389 有关说明和更多详情，请参阅以下公告： GKE 安全公告 GKE on VMware 安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告 GKE on Bare Metal 安全公告	高	CVE-2023-3389

严重级别

备注

在 Linux 内核中发现了以下漏洞，提升 Container-Optimized OS 和 Ubuntu 节点的权限。

CVE-2023-3389

有关说明和更多详情，请参阅以下公告：

高

CVE-2023-3389

GCP-2023-049

发布日期 ：2023 年 12 月 20 日

说明

说明	严重级别	备注
在 Linux 内核中发现了以下漏洞，提升 Container-Optimized OS 和 Ubuntu 节点的权限。 CVE-2023-3090 有关说明和更多详情，请参阅以下公告： GKE 安全公告 GKE on VMware 安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告 GKE on Bare Metal 安全公告	高	CVE-2023-3090

严重级别

备注

在 Linux 内核中发现了以下漏洞，提升 Container-Optimized OS 和 Ubuntu 节点的权限。

CVE-2023-3090

有关说明和更多详情，请参阅以下公告：

高

CVE-2023-3090

GCP-2023-048

发布日期 ：2023 年 12 月 15 日

更新日期：2023 年 12 月 21 日

说明

说明	严重级别	备注
2023 年 12 月 21 日更新：阐明 GKE 默认配置中的 Autopilot 集群不会。在 Linux 内核中发现了以下漏洞，提升 Container-Optimized OS 和 Ubuntu 节点的权限。 CVE-2023-3390 有关说明和更多详情，请参阅以下公告： GKE 安全公告 GKE on VMware 安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告 GKE on Bare Metal 安全公告	高	CVE-2023-3390

严重级别

备注

2023 年 12 月 21 日更新：阐明 GKE 默认配置中的 Autopilot 集群不会。

在 Linux 内核中发现了以下漏洞，提升 Container-Optimized OS 和 Ubuntu 节点的权限。

CVE-2023-3390

有关说明和更多详情，请参阅以下公告：

高

CVE-2023-3390

GCP-2023-047

发布日期：2023 年 12 月 14 日

说明

说明	严重级别	备注
攻击者已破坏 Fluent Bit 日志记录容器可以将这种访问权限与管理员所需的高权限结合起来， Cloud Service Mesh（在已启用此网格的集群上）进行上报权限有关说明和更多详情，请参阅以下公告： GKE 安全公告 GKE on VMware 安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告 GKE on Bare Metal 安全公告	中

严重级别

备注

攻击者已破坏 Fluent Bit 日志记录容器可以将这种访问权限与管理员所需的高权限结合起来， Cloud Service Mesh（在已启用此网格的集群上）进行上报权限

有关说明和更多详情，请参阅以下公告：

中

GCP-2023-046

发布日期 ：2023 年 11 月 22 日
更新日期：2024 年 3 月 4 日

说明

说明	严重级别	备注
2024 年 3 月 4 日更新：添加了适用于 GKE on VMware 的 GKE 版本。 2024-01-22 更新：添加了 Ubuntu 补丁版本在 Linux 内核中发现了以下漏洞，提升 Container-Optimized OS 和 Ubuntu 节点的权限。 CVE-2023-5717 有关说明和更多详情，请参阅以下公告： GKE 安全公告 GKE on VMware 安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告 GKE on Bare Metal 安全公告	高	CVE-2023-5717

严重级别

备注

2024 年 3 月 4 日更新 ：添加了适用于 GKE on VMware 的 GKE 版本。

2024-01-22 更新：添加了 Ubuntu 补丁版本

在 Linux 内核中发现了以下漏洞，提升 Container-Optimized OS 和 Ubuntu 节点的权限。

CVE-2023-5717

有关说明和更多详情，请参阅以下公告：

高

CVE-2023-5717

GCP-2023-045

发布日期 ：2023 年 11 月 20 日

更新日期：2023 年 12 月 21 日

说明

说明	严重级别	备注
2023 年 12 月 21 日更新：阐明 GKE 默认配置中的 Autopilot 集群不会。在 Linux 内核中发现了以下漏洞，提升 Container-Optimized OS 和 Ubuntu 节点的权限。 CVE-2023-5197 有关说明和更多详情，请参阅以下公告： GKE 安全公告 GKE on VMware 安全公告 GKE on AWS 安全公告 GKE on Azure 安全公告 Google Distributed Cloud Virtual for Bare Metal 安全公告	高	CVE-2023-5197

严重级别

备注

2023 年 12 月 21 日更新：阐明 GKE 默认配置中的 Autopilot 集群不会。

在 Linux 内核中发现了以下漏洞，提升 Container-Optimized OS 和 Ubuntu 节点的权限。

CVE-2023-5197

有关说明和更多详情，请参阅以下公告：

高

CVE-2023-5197

GCP-2023-044

发布日期：2023 年 11 月 15 日

说明

严重级别

备注

11 月 14 日，AMD 披露了多个漏洞，这些漏洞会影响 AMD 服务器 CPU。具体而言，这些漏洞会影响 EPYC 服务器 CPU 充分利用第二代 Zen Core 的《罗马》第 3 代“Milan”和第 4 代“Genoa”。

Google 已对受影响的资产（包括 Google Cloud）采取了修复措施，以确保客户得到保护。目前没有漏洞被利用的证据或向 Google 举报。

该怎么做？

客户无需采取任何行动。

修复程序已应用于 Google 的 Google 服务器群包括 Google Compute Engine。

解决了哪些漏洞？

该补丁缓解了以下漏洞：

CVE-2022-23820
CVE-2021-46774
CVE-2023-20533
CVE-2023-20519
CVE-2023-20592
CVE-2023-20566
CVE-2023-20521
CVE-2021-46766
CVE-2022-23830
CVE-2023-20526
CVE-2021-26345

如需了解更多信息，请参阅 AMD 的安全建议 AMD-SN-3005：“AMD INVD Instruction 安全公告”（AMD INVD 说明安全公告）发布为 CacheWarp 和 AMD-SN-3002：“AMD 服务器漏洞 - 11 月 2023 年”。

中

GCP-2023-043

发布日期：2023 年 11 月 14 日

说明

严重级别

备注

Intel 披露了部分处理器中的 CPU 漏洞。Google 已采取措施减少其服务器群规模，包括用于 Google Cloud 的 Google Compute Engine 和 ChromeOS 设备，以确保客户受到保护。

漏洞详情：

CVE-2023-23583

该怎么做？

客户无需采取任何行动。

Intel 针对受影响处理器提供的缓解措施已应用到 Google 服务器群，包括 Google Compute Engine for Google Cloud。

目前，Google Distributed Cloud Edge 需要 OEM 进行更新。更新发布后，Google 将对此产品进行修复，并相应地更新本公告。

搭载受影响处理器的 Chrome 操作系统设备会在版本 119、118 和 114 (LTS) 中自动收到修复程序。

解决了哪些漏洞？

CVE-2023-23583。如需了解详情，请参阅 Intel 安全建议 INTEL-SA-00950。

高

CVE-2023-23583

GCP-2023-042

发布日期 ：2023 年 11 月 13 日
更新日期：2023 年 11 月 15 日

说明

严重级别

备注

2023 年 11 月 15 日更新：明确指出只有需要将次要版本升级到 GKE

在 Linux 内核中发现了以下漏洞，提升 Container-Optimized OS 和 Ubuntu 节点的权限。

CVE-2023-4147

有关说明和更多详情，请参阅以下公告：

高

CVE-2023-4147

GCP-2023-041

发布日期 ：2023-11-08

更新日期：2023 年 11 月 21 日、2023 年 12 月 5 日、2023 年 12 月 21 日

说明

严重级别

备注

2023 年 12 月 21 日更新：阐明 GKE 默认配置中的 Autopilot 集群不会。

2023 年 12 月 5 日更新：为 Container-Optimized OS 节点池添加了其他 GKE 版本。

2023 年 11 月 21 日更新：明确指出，需要将次要版本升级到 GKE

在 Linux 内核中发现了以下漏洞，提升 Container-Optimized OS 和 Ubuntu 节点的权限。

CVE-2023-4004

有关说明和更多详情，请参阅以下公告：

高

CVE-2023-4004

GCP-2023-040

发布日期 ：2023-11-06

更新日期：2023 年 11 月 21 日、2023 年 12 月 21 日

说明

严重级别

备注

2023 年 12 月 21 日更新：阐明 GKE 默认配置中的 Autopilot 集群不会。

2023 年 11 月 21 日更新：明确指出，需要将次要版本升级到 GKE

在 Linux 内核中发现了以下漏洞，提升 Container-Optimized OS 和 Ubuntu 节点的权限。

CVE-2023-4921

有关说明和更多详情，请参阅以下公告：

高

CVE-2023-4921

GCP-2023-039

发布日期：2023 年 11 月 6 日

更新日期：2023-11-21、2023-11-16

说明

严重级别

备注

2023 年 11 月 21 日更新：明确指出，需要将次要版本升级到 GKE

2023 年 11 月 16 日更新：与此安全公告相关的漏洞为 CVE-2023-4622。在上一版本的安全公告中，CVE-2023-4623 被错误地列为漏洞。

在 Linux 内核中发现了以下漏洞，提升 Container-Optimized OS 和 Ubuntu 节点的权限。

CVE-2023-4623

有关说明和更多详情，请参阅以下公告：

高

CVE-2023-4622

GCP-2023-038

发布日期 ：2023-11-06

更新日期：2023 年 11 月 21 日、2023 年 12 月 21 日

说明

严重级别

备注

2023 年 12 月 21 日更新：阐明 GKE 默认配置中的 Autopilot 集群不会。

2023 年 11 月 21 日更新：明确指出，需要将次要版本升级到 GKE

在 Linux 内核中发现了以下漏洞，提升 Container-Optimized OS 和 Ubuntu 节点的权限。

CVE-2023-4623

有关说明和更多详情，请参阅以下公告：

高

CVE-2023-4623

GCP-2023-037

发布日期：2023 年 11 月 6 日

更新日期：2023 年 11 月 21 日、2023 年 12 月 21 日

说明

严重级别

备注

2023 年 12 月 21 日更新：阐明 GKE 默认配置中的 Autopilot 集群不会。

2023 年 11 月 21 日更新：明确指出，需要将次要版本升级到 GKE

在 Linux 内核中发现了以下漏洞，提升 Container-Optimized OS 和 Ubuntu 节点的权限。

CVE-2023-4015

有关说明和更多详情，请参阅以下公告：

高

CVE-2023-4015

GCP-2023-036

发布时间：2023-10-30

说明

严重级别

备注

Deep Learning VM Image 是一组预先打包的虚拟机映像，具有深度学习框架，可立即运行。最近，在“libwebp”库的“ReadHuffmanCodes()”函数中发现了越界写入漏洞。这可能会影响使用此库的映像。

Google Cloud 会持续扫描其公开发布的映像并更新软件包，以确保修补后的发行版包含在可供客户使用的最新版本中。Deep Learning VM Image 已更新，可确保最新的虚拟机映像包含修补后的发行版。采用最新虚拟机映像的客户不会受到此漏洞的影响。

该怎么做？

使用已发布的虚拟机映像的 Google Cloud 客户应确保其采用最新的映像，并确保其环境已根据责任共担模型完全更新到最新版本。

CVE-2023-4863 可能会被攻击者用来执行任意代码。116.0.5845.187 之前的 Google Chrome 以及 1.3.2 之前的“libwebp”中发现了此漏洞，它列于 CVE-2023-4863 下。

高

CVE-2023-4863

GCP-2023-035

发布日期：2023 年 10 月 26 日

更新日期：2023 年 11 月 21 日、2023 年 12 月 21 日

说明

严重级别

备注

2023 年 12 月 21 日更新：阐明 GKE 默认配置中的 Autopilot 集群不会。

2023 年 11 月 21 日更新：明确指出，需要将次要版本升级到 GKE

在 Linux 内核中发现了以下漏洞，提升 Container-Optimized OS 和 Ubuntu 节点的权限。

CVE-2023-4206
CVE-2023-4207
CVE-2023-4208
CVE-2023-4128

有关说明和更多详情，请参阅以下公告：

高

CVE-2023-4206 CVE-2023-4207、CVE-2023-4208、CVE-2023-4128

GCP-2023-034

发布日期：2023-10-25

更新日期：2023-10-27

说明

严重级别

Notes

VMware 在 VMSA-2023-0023 中披露了多个影响客户环境中部署的 vCenter 组件的漏洞。

Cloud Customer Care 影响

此漏洞可通过访问特定端口被利用 vCenter Server 中的实例。这些端口不会向公共互联网公开。
如果您的 vCenter 端口 2012/tcp、2014/tcp 和 2020/tcp 不受信任的系统可以访问漏洞
Google 已屏蔽 vCenter Server 上易受攻击的端口，以防止此漏洞任何潜在的攻击。
此外，Google 将确保 vCenter Server 未来的所有部署都不会受到此漏洞的影响。
在公告发布时，VMware 并不知道任何“实际的”漏洞利用行为。如需了解详情，请参阅 VMware 文档。

该怎么做？

目前不需要采取进一步的措施。

严重

CVE-2023-34048,CVE-2023-34056

GCP-2023-033

发布日期：2023 年 10 月 24 日

更新日期：2023 年 11 月 21 日、2023 年 12 月 21 日

说明

严重级别

备注

2023 年 12 月 21 日更新：阐明 GKE 默认配置中的 Autopilot 集群不会 GKE Sandbox 工作负载不受影响。

2023 年 11 月 21 日更新：明确指出，需要将次要版本升级到 GKE

在 Linux 内核中发现了以下漏洞，提升 Container-Optimized OS 和 Ubuntu 节点的权限。

CVE-2023-3777

如需了解相关说明和更多详情，请参阅以下公告：

高

CVE-2023-3777

GCP-2023-032

发布日期：2023-10-13

更新日期：2023-11-03

说明

严重级别

备注

2023 年 11 月 3 日更新：添加了 Apigee Edge for Private Cloud 的已知问题。

最近在 Google Cloud 中发现了 HTTP/2 协议的多种实现方式 (CVE-2023-44487)、包括 Apigee Ingress (Cloud Service Mesh) 服务， Apigee X 和 Apigee Hybrid。该漏洞可能会导致 Apigee API 管理功能遭受 DoS 攻击。

如需相关说明和更多详细信息，请参阅 <ph type="x-smartling-placeholder"></ph> Apigee 安全公告。

高

CVE-2023-44487

GCP-2023-031

发布日期：2023-10-10

说明

说明	严重级别	备注
在使用 HTTP/2 协议。有关说明和更多详情，请参阅 Cloud Service Mesh 安全公告。	高	CVE-2023-44487

GCP-2023-030

发布日期：2023-10-10

更新日期：2024 年 3 月 20 日

说明

严重级别

备注

2024 年 3 月 20 日更新：添加了针对 GKE on AWS 和 GKE on Azure，包含针对 CVE-2023-44487 的最新补丁。

2024 年 2 月 14 日更新：添加了针对 GKE on VMware

2023-11-09 更新：添加了 CVE-2023-39325。已更新带有 CVE-2023-44487 最新补丁的 GKE 版本和 CVE-2023-39325。

最近在 HTTP/2 协议 (CVE-2023-44487) 的多种实现（包括 Kubernetes 使用的 golang HTTP 服务器）中发现了一个拒绝服务攻击 (DoS) 漏洞。该漏洞可能会导致 Google Kubernetes Engine (GKE) 控制平面遭受 DoS 攻击。配置了授权网络的 GKE 集群会通过限制网络访问权限加以保护，但所有其他集群都会受到影响。

如需了解相关说明和更多详情，请参阅以下公告：

高

CVE-2023-44487、 CVE-2023-39325

GCP-2023-029

发布日期：2023-10-03

说明

说明严重级别备注

TorchServe 用于托管 PyTorch 机器学习模型以进行在线预测。Vertex AI 提供依赖于 TorchServe 的预构建 PyTorch 模型部署容器。最近在 TorchServe 中发现了漏洞，如果其模型管理 API 公开，攻击者可以利用这些漏洞控制 TorchServe 部署。将 PyTorch 模型部署到 Vertex AI 在线预测的客户不受这些漏洞的影响，因为 Vertex AI 不会公开 TorchServe 的模型管理 API。在 Vertex AI 之外使用 TorchServe 的客户应采取预防措施来确保其部署得到安全设置。

该怎么做？

使用 Vertex AI 的预构建 PyTorch 服务容器并采用已部署模型的 Vertex AI 客户不需要执行任何操作来修复漏洞，因为 Vertex AI 的部署不会向互联网公开 TorchServe 的管理服务器。

在其他环境中使用预构建 PyTorch 容器或者使用定制或第三方分发 TorchServe 的客户应执行以下操作：

确保 TorchServe 模型管理 API 未向互联网公开。只有确保将 management_address 绑定到 127.0.0.1，才能将模型管理 API 限制为本地访问。
使用 allowed_urls 设置可确保模型只能从预期来源加载。
请尽快将 TorchServe 升级到 0.8.2 版（其中包含此问题的缓解措施）。为保险起见，Vertex AI 将于 2023 年 10 月 13 日发布已修复的预构建容器。

解决了哪些漏洞？

在大多数 TorchServe Docker 映像中（包括由 Vertex AI 发布的映像），TorchServe 的管理 API 都是默认绑定到 0.0.0.0，使其可被外部请求访问。在 TorchServe 0.8.2 中，管理 API 的默认 IP 地址更改为 127.0.0.1，从而缓解了此问题。

CVE-2023-43654 和 CVE-2022-1471 允许有权访问管理 API 的用户从任意来源加载模型并远程执行代码。TorchServe 0.8.2 中添加了这两个问题的缓解措施：移除远程代码执行路径；如果使用 allowed_urls 的默认值，则会发出警告。

高

CVE-2023-43654, CVE-2022-1471

GCP-2023-028

发布日期：2023 年 9 月 19 日

更新日期： 2024 年 5 月 29 日

说明

严重级别

备注

2024 年 5 月 29 日更新：新 Feed 不再使用但对现有 Feed 仍然有效，以避免服务中断。对旧 Feed 中的来源所做的更改会被禁止防止共享服务账号遭到滥用。客户可以继续使用他们的旧 Feed，只要不更改来源即可。

客户可以将 Google Security Operations 配置为使用注入 Feed 从客户拥有的 Cloud Storage 存储分区中注入数据。直到最近，Google Security Operations 都提供共享服务账号，客户使用此账号授予对存储桶的权限。这时，客户的 Google Security Operations 实例可配置为从另一客户的 Cloud Storage 存储桶中注入数据。执行影响分析后，我们发现当前或之前没有利用此漏洞。2023 年 9 月 19 日之前的所有版本的 Google Security Operations 中都存在此漏洞。

该怎么做？

截至 2023 年 9 月 19 日，Google Security Operations 已进行更新，以解决此漏洞。客户无需采取任何行动。

解决了哪些漏洞？

之前，Google Security Operations 提供了一个共享服务账号，客户可使用此账号向存储桶授予权限。由于不同的客户向同一个 Google Security Operations 服务账号授予了其存储桶的权限，因此系统中存在利用漏洞，当创建或修改 Feed 时，该漏洞允许某个客户的 Feed 访问其他客户的存储桶。此利用途径要求知道存储桶 URI。现在，在创建或修改 Feed 的过程中，Google Security Operations 会为每个客户使用唯一的服务账号。

高

GCP-2023-027

发布日期： 2023-09-11

说明

严重级别

备注

VMware vCenter Server 更新解决了多个内存损坏漏洞（CVE-2023-20892、CVE-2023-20893、CVE-2023-20894、CVE-2023-20895、CVE-2023-20896）

Customer Care 带来的影响

VMware vCenter Server (vCenter Server) 和 VMware Cloud Foundation (Cloud Foundation)。

该怎么做？

客户不会受到影响，无需执行任何操作。

中

CVE-2023-20893

GCP-2023-026

发布日期：2023 年 9 月 6 日

说明

严重级别

备注

在 Kubernetes 中发现了三个漏洞（CVE-2023-3676、CVE-2023-3955、CVE-2023-3893），利用这些漏洞，可以在 Windows 节点上创建 Pod 的用户也许能够升级到这些节点上的管理员权限。以下漏洞会影响 Windows 版本的 Kubelet 和 Kubernetes CSI 代理。

有关说明和更多详情，请参阅以下公告：

高

CVE-2023-3676、 CVE-2023-3955、 CVE-2023-3893

GCP-2023-025

发布日期： 2023-08-08

说明

严重级别

备注

Intel 最近宣布了 Intel Security Advisory INTEL-SA-00828，这会影响部分处理器系列。我们鼓励您根据建议评估风险。

对 Google Cloud VMware Engine 的影响

我们的舰队会使用受影响的处理器系列。在我们的部署中，整个服务器专用于一个客户。因此，我们的部署模型不会对此漏洞的评估增添任何风险。

我们正在与合作伙伴合作，以获取必要的补丁，还将在未来几周内使用标准升级流程在整个舰队中优先部署这些补丁。

该怎么做？

您无需执行任何操作，我们正在努力升级所有受影响的系统。

高

CVE-2022-40982

GCP-2023-024

发布日期：2023 年 8 月 8 日

更新日期：2023 年 8 月 10 日、2024 年 6 月 4 日

说明

严重级别

备注

2024 年 6 月 4 日更新：以下缺失的商品现已更新，以修复此漏洞：

Google Distributed Cloud Hosted
Google Distributed Cloud Edge

2023 年 8 月 10 日更新：添加了 ChromeOS LTS 版本号。

Intel 披露了部分处理器中存在的漏洞 (CVE-2022-40982)。 Google 已采取措施减少其服务器群规模，包括 Google 来确保客户受到保护。

漏洞详情：

CVE-2022-40982（Intel IPU 2023.3、“GDS”又称为“服务中断”）

该怎么做？

客户无需采取任何行动。

所有可用的补丁都已应用于 Google 服务器用于 Google Cloud 的舰队，包括 Google Compute Engine。

目前，以下产品需要合作伙伴和供应商。

Google Cloud VMware Engine
Google Distributed Cloud Hosted
Google Distributed Cloud Edge
Google Cloud 裸金属解决方案
演进的数据包核心

完成这些补丁后，Google 将对这些产品进行修正，对此公告进行相应的更新。

自动收到 Google Chromebook 和 ChromeOS Flex 客户的通知 Intel 在稳定版 (115)、LTS (108)、Beta 版 (116)、和 LTC (114)。Chromebook 和 ChromeOS Flex 客户被固定到较低版本应考虑取消固定并移至稳定版或 LTS 以确保能够获得此漏洞和其他漏洞修复。

解决了哪些漏洞？

CVE-2022-40982 - 如需了解详情，请参阅 Intel 安全建议 INTEL-SA-00828。

高

CVE-2022-40982

GCP-2023-023

发布日期：2023 年 8 月 8 日

说明

严重级别

备注

AMD 披露了部分处理器中存在的漏洞 (CVE-2023-20569)。 Google 已采取措施减少其服务器群规模，包括 Google 来确保客户受到保护。

漏洞详情：

CVE-2023-20569（AMD SB-7005，也称为“Inception”）

该怎么做？

在以下情况下，Compute Engine 虚拟机的用户应考虑操作系统提供的缓解措施使用实例内不受信任的代码执行。我们建议客户与操作系统供应商联系，以获取更具体的指导。

修复程序已应用于 Google 的 Google 服务器群包括 Google Compute Engine。

解决了哪些漏洞？

CVE-2023-20569 - 如需了解详情，请参阅 AMD SB-7005。

中

CVE-2023-20569

GCP-2023-022

发布日期 ：2023 年 8 月 3 日

说明

严重级别

备注

Google 在 gRPC C++ 1.57 版之前的 gRPC C++ 实现代码中发现了一个漏洞。拒绝服务攻击漏洞。这些漏洞已在 1.53.2、1.54.3、1.55.2、1.56.2 和 1.57 版本中得到修复。

该怎么做？

确保您使用的是以下软件包的最新版本：

gRPC（C++、Python、Ruby）版本 1.53、1.54、1.55 和 1.56 需要升级到以下补丁版本：

1.53.2
1.54.3
1.55.2
1.56.2

gRPC（C++、Python、Ruby）版本 1.52 及更早版本需要升级到某个已获批准的补丁版本。例如，1.53.2、1.54.3、1.53.4 等。

解决了哪些漏洞？

这些补丁解决了以下漏洞：

gRPC C++ 实现代码中的拒绝服务攻击漏洞：特别设计的请求可能导致代理和后端之间的连接终止。

高

CVE-2023-33953

GCP-2023-021

更新日期：2023-07-26

Published:2023-07-25

说明

说明严重级别备注

以下 CVE 会让 Cloud Service Mesh 面临可利用的漏洞：

CVE-2023-35941：恶意客户端能够构建具有永久有效的凭据。例如， HMAC 载荷在 OAuth2 过滤器的 HMAC 检查中始终有效。
CVE-2023-35942：gRPC 访问日志记录器使用监听器的全局调用监听器时，作用域可能会导致使用释放后使用崩溃。电量耗尽这可以由具有相同名称的 LDS 更新触发， gRPC 访问日志配置。
CVE-2023-35943：如果 origin 标头配置为已通过 request_headers_to_remove: origin 和 CORS 移除过滤器将 segfault 并使 Envoy 崩溃。
CVE-2023-35944：攻击者可以发送混合架构请求来绕过系统 Envoy 中的 scheme 检查。例如，如果请求同时包含架构 HTTP 发送到 OAuth2 过滤器，则会导致针对 HTTP 进行完全匹配检查，并通知远程端点协议为 HTTPS，因此可能会绕过 OAuth2 检查 HTTP 请求

有关说明和更多详情，请参阅 Cloud Service Mesh 安全公告。

高

GCP-2023-020

更新日期：2023-07-26

发布日期 ：2023 年 7 月 24 日

说明

严重级别

备注

AMD 已发布微代码更新，旨在解决硬件安全问题漏洞 (CVE-2023-20593)。Google 已经执行了必要的修复，服务器群（包括 Google Cloud Platform测试表明，系统性能。

该怎么做？

发布日期：2023 年 6 月 26 日

更新日期：2023 年 7 月 11 日

说明

严重级别

严重级别

备注

2023 年 8 月 11 日更新 ：添加了 GKE on VMware、GKE on AWS、GKE on Azure 和 Google Distributed Cloud Virtual for Bare Metal 的补丁版本。

在 Kubernetes 中发现了两个新的安全问题：使用临时容器以及 ImagePolicyWebhook (CVE-2023-2727) 或 ServiceAccount 准入插件 (CVE-2023-2728) 时，用户可能能够启动绕过政策限制的容器。

有关说明和更多详情，请参阅以下公告：

中

CVE-2023-2727、CVE-2023-2728

GCP-2023-013

发布日期：2023 年 6 月 8 日

说明

说明严重级别备注

在项目中启用 Cloud Build API 时 Cloud Build 会自动创建默认服务账号让它来代表您执行构建此 Cloud Build 服务账号之前有 logging.privateLogEntries.list IAM 权限，该权限允许构建访问默认列出私密日志。此权限现已从 Cloud Build 服务账号最小权限原则

有关说明和更多详情，请参阅 Cloud Build 安全公告。

低

GCP-2023-010

发布日期：2023 年 6 月 7 日

说明

严重级别

备注

Google 在 gRPC C ++ 实现代码中发现了三个新漏洞。这些漏洞很快就会公开发布，具体代码为 CVE-2023-1428、CVE-2023-32731 和 CVE-2023-32732。

4 月，我们在 1.53 和 1.54 版本中发现了两个漏洞。其中一个是 gRPC C++ 实现代码中存在的拒绝服务攻击漏洞，另一个是远程数据渗漏漏洞。这些漏洞已在 1.53.1、1.54.2 和更高版本中得到修复。

之前在 3 月份，我们的内部团队在执行常规模糊测试活动时，在 gRPC 的 C++ 实现代码中发现了一个拒绝服务攻击漏洞。该漏洞在 gRPC 1.52 版本中发现，并在 1.52.2 和 1.53 版本中得到修复。

该怎么做？

确保您使用的是以下软件包的最新版本：

grpc（C++、Python、Ruby）版本 1.52、1.53 和 1.54 需要升级到以下补丁版本：

1.52.2
1.53.1
1.54.2

grpc（C++、Python、Ruby）版本 1.51 及更早版本不受影响，因此使用这些版本的用户无法执行任何操作

这些补丁修复了哪些漏洞？

这些补丁解决了以下漏洞：

1.53.1、1.54.2 和更高版本解决了以下漏洞：gRPC C++ 实现代码中的拒绝服务攻击漏洞。特别设计的请求可能导致代理和后端之间的连接终止。远程数据渗漏漏洞：由于标头大小限制，HPACK 表中的去同步化处理可能导致代理后端从连接到代理的其他客户端泄露标头数据。
1.52.2、1.53 和更高版本解决了以下漏洞：gRPC C++ 实现代码中存在的拒绝服务攻击漏洞。解析一些特别形成的请求可能会导致崩溃，进而影响服务器。

有关说明和更多详情，请参阅 Cloud SQL 安全公告。

高

GCP-2023-005

发布日期：2023 年 5 月 18 日

更新日期：2023 年 6 月 6 日

说明

严重级别

备注

2023-06-06 更新：新的 GKE 版本已更新，添加了补丁 CVE-2023-1281 和 CVE-2023-1829 的最新 Ubuntu 版本。

在 Linux 内核中发现了两个新漏洞（CVE-2023-1281、CVE-2023-1829），这些漏洞可能会导致节点上的权限提升为 root。

有关说明和更多详情，请参阅以下公告：

高

CVE-2023-1281 CVE-2023-1829

GCP-2023-004

发布日期：2023 年 4 月 26 日

说明

严重级别

备注

两个漏洞（CVE-2023-1017）和 CVE-2023-1018）在可信平台模块 (TPM) 2.0 中发现。

技术精湛的攻击者可以利用这些漏洞利用某些 Compute Engine 上的 2 字节出界读/写攻击虚拟机

有关说明和更多详情，请参阅 Compute Engine 安全公告。

中

GCP-2023-003

发布日期：2023 年 4 月 11 日

更新日期：2023 年 12 月 21 日

说明

严重级别

备注

2023 年 12 月 21 日更新：阐明 GKE 默认配置中的 Autopilot 集群不会。

在 Linux 内核中发现了两个新漏洞：CVE-2023-0240 和 CVE-2023-23586，这些漏洞可让无特权的用户提升权限。

有关说明和更多详情，请参阅以下公告：

高

CVE-2023-0240、CVE-2023-23586

GCP-2023-002

说明

严重级别

备注

以下 CVE 会让 Cloud Service Mesh 面临可利用的漏洞：

CVE-2023-27496：如果在启用 OAuth 过滤器的情况下运行 Envoy，则恶意操作者可能会构建请求，导致 Envoy 崩溃，进而导致拒绝服务攻击。
CVE-2023-27488：在使用 ext_authz 时，攻击者可以利用此漏洞绕过身份验证检查。
CVE-2023-27493：Envoy 配置还必须包含一个选项，用于添加使用请求中的输入（例如对等证书 SAN）生成的请求标头。
CVE-2023-27492：攻击者可以为启用了 Lua 过滤器的路由发送大型请求正文并触发崩溃。
CVE-2023-27491：攻击者可以发送特制的 HTTP/2 或 HTTP/3 请求，以触发 HTTP/1 上游服务上的解析错误。
CVE-2023-27487：标头“x-envoy-original-path”应该是内部标头，但当请求处理来自不受信任的客户端时，Envoy 不会从请求中移除该标头。

如需了解相关说明和更多详情，请参阅 Cloud Service Mesh 安全公告。

高

GCP-2023-001

发布日期：2023 年 3 月 1 日、2023 年 12 月 21 日

说明

严重级别

备注

发布日期：2022 年 11 月 9 日

更新日期：2023 年 1 月 19 日

说明

严重级别

备注

2023 年 1 月 19 日更新：添加了 GKE 1.21.14-gke.14100 版本可用。

2022 年 12 月 16 日更新：添加了针对 GKE 和 GKE on VMware

Linux 内核中发现了两个新漏洞（CVE-2022-2585 和 CVE-2022-2588），这些漏洞可能会导致容器被完全破解到节点上。

如需了解相关说明和更多详情，请参阅以下安全公告：

高

GCP-2022-023

发布日期：2022 年 11 月 4 日

说明

更新日期：2022 年 10 月 12 日

说明

说明严重级别备注

Istio 控制平面 istiod 容易受到以下攻击：请求处理错误，从而允许发送会导致控制平面崩溃的消息当集群的验证 webhook 被公开公开时。这个端点通过 TLS 端口 15017 提供，但不需要身份验证。

如需了解相关说明和更多详情，请参阅 Cloud Service Mesh 安全公告。

高

CVE-2022-39278

GCP-2022-019

发布日期：2022 年 9 月 22 日

说明

说明严重级别备注

以下位置中存在消息解析和内存管理漏洞： ProtocolBuffer 的 C++ 和 Python 实现可以在外部内存 (OOM) 故障。这个可能会导致使用库。

该怎么做？

确保您使用的是以下软件的最新版本软件包：

protobuf-cpp（3.18.3、3.19.5、3.20.2、3.21.6）
protobuf-python（3.18.3、3.19.5、3.20.2、4.21.6）

该补丁解决了哪些漏洞？

该补丁程序解决了以下漏洞：

一个特殊构造的简短消息，会导致正在运行的服务来分配大量 RAM。请求体积较小意味着我们可以很容易地利用漏洞资源。使用不受信任的 protobuf 的 C++ 和 Python 系统如果它们包含 MessageSet 对象。

中

CVE-2022-1941

GCP-2022-018

发布日期：2022 年 8 月 1 日

备注

在 OCI 映像卷规范中，containerd 在处理路径遍历时发现了安全漏洞 CVE-2022-23648。通过具有精心设计的映像配置通过 containerd 的 CRI 实现启动的容器可以获得对主机上任意文件和目录的完全读取权限。此漏洞可能会绕过对容器设置（包括 Kubernetes Pod 安全政策）执行的任何基于政策的违规处置。

如需了解相关说明和更多详细信息，请参阅以下安全公告：

中

CVE-2022-23648

GCP-2022-012

发布日期：2022 年 4 月 7 日
更新日期：2022 年 11 月 22 日

说明

严重级别

备注

2022 年 11 月 22 日更新：对于标准模式和 Autopilot 模式下的 GKE 集群，使用 GKE Sandbox 的工作负载不会受到影响。

我们已在 Linux 内核 5.8 版及更高版本中发现安全漏洞 CVE-2022-0847，此漏洞可能会将容器权限升级为 root。此漏洞会影响以下产品：

使用 Container-Optimized OS 映像的 GKE 节点池版本 1.22 及更高版本（Container-Optimized OS 93 及更高版本）
适用于 Container-Optimized OS 映像的 GKE on VMware v1.10
GKE on AWS v1.21 和 GKE on AWS（上一代）v1.19、v1.20、v1.21（使用 Ubuntu）
使用 Ubuntu 的 GKE on Azure v1.21 托管式集群

如需了解相关说明和更多详细信息，请参阅以下安全公告：

高

CVE-2022-0847

GCP-2022-011

发布日期：2022 年 3 月 22 日
更新日期： 2022 年 8 月 11 日

说明

严重程度

2022 年 8 月 11 日更新：增加了有关并发多线程 (SMT) 配置的更多信息。SMT 旨在已停用，但在列出的版本中处于启用状态。

如果您为沙盒化节点池手动启用 SMT，则尽管存在此问题，SMT 仍将保持手动启用状态。

GKE Sandbox 映像上的并发多线程 (SMT)（也称为超线程）配置错误。配置错误可能会使节点面临微通道数据抽样 (MDS) 等边信道攻击（如需更多背景信息，请参阅 GKE Sandbox 文档）。我们不建议您使用以下受影响的版本：

1.22.4-gke.1501
1.22.6-gke.300
1.23.2-gke.300
1.23.3-gke.600

如需了解相关说明和更多详情，请参阅 GKE 安全公告。

中

GCP-2022-010

说明

严重级别

备注

以下 Istio CVE 将 Cloud Service Mesh 公开给远程可利用的漏洞：

CVE-2022-24726：Istio 控制平面“istiod”存在漏洞请求处理错误，从而使恶意攻击者能够会发送一条特制消息，该消息会导致控制平面在公开集群的验证 webhook 时崩溃公开。此端点通过 TLS 端口 15017 提供，但不需要攻击者进行任何身份验证。

如需了解相关说明和更多详情，请参阅以下安全公告：

Cloud Service Mesh 安全公告。

高

CVE-2022-24726

GCP-2022-009

发布日期：2022 年 3 月 1 日

说明

严重程度

用于访问 GKE Autopilot 集群上的节点虚拟机的一些意外路径可能已被用来提升集群中的权限。这些问题已得到解决，无需采取进一步措施。这些修复解决了通过漏洞奖励计划报告的问题。

如需了解相关说明和更多详情，请参阅 GKE 安全公告

低

GCP-2022-008

发布日期：2022 年 2 月 23 日
更新日期： 2022 年 4 月 28 日

说明

严重级别

备注

2022 年 4 月 28 日更新： 添加了用于修复这些问题的 GKE on VMware 版本漏洞有关详情，请参阅 GKE on VMware 安全公告。

Envoy 项目最近发现了一组漏洞。全部下列问题已在 Envoy 版本 1.21.1 中修复。

CVE-2022-23606: 当通过集群发现服务 (CDS) 删除集群时，所有集群都处于空闲状态与该集群中的端点建立的连接会断开。答 Envoy 1.19 版中错误地将递归引入到断开空闲连接，可能会导致堆栈耗尽，在集群有大量空闲的情况下异常终止进程连接。
CVE-2022-21655: Envoy 的内部重定向代码假定存在路由条目。当内部重定向到具有直接响应条目且没有路由条目，则会导致对 null 指针进行解引用并崩溃。
CVE-2021-43826: 当 Envoy 配置为使用使用上游隧道的 tcp_proxy 时（通过 HTTP）和下行 TLS 终结，则 Envoy 将崩溃，下游客户端在 TLS 握手期间断开连接，而上游客户端在 TLS 握手期间断开连接 HTTP 流仍在建立中。下游断开连接的操作可以是由客户端或服务器发起客户端可以断开任何连接原因。例如，如果服务器没有 TLS 加密或与客户端兼容的 TLS 协议版本。可以通过以下方法也会在其他下游配置中触发此崩溃。
CVE-2021-43825: 发送本地生成的响应必须停止进一步处理请求或响应数据。Envoy 会跟踪缓冲的请求量，响应数据，并在缓冲的数据量超过上限时中止请求来限制用户通过发送 413 或 500 响应来限制然而，当本地生成因为在响应被触发时，内部缓冲区溢出，由过滤器链处理，因此操作可能无法被正确取消并导致访问已释放的内存块
CVE-2021-43824: 将 JWT 过滤器与“safe_regex”一起使用时，Envoy 崩溃匹配规则和特制请求，例如“CONNECT host:port HTTP/1.1”。时间遇到 JWT 过滤器时，为“safe_regex”应评估网址路径但此处没有任何内容，并且 Envoy 因分段错误而崩溃。
CVE-2022-21654: Envoy 在 mTLS 验证后错误地允许恢复 TLS 会话设置已经重新配置。如果允许通过旧配置，但新配置不允许，则客户端可以恢复之前的 TLS 会话，即使当前配置也是如此应禁止它。对以下设置所做的更改会受到影响： <ph type="x-smartling-placeholder">
- match_subject_alt_names
- CRL 更改
- allow_expired_certificate
- Trust_chain_verification
- only_verify_leaf_cert_crl
CVE-2022-21657: Envoy 不限制从对等端接受的证书集，用作 TLS 客户端或 TLS 服务器，包含必要的 extensionKeyUsage（id-kp-serverAuth 和 id-kp-clientAuth）。也就是说，对方可能会展示电子邮件证书（例如 id-kp-emailProtection），可以是叶证书证书或证书链中的 CA，TLS 将接受该证书。这个与 CVE-2022-21656 结合使用时尤为糟糕，因为它允许只能与 S/MIME 搭配使用的 Web PKI CA，因此被豁免从审核或监督到颁发可接受的 TLS 证书由 Envoy 开发。
CVE-2022-21656: 用于实现默认证书的验证程序实现验证例程存在“类型混淆”处理过程中出现的 bug subjectAltNames。例如，此处理允许 rfc822Name 或 uniformResourceIndicator 作为域名进行身份验证。这个通过混淆处理功能，您可以绕过 nameConstraints，底层 OpenSSL/BoringSSL 实现，模拟任意服务器。

有关特定产品的详细说明，请参阅下列安全公告：
<ph type="x-smartling-placeholder">

<ph type="x-smartling-placeholder"></ph> Cloud Service Mesh 安全公告

<ph type="x-smartling-placeholder"></ph> Istio on GKE 安全公告

我该怎么做？
管理他们自己的 Envoy 的 Envoy 用户应确保自己使用的是 Envoy 1.21.1 版。管理自己的 Envoy 用户通过 GitHub 等来源构建二进制文件并进行部署。

运行代管式 Envoy（Google Cloud 提供 Envoy 二进制文件）的用户无需执行任何操作，Google Cloud 产品将针对这些版本改用 1.21.1。

高

CVE-2022-23606
CVE-2022-21655
CVE-2021-43826
CVE-2021-43825
CVE-2021-43824
CVE-2022-21654
CVE-2022-21657
CVE-2022-21656

GCP-2022-007

发布日期：2022 年 2 月 22 日

说明

说明严重级别备注

以下 Envoy 和 Istio CVE 会公开 Cloud Service Mesh 使用 Istio on GKE 实现可远程利用的漏洞：

CVE-2022-23635：Istiod 在收到带有特制的 authorization 标头。
CVE-2021-43824：使用 JWT 时可能出现的 null 指针解引用过滤条件“safe_regex”匹配
CVE-2021-43825：响应过滤器增加时释放后使用响应数据，增加的数据将超出下游缓冲区限制。
CVE-2021-43826：在通过 HTTP 建立隧道连接时，使用释放后使用（如果下行在建立上行连接期间断开连接。
CVE-2022-21654：不正确的配置处理允许 mTLS 验证设置后，无需重新验证即可重复使用会话都发生了哪些变化
CVE-2022-21655：对路由的内部重定向处理不正确直接响应条目。
CVE-2022-23606：通过集群发现服务。

2022 年 2 月 23 日更新： GKE 和 GKE on VMware 版本已更新。对于说明和更多详细信息，请参阅：

2022 年 2 月 4 日更新：GKE 补丁程序版本的发布开始日期为 2 月 2 日。

已在 Linux 内核中发现三个安全漏洞：CVE-2021-4154、CVE-2021-22600 和 CVE-2022-0185，其中每个都可能导致容器入侵和/或在主机上发生权限提升。这些漏洞会影响 GKE、GKE on VMware、GKE on AWS（当前和上一代）和 GKE on Azure 上的所有节点操作系统（COS 和 Ubuntu）。使用 GKE Sandbox 的 Pod 不受这些漏洞的影响。请参阅 COS 版本说明了解详情。

如需了解相关说明和更多详情，请参阅以下安全公告：

高

GCP-2022-001

发布日期：2022-01-06

说明

说明严重级别备注

解析二进制数据的过程中发现了 protobuf-java 中可能存在的拒绝服务攻击问题。

该怎么做？

确保您使用的是以下软件包的最新版本：

protobuf-java (3.16.1, 3.18.2, 3.19.2)
protobuf-kotlin (3.18.2, 3.19.2)
google-protobuf [JRuby gem] (3.19.2)

Protobuf“javalite”用户（通常是 Android）不受影响。

该补丁程序解决了哪些漏洞？

该补丁程序解决了以下漏洞：

在 Java 中解析未知字段的方式的实现漏洞。通过创建大量导致频繁且重复的垃圾回收暂停的短期对象，小型（约 800 KB）恶意载荷可能会占用解析器几分钟的时间。

高

CVE-2021-22569

GCP-2021-024

发布时间：2021-10-21

说明

严重级别

备注

在 Kubernetes ingress-nginx 控制器中发现了安全问题 (CVE-2021-25742)。Ingress-nginx 自定义代码段允许检索所有命名空间中的 ingress-nginx 服务账号令牌和 Secret。

如需了解相关说明和更多详情，请参阅以下安全公告：

无

CVE-2021-25742

GCP-2021-019

发布日期：2021-09-29

说明

说明严重级别备注

存在一个已知问题，即使用 v1beta1 API 更新 BackendConfig 资源会从其 Service 中移除活跃的 Google Cloud Armor 安全政策。

如需了解相关说明和更多详情，请参阅 GKE 安全公告。

低

GCP-2021-022

发布日期：2021-09-22

说明

严重级别

备注

在 GKE on VMware 版本 1.8 和 1.8.1 的 GKE Enterprise Identity Service (AIS) LDAP 模块中发现了一个漏洞，在该漏洞中，用于生成密钥的种子密钥是可预测的。利用此漏洞，经过身份验证的用户可以无限期地添加任意声明和提升权限。

如需了解相关说明和更多详情，请参阅 GKE on VMware 安全公告。

高

GCP-2021-021

发布日期：2021-09-22

说明

严重级别

备注

在 Kubernetes 中发现了一个安全漏洞 CVE-2020-8561，某些网络钩子可以将 kube-apiserver 请求重定向到该 API 服务器的专用网络。

如需了解相关说明和更多详情，请参阅以下安全公告：

中

CVE-2020-8561

GCP-2021-023

已发布：2021-09-21

说明

严重级别

备注

根据 VMware 安全建议 VMSA-2021-0020，VMware 接收到了 vCenter 中多个漏洞的报告。VMware 已推出更新，以在受影响的 VMware 产品中修复这些漏洞。

我们已按照 VMware 安全建议，将 VMware 针对 vSphere 堆栈提供的补丁程序应用于 Google Cloud VMware Engine。此更新解决了 CVE-2021-22005、CVE-2021-22006、CVE-2021-22007、CVE-2021-22008 和 CVE-2021-22010 中所述的安全漏洞。其他非关键安全问题将在即将进行的 VMware 堆栈升级中解决（根据 7 月份发送的提前通知，我们将尽快提供升级的具体时间）。

VMware Engine 影响

根据我们的调查，没有客户受到影响。

该怎么做？

由于 VMware Engine 集群不受此漏洞的影响，因此无需采取进一步行动。

严重

GCP-2021-020

发布日期：2021-09-17

说明

说明严重级别备注

在限定条件下，某些路由到启用了 Identity-Aware Proxy (IAP) 的后端服务的 Google Cloud 负载均衡器可能容易受到不可信方的攻击。此举措可解决用户通过我们的漏洞奖励计划报告的一个问题。

这些条件是，服务器：

是 HTTP(S) 负载均衡器并且
使用默认后端或具有通配符主机映射规则（即 host="*"）的后端

此外，组织中的某个用户必须点击了不可信方发送的专门链接。

此问题现已得到解决。自 2021 年 9 月 17 日起，更新后的 IAP 仅会为获得授权的主机签发 Cookie。如果主机至少与负载均衡器上安装的其中一个证书中的一个主题备用名称 (SAN) 匹配，则该主机会被视为已获得授权。

您需要采取的措施

您的部分用户在尝试访问应用或服务时，可能会遇到带有 IAP 错误代码 52 的 HTTP 401 Unauthorized 响应。此错误代码表示客户端发送的 Host 标头与负载均衡器的 SSL 证书所关联的任何主题备用名称都不匹配。负载均衡器管理员需要更新 SSL 证书，以确保主题备用名称 (SAN) 列表包含所有主机名，用户需通过这些主机名访问受 IAP 保护的应用或服务。详细了解 IAP 错误代码。

高

GCP-2021-018

发布日期：2021-09-15
更新日期：2021-09-20

说明

严重级别

备注

在 Kubernetes 中发现了一个安全问题 (CVE-2021-25741)，导致用户可以创建具有子路径卷挂载的容器来访问卷外部的文件和目录，包括主机文件系统。

如需了解相关说明和更多详情，请参阅以下安全公告：

高

CVE-2021-25741

GCP-2021-017

发布日期：2021-09-01
更新日期：2021-09-23

说明

严重级别

备注

严重级别

备注

Microsoft 发布了有关远程代码执行 (RCE) 漏洞的安全公告 CVE-2021-34527，该漏洞会影响 Windows 服务器的打印假脱机程序。CERT 协调中心 (CERT/CC) 发布了一个相关漏洞的更新说明，该补丁程序名为“PrintNightmare”，也影响 Windows 打印后台处理程序 - PrintNightmare, Critical Windows Print Spooler Vulnerability

如需了解相关说明和更多详情，请参阅 GKE 安全公告。

高

CVE-2021-34527

GCP-2021-012

发布日期：2021 年 6 月 24 日
更新日期：2021 年 7 月 9 日

说明

严重级别

备注

Istio 项目最近宣布存在一个安全漏洞，用户可通过不同的命名空间访问网关和 DestinationRule credentialName 字段中指定的凭据。

如需了解具体产品的说明和更多详情，请参阅：

Cloud Service Mesh 安全公告。
GKE Enterprise 安全公告 GCP-2021-012，获取针对 Google Kubernetes Engine、Google Distributed Cloud Virtual for Bare Metal 和 GKE on VMware。

高

CVE-2021-34824

GCP-2021-011

发布日期：2021 年 6 月 4 日
更新日期：2021 年 10 月 19 日

说明

说明严重级别备注

2021 年 10 月 19 日更新：

如需了解相关说明和更多详细信息，请参阅以下安全公告：

安全社区近期披露了在 runc 中发现的可能允许对节点文件系统进行完全访问的新安全漏洞 (CVE-2021-30465)。

对于 GKE，由于利用此漏洞需要具备创建 Pod 的能力，因此我们将此漏洞的严重性评级为中等。

如需了解相关说明和更多详情，请参阅 GKE 安全公告。

中

CVE-2021-30465

GCP-2021-010

发布日期：2021-05-25

说明

严重级别

备注

根据 VMware 安全建议 VMSA-2021-0010，VMware 接收到关于 vSphere 客户端 (HTML5) 中的远程代码执行和身份验证绕过漏洞的非公开报告。VMware 已推出更新，以在受影响的 VMware 产品中修复这些漏洞。

我们根据 VMware 安全建议应用了 VMware 针对 vSphere 堆栈提供的补丁程序。此更新解决了 CVE-2021-21985 和 CVE-2021-21986 中所述的安全漏洞。目前，VMware Engine 私有云中运行的映像版本不显示任何指示所应用的补丁程序的更改。请放心，相应的补丁程序已经安装，您的环境将不会受到这些漏洞的影响。

VMware Engine 影响

备注

Istio 项目最近披露了影响 Istio 的新的安全漏洞 (CVE-2021-31920)。

Istio 包含一个可远程利用的漏洞，在使用基于路径的授权规则时，如果 HTTP 请求包含多个斜杠或转义的斜杠字符，该请求可以绕过 Istio 授权政策。

如需了解相关说明和更多详情，请参阅以下安全公告：

GKE 安全公告

高

CVE-2021-31920

GCP-2021-005

发布日期：2021-05-11

说明

说明严重级别备注

报告的漏洞表明，在 Envoy 版本 1.18.2 及更早版本中，Envoy 不会对 HTTP 网址路径中转义的斜杠序列 %2F 和 %5C 进行解码。此外，某些基于 Envoy 的产品不会启用路径归一化控制。远程攻击者可能会制定包含转义斜杠的路径（例如 /something%2F..%2Fadmin,），以绕过访问权限控制（例如 /admin 上的块）。然后，后端服务器可以解码斜杠序列并标准化路径，以便为攻击者提供超出访问控制政策所提供范围的访问权限。

该怎么做？

如果后端服务器以可互换方式处理 / 和 %2F 或\ 和 %5C 并且配置了基于网址路径的匹配，我们建议重新配置后端服务器，使其不可互换方式处理 \ 和 %2F 或 \ 和 %5C（如果可行）。

引入了哪些行为更改？

启用 Envoy 的 normalize_path 和合并相邻斜杠选项，以处理基于 Envoy 的产品中的其他常见路径混淆漏洞。

高

CVE-2021-29492

GCP-2021-004

发布日期：2021-05-06

说明

严重级别

备注

Envoy 和 Istio 项目最近宣布了几个新的安全漏洞（CVE-2021-28683、CVE-2021-28682 和 CVE-2021-29258），它们可能会使得攻击者击溃 Envoy。

默认情况下，Google Kubernetes Engine 集群不会运行 Istio，不受此漏洞影响。如果 Istio 已安装在集群中并配置为在互联网上公开服务，这些服务可能容易受到拒绝服务攻击。

Google Distributed Cloud Virtual for Bare Metal 和 GKE on VMware 使用 Envoy 因此 Ingress 服务可能容易受到拒绝服务。

如需了解相关说明和更多详细信息，请参阅以下安全公告：

中

GCP-2021-003

发布日期： 2021-04-19

说明

说明严重级别备注

Kubernetes 项目最近公布了新的安全漏洞 CVE-2021-25735，该安全漏洞会导致节点更新绕过验证准入网络钩子。

如果攻击者拥有足够的权限，并且验证准入网络钩子使用旧的 Node 对象属性（例如 Node.NodeSpec 中的字段）实现，则攻击者可以更新节点的属性，从而危害集群安全。GKE 和 Kubernetes 内置准入控制器强制执行的政策均不会受到影响，但我们建议客户检查他们已安装的任何其他准入网络钩子。

如需了解相关说明和更多详细信息，请参阅以下安全公告：

中

CVE-2021-25735

GCP-2021-002

发布日期：2021-03-05

说明

严重级别

备注

根据 VMware 安全建议 VMSA-2021-0002，VMware 接收到了 VMware ESXi 和 vSphere Client (HTML5) 中存在多个漏洞的报告。VMware 已推出更新，以在受影响的 VMware 产品中修复这些漏洞。

我们根据 VMware 安全公告对 vSphere 堆栈应用了官方记录的解决方法。此更新解决了 CVE-2021-21972、CVE-2021-21973 和 CVE-2021-21974 中所述的安全漏洞。

VMware Engine 影响

根据我们的调查，没有客户受到影响。

该怎么做？

由于 VMware Engine 集群不受此漏洞的影响，因此无需采取进一步行动。

严重

GCP-2021-001

发布日期：2021-01-28

说明

说明严重级别备注

近期在 Linux 实用程序 sudo 中发现了一个漏洞（如 CVE-2021-3156 中所述），该漏洞可能会允许具有非特权本地 shell 的攻击者访问安装了 sudo 的系统，将其权限升级为系统 root 权限。

运行 Compute Engine 的底层基础架构不受此漏洞的影响。

所有 Google Kubernetes Engine (GKE)、GKE on VMware、GKE on AWS 和 Google Distributed Cloud Virtual for Bare Metal 集群不受此漏洞的影响。

如需了解相关说明和更多详细信息，请参阅以下安全公告：

无

CVE-2021-3156

GCP-2020-015

发布日期：2020-12-07
更新日期：2020-12-22

说明

说明严重级别备注

更新日期：2021-12-22：下一部分中的 GKE 命令应使用 gcloud beta 而不是 gcloud 命令。

gcloud container clusters update –no-enable-service-externalips

更新日期：2021-12-15 对于 GKE，以下缓解措施现已发布：

从 GKE 1.21 版开始，具有 ExternalIPs 的服务会被 DenyServiceExternalIPs 准入控制器阻止，该控制器默认针对新集群启用。
升级到 GKE 1.21 的客户可以屏蔽具有以下特征的服务： ExternalIP 地址：
```
gcloud container clusters update –no-enable-service-externalips
```

如需了解详情，请参阅强化集群的安全性。

Kubernetes 项目最近发现新的安全漏洞 CVE-2020-8554，它可能允许已获得创建 LoadBalancer 或 ClusterIP 类型 Kubernetes 服务的权限的攻击者拦截来自集群中其他 pod 的网络流量。此漏洞本身不会给予攻击者创建 Kubernetes 服务的权限。

所有 Google Kubernetes Engine (GKE)、GKE on VMware 以及 GKE on AWS 集群会受到此漏洞的影响。

该怎么做？

如需了解相关说明和更多详情，请参阅以下安全公告：

中

CVE-2020-8554

GCP-2020-014

发布日期：2020-10-20
更新日期：2020-10-20

说明

严重级别

备注

Kubernetes 项目最近发现了多个问题，这些问题导致在启用详细日志记录选项时 Secret 数据泄露。这些问题包括：

CVE-2020-8563：vSphere 提供商的 kube-controller-manager 日志中发生 Secret 泄露
CVE-2020-8584：当文件格式错误且日志级别大于等于 4 时，Docker 配置 Secret 发生泄露
CVE-2020-8565：当日志级别大于等于 9 时，Kubernetes 中 CVE-2019-11250 的不完整的修复程序导致日志中发生令牌泄露。由 GKE 安全发现。
CVE-2020-8566：当日志级别大于等于 4 时，日志中发生 Ceph RBD adminSecret 泄露

该怎么做？

由于 GKE 的默认详细日志记录级别，无需执行任何进一步操作。

无

对 Google Cloud 的影响

下面列出了与各种产品有关的详细信息。

产品	影响
Google Kubernetes Engine (GKE)	Google Kubernetes Engine (GKE) 不受影响。
GKE On-Prem	GKE On-Prem 不受影响。
GKE on AWS	GKE on AWS 不受影响。

GCP-2020-013

发布日期：2020-09-29

说明

Microsoft 披露了以下漏洞：

漏洞	严重程度	CVE
CVE-2020-1472 — 通过 Windows Server 中的漏洞，攻击者可以利用 Netlogon 远程协议在网络上的设备上运行特别设计的应用。	NVD 基准值：10（严重）	CVE-2020-1472

如需了解详情，请参阅 Microsoft 披露信息。

对 Google Cloud 的影响

托管 Google Cloud 和 Google 产品的基础架构不受此漏洞的影响。下面列出了与各种产品有关的更多详情。

产品	影响
Compute Engine	CVE-2020-1472 对于大多数客户而言，无需执行任何额外操作。使用运行 Windows Server 的 Compute Engine 虚拟机的客户应确保其实例已使用最新的 Windows 补丁程序更新，或使用自 2020 年 8 月 17 日后发布的 Windows Server 映像（v20200813 或更高版本）。
Google Kubernetes Engine	CVE-2020-1472 对于大多数客户而言，无需执行任何额外操作。任何在其 GKE Server 节点托管网域控制器的客户都应确保节点和在这些节点上运行的容器化工作负载都具有最新 Windows 节点映像（当其可用时）。新的节点映像版本将于 10 月在 GKE 版本说明中公布。
Managed Service for Microsoft Active Directory	CVE-2020-1472 对于大多数客户而言，无需执行任何额外操作。 Microsoft 发布的 8 月补丁程序（包括对 NetLogon 协议的修复）已应用于所有 Managed Microsoft AD 网域控制器。此补丁程序提供了可防范潜在攻击的功能。使用 Managed Service for Microsoft Active Directory 的主要优势是可及时应用补丁程序。所有手动运行 Microsoft Active Directory（且不使用 Google Cloud 代管式服务）的客户都应确保其实例拥有最新的 Windows 补丁程序或使用 Windows Server 映像。
Google Workspace	客户无需采取任何操作。这项服务不受此漏洞的影响。
App Engine 标准环境	客户无需采取任何操作。这项服务不受此漏洞的影响。
App Engine 柔性环境	客户无需采取任何操作。这项服务不受此漏洞的影响。
Cloud Run	客户无需采取任何操作。这项服务不受此漏洞的影响。
Cloud Functions	客户无需采取任何操作。这项服务不受此漏洞的影响。
Cloud Composer	客户无需采取任何操作。这项服务不受此漏洞的影响。
Dataflow	客户无需采取任何操作。这项服务不受此漏洞的影响。
Dataproc	客户无需采取任何操作。这项服务不受此漏洞的影响。
Cloud SQL	客户无需采取任何操作。这项服务不受此漏洞的影响。

GCP-2020-012

发布日期：2020-09-14
更新日期：2020-09-17

说明

严重级别

备注

近期在 Linux 内核中发现了一个漏洞（如 CVE-2020-14386 中所述），该漏洞可能会使容器逃逸，从而获取对主机节点的 root 权限。

所有 GKE 节点都会受到影响。在 GKE Sandbox 中运行的 Pod 无法利用此漏洞。

如需了解相关说明和更多详情，请参阅以下安全公告：

该补丁程序解决了哪一漏洞？

该补丁程序缓解了以下漏洞：

漏洞 CVE-2020-14386，其允许具有 CAP_NET_RAW 的容器
写入 1 到 10 个字节的内核内存，并且可能会对容器进行转义并获取主机节点的根权限。此漏洞的严重级别评级为“高”。

高

CVE-2020-14386

GCP-2020-011

发布日期：2020-07-24

说明

严重级别

备注

最近在 Kubernetes 中发现了一个网络漏洞 CVE-2020-8558。服务有时会使用本地环回接口 (127.0.0.1) 与同一 pod 中运行的其他应用通信。利用此漏洞，有权访问集群网络的攻击者能够将流量发送到相邻 pod 和节点的环回接口。依赖于无法在其 pod 之外访问的环回接口的服务可能会被利用。

如需了解相关说明和更多详情，请参阅以下安全公告：

低（GKE 和 GKE on AWS）、
中 (GKE on VMware)

CVE-2020-8558

GCP-2020-010

发布日期：2020-07-27

说明

Microsoft 披露了以下漏洞：

漏洞	严重程度	CVE
CVE-2020-1350 - 本地系统账号可以利用配置为 DNS 服务器的 Windows 服务器来运行不受信任的代码。	NVD 基本得分：10.0（严重）	CVE-2020-1350

如需了解详情，请参阅 Microsoft 披露信息。

对 Google Cloud 的影响

托管 Google Cloud 和 Google 产品的基础架构不受此漏洞的影响。下面列出了与各种产品有关的更多详情。

产品	影响
Compute Engine	CVE-2020-1350 对于大多数客户而言，无需执行任何额外操作。使用运行 Windows Server 的 Compute Engine 虚拟机作为 DNS 服务器的客户应确保其实例安装了最新的 Windows 补丁程序，或使用自 2020 年 7 月 14 日后提供的 Windows Server 映像。
Google Kubernetes Engine	CVE-2020-1350 对于大多数客户而言，无需执行任何额外操作。使用 GKE 和作为 DNS 服务器的 Windows Server 节点的客户必须将节点和在这些节点上运行的容器化工作负载手动更新到包含此修复的 Windows 服务器版本。
Managed Service for Microsoft Active Directory	CVE-2020-1350 对于大多数客户而言，无需执行任何额外操作。所有代管式 Microsoft AD 网域均已自动使用修补后的映像进行了更新。任何手动运行 Microsoft Active Directory（而不使用代管式 Microsoft AD）的客户应确保其实例安装了最新的 Windows 补丁程序，或使用自 2020 年 7 月 14 日后提供的 Windows Server 映像。
Google Workspace	客户无需采取任何操作。这项服务不受此漏洞的影响。
App Engine 标准环境	客户无需采取任何操作。这项服务不受此漏洞的影响。
App Engine 柔性环境	客户无需采取任何操作。这项服务不受此漏洞的影响。
Cloud Run	客户无需采取任何操作。这项服务不受此漏洞的影响。
Cloud Functions	客户无需采取任何操作。这项服务不受此漏洞的影响。
Cloud Composer	客户无需采取任何操作。这项服务不受此漏洞的影响。
Dataflow	客户无需采取任何操作。这项服务不受此漏洞的影响。
Dataproc	客户无需采取任何操作。这项服务不受此漏洞的影响。
Cloud SQL	客户无需采取任何操作。这项服务不受此漏洞的影响。

GCP-2020-009

发布日期：2020-07-15

说明

严重级别

发布日期：2020-03-31
更新日期：2020-03-31

说明

Kubernetes 披露了以下漏洞：

漏洞	严重程度	CVE
CVE-2019-11254 - 这是一种影响 API 服务器的拒绝服务 (DoS) 攻击漏洞。	中	CVE-2019-11254

如需了解相关说明和更多详情，请参阅 GKE on VMware 安全公告。

GCP-2020-003

发布日期：2020-03-31
更新日期：2020-03-31

说明

Kubernetes 披露了以下漏洞：

漏洞	严重程度	CVE
CVE-2019-11254 - 这是一种影响 API 服务器的拒绝服务 (DoS) 攻击漏洞。	中	CVE-2019-11254

如需了解相关说明和更多详情，请参阅 GKE 安全公告。

GCP-2020-002

发布日期：2020-03-23
更新日期：2020-03-23

说明

Kubernetes 披露了以下漏洞：

漏洞	严重程度	CVE
CVE-2020-8551 - 这是一种影响 kubelet 的拒绝服务 (DoS) 攻击漏洞。	中	CVE-2020-8551
CVE-2020-8552 - 这是一种影响 API 服务器的拒绝服务 (DoS) 攻击漏洞。	中	CVE-2020-8552

如需了解相关说明和更多详情，请参阅 GKE 安全公告。

GCP-2020-001

发布日期：2020-01-21
更新日期：2020-01-21

说明

Microsoft 披露了以下漏洞：

漏洞	严重程度	CVE
CVE-2020-0601 - 此漏洞又称为 Windows Crypto API 仿冒漏洞。攻击者可以利用此漏洞将恶意可执行程序伪装成受信任的程序，或者发动中间人攻击并解密与受影响软件的用户连接相关的机密信息。	NVD 基本得分：8.1（高）	CVE-2020-0601

如需了解详情，请参阅 Microsoft 披露信息。

对 Google Cloud 的影响

托管 Google Cloud 和 Google 产品的基础架构不受此漏洞的影响。下面列出了与各种产品有关的更多详情。

产品	影响
Compute Engine	CVE-2020-0601 对于大多数客户而言，无需执行任何额外操作。使用运行 Windows Server 的 Compute Engine 虚拟机的客户应确保其实例安装了最新的 Windows 补丁程序，或使用自 2020 年 1 月 15 日后提供的 Windows Server 映像。如需了解详情，请参阅 Compute Engine 安全公告。
Google Kubernetes Engine	CVE-2020-0601 对于大多数客户而言，无需执行任何额外操作。对于使用 GKE 和 Windows Server 节点的客户而言，节点以及在这些节点上运行的容器化工作负载必须更新到修补后的版本以缓解此漏洞。如需了解相关说明和更多详情，请参阅 GKE 安全公告。
Managed Service for Microsoft Active Directory	CVE-2020-0601 对于大多数客户而言，无需执行任何额外操作。所有代管式 Microsoft AD 网域均已自动使用修补后的映像进行了更新。任何手动运行 Microsoft Active Directory（而不使用代管式 Microsoft AD）的客户应确保其实例安装了最新的 Windows 补丁程序，或使用自 2020 年 1 月 15 日后提供的 Windows Server 映像。
Google Workspace	客户无需采取任何操作。这项服务不受此漏洞的影响。
App Engine 标准环境	客户无需采取任何操作。这项服务不受此漏洞的影响。
App Engine 柔性环境	客户无需采取任何操作。这项服务不受此漏洞的影响。
Cloud Run	客户无需采取任何操作。这项服务不受此漏洞的影响。
Cloud Functions	客户无需采取任何操作。这项服务不受此漏洞的影响。
Cloud Composer	客户无需采取任何操作。这项服务不受此漏洞的影响。
Dataflow	客户无需采取任何操作。这项服务不受此漏洞的影响。
Dataproc	客户无需采取任何操作。这项服务不受此漏洞的影响。
Cloud SQL	客户无需采取任何操作。这项服务不受此漏洞的影响。

GCP-2019-001

发布日期：2019-11-12
更新日期：2019-11-12

说明

Intel 披露了以下漏洞：

漏洞	严重程度	CVE
CVE-2019-11135 - 此漏洞名为 TSX 异步中止 (TAA)，可能会被用来在 TSX 事务中发起预测执行攻击。此漏洞可能允许通过微架构数据抽样 (MDS) 所暴露的同一微架构数据结构泄露数据。	中	CVE-2019-11135
CVE-2018-12207 - 这是一种拒绝服务攻击 (DoS) 漏洞，会影响虚拟机主机（而非客机）。此问题被称为“页面大小更改时的机器检查错误”。	中	CVE-2018-12207

详情请参阅 Intel 披露信息：

对 Google Cloud 的影响

托管 Google Cloud 及 Google 产品的基础架构受到保护，可以抵御这些漏洞的威胁。下面列出了与各种产品有关的更多详情。

产品	影响
Compute Engine	CVE-2019-11135 对多数客户而言，无需执行任何额外操作。如果 N2、C2 或 M2 客户在 Compute Engine 虚拟机内自己的多租户服务中运行不可信代码，则应关停并重启其虚拟机，以确保虚拟机使用最新的安全威胁缓解机制。注意：如需了解更多详情，请参阅 Compute Engine 安全公告。 CVE-2018-12207 对所有客户而言，无需执行任何额外操作。
Google Kubernetes Engine	CVE-2019-11135 对多数客户而言，无需执行任何额外操作。如果您使用包含 N2、M2 或 C2 节点的节点池，并且这些节点在您自己的多租户 GKE 集群内运行不可信代码，那么您应重启您的节点。如果您要重启节点池中的所有节点，请升级受影响的节点池。注意：在升级节点池时，您可以指定同一个 GKE 版本。如需了解更多详情，请参阅 GKE 安全公告。 CVE-2018-12207 对所有客户而言，无需执行任何额外操作。
App Engine 标准环境	无需执行任何额外操作。
App Engine 柔性环境	CVE-2019-11135 无需执行任何额外操作。客户应针对可能会在 Flex 虚拟机中的超线程之间发生的应用级共享了解 Intel 的最佳做法。 CVE-2018-12207 无需执行任何额外操作。
Cloud Run	无需执行任何额外操作。
Cloud Functions	无需执行任何额外操作。
Cloud Composer	无需执行任何额外操作。
Dataflow	CVE-2019-11135 对多数客户而言，无需执行任何额外操作。如果 Dataflow 客户在 Dataflow 托管的 N2、C2 或 M2 Compute Engine 虚拟机上运行多个不可信工作负载并担心客机内攻击的可能性，则应考虑重启当前正在运行的所有流处理流水线。也可以选择取消并重新运行批处理流水线。对于今后启动的流水线，无需执行任何操作。 CVE-2018-12207 对所有客户而言，无需执行任何额外操作。
Dataproc	CVE-2019-11135 对多数客户而言，无需执行任何额外操作。如果 Cloud Dataproc 客户在 Compute Engine N2、C2 或 M2 虚拟机上的同一 Cloud Dataproc 集群中运行多个不可信工作负载并担心客机内攻击的可能性，则应重新部署其集群。 CVE-2018-12207 对所有客户而言，无需执行任何额外操作。
Cloud SQL	无需执行任何额外操作。