Buletin keamanan berikut terkait dengan produk Google Cloud.
Gunakan feed XML ini untuk berlangganan buletin keamanan untuk halaman ini.
GCP-2024-062
Dipublikasikan: 02-12-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2024-46800 |
GCP-2024-061
Dipublikasikan: 25-11-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Masalah keamanan yang ditemukan di cluster Kubernetes dapat menyebabkan eksekusi kode jarak jauh menggunakan volume Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2024-10220 |
GCP-2024-060
Dipublikasikan: 17-10-2024
Deskripsi | Keparahan | Catatan |
---|---|---|
Berdasarkan saran keamanan VMware VMSA-2024-0020, beberapa kerentanan di VMware NSX dilaporkan secara bertanggung jawab ke VMware. Versi NSX-T yang berjalan di lingkungan VMware Engine Anda tidak terpengaruh oleh CVE-2024-38815, CVE-2024-38818, atau CVE-2024-38817. Apa yang harus saya lakukan?Karena cluster VMware Engine tidak terpengaruh oleh kerentanan ini, tidak diperlukan tindakan lebih lanjut. |
Sedang |
GCP-2024-059
Dipublikasikan: 16-10-2024
Deskripsi | Keparahan | Catatan |
---|---|---|
Berdasarkan saran keamanan VMware VMSA-2024-0021, kerentanan injection SQL yang diautentikasi di VMware HCX dilaporkan secara pribadi ke VMware. Kami telah menerapkan mitigasi yang disetujui oleh VMware untuk mengatasi kerentanan ini. Perbaikan ini mengatasi kerentanan keamanan yang dijelaskan dalam CVE-2024-38814. Versi image yang berjalan di cloud pribadi VMware Engine Anda saat ini tidak mencerminkan perubahan apa pun untuk menunjukkan perubahan yang diterapkan. Mitigasi yang sesuai telah diinstal dan lingkungan Anda diamankan dari kerentanan ini. Apa yang harus saya lakukan?Sebaiknya upgrade ke VMware HCX versi 4.9.2. |
Tinggi |
GCP-2024-058
Dipublikasikan: 16-10-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Migrate to Containers untuk Windows versi 1.1.0 hingga 1.2.2 membuat
Apa yang harus saya lakukan?Versi Migrate to Containers CLI untuk Windows berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade Migrate to Containers CLI secara manual ke versi berikut atau yang lebih tinggi:
Kerentanan apa yang sedang ditangani?Kerentanan, CVE-2024-9858, memungkinkan penyerang mendapatkan akses administrator ke mesin Windows yang terpengaruh menggunakan pengguna administrator lokal yang dibuat oleh software Migrate to Containers. |
Sedang | CVE-2024-9858 |
GCP-2024-057
Dipublikasikan: 03-10-2024
Diperbarui: 19-11-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Update 19-11-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE. Pembaruan 15-10-2024: Menambahkan versi patch untuk GDC (VMware). Memperbarui tingkat keparahan GKE dan GDC (VMware). Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Sedang | CVE-2024-45016 |
GCP-2024-056
Dipublikasikan: 27-09-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Rantai kerentanan (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) yang dapat menyebabkan eksekusi kode jarak jauh ditemukan di sistem pencetakan CUPS yang digunakan oleh beberapa distribusi Linux. Penyerang dapat mengeksploitasi kerentanan ini jika layanan CUPS memproses port UDP 631 dan mereka dapat terhubung ke port tersebut. Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tidak ada |
GCP-2024-055
Dipublikasikan: 24-09-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Kerentanan Penyelubungan Permintaan HTTP di Looker memungkinkan penyerang yang tidak sah menangkap respons HTTP yang ditujukan untuk pengguna yang sah. Ada dua versi Looker yang dihosting oleh Looker:
Instance Looker yang dihosting pelanggan ditemukan rentan dan harus diupgrade ke salah satu versi di bawah. Kerentanan ini telah ditambal di semua versi Looker yang dihosting pelanggan yang didukung, yang tersedia di halaman download Looker. Apa yang harus saya lakukan?
Kerentanan apa yang sedang ditangani?Kerentanan, CVE-2024-8912, memungkinkan penyerang mengirim header permintaan HTTP yang dibuat khusus ke Looker, yang mungkin mengakibatkan intersepsi respons HTTP yang ditujukan untuk pengguna lain. Respons ini dapat berisi informasi sensitif. Kerentanan ini hanya dapat dieksploitasi dalam konfigurasi tertentu. |
Sedang | CVE-2024-8912 |
GCP-2024-054
Dipublikasikan: 23-09-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Masalah keamanan ditemukan di cluster Kubernetes dengan node Windows
tempat Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Sedang | CVE-2024-5321 |
GCP-2024-053
Dipublikasikan: 19-09-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Saat mengurai kolom yang tidak diketahui di library Protobuf Java Full dan Lite, pesan yang dibuat dengan niat jahat dapat menyebabkan error StackOverflow dan menyebabkan error program. Apa yang sebaiknya saya lakukan? Kami telah berupaya keras untuk mengatasi masalah ini dan telah merilis mitigasi yang kini tersedia. Sebaiknya gunakan paket software berikut versi terbaru:
Kerentanan apa yang diatasi oleh patch ini? Kerentanan ini berpotensi menyebabkan Denial of Service. Mengurai grup bertingkat sebagai kolom yang tidak diketahui dengan pengurai DiscardUnknownFieldsParser atau Java Protobuf Lite, atau terhadap kolom peta Protobuf, akan membuat rekursi tanpa batas yang dapat disalahgunakan oleh penyerang. |
Skor CVSS4.0 8,7 Tinggi |
CVE-2024-7254 |
GCP-2024-052
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
CVE berikut mengekspos Cloud Service Mesh ke kerentanan yang dapat dieksploitasi:
Untuk mengetahui petunjuk dan detail selengkapnya, lihat berita keamanan Cloud Service Mesh. |
Menengah hingga Tinggi |
GCP-2024-051
Dipublikasikan: 18-09-2024
Deskripsi | Keparahan | Catatan |
---|---|---|
VMware mengungkapkan beberapa kerentanan di VMSA-2024-0019 yang memengaruhi komponen vCenter yang di-deploy di lingkungan pelanggan. Dampak VMware Engine
Apa yang harus saya lakukan?Untuk saat ini, Anda tidak perlu melakukan tindakan lebih lanjut. |
Kritis |
GCP-2024-050
Dipublikasikan: 04-09-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Kerentanan eksekusi kode jarak jauh baru (CVE-2024-38063) telah ditemukan di Windows. Penyerang dapat mengeksploitasi kerentanan ini dari jarak jauh dengan mengirim paket IPv6 yang dibuat khusus ke host. Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tidak ada | CVE-2024-38063 |
GCP-2024-049
Dipublikasikan: 21-08-2024
Diperbarui: 01-11-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Update 01-11-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE. Update 21-10-2024: Menambahkan versi patch dan memperbarui Tingkat Keparahan untuk GDC (VMware). Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2024-36978 |
GCP-2024-048
Dipublikasikan: 20-08-2024
Diperbarui: 30-10-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Update 30-10-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE. Update 25-10-2024: Menambahkan versi patch dan memperbarui Tingkat Keparahan untuk GDC (VMware). Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2024-41009 |
GCP-2024-047
Dipublikasikan: 19-08-2024
Diperbarui: 30-10-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Update 30-10-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE. Update 21-10-2024: Menambahkan versi patch dan memperbarui Tingkat Keparahan untuk GDC (VMware). Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2024-39503 |
GCP-2024-046
Dipublikasikan: 05-08-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
AMD telah memberi tahu Google tentang 3 kerentanan firmware baru (2 risiko sedang, 1 risiko tinggi) yang memengaruhi SEV-SNP di CPU AMD EPYC generasi ke-3 (Milan) dan generasi ke-4 (Genoa). Google telah menerapkan perbaikan pada aset yang terpengaruh, termasuk Google Cloud, untuk memastikan pelanggan terlindungi. Saat ini, tidak ada bukti eksploitasi yang ditemukan atau dilaporkan ke Google. Apa yang sebaiknya saya lakukan? Pelanggan tidak perlu melakukan tindakan apa pun. Perbaikan telah diterapkan ke kumpulan server Google. Untuk informasi selengkapnya, lihat saran keamanan AMD AMD-SN-3011. |
Sedang–Tinggi |
GCP-2024-045
Dipublikasikan: 17-07-2024
Diperbarui: 19-09-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Update 19-09-2024: Menambahkan versi patch untuk software GDC untuk VMware. Update 21-08-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE. Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2024-26925 |
GCP-2024-044
Dipublikasikan: 16-07-2024
Diperbarui: 30-10-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Update 30-10-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE. Update 21-10-2024: Menambahkan versi patch dan memperbarui Tingkat Keparahan untuk GDC (VMware). Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2024-36972 |
GCP-2024-043
Dipublikasikan: 16-07-2024
Diperbarui: 02-10-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Update 02-10-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE. Update 20-09-2024: Menambahkan versi patch untuk software GDC untuk VMware. Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2024-26921 |
GCP-2024-042
Dipublikasikan: 15-07-2024
Diperbarui: 18-07-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 18-07-2024: Memperjelas bahwa cluster Autopilot dalam konfigurasi default tidak terpengaruh. Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2024-26809 |
GCP-2024-041
Dipublikasikan: 08-07-2024
Diperbarui: 16-09-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Update 16-09-2024: Menambahkan versi patch untuk software GDC untuk VMware. Update 19-07-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE. Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi |
GCP-2024-040
Dipublikasikan: 01-07-2024
Diperbarui: 16-07-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 16-07-2024: Beberapa pelanggan Akses VPC Serverless berpotensi terpengaruh oleh kerentanan di OpenSSH (CVE-2024-6387). Jika eksploitasi berhasil, hal ini dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode arbitrer sebagai root di virtual machine target. Eksploitasi diyakini sulit. Misalnya, pelanggan tidak dapat mengakses VM dan VM tidak memiliki IP publik. Kami tidak mengetahui adanya upaya eksploitasi. Apa yang sebaiknya saya lakukan? Deployment Akses VPC Serverless telah diperbarui secara otomatis oleh Google jika memungkinkan. Namun, Anda harus memverifikasi bahwa agen layanan yang dikelola Google memiliki peran yang diperlukan. Jika tidak, konektor Akses VPC Serverless Anda mungkin masih rentan. Sebaiknya migrasikan ke traffic keluar VPC Langsung, atau deploy konektor baru dan hapus konektor lama, untuk memastikan Anda memiliki update yang diperlukan dengan perbaikan. Update 11-07-2024: Menambahkan versi patch untuk software GDC untuk VMware, GKE di AWS, dan GKE di Azure. Untuk mengetahui detailnya, dalam dokumentasi GKE, lihat buletin berikut:
Pembaruan 10-07-2024:
Pembaruan 09-07-2024: Beberapa pelanggan lingkungan fleksibel App Engine berpotensi terpengaruh oleh vulnerability di OpenSSH (CVE-2024-6387). Jika eksploitasi berhasil, hal ini dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode arbitrer sebagai root di virtual machine target. Apa yang sebaiknya saya lakukan? Google telah memperbarui deployment lingkungan fleksibel secara otomatis jika memungkinkan. Namun, beberapa pelanggan yang menonaktifkan agen layanan yang dikelola Google, atau melakukan perubahan pada Google Cloud API atau konfigurasi default lainnya, tidak dapat diupdate dan mungkin masih rentan. Anda harus men-deploy versi baru aplikasi untuk mengambil update dengan perbaikan. Perhatikan bahwa deployment yang diperbarui akan melaporkan ssh versi Kerentanan apa yang ditangani? Kerentanan CVE-2024-6387, yang memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode arbitrer sebagai root di mesin target. Pembaruan 08-07-2024: Cluster Dataproc di Google Compute Engine yang berjalan pada image versi 2.2 (semua sistem operasi) dan 2.1 (khusus Debian) terpengaruh oleh kerentanan di OpenSSH (CVE-2024-6387) yang jika berhasil di-exploit, dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode arbitrer sebagai root di komputer target. Dataproc pada image Google Compute Engine versi 2.0 dan 1.5, serta image Dataproc versi 2.1 yang tidak berjalan di Debian, tidak terpengaruh. Cluster Dataproc dengan Autentikasi Pribadi yang diaktifkan tidak akan terpengaruh. Dataproc Serverless juga tidak terpengaruh. Apa yang sebaiknya saya lakukan? Update cluster Dataproc Anda di Google Compute Engine ke salah satu versi berikut:
Jika Anda tidak dapat mengupdate cluster Dataproc ke salah satu versi di atas, sebaiknya gunakan tindakan inisialisasi yang tersedia di lokasi ini: Ikuti petunjuk berikut tentang cara menentukan tindakan inisialisasi untuk Dataproc. Perhatikan bahwa tindakan inisialisasi harus dijalankan di setiap node (master dan pekerja) untuk cluster yang sudah ada. Pembaruan 03-07-2024:
Pembaruan 02-07-2024:
Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan ini mengeksploitasi kondisi perlombaan yang dapat digunakan untuk mendapatkan akses ke shell jarak jauh, sehingga penyerang dapat memperoleh akses root. Pada saat publikasi, eksploitasi diyakini sulit dan memerlukan waktu beberapa jam per mesin yang diserang. Kami tidak mengetahui adanya upaya eksploitasi. Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:
|
Kritis | CVE-2024-6387 |
GCP-2024-039
Dipublikasikan: 28-06-2024
Diperbarui: 25-09-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Update 25-09-2024: Menambahkan versi patch untuk software GDC untuk VMware. Update 20-08-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE. Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2024-26923 |
GCP-2024-038
Dipublikasikan: 26-06-2024
Diperbarui: 17-09-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Update 17-09-2024: Menambahkan versi patch untuk software GDC untuk VMware. Pembaruan 06-08-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE. Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2024-26924 |
GCP-2024-037
Dipublikasikan: 18-06-2024
Deskripsi | Keparahan | Catatan |
---|---|---|
VMware mengungkapkan beberapa kerentanan dalam VMSA-2024-0012 yang memengaruhi komponen vCenter yang di-deploy di lingkungan pelanggan. Dampak Google Cloud VMware Engine
Apa yang harus saya lakukan?Untuk saat ini, Anda tidak perlu melakukan tindakan lebih lanjut. |
Kritis |
GCP-2024-036
Dipublikasikan: 18-06-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2024-26584 |
GCP-2024-035
Dipublikasikan: 12-06-2024
Diperbarui: 18-07-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 18-07-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE dan menambahkan versi patch untuk versi 1.27 di node pool Container-Optimized OS. Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2024-26584 |
GCP-2024-034
Dipublikasikan: 11-06-2024
Diperbarui: 10-07-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Update 10-07-2024: Menambahkan versi patch untuk node Container-Optimized OS yang menjalankan versi minor 1.26 dan 1.27 serta menambahkan versi patch untuk node Ubuntu. Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2024-26583 |
GCP-2024-033
Dipublikasikan: 10-06-2024
Diperbarui: 26-09-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Update 26-09-2024: Menambahkan versi patch untuk software GDC untuk VMware. Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2022-23222 |
GCP-2024-032
Dipublikasikan: 04-06-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
CVE berikut mengekspos Cloud Service Mesh ke kerentanan yang dapat dieksploitasi:
Untuk mengetahui petunjuk dan detail selengkapnya, lihat berita keamanan Cloud Service Mesh. |
Tinggi |
GCP-2024-031
Dipublikasikan: 24-05-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 terpengaruh. GKE, GKE di VMware, GKE di AWS, GKE di Azure, dan GKE di Bare Metal tidak menggunakan Fluent Bit versi yang rentan dan tidak terpengaruh. Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tidak ada | CVE-2024-4323 |
GCP-2024-030
Dipublikasikan: 15-05-2024
Diperbarui: 18-07-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Update 18-07-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2023-52620 |
GCP-2024-029
Dipublikasikan: 14-05-2024
Diperbarui: 19-08-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Update 19-08-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE. Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2024-26642 |
GCP-2024-028
Dipublikasikan: 13-05-2024
Diperbarui: 22-05-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Update 22-05-2024: Menambahkan versi patch untuk Ubuntu Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2024-26581 |
GCP-2024-027
Dipublikasikan: 08-05-2024
Diperbarui: 25-09-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Update 25-09-2024: Menambahkan versi patch untuk software GDC untuk VMware. Update 15-05-2024: Menambahkan versi patch untuk node pool GKE Ubuntu. Pembaruan 09-05-2024: Memperbaiki tingkat keparahan dari Sedang menjadi Tinggi dan mengklarifikasi bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh. Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2024-26808 |
GCP-2024-026
Dipublikasikan: 07-05-2024
Diperbarui: 06-08-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 06-08-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE. Pembaruan 09-05-2024: Memperbaiki tingkat keparahan dari Sedang menjadi Tinggi. Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2024-26643 |
GCP-2024-025
Dipublikasikan: 26-04-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Looker memperbaiki kerentanan yang dilaporkan oleh peneliti eksternal melalui program Vulnerability Reward Program (VRP) Google dan Alphabet, tetapi tidak menemukan bukti eksploitasi. Masalah ini kini telah teratasi dan tidak ada tindakan pengguna yang diperlukan untuk pelanggan yang menghosting Looker di Looker (Google Cloud core) dan Looker (asli). Instance Looker yang dihosting sendiri disarankan untuk diupdate ke versi terbaru yang didukung. Apa yang sebaiknya saya lakukan? Instance yang dihosting Looker: Instance Looker (Google Cloud core) dan Looker (asli) Pelanggan tidak perlu melakukan tindakan apa pun. Khusus instance Looker yang dihosting sendiri Jika instance Looker Anda dihosting sendiri, sebaiknya upgrade instance Looker Anda ke salah satu versi berikut:
Bagaimana cara memperbaikinya? Google menonaktifkan akses administratif langsung ke database internal dari aplikasi Looker, menghapus hak istimewa yang ditingkatkan yang mengaktifkan akses lintas-tenant, dan merotasi secret yang terekspos. Selain itu, kami telah memperbaiki kerentanan traversal jalur yang berpotensi mengekspos kredensial akun layanan. Kami juga melakukan peninjauan menyeluruh terhadap kode dan sistem kami untuk mengidentifikasi dan mengatasi potensi kerentanan serupa. |
Kritis |
GCP-2024-024
Dipublikasikan: 25-04-2024
Diperbarui: 18-07-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Update 18-07-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2024-26585 |
GCP-2024-023
Dipublikasikan: 24-04-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
CVE berikut mengekspos Cloud Service Mesh ke kerentanan yang dapat dieksploitasi:
Untuk mengetahui petunjuk dan detail selengkapnya, lihat berita keamanan Cloud Service Mesh. |
Tinggi |
GCP-2024-022
Dipublikasikan: 03-04-2024
Diperbarui: 17-07-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 17-07-2024: Menambahkan versi patch untuk GKE di VMware Pembaruan 09-07-2024: Menambahkan versi patch untuk GKE on Bare Metal Pembaruan 24-04-2024: Menambahkan versi patch untuk GKE. Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE). Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2023-45288 |
GCP-2024-021
Dipublikasikan: 03-04-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Compute Engine tidak terpengaruh oleh CVE-2024-3094, yang memengaruhi paket xz-utils versi 5.6.0 dan 5.6.1 di library liblzma, dan dapat menyebabkan penyusupan utilitas OpenSSH. Untuk mengetahui detail selengkapnya, lihat Buletin keamanan Compute Engine. |
Sedang | CVE-2024-3094 |
GCP-2024-020
Dipublikasikan: 02-04-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Peneliti menemukan kerentanan (CVE-2023-48022) di Ray. Ray adalah alat open source pihak ketiga untuk beban kerja AI. Karena Ray tidak memerlukan autentikasi, pelaku ancaman dapat melakukan eksekusi kode jarak jauh melalui pengiriman tugas ke instance yang diekspos secara publik. Kerentanan ini telah disengketakan oleh Anyscale, developer Ray. Ray mempertahankan fungsinya sebagai fitur produk inti yang diinginkan, dan keamanan harus diterapkan di luar cluster Ray, karena eksposur jaringan yang tidak diinginkan dari cluster Ray dapat menyebabkan kompromi. Berdasarkan respons tersebut, CVE ini disengketakan dan mungkin tidak muncul di pemindai kerentanan. Terlepas dari itu, fitur ini secara aktif dieksploitasi di dunia nyata dan pengguna harus mengonfigurasi penggunaannya seperti yang disarankan di bawah. Apa yang sebaiknya saya lakukan? Ikuti praktik terbaik dan panduan Ray, termasuk menjalankan kode tepercaya di jaringan tepercaya, untuk mengamankan workload Ray Anda. Deployment ray.io di instance cloud pelanggan termasuk dalam model tanggung jawab bersama. Keamanan Google Kubernetes Engine (GKE) telah memublikasikan blog tentang hardening Ray di GKE. Untuk informasi lebih lanjut tentang cara menambahkan autentikasi dan otorisasi ke layanan Ray, lihat dokumentasi Identity-Aware Proxy (IAP). Pengguna GKE dapat menerapkan IAP dengan mengikuti panduan ini atau dengan menggunakan kembali modul Terraform yang ditautkan di blog. |
Tinggi | CVE-2023-48022 |
GCP-2024-018
Dipublikasikan: 12-03-2024
Diperbarui: 04-04-2024, 06-05-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Update 06-05-2024: Menambahkan versi patch untuk node pool GKE Ubuntu. Pembaruan 04-04-2024: Memperbaiki versi minimum untuk node pool Container-Optimized OS GKE. Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2024-1085 |
GCP-2024-017
Dipublikasikan: 06-03-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2023-3611 |
GCP-2024-016
Dipublikasikan: 05-03-2024
Deskripsi | Keparahan | Catatan |
---|---|---|
VMware mengungkapkan beberapa kerentanan di VMSA-2024-0006 yang memengaruhi komponen ESXi yang di-deploy di lingkungan pelanggan. Dampak Google Cloud VMware EngineCloud pribadi Anda telah diupdate untuk mengatasi kerentanan keamanan. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. |
Kritis |
GCP-2024-014
Dipublikasikan: 26-02-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2023-3776 |
GCP-2024-013
Dipublikasikan: 27-02-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2023-3610 |
GCP-2024-012
Dipublikasikan: 20-02-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2024-0193 |
GCP-2024-011
Dipublikasikan: 15-02-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2023-6932 |
GCP-2024-010
Dipublikasikan: 14-02-2024
Diperbarui: 17-04-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 17-04-2024: Menambahkan versi patch untuk GKE di VMware. Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2023-6931 |
GCP-2024-009
Dipublikasikan: 13-02-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pada 13 Februari 2024, AMD mengungkapkan dua kerentanan yang memengaruhi SEV-SNP pada CPU EPYC berdasarkan core Zen "Milan" generasi ketiga dan "Genoa" generasi keempat. Kerentanan ini memungkinkan penyerang dengan hak istimewa mengakses data yang sudah tidak berlaku dari tamu atau menyebabkan hilangnya integritas tamu. Google telah menerapkan perbaikan pada aset yang terpengaruh, termasuk Google Cloud, untuk memastikan pelanggan terlindungi. Saat ini, tidak ada bukti eksploitasi yang ditemukan atau dilaporkan ke Google. Apa yang sebaiknya saya lakukan? Pelanggan tidak perlu melakukan tindakan apa pun. Perbaikan telah diterapkan ke kumpulan server Google untuk Google Cloud, termasuk Compute Engine. Untuk informasi selengkapnya, lihat saran keamanan AMD AMD-SN-3007. |
Sedang |
GCP-2024-008
Dipublikasikan: 12-02-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin di node tersebut. Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2023-5528 |
GCP-2024-007
Dipublikasikan: 08-02-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
CVE berikut mengekspos Cloud Service Mesh ke kerentanan yang dapat dieksploitasi:
Untuk mengetahui petunjuk dan detail selengkapnya, lihat berita keamanan Cloud Service Mesh. |
Tinggi |
GCP-2024-006
Dipublikasikan: 5-02-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Saat proxy Pengelolaan API Apigee terhubung ke endpoint target atau server target, proxy tidak melakukan validasi nama host untuk sertifikat yang ditampilkan oleh endpoint target atau server target secara default. Jika validasi nama host tidak diaktifkan menggunakan salah satu opsi berikut, proxy Apigee yang terhubung ke endpoint target atau server target mungkin berisiko terkena serangan man-in-the-middle oleh pengguna yang diotorisasi. Untuk informasi selengkapnya, lihat Mengonfigurasi TLS dari Edge ke backend (Cloud dan Cloud Pribadi). Deployment proxy Apigee di platform Apigee berikut terpengaruh:
Untuk mengetahui petunjuk dan detail selengkapnya, lihat Buletin keamanan Apigee. |
Tinggi |
GCP-2024-005
Dipublikasikan: 31-01-2024
Diperbarui: 02-04-2024, 06-05-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Update 06-05-2024: Menambahkan versi patch untuk GKE di AWS dan GKE di Azure. Pembaruan 02-04-2024: Menambahkan versi patch untuk GKE on Bare Metal Update 06-03-2024: Menambahkan versi patch untuk GKE di VMware Pembaruan 28-02-2024: Menambahkan versi patch untuk Ubuntu Update 15-02-2024: Mengklarifikasi bahwa versi patch Ubuntu 1.25 dan 1.26 dalam update 14-02-2024 dapat menyebabkan node tidak sehat. Update 14-02-2024: Menambahkan versi patch untuk Ubuntu Pembaruan 06-02-2024: Menambahkan versi patch untuk Container-Optimized OS. Kerentanan keamanan, CVE-2024-21626, telah ditemukan di Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2024-21626 |
GCP-2024-004
Dipublikasikan: 24-01-2024
Diperbarui: 07-02-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 07-02-2024: Menambahkan versi patch untuk Ubuntu. Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2023-6817 |
GCP-2024-003
Dipublikasikan: 19-01-2024
Diperbarui: 26-01-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 26-01-2024: Memperjelas jumlah cluster yang terpengaruh dan tindakan yang kami lakukan untuk membantu memitigasi dampaknya. Untuk mengetahui detailnya, lihat berita keamanan GCP-2024-003. Kami telah mengidentifikasi beberapa cluster tempat pengguna telah memberikan hak istimewa Kubernetes ke grup Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Sedang |
GCP-2024-002
Dipublikasikan: 17-01-2024
Diperbarui: 20-02-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 20-02-2024: Menambahkan versi patch untuk GKE di VMware. Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS.
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2023-6111 |
GCP-2024-001
Dipublikasikan: 09-01-2024Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Beberapa kerentanan ditemukan di firmware TianoCore EDK II UEFI. Firmware ini digunakan di VM Google Compute Engine. Jika dieksploitasi, kerentanan ini dapat memungkinkan pengabaian booting aman, yang akan memberikan pengukuran palsu dalam proses booting aman, termasuk saat digunakan di Shielded VM. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Google telah menerapkan patch pada kerentanan ini di seluruh Compute Engine dan semua VM dilindungi dari kerentanan ini. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi kerentanan berikut:
|
Sedang |
GCP-2023-051
Dipublikasikan: 28-12-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2023-3609 |
GCP-2023-050
Dipublikasikan: 27-12-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2023-3389 |
GCP-2023-049
Dipublikasikan: 20-12-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2023-3090 |
GCP-2023-048
Dipublikasikan: 15-12-2023
Diperbarui: 21-12-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 21-12-2023: Mengklarifikasi bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh. Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2023-3390 |
GCP-2023-047
Dipublikasikan: 14-12-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Penyerang yang telah membahayakan penampung logging Fluent Bit dapat menggabungkan akses tersebut dengan hak istimewa tinggi yang diperlukan oleh Cloud Service Mesh (di cluster yang telah mengaktifkannya) untuk mengeskalasi hak istimewa di cluster. Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Sedang |
GCP-2023-046
Dipublikasikan: 22-11-2023
Diperbarui: 04-03-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 04-03-2024: Menambahkan versi GKE untuk GKE di VMware. Update 22-01-2024: Menambahkan versi patch Ubuntu Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2023-5717 |
GCP-2023-045
Dipublikasikan: 20-11-2023
Diperbarui: 21-12-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 21-12-2023: Mengklarifikasi bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh. Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2023-5197 |
GCP-2023-044
Dipublikasikan: 15-11-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pada 14 November, AMD mengungkapkan beberapa kerentanan yang memengaruhi berbagai CPU server AMD. Secara khusus, kerentanan ini memengaruhi CPU Server EPYC yang memanfaatkan core Zen generasi ke-2 "Rome", generasi ke-3 "Milan", dan generasi ke-4 "Genoa". Google telah menerapkan perbaikan pada aset yang terpengaruh, termasuk Google Cloud, untuk memastikan pelanggan terlindungi. Saat ini, tidak ada bukti eksploitasi yang ditemukan atau dilaporkan ke Google. Apa yang sebaiknya saya lakukan? Pelanggan tidak perlu melakukan tindakan apa pun. Perbaikan telah diterapkan ke kumpulan server Google untuk Google Cloud, termasuk Google Compute Engine. Kerentanan apa yang ditangani? Patch ini mengurangi kerentanan berikut:
Untuk informasi selengkapnya, lihat saran keamanan AMD AMD-SN-3005: "AMD INVD Instruction Security Notice", yang juga dipublikasikan sebagai CacheWarp, dan AMD-SN-3002: "AMD Server Vulnerabilities – November 2023". |
Sedang |
GCP-2023-043
Dipublikasikan: 14-11-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Intel mengungkapkan kerentanan CPU di prosesor tertentu. Google telah mengambil langkah-langkah untuk mengurangi jumlah servernya, termasuk Google Compute Engine untuk Google Cloud, dan perangkat Chrome OS untuk memastikan pelanggan terlindungi. Detail kerentanan:
Apa yang sebaiknya saya lakukan? Pelanggan tidak perlu melakukan tindakan apa pun. Mitigasi yang disediakan oleh Intel untuk prosesor yang terpengaruh telah diterapkan ke seluruh server Google, termasuk Google Compute Engine untuk Google Cloud. Saat ini, Google Distributed Cloud Edge memerlukan update dari OEM. Google akan memperbaiki produk ini setelah update tersedia, dan buletin ini akan diperbarui sesuai kebutuhan. Perangkat Chrome OS dengan prosesor yang terpengaruh menerima perbaikan secara otomatis sebagai bagian dari rilis 119, 118, dan 114 (LTS). Kerentanan apa yang ditangani? CVE-2023-23583. Untuk mengetahui detailnya, lihat Intel Security Advisory INTEL-SA-00950. |
Tinggi | CVE-2023-23583 |
GCP-2023-042
Dipublikasikan: 13-11-2023
Diperbarui: 15-11-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 15-11-2023: Mengklarifikasi bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi yang di-patch yang sesuai untuk GKE. Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2023-4147 |
GCP-2023-041
Dipublikasikan: 08-11-2023
Diperbarui: 21-11-2023, 05-12-2023, 21-12-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 21-12-2023: Mengklarifikasi bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh. Pembaruan 05-12-2023: Menambahkan versi GKE tambahan untuk node pool Container-Optimized OS. Pembaruan 21-11-2023: Mengklarifikasi bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi yang di-patch yang sesuai untuk GKE. Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2023-4004 |
GCP-2023-040
Dipublikasikan: 06-11-2023
Diperbarui: 21-11-2023, 21-12-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 21-12-2023: Mengklarifikasi bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh. Pembaruan 21-11-2023: Mengklarifikasi bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi yang di-patch yang sesuai untuk GKE. Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2023-4921 |
GCP-2023-039
Dipublikasikan: 06-11-2023
Diperbarui: 21-11-2023, 16-11-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 21-11-2023: Mengklarifikasi bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi yang di-patch yang sesuai untuk GKE. Update 16-11-2023: Kerentanan yang terkait dengan buletin keamanan ini adalah CVE-2023-4622. CVE-2023-4623 salah dicantumkan sebagai kerentanan dalam buletin keamanan versi sebelumnya. Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2023-4622 |
GCP-2023-038
Dipublikasikan: 06-11-2023
Diperbarui: 21-11-2023, 21-12-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 21-12-2023: Mengklarifikasi bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh. Pembaruan 21-11-2023: Mengklarifikasi bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi yang di-patch yang sesuai untuk GKE. Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2023-4623 |
GCP-2023-037
Dipublikasikan: 06-11-2023
Diperbarui: 21-11-2023, 21-12-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 21-12-2023: Mengklarifikasi bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh. Pembaruan 21-11-2023: Mengklarifikasi bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi yang di-patch yang sesuai untuk GKE. Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2023-4015 |
GCP-2023-036
Dipublikasikan: 30-10-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Deep Learning VM Image adalah kumpulan image virtual machine bawaan dengan framework deep learning yang siap dijalankan. Baru-baru ini, kerentanan penulisan di luar batas ditemukan dalam fungsi `ReadHuffmanCodes()` di library `libwebp`. Hal ini dapat memengaruhi gambar yang menggunakan library ini. Google Cloud terus memindai image yang dipublikasikan secara publik dan mengupdate paket untuk memastikan distro yang di-patch disertakan dalam rilis terbaru yang tersedia untuk diadopsi pelanggan. Deep Learning VM Image telah diupdate untuk memastikan bahwa image VM terbaru menyertakan distro yang di-patch. Pelanggan yang menggunakan image VM terbaru tidak akan terpengaruh oleh kerentanan ini. Apa yang sebaiknya saya lakukan? Pelanggan Google Cloud yang menggunakan image VM yang dipublikasikan harus memastikan bahwa mereka menggunakan image terbaru dan lingkungan mereka sudah yang terbaru sesuai dengan model tanggung jawab bersama. CVE-2023-4863 dapat dieksploitasi oleh penyerang untuk mengeksekusi kode arbitrer. Kerentanan ini diidentifikasi di Google Chrome sebelum versi 116.0.5845.187 dan di `libwebp` sebelum versi 1.3.2 dan tercantum dalam CVE-2023-4863. |
Tinggi | CVE-2023-4863 |
GCP-2023-035
Dipublikasikan: 26-10-2023
Diperbarui: 21-11-2023, 21-12-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 21-12-2023: Mengklarifikasi bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh. Pembaruan 21-11-2023: Mengklarifikasi bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi yang di-patch yang sesuai untuk GKE. Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2023-4206CVE-2023-4207, CVE-2023-4208, CVE-2023-4128 |
GCP-2023-034
Dipublikasikan: 25-10-2023
Diperbarui: 27-10-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
VMware mengungkapkan beberapa kerentanan di VMSA-2023-0023 yang memengaruhi komponen vCenter yang di-deploy di lingkungan pelanggan. Dampak Cloud Customer Care
Apa yang harus saya lakukan?Untuk saat ini, Anda tidak perlu melakukan tindakan lebih lanjut |
Kritis | CVE-2023-34048,CVE-2023-34056 |
GCP-2023-033
Dipublikasikan: 24-10-2023
Diperbarui: 21-11-2023, 21-12-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 21-12-2023: Mengklarifikasi bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh dan workload GKE Sandbox tidak terpengaruh. Pembaruan 21-11-2023: Mengklarifikasi bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi yang di-patch yang sesuai untuk GKE. Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2023-3777 |
GCP-2023-032
Dipublikasikan: 13-10-2023
Diperbarui: 03-11-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 03-11-2023: Menambahkan masalah umum untuk Apigee Edge untuk Private Cloud. Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan dalam beberapa penerapan protokol HTTP/2 (CVE-2023-44487), termasuk layanan Apigee Ingress (Cloud Service Mesh) yang digunakan oleh Apigee X dan Apigee Hybrid. Kerentanan ini dapat menyebabkan DoS pada fungsi pengelolaan Apigee API. Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan Apigee. |
Tinggi | CVE-2023-44487 |
GCP-2023-031
Dipublikasikan: 10-10-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Serangan denial of service dapat memengaruhi bidang data saat menggunakan protokol HTTP/2. Untuk mengetahui petunjuk dan detail selengkapnya, lihat berita keamanan Cloud Service Mesh. |
Tinggi | CVE-2023-44487 |
GCP-2023-030
Dipublikasikan: 10-10-2023
Diperbarui: 20-03-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Update 20-03-2024: Menambahkan versi patch untuk GKE di AWS dan GKE di Azure dengan patch terbaru untuk CVE-2023-44487. Update 14-02-2024: Menambahkan versi patch untuk GKE di VMware. Update 09-11-2023: Menambahkan CVE-2023-39325. Memperbarui versi GKE dengan patch terbaru untuk CVE-2023-44487 dan CVE-2023-39325. Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE). Cluster GKE dengan jaringan resmi yang dikonfigurasi dilindungi dengan membatasi akses jaringan, tetapi semua cluster lainnya akan terpengaruh. Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2023-44487, CVE-2023-39325 |
GCP-2023-029
Dipublikasikan: 03-10-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
TorchServe digunakan untuk menghosting model machine learning PyTorch untuk prediksi online. Vertex AI menyediakan container penayangan model PyTorch bawaan yang bergantung pada TorchServe. Kerentanan baru-baru ini ditemukan di TorchServe yang memungkinkan penyerang mengontrol deployment TorchServe jika API pengelolaan modelnya terekspos. Pelanggan dengan model PyTorch yang di-deploy ke prediksi online Vertex AI tidak terpengaruh oleh kerentanan ini, karena Vertex AI tidak mengekspos API pengelolaan model TorchServe. Pelanggan yang menggunakan TorchServe di luar Vertex AI harus melakukan tindakan pencegahan untuk memastikan deployment mereka disiapkan dengan aman. Apa yang sebaiknya saya lakukan? Pelanggan Vertex AI dengan model yang di-deploy menggunakan container penayangan PyTorch bawaan Vertex AI tidak perlu melakukan tindakan apa pun untuk mengatasi kerentanan tersebut, karena deployment Vertex AI tidak mengekspos server pengelolaan TorchServe ke internet. Pelanggan yang menggunakan container PyTorch bawaan dalam konteks lain, atau yang menggunakan distribusi TorchServe yang dibuat khusus atau dari pihak ketiga harus melakukan hal berikut:
Kerentanan apa yang ditangani? API pengelolaan TorchServe terikat pada CVE-2023-43654 dan CVE-2022-1471 memungkinkan pengguna dengan akses ke API pengelolaan dapat memuat model dari sumber arbitrer dan mengeksekusi kode dari jarak jauh. Mitigasi untuk kedua masalah ini tercakup dalam TorchServe 0.8.2: jalur eksekusi kode jarak jauh akan dihapus, dan peringatan akan dimunculkan jika nilai default untuk |
Tinggi | CVE-2023-43654, CVE-2022-1471 |
GCP-2023-028
Dipublikasikan: 19-09-2023
Diperbarui: 29-05-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 29-05-2024: Feed baru tidak lagi menggunakan akun layanan bersama, tetapi tetap aktif untuk feed yang ada guna menghindari gangguan layanan. Perubahan pada sumber di feed lama diblokir untuk
mencegah penyalahgunaan akun layanan bersama. Pelanggan dapat terus menggunakan
feed lama mereka seperti biasa, selama mereka tidak mengubah sumbernya.
Pelanggan dapat mengonfigurasi Google Security Operations untuk menyerap data dari bucket Cloud Storage milik pelanggan menggunakan feed penyerapan. Hingga baru-baru ini, Google Security Operations menyediakan akun layanan bersama yang digunakan pelanggan untuk memberikan izin ke bucket. Ada peluang sehingga instance Google Security Operations milik satu pelanggan dapat dikonfigurasi untuk menyerap data dari bucket Cloud Storage milik pelanggan lain. Setelah melakukan analisis dampak, kami tidak menemukan eksploitasi kerentanan ini saat ini atau sebelumnya. Kerentanan ini ada di semua versi Google Security Operations sebelum 19 September 2023. Apa yang sebaiknya saya lakukan? Mulai 19 September 2023, Google Security Operations telah diupdate untuk mengatasi kerentanan ini. Pelanggan tidak perlu melakukan tindakan apa pun. Kerentanan apa yang ditangani? Sebelumnya, Google Security Operations menyediakan akun layanan bersama yang digunakan pelanggan untuk memberikan izin ke bucket. Karena pelanggan yang berbeda memberikan izin akun layanan Google Security Operations yang sama ke bucket mereka, terdapat vektor eksploitasi yang memungkinkan feed satu pelanggan mengakses bucket pelanggan lain saat feed dibuat atau diubah. Vektor eksploitasi ini memerlukan pengetahuan tentang URI bucket. Sekarang, selama pembuatan atau perubahan feed, Google Security Operations menggunakan akun layanan unik untuk setiap pelanggan. |
Tinggi |
GCP-2023-027
Dipublikasikan: 11-09-2023Deskripsi | Keparahan | Catatan |
---|---|---|
Update VMware vCenter Server mengatasi beberapa kerentanan kerusakan memori (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896) Dampak Layanan PelangganVMware vCenter Server (vCenter Server) dan VMware Cloud Foundation (Cloud Foundation). Apa yang harus saya lakukan?Pelanggan tidak terpengaruh dan tidak perlu melakukan tindakan apa pun. |
Sedang |
GCP-2023-026
Dipublikasikan: 06-09-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, yaitu pengguna yang dapat membuat Pod di node Windows mungkin dapat mengeskalasi ke hak istimewa admin di node tersebut. Kerentanan ini memengaruhi Kubelet versi Windows dan proxy CSI Kubernetes. Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2023-3676, CVE-2023-3955, CVE-2023-3893 |
GCP-2023-025
Dipublikasikan: 08-08-2023Deskripsi | Keparahan | Catatan |
---|---|---|
Intel baru-baru ini mengumumkan Intel Security Advisory INTEL-SA-00828 yang memengaruhi beberapa keluarga prosesor mereka. Sebaiknya Anda menilai risiko berdasarkan saran tersebut. Dampak Google Cloud VMware EngineArmada kami menggunakan keluarga prosesor yang terpengaruh. Dalam deployment kami, seluruh server didedikasikan untuk satu pelanggan. Oleh karena itu, model deployment kami tidak menambahkan risiko tambahan apa pun pada penilaian Anda terhadap kerentanan ini. Kami sedang bekerja sama dengan partner kami untuk mendapatkan patch yang diperlukan dan akan men-deploy patch ini secara prioritas di seluruh fleet menggunakan proses upgrade standar dalam beberapa minggu ke depan. Apa yang harus saya lakukan?Anda tidak perlu melakukan apa pun, kami sedang berupaya mengupgrade semua sistem yang terpengaruh. |
Tinggi |
GCP-2023-024
Dipublikasikan: 08-08-2023
Diperbarui: 10-08-2023, 04-06-2024
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Update 04-06-2024: Produk yang tidak ada berikut kini telah diperbarui untuk memperbaiki kerentanan ini:
Pembaruan 10-08-2023: Menambahkan nomor versi LTS ChromeOS. Intel mengungkapkan kerentanan di prosesor tertentu (CVE-2022-40982). Google telah mengambil langkah-langkah untuk memitigasi armada servernya, termasuk Google Cloud, untuk memastikan pelanggan terlindungi. Detail kerentanan:
Apa yang sebaiknya saya lakukan?
Pelanggan tidak perlu melakukan tindakan apa pun. Semua patch yang tersedia telah diterapkan ke kumpulan server Google untuk Google Cloud, termasuk Google Compute Engine. Saat ini, produk berikut memerlukan pembaruan tambahan dari partner dan vendor.
Google akan memperbaiki produk ini setelah patch ini tersedia, dan buletin ini akan diperbarui. Pelanggan Google Chromebook dan ChromeOS Flex otomatis menerima mitigasi yang disediakan Intel di Stabil (115), LTS (108), Beta (116), dan LTC (114). Pelanggan Chromebook dan ChromeOS Flex yang disematkan ke rilis lama harus mempertimbangkan untuk melepas sematkan dan beralih ke rilis Stabil atau LTS untuk memastikan mereka menerima perbaikan kerentanan ini dan kerentanan lainnya. Kerentanan apa yang ditangani? CVE-2022-40982 - Untuk informasi selengkapnya, lihat Intel Security Advisory INTEL-SA-00828. |
Tinggi | CVE-2022-40982 |
GCP-2023-023
Dipublikasikan: 08-08-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
AMD mengungkapkan kerentanan pada prosesor tertentu (CVE-2023-20569). Google telah mengambil langkah-langkah untuk memitigasi armada servernya, termasuk Google Cloud, untuk memastikan pelanggan terlindungi. Detail kerentanan:
Apa yang sebaiknya saya lakukan?
Pengguna VM Compute Engine harus mempertimbangkan mitigasi yang disediakan OS jika menggunakan eksekusi kode tidak tepercaya dalam instance. Sebaiknya pelanggan menghubungi vendor OS mereka untuk mendapatkan panduan yang lebih spesifik. Perbaikan telah diterapkan ke kumpulan server Google untuk Google Cloud, termasuk Google Compute Engine. Kerentanan apa yang ditangani? CVE-2023-20569 - Untuk informasi selengkapnya, lihat AMD SB-7005. |
Sedang | CVE-2023-20569 |
GCP-2023-022
Dipublikasikan: 03-08-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Google mengidentifikasi kerentanan dalam Implementasi gRPC C++ sebelum rilis 1.57. Ini adalah kerentanan Denial of Service dalam implementasi C++ gRPC. Masalah ini telah diperbaiki dalam rilis 1.53.2, 1.54.3, 1.55.2, 1.56.2, dan 1.57. Apa yang sebaiknya saya lakukan? Pastikan Anda menggunakan paket software berikut versi terbaru:
Kerentanan apa yang ditangani? Patch ini mengurangi kerentanan berikut:
| Tinggi | CVE-2023-33953 |
GCP-2023-021
Updated:2023-07-26
Published:2023-07-25
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
CVE berikut mengekspos Cloud Service Mesh ke kerentanan yang dapat dieksploitasi:
Untuk mengetahui petunjuk dan detail selengkapnya, lihat berita keamanan Cloud Service Mesh. |
Tinggi |
GCP-2023-020
Updated:2023-07-26
Dipublikasikan: 24-07-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
AMD telah merilis update mikrokode yang mengatasi kerentanan keamanan hardware (CVE-2023-20593). Google telah menerapkan perbaikan yang diperlukan untuk kerentanan ini ke kumpulan servernya, termasuk server untuk Google Cloud Platform. Pengujian menunjukkan tidak ada dampak pada performa sistem. Apa yang sebaiknya saya lakukan? Pelanggan tidak perlu melakukan tindakan apa pun, karena perbaikan telah diterapkan ke kumpulan server Google untuk Google Cloud Platform. Kerentanan apa yang ditangani? CVE-2023-20593 mengatasi kerentanan di beberapa CPU AMD. Informasi selengkapnya dapat ditemukan di sini. | Tinggi | CVE-2023-20593 |
GCP-2023-019
Published:2023-07-18
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Kerentanan baru (CVE-2023-35945) telah ditemukan di Envoy
saat respons yang dibuat secara khusus dari layanan upstream yang tidak tepercaya
dapat menyebabkan denial of service melalui kehabisan memori. Hal ini disebabkan oleh codec HTTP/2 Envoy yang dapat membocorkan peta header dan struktur pencatatan setelah menerima Untuk mengetahui petunjuk dan detail selengkapnya, lihat berita keamanan Cloud Service Mesh. | Tinggi | CVE-2023-35945 |
GCP-2023-018
Dipublikasikan: 27-06-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. Cluster GKE Autopilot terpengaruh karena node GKE Autopilot selalu menggunakan image node Container-Optimized OS. Cluster GKE Standard dengan versi 1.25 atau yang lebih baru yang menjalankan image node Container-Optimized OS akan terpengaruh. Cluster GKE tidak akan terpengaruh jika hanya menjalankan image node Ubuntu, atau menjalankan versi sebelum 1.25, atau menggunakan GKE Sandbox. Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2023-2235 |
GCP-2023-017
Dipublikasikan: 26-06-2023
Diperbarui: 11-07-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Update 11-07-2023: Versi GKE baru telah diupdate untuk menyertakan versi Ubuntu terbaru yang melakukan patch pada CVE-2023-31436. Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. Cluster GKE, termasuk cluster Autopilot, terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh. Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2023-31436 |
GCP-2023-016
Dipublikasikan: 26-06-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Sejumlah kerentanan telah ditemukan di Envoy, yang digunakan di Cloud Service Mesh yang memungkinkan penyerang berbahaya menyebabkan denial of service atau membuat Envoy mengalami error. Hal ini dilaporkan secara terpisah sebagai GCP-2023-002. Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487 |
GCP-2023-015
Dipublikasikan: 20-06-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Kerentanan baru, CVE-2023-0468, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna tanpa hak istimewa untuk meningkatkan hak istimewa ke root saat io_poll_get_ownership akan terus meningkatkan req->poll_refs pada setiap io_poll_wake, lalu melampaui batas ke 0 yang akan fput req->file dua kali dan menyebabkan masalah refcount file struct. Cluster GKE, termasuk cluster Autopilot, dengan Container-Optimized OS yang menggunakan Linux Kernel versi 5.15 terpengaruh. Cluster GKE yang menggunakan image Ubuntu atau menggunakan GKE Sandbox tidak terpengaruh. Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Sedang | CVE-CVE-2023-0468 |
GCP-2023-014
Diperbarui: 11-08-2023
Dipublikasikan: 15-06-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 11-08-2023: Menambahkan versi patch untuk GKE di VMware, GKE di AWS, GKE di Azure, dan Google Distributed Cloud Virtual untuk Bare Metal. Dua masalah keamanan baru ditemukan di Kubernetes, yaitu pengguna mungkin dapat meluncurkan penampung yang mengabaikan batasan kebijakan saat menggunakan penampung sementara dan ImagePolicyWebhook (CVE-2023-2727) atau plugin izin ServiceAccount (CVE-2023-2728). Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Sedang | CVE-2023-2727, CVE-2023-2728 |
GCP-2023-013
Dipublikasikan: 08-06-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Saat Anda mengaktifkan Cloud Build API dalam project, Cloud Build akan otomatis membuat akun layanan default untuk menjalankan build atas nama Anda. Akun layanan Cloud Build ini sebelumnya memiliki izin IAM Untuk petunjuk dan detail selengkapnya, lihat berita keamanan Cloud Build. |
Rendah |
GCP-2023-010
Dipublikasikan: 07-06-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Google mengidentifikasi tiga kerentanan baru dalam penerapan gRPC C ++. Masalah ini akan segera dipublikasikan secara publik sebagai CVE-2023-1428, CVE-2023-32731, dan CVE-2023-32732. Pada bulan April, kami mengidentifikasi dua kerentanan dalam rilis 1.53 dan 1.54. Salah satunya adalah kerentanan Denial-of-Service dalam implementasi C++ gRPC dan yang lainnya adalah kerentanan eksfiltrasi data jarak jauh. Masalah ini telah diperbaiki dalam rilis 1.53.1, 1.54.2, dan yang lebih baru. Sebelumnya pada bulan Maret, tim internal kami menemukan kerentanan Denial-of-Service dalam implementasi C++ gRPC saat melakukan aktivitas fuzzing rutin. Masalah ini ditemukan dalam rilis gRPC 1.52, dan telah diperbaiki dalam rilis 1.52.2 dan 1.53. Apa yang harus saya lakukan?Pastikan Anda menggunakan paket software berikut versi terbaru:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi kerentanan berikut:
Sebaiknya upgrade ke versi terbaru paket software berikut seperti yang tercantum di atas. |
Tinggi (CVE-2023-1428, CVE-2023-32731). Sedang (CVE-2023-32732) | CVE-2023-1428, CVE-2023-32731, CVE-023-32732 |
GCP-2023-009
Dipublikasikan: 06-06-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Kerentanan baru (CVE-2023-2878) telah ditemukan di driver secrets-store-csi, tempat pelaku dengan akses ke log driver dapat mengamati token akun layanan. Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tidak ada | CVE-2023-2878 |
GCP-2023-008
Dipublikasikan: 05-06-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa ke root di node. Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2023-1872 |
GCP-2023-007
Dipublikasikan: 2023-06-02
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Baru-baru ini ditemukan kerentanan di Cloud SQL untuk SQL Server yang
memungkinkan akun administrator pelanggan membuat pemicu di database
Google Cloud menyelesaikan masalah ini dengan mem-patch kerentanan keamanan paling lambat 1 Maret 2023. Google Cloud tidak menemukan instance pelanggan yang disusupi. Untuk petunjuk dan detail selengkapnya, lihat Buletin keamanan Cloud SQL. |
Tinggi |
GCP-2023-005
Dipublikasikan: 18-05-2023
Diperbarui: 06-06-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Update 06-06-2023: Versi GKE baru telah diupdate untuk menyertakan versi Ubuntu terbaru yang menerapkan patch CVE-2023-1281 dan CVE-2023-1829. Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa ke root di node. Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2023-1281 CVE-2023-1829 |
GCP-2023-004
Dipublikasikan: 26-04-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Dua kerentanan (CVE-2023-1017 dan CVE-2023-1018) ditemukan di Trusted Platform Module (TPM) 2.0. Kerentanan ini dapat memungkinkan penyerang canggih untuk mengeksploitasi operasi baca/tulis di luar batas 2 byte pada VM Compute Engine tertentu. Untuk petunjuk dan detail selengkapnya, lihat berita keamanan Compute Engine. |
Sedang |
GCP-2023-003
Dipublikasikan: 11-04-2023
Diperbarui: 21-12-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 21-12-2023: Mengklarifikasi bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh. Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna tanpa hak istimewa untuk meningkatkan hak istimewa. Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2023-0240, CVE-2023-23586 |
GCP-2023-002
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
CVE berikut mengekspos Cloud Service Mesh ke kerentanan yang dapat dieksploitasi:
Untuk mengetahui petunjuk dan detail selengkapnya, lihat berita keamanan Cloud Service Mesh.: |
Tinggi |
GCP-2023-001
Dipublikasikan: 01-03-2023, 21-12-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 21-12-2023: Mengklarifikasi bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh. Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2022-4696 |
GCP-2022-026
Dipublikasikan: 11-01-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error. Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Sedang |
GCP-2022-025
Dipublikasikan: 21-12-2022
Diperbarui: 19-01-2023, 21-12-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 21-12-2023: Mengklarifikasi bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh. Pembaruan 19-01-2023: Menambahkan informasi bahwa GKE versi 1.21.14-gke.14100 tersedia. Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error. Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Sedang |
GCP-2022-024
Dipublikasikan: 09-11-2022
Diperbarui: 19-01-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 19-01-2023: Menambahkan informasi bahwa GKE versi 1.21.14-gke.14100 tersedia. Update 16-12-2022: Menambahkan versi patch untuk GKE dan GKE di VMware. Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan container penuh keluar ke root di node. Untuk petunjuk dan detail selengkapnya, lihat: |
Tinggi |
GCP-2022-023
Dipublikasikan: 04-11-2022
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh, yang memungkinkan penyerang berbahaya membuat bidang kontrol error. Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2022-39278 |
GCP-2022-022
Dipublikasikan: 28-10-2022
Diperbarui: 14-12-2022
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Update 14-12-2022: Menambahkan versi patch untuk GKE dan GKE di VMware. Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna tanpa hak istimewa untuk melakukan eskalasi ke hak eksekusi sistem. Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2022-20409 |
GCP-2022-021
Dipublikasikan: 27-10-2022
Diperbarui: 19-01-2023, 21-12-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 21-12-2023: Mengklarifikasi bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh. Pembaruan 19-01-2023: Menambahkan informasi bahwa GKE versi 1.21.14-gke.14100 tersedia. Pembaruan 15-12-2022: Memperbarui informasi bahwa versi Google Kubernetes Engine 1.21.14-gke.9400 tertunda peluncurannya dan dapat diganti dengan nomor versi yang lebih tinggi. Update 22-11-2022: Menambahkan versi patch untuk GKE di VMware, GKE di AWS, dan GKE di Azure. Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mendapatkan breakout penampung penuh ke root di node. Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi | CVE-2022-3176 |
GCP-2022-020
Dipublikasikan: 05-10-2022
Diperbarui: 12-10-2022
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Bidang kontrol Istio Untuk mengetahui petunjuk dan detail selengkapnya, lihat berita keamanan Cloud Service Mesh. |
Tinggi | CVE-2022-39278 |
GCP-2022-019
Dipublikasikan: 22-09-2022
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Kerentanan penguraian pesan dan pengelolaan memori dalam implementasi C++ dan Python ProtocolBuffer dapat memicu kegagalan memori habis (OOM) saat memproses pesan yang dibuat secara khusus. Hal ini dapat menyebabkan denial of service (DoS) pada layanan yang menggunakan library. Apa yang harus saya lakukan?Pastikan Anda menggunakan paket software berikut versi terbaru:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi jenis kerentanan berikut:
Pesan kecil yang dibuat khusus yang menyebabkan layanan yang berjalan
mengalokasikan RAM dalam jumlah besar. Ukuran permintaan yang kecil berarti
mudah untuk memanfaatkan kerentanan dan menghabiskan
resource. Sistem C++ dan Python yang menggunakan protobuf tidak tepercaya
akan rentan terhadap serangan DoS jika berisi
objek |
Sedang | CVE-2022-1941 |
GCP-2022-018
Dipublikasikan: 01-08-2022
Diperbarui: 14-09-2022, 21-12-2023
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 21-12-2023: Mengklarifikasi bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh. Update 14-09-2022: Menambahkan versi patch untuk GKE di VMware, GKE di AWS, dan GKE di Azure. Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mencapai pemisahan penampung penuh ke root di node. Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: | Tinggi | CVE-2022-2327 |
GCP-2022-017
Dipublikasikan: 29-06-2022
Diperbarui: 22-11-2022
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Update 22-11-2022: Workload yang menggunakan GKE Sandbox tidak terpengaruh oleh kerentanan ini. Pembaruan 21-07-2022: informasi tambahan tentang GKE di VMware. Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna tanpa hak istimewa dengan akses lokal ke cluster untuk mencapai pemisahan penampung penuh ke root di node. Hanya cluster yang menjalankan Container-Optimized OS yang terpengaruh. Versi Ubuntu GKE menggunakan kernel versi 5.4 atau 5.15 dan tidak terpengaruh. Untuk petunjuk dan detail selengkapnya, lihat: |
Tinggi | CVE-2022-1786 |
GCP-2022-016
Dipublikasikan: 23-06-2022
Diperbarui: 22-11-2022
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Update 22-11-2022: Cluster Autopilot tidak terpengaruh oleh CVE-2022-29581, tetapi rentan terhadap CVE-2022-29582 dan CVE-2022-1116. Tiga kerentanan kerusakan memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna tanpa hak istimewa dengan akses lokal ke cluster untuk mencapai pemisahan penampung penuh ke root di node. Semua cluster Linux (Container-Optimized OS dan Ubuntu) akan terpengaruh. Untuk petunjuk dan detail selengkapnya, lihat buletin berikut: |
Tinggi |
GCP-2022-015
Dipublikasikan: 09-06-2022
Diperbarui: 10-06-2022
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Update 10-06-2022: Versi Cloud Service Mesh telah diupdate. Untuk mengetahui petunjuk dan detail selengkapnya, lihat berita keamanan Cloud Service Mesh. CVE Envoy dan Istio berikut mengekspos Cloud Service Mesh dan Istio di GKE ke kerentanan yang dapat dieksploitasi dari jarak jauh:
Untuk mengetahui petunjuk dan detail selengkapnya, lihat berita keamanan Cloud Service Mesh. |
Kritis |
GCP-2022-014
Dipublikasikan: 26-04-2022
Diperbarui: 22-11-2022
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 22-11-2022: Cluster dan workload GKE Autopilot yang berjalan di GKE Sandbox tidak terpengaruh. Pembaruan 12-05-2022: Versi GKE di AWS dan GKE di Azure telah diperbarui. Untuk petunjuk dan detail selengkapnya, lihat: Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap masalah dapat menyebabkan penyerang lokal dapat melakukan container breakout, eskalasi akses di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu). Untuk petunjuk dan detail selengkapnya, lihat buletin keamanan berikut: |
Tinggi |
CVE-2022-1055 CVE-2022-27666 |
GCP-2022-013
Dipublikasikan: 11-04-2022
Diperbarui: 22-04-2022
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan containerd terhadap traversal jalur dalam spesifikasi volume image OCI. Container yang diluncurkan melalui penerapan CRI containerd dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke file dan direktori arbitrer di host. Kerentanan ini dapat mengabaikan penerapan berbasis kebijakan pada penyiapan penampung (termasuk Kebijakan Keamanan Pod Kubernetes). Untuk petunjuk dan detail selengkapnya, lihat buletin keamanan berikut: |
Sedang | CVE-2022-23648 |
GCP-2022-012
Dipublikasikan: 07-04-2022
Diperbarui: 22-11-2022
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 22-11-2022: Untuk cluster GKE dalam kedua mode, Standard dan Autopilot, workload yang menggunakan GKE Sandbox tidak terpengaruh. Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa penampung ke root. Kerentanan ini memengaruhi produk berikut:
Untuk petunjuk dan detail selengkapnya, lihat buletin keamanan berikut: |
Tinggi | CVE-2022-0847 |
GCP-2022-011
Dipublikasikan: 22-03-2022
Diperbarui: 11-08-2022
Deskripsi
Deskripsi | Keparahan |
---|---|
Pembaruan 11-08-2022: Menambahkan informasi selengkapnya tentang konfigurasi Multi-Threading Simultan (SMT). SMT dimaksudkan untuk dinonaktifkan, tetapi diaktifkan pada versi yang tercantum. Jika Anda mengaktifkan SMT secara manual untuk node pool dengan sandbox, SMT akan tetap diaktifkan secara manual meskipun ada masalah ini. Ada kesalahan konfigurasi pada Simultaneous Multi-Threading (SMT), yang juga dikenal sebagai Hyper-threading, pada image GKE Sandbox. Konfigurasi yang salah membuat node berpotensi terekspos terhadap serangan side channel seperti Sampling Data Mikroarsitektur (MDS) (untuk konteks selengkapnya, lihat dokumentasi GKE Sandbox). Sebaiknya jangan gunakan versi yang terpengaruh berikut:
Untuk petunjuk dan detail selengkapnya, lihat: Buletin keamanan GKE. |
Sedang |
GCP-2022-010
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
CVE Istio berikut mengekspos Cloud Service Mesh ke kerentanan yang dapat dimanfaatkan dari jarak jauh:
Untuk petunjuk dan detail selengkapnya, lihat buletin keamanan berikut: |
Tinggi |
GCP-2022-009
Dipublikasikan: 01-03-2022Deskripsi
Deskripsi | Keparahan |
---|---|
Beberapa jalur yang tidak terduga untuk mengakses VM node di cluster GKE Autopilot dapat digunakan untuk mengeskalasi hak istimewa di cluster. Masalah ini telah diperbaiki dan Anda tidak perlu melakukan tindakan lebih lanjut. Perbaikan ini mengatasi masalah yang dilaporkan melalui Vulnerability Reward Program kami. Untuk petunjuk dan detail selengkapnya, lihat Buletin keamanan GKE |
Rendah |
GCP-2022-008
Dipublikasikan: 23-02-2022
Diperbarui: 28-04-2022
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 28-04-2022: Menambahkan versi GKE di VMware yang memperbaiki kerentanan ini. Untuk mengetahui detailnya, lihat Buletin keamanan GKE di VMware. Project Envoy baru-baru ini menemukan serangkaian kerentanan. Semua masalah yang tercantum di bawah telah diperbaiki dalam rilis Envoy 1.21.1.
Apa yang harus saya lakukan? Pengguna Envoy yang mengelola Envoy mereka sendiri harus memastikan bahwa mereka menggunakan rilis Envoy 1.21.1. Pengguna Envoy yang mengelola Envoy mereka sendiri akan mem-build biner dari sumber seperti GitHub dan men-deploynya. Tidak ada tindakan yang perlu dilakukan oleh pengguna yang menjalankan Envoy terkelola (Google Cloud menyediakan biner Envoy), yang produk Google Cloud-nya akan beralih ke 1.21.1. |
Tinggi |
CVE-2022-23606 CVE-2022-21655 CVE-2021-43826 CVE-2021-43825 CVE-2021-43824 CVE-2022-21654CVE-2022-21657CVE-2022-21656 |
GCP-2022-007
Dipublikasikan: 22-02-2022Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
CVE Envoy dan Istio berikut mengekspos Cloud Service Mesh dan Istio di GKE ke kerentanan yang dapat dieksploitasi dari jarak jauh:
Untuk petunjuk dan detail selengkapnya, lihat buletin keamanan berikut: |
Tinggi |
GCP-2022-006
Dipublikasikan: 14-02-2022Diperbarui: 16-05-2022
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 16-05-2022: Menambahkan GKE versi 1.19.16-gke.7800 atau yang lebih baru ke daftar versi yang memiliki kode untuk memperbaiki kerentanan ini. Untuk mengetahui detailnya, lihat Buletin keamanan GKE. Pembaruan 12-05-2022: Versi GKE, GKE di VMware, GKE di AWS, dan GKE di Azure telah diperbarui. Untuk petunjuk dan detail selengkapnya, lihat:
Kerentanan keamanan, CVE-2022-0492,
telah ditemukan dalam fungsi |
Rendah |
Untuk petunjuk dan detail selengkapnya, lihat: |
GCP-2022-005
Dipublikasikan: 11-02-2022Diperbarui: 15-02-2022
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Kerentanan keamanan, CVE-2021-43527, telah ditemukan dalam biner apa pun yang ditautkan ke versi libnss3 yang rentan yang ditemukan dalam versi NSS (Network Security Services) sebelum 3.73 atau 3.68.1. Aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsi TLS, X.509, OCSP, atau CRL lainnya mungkin terpengaruh, bergantung pada cara NSS digunakan/dikonfigurasi. Untuk petunjuk dan detail selengkapnya, lihat: |
Sedang | CVE-2021-43527 |
GCP-2022-004
Dipublikasikan: 04-02-2022Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Kerentanan keamanan, CVE-2021-4034, telah ditemukan di pkexec, bagian dari paket policy kit Linux (polkit), yang memungkinkan pengguna yang diautentikasi untuk melakukan serangan eskalasi hak istimewa. PolicyKit umumnya hanya digunakan di sistem desktop Linux untuk memungkinkan pengguna non-root melakukan tindakan seperti memulai ulang sistem, menginstal paket, memulai ulang layanan, dll., sebagaimana diatur oleh kebijakan. Untuk petunjuk dan detail selengkapnya, lihat: |
Tidak ada | CVE-2021-4034 |
GCP-2022-002
Dipublikasikan: 01-02-2022Diperbarui: 25-02-2022
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 25-02-2022: Versi GKE telah diupdate. Untuk petunjuk dan detail selengkapnya, lihat: Pembaruan 23-02-2022: Versi GKE dan GKE di VMware telah diupdate. Untuk petunjuk dan detail selengkapnya, lihat: Pembaruan 04-02-2022: Tanggal mulai peluncuran untuk versi patch GKE adalah 2 Februari. Tiga kerentanan keamanan, CVE-2021-4154, CVE-2021-22600, dan CVE-2022-0185, telah ditemukan di kernel Linux, yang masing-masing dapat menyebabkan breakout penampung, eskalasi hak istimewa di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node (COS dan Ubuntu) di GKE, GKE di VMware, GKE di AWS (generasi saat ini dan sebelumnya), serta GKE di Azure. Pod yang menggunakan GKE Sandbox tidak rentan terhadap kerentanan ini. Lihat catatan rilis COS untuk mengetahui detail selengkapnya. Untuk petunjuk dan detail selengkapnya, lihat: |
Tinggi |
GCP-2022-001
Dipublikasikan: 06-01-2022Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Potensi masalah Denial of Service di Apa yang sebaiknya saya lakukan? Pastikan Anda menggunakan paket software berikut versi terbaru:
Pengguna "javalite" Protobuf (biasanya Android) tidak terpengaruh. Kerentanan apa yang diatasi oleh patch ini? Patch ini mengurangi jenis kerentanan berikut: Kelemahan implementasi dalam cara penguraian kolom yang tidak diketahui di Java. Payload malicious kecil (~800 KB) dapat menempati parser selama beberapa menit dengan membuat banyak objek berumur pendek yang menyebabkan seringnya jeda pengumpulan sampah berulang. |
Tinggi | CVE-2021-22569 |
GCP-2021-024
Dipublikasikan: 21-10-2021Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Masalah keamanan ditemukan di pengontrol ingress-nginx Kubernetes, CVE-2021-25742. Cuplikan kustom ingress-nginx memungkinkan pengambilan token dan secret akun layanan ingress-nginx di semua namespace. Untuk petunjuk dan detail selengkapnya, lihat: | Tidak ada | CVE-2021-25742 |
GCP-2021-019
Dipublikasikan: 29-09-2021Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Ada masalah umum saat mengupdate resource Untuk petunjuk dan detail selengkapnya, lihat Buletin keamanan GKE. |
Rendah |
GCP-2021-022
Dipublikasikan: 22-09-2021Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Kerentanan telah ditemukan di modul LDAP Layanan Identitas Enterprise GKE (AIS) GKE pada VMware versi 1.8 dan 1.8.1, dengan kunci seed yang digunakan dalam pembuatan kunci dapat diprediksi. Dengan kerentanan ini, pengguna yang diautentikasi dapat menambahkan klaim arbitrer dan mengeskalasi hak istimewa tanpa batas waktu. Untuk petunjuk dan detail selengkapnya, lihat berita keamanan GKE di VMware. |
Tinggi |
GCP-2021-021
Dipublikasikan: 22-09-2021Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Kerentanan keamanan, CVE-2020-8561, telah ditemukan di Kubernetes tempat webhook tertentu dapat dibuat untuk mengalihkan permintaan kube-apiserver ke jaringan pribadi server API tersebut. Untuk petunjuk dan detail selengkapnya, lihat: |
Sedang | CVE-2020-8561 |
GCP-2021-023
Dipublikasikan: 21-09-2021Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Berdasarkan saran keamanan VMware VMSA-2021-0020, VMware menerima laporan tentang beberapa kerentanan di vCenter. VMware telah menyediakan update untuk memperbaiki kerentanan ini di produk VMware yang terpengaruh. Kami telah menerapkan patch yang disediakan oleh VMware untuk stack vSphere ke Google Cloud VMware Engine sesuai dengan pemberitahuan keamanan VMware. Update ini mengatasi kerentanan keamanan yang dijelaskan dalam CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008, dan CVE-2021-22010. Masalah keamanan non-kritis lainnya akan ditangani dalam upgrade stack VMware mendatang (sesuai pemberitahuan awal yang dikirim pada Juli, detail selengkapnya akan segera diberikan pada linimasa upgrade tertentu). Dampak VMware EngineBerdasarkan investigasi kami, tidak ada pelanggan yang terpengaruh. Apa yang harus saya lakukan?Karena cluster VMware Engine tidak terpengaruh oleh kerentanan ini, tidak diperlukan tindakan lebih lanjut. |
Kritis |
GCP-2021-020
Dipublikasikan: 17-09-2021Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Load balancer Google Cloud tertentu yang merutekan ke Layanan Backend yang mengaktifkan Identity-Aware Proxy (IAP) mungkin rentan terhadap pihak yang tidak tepercaya dalam kondisi terbatas. Pembaruan ini mengatasi masalah yang dilaporkan melalui Vulnerability Reward Program kami. Kondisinya adalah server:
Selain itu, pengguna di organisasi Anda harus telah mengklik link yang dibuat secara khusus dan dikirim oleh pihak yang tidak tepercaya. Masalah ini sekarang telah diperbaiki. IAP telah diperbarui untuk hanya menerbitkan cookie kepada host resmi mulai 17 September 2021. Host dianggap diotorisasi jika cocok dengan setidaknya satu Nama Alternatif Subjek (SAN) di salah satu sertifikat yang diinstal di load balancer Anda. Yang harus dilakukan
Beberapa pengguna Anda mungkin mengalami respons HTTP 401 Unauthorized dengan kode error IAP 52 saat mencoba mengakses aplikasi atau layanan. Kode error ini berarti klien mengirim header |
Tinggi |
GCP-2021-018
Dipublikasikan: 15-09-2021Diperbarui: 20-09-2021
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Masalah keamanan ditemukan di Kubernetes, CVE-2021-25741, saat pengguna mungkin dapat membuat penampung dengan pemasangan volume subjalur untuk mengakses file & direktori di luar volume, termasuk di sistem file host. Untuk petunjuk dan detail selengkapnya, lihat: |
Tinggi | CVE-2021-25741 |
GCP-2021-017
Dipublikasikan: 01-09-2021Diperbarui: 23-09-2021
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 23-09-2021: Container yang berjalan di dalam GKE Sandbox tidak terpengaruh oleh kerentanan ini untuk serangan yang berasal dari dalam container. Dua kerentanan keamanan, CVE-2021-33909 dan CVE-2021-33910, telah ditemukan di kernel Linux yang dapat menyebabkan error OS atau eskalasi ke root oleh pengguna yang tidak memiliki hak istimewa. Kerentanan ini memengaruhi semua sistem operasi node GKE (COS dan Ubuntu). Untuk petunjuk dan detail selengkapnya, lihat buletin keamanan berikut: |
Tinggi | CVE-2021-33909, CVE-2021-33910 |
GCP-2021-016
Dipublikasikan: 24-08-2021Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
CVE Envoy dan Istio berikut mengekspos Cloud Service Mesh dan Istio di GKE ke kerentanan yang dapat dieksploitasi dari jarak jauh:
Untuk petunjuk dan detail selengkapnya, lihat buletin keamanan berikut: |
Tinggi |
GCP-2021-015
Dipublikasikan: 13-07-2021Diperbarui: 15-07-2021
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Kerentanan keamanan baru, CVE-2021-22555,
telah ditemukan saat pelaku berbahaya dengan hak istimewa Untuk petunjuk dan detail selengkapnya, lihat buletin keamanan berikut: |
Tinggi | CVE-2021-22555 |
GCP-2021-014
Dipublikasikan: 05-07-2021Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Microsoft memublikasikan buletin keamanan tentang kerentanan Eksekusi kode jarak jauh (RCE), CVE-2021-34527, yang memengaruhi spooler pencetakan di server Windows. CERT Coordination Center (CERT/CC) memublikasikan catatan update tentang kerentanan terkait, yang dijuluki "PrintNightmare" yang juga memengaruhi spooler pencetakan Windows - PrintNightmare, Critical Windows Print Spooler Vulnerability Untuk petunjuk dan detail selengkapnya, lihat Buletin keamanan GKE. |
Tinggi | CVE-2021-34527 |
GCP-2021-012
Dipublikasikan: 24-06-2021Diperbarui: 09-07-2021
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Project Istio baru-baru ini mengumumkan kerentanan keamanan saat kredensial yang ditentukan di kolom credentialName Gateway dan DestinationRule dapat diakses dari namespace yang berbeda. Untuk petunjuk khusus produk dan detail selengkapnya, lihat:
|
Tinggi | CVE-2021-34824 |
GCP-2021-011
Dipublikasikan: 04-06-2021Diperbarui: 19-10-2021
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Pembaruan 19-10-2021: Untuk petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:
Komunitas keamanan baru-baru ini mengungkapkan kerentanan keamanan baru
(CVE-2021-30465)
yang ditemukan di Untuk GKE, karena mengeksploitasi kerentanan ini memerlukan kemampuan untuk membuat pod, kami telah menilai keparahan kerentanan ini sebagai SEDANG. Untuk petunjuk dan detail selengkapnya, lihat Buletin keamanan GKE. |
Sedang | CVE-2021-30465 |
GCP-2021-010
Dipublikasikan: 25-05-2021Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Berdasarkan saran keamanan VMware VMSA-2021-0010, kerentanan bypass autentikasi dan eksekusi kode jarak jauh di vSphere Client (HTML5) dilaporkan secara pribadi ke VMware. VMware telah menyediakan update untuk memperbaiki kerentanan ini di produk VMware yang terpengaruh. Kami telah menerapkan patch yang disediakan oleh VMware untuk stack vSphere sesuai dengan saran keamanan VMware. Update ini mengatasi kerentanan keamanan yang dijelaskan dalam CVE-2021-21985 dan CVE-2021-21986. Versi image yang berjalan di cloud pribadi VMware Engine Anda saat ini tidak mencerminkan perubahan apa pun untuk menunjukkan patch yang diterapkan. Jangan khawatir, patch yang sesuai telah diinstal dan lingkungan Anda aman dari kerentanan ini. Dampak VMware EngineBerdasarkan investigasi kami, tidak ada pelanggan yang terpengaruh. Apa yang harus saya lakukan?Karena cluster VMware Engine tidak terpengaruh oleh kerentanan ini, tidak diperlukan tindakan lebih lanjut. |
Kritis |
GCP-2021-008
Dipublikasikan: 17-05-2021Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh, yaitu klien
eksternal dapat mengakses layanan yang tidak terduga di cluster, mengabaikan
pemeriksaan otorisasi, saat gateway dikonfigurasi dengan
konfigurasi perutean Untuk mengetahui petunjuk dan detail selengkapnya, lihat berita keamanan Cloud Service Mesh. |
Tinggi |
CVE-2021-31921 |
GCP-2021-007
Dipublikasikan: 17-05-2021Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh, yaitu jalur permintaan HTTP
dengan beberapa garis miring atau karakter garis miring yang di-escape ( Untuk mengetahui petunjuk dan detail selengkapnya, lihat berita keamanan Cloud Service Mesh. |
Tinggi |
CVE-2021-31920 |
GCP-2021-006
Dipublikasikan: 11-05-2021Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Project Istio baru-baru ini mengungkap kerentanan keamanan baru (CVE-2021-31920) yang memengaruhi Istio. Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh, yaitu permintaan HTTP dengan beberapa garis miring atau karakter garis miring yang di-escape dapat mengabaikan kebijakan otorisasi Istio saat aturan otorisasi berbasis jalur digunakan. Untuk petunjuk dan detail selengkapnya, lihat: |
Tinggi |
CVE-2021-31920 |
GCP-2021-005
Dipublikasikan: 11-05-2021Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Kerentanan yang dilaporkan telah menunjukkan bahwa Envoy tidak mendekode urutan garis miring yang di-escape Apa yang harus saya lakukan?
Jika server backend memperlakukan Perubahan perilaku apa yang diperkenalkan?Opsi normalize_path dan merge adjacent slashes Envoy diaktifkan untuk mengatasi kerentanan kebingungan jalur umum lainnya di produk berbasis Envoy. |
Tinggi |
CVE-2021-29492 |
GCP-2021-004
Dipublikasikan: 06-05-2021Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Project Envoy dan Istio baru-baru ini mengumumkan beberapa kerentanan keamanan baru (CVE-2021-28683, CVE-2021-28682, dan CVE-2021-29258), yang dapat memungkinkan penyerang membuat Envoy error. Cluster Google Kubernetes Engine tidak menjalankan Istio secara default dan tidak rentan. Jika Istio telah diinstal di cluster dan dikonfigurasi untuk mengekspos layanan ke internet, layanan tersebut mungkin rentan terhadap denial of service. Google Distributed Cloud Virtual for Bare Metal dan GKE di VMware menggunakan Envoy secara default untuk Ingress, sehingga layanan Ingress mungkin rentan terhadap denial of service. Untuk petunjuk dan detail selengkapnya, lihat buletin keamanan berikut: |
Sedang |
GCP-2021-003
Dipublikasikan: 19-04-2021Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Project Kubernetes baru-baru ini mengumumkan kerentanan keamanan baru, CVE-2021-25735, yang dapat memungkinkan update node mengabaikan Validating Admission Webhook.
Dalam skenario saat penyerang memiliki hak istimewa yang memadai dan Validating Admission Webhook diterapkan yang menggunakan properti objek Untuk petunjuk dan detail selengkapnya, lihat buletin keamanan berikut: |
Sedang |
GCP-2021-002
Dipublikasikan: 05-03-2021Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Berdasarkan saran keamanan VMware VMSA-2021-0002, VMware menerima laporan tentang beberapa kerentanan di VMware ESXi dan vSphere Client (HTML5). VMware telah menyediakan update untuk memperbaiki kerentanan ini di produk VMware yang terpengaruh. Kami telah menerapkan solusi yang didokumentasikan secara resmi untuk stack vSphere sesuai dengan saran keamanan VMware. Update ini mengatasi kerentanan keamanan yang dijelaskan dalam CVE-2021-21972, CVE-2021-21973, dan CVE-2021-21974. Dampak VMware EngineBerdasarkan investigasi kami, tidak ada pelanggan yang terpengaruh. Apa yang harus saya lakukan?Karena cluster VMware Engine tidak terpengaruh oleh kerentanan ini, tidak diperlukan tindakan lebih lanjut. |
Kritis |
GCP-2021-001
Dipublikasikan: 28-01-2021Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Baru-baru ini ditemukan kerentanan di utilitas Linux Infrastruktur dasar yang menjalankan Compute Engine tidak terpengaruh oleh kerentanan ini. Semua cluster Google Kubernetes Engine (GKE), GKE di VMware, GKE di AWS, dan Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh kerentanan ini. Untuk petunjuk dan detail selengkapnya, lihat buletin keamanan berikut: |
Tidak ada | CVE-2021-3156 |
GCP-2020-015
Dipublikasikan: 07-12-2020Diperbarui: 22-12-2020
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Diperbarui: 22-12-2021 Perintah untuk GKE
di bagian berikut harus menggunakan
gcloud container clusters update –no-enable-service-externalips Diperbarui: 15-12-2021 Untuk GKE, mitigasi berikut kini tersedia:
Untuk mengetahui informasi selengkapnya, lihat Meningkatkan keamanan cluster Anda. Project Kubernetes baru-baru ini menemukan kerentanan keamanan baru, CVE-2020-8554, yang dapat memungkinkan penyerang yang telah mendapatkan izin untuk membuat Layanan Kubernetes dari jenis LoadBalancer atau ClusterIP untuk menyadap traffic jaringan yang berasal dari Pod lain di cluster. Kerentanan ini sendiri tidak memberi penyerang izin untuk membuat Layanan Kubernetes. Semua cluster Google Kubernetes Engine (GKE), GKE di VMware, dan GKE di AWS terpengaruh oleh kerentanan ini. Apa yang harus saya lakukan?Untuk mengetahui petunjuk dan detail selengkapnya, lihat: |
Sedang |
CVE-2020-8554 |
GCP-2020-014
Dipublikasikan: 20-10-2020Diperbarui: 20-10-2020
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Project Kubernetes baru-baru ini menemukan beberapa masalah yang memungkinkan eksposur data rahasia saat opsi logging panjang diaktifkan. Masalahnya adalah:
Apa yang harus saya lakukan?Tidak perlu tindakan lebih lanjut karena tingkat logging panjang default GKE. |
Tidak ada |
Dampak Google Cloud
Detail per produk tercantum di bawah.
Produk |
Dampak |
---|---|
Google Kubernetes Engine (GKE) tidak terpengaruh. |
|
GKE On-Prem tidak terpengaruh. |
|
GKE di AWS tidak terpengaruh. |
GCP-2020-013
Dipublikasikan: 29-09-2020Deskripsi
Microsoft telah mengungkapkan kerentanan berikut:
Kerentanan |
Keparahan |
CVE |
---|---|---|
CVE-2020-1472 — Kerentanan di Windows Server memungkinkan penyerang menggunakan Protokol Jauh Netlogon untuk menjalankan aplikasi yang dibuat khusus di perangkat di jaringan. |
Skor Dasar NVD: 10 (Kritis) |
Untuk mengetahui informasi selengkapnya, lihat pengungkapan Microsoft.
Dampak Google Cloud
Infrastruktur yang menghosting produk Google Cloud dan Google tidak terpengaruh oleh kerentanan ini. Detail tambahan per produk tercantum di bawah.
Produk |
Dampak |
---|---|
Compute Engine |
CVE-2020-1472 |
Google Kubernetes Engine |
CVE-2020-1472 |
Layanan Terkelola untuk Microsoft Active Directory |
CVE-2020-1472 |
Google Workspace |
Pelanggan tidak perlu melakukan tindakan apa pun. Layanan ini tidak terpengaruh oleh kerentanan ini. |
Lingkungan standar App Engine |
Pelanggan tidak perlu melakukan tindakan apa pun. Layanan ini tidak terpengaruh oleh kerentanan ini. |
Lingkungan fleksibel App Engine |
Pelanggan tidak perlu melakukan tindakan apa pun. Layanan ini tidak terpengaruh oleh kerentanan ini. |
Cloud Run |
Pelanggan tidak perlu melakukan tindakan apa pun. Layanan ini tidak terpengaruh oleh kerentanan ini. |
Cloud Run Functions |
Pelanggan tidak perlu melakukan tindakan apa pun. Layanan ini tidak terpengaruh oleh kerentanan ini. |
Cloud Composer |
Pelanggan tidak perlu melakukan tindakan apa pun. Layanan ini tidak terpengaruh oleh kerentanan ini. |
Dataflow |
Pelanggan tidak perlu melakukan tindakan apa pun. Layanan ini tidak terpengaruh oleh kerentanan ini. |
Dataproc |
Pelanggan tidak perlu melakukan tindakan apa pun. Layanan ini tidak terpengaruh oleh kerentanan ini. |
Cloud SQL |
Pelanggan tidak perlu melakukan tindakan apa pun. Layanan ini tidak terpengaruh oleh kerentanan ini. |
GCP-2020-012
Dipublikasikan: 14-09-2020Diperbarui: 17-09-2020
Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Baru-baru ini ditemukan kerentanan di kernel Linux, yang dijelaskan dalam CVE-2020-14386, yang dapat memungkinkan container escape mendapatkan hak istimewa root di node host. Semua node GKE terpengaruh. Pod yang berjalan di GKE Sandbox tidak dapat memanfaatkan kerentanan ini. Untuk petunjuk dan detail selengkapnya, lihat: Kerentanan apa yang diatasi oleh patch ini? Patch ini mengurangi kerentanan berikut: Kerentanan CVE-2020-14386, yang memungkinkan container dengan CAP_NET_RAW menulis 1 hingga 10 byte memori kernel, dan mungkin keluar dari container serta mendapatkan hak istimewa root di node host. Kerentanan ini dinilai sebagai kerentanan keparahan Tinggi. |
Tinggi |
GCP-2020-011
Dipublikasikan: 24-07-2020Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Kerentanan jaringan, CVE-2020-8558, baru-baru ini ditemukan di Kubernetes. Layanan terkadang berkomunikasi dengan aplikasi lain yang berjalan di dalam Pod yang sama menggunakan antarmuka loopback lokal (127.0.0.1). Kerentanan ini memungkinkan penyerang dengan akses ke jaringan cluster untuk mengirim traffic ke antarmuka loopback dari Pod dan node yang berdekatan. Layanan yang mengandalkan antarmuka loopback yang tidak dapat diakses di luar Pod-nya dapat dieksploitasi. Untuk petunjuk dan detail selengkapnya, lihat: |
Rendah (GKE dan GKE di AWS), |
GCP-2020-010
Dipublikasikan: 27-07-2020Deskripsi
Microsoft telah mengungkapkan kerentanan berikut:
Kerentanan |
Keparahan |
CVE |
---|---|---|
CVE-2020-1350 — Windows Server yang berfungsi dalam kapasitas server DNS dapat dieksploitasi untuk menjalankan kode yang tidak tepercaya oleh Akun Sistem Lokal. |
Skor Dasar NVD: 10,0 (Kritis) |
Untuk mengetahui informasi selengkapnya, lihat pengungkapan Microsoft.
Dampak Google Cloud
Infrastruktur yang menghosting produk Google Cloud dan Google tidak terpengaruh oleh kerentanan ini. Detail tambahan per produk tercantum di bawah.
Produk |
Dampak |
---|---|
Compute Engine |
CVE-2020-1350 |
Google Kubernetes Engine |
CVE-2020-1350 |
Layanan Terkelola untuk Microsoft Active Directory |
CVE-2020-1350 |
Google Workspace |
Pelanggan tidak perlu melakukan tindakan apa pun. Layanan ini tidak terpengaruh oleh kerentanan ini. |
Lingkungan standar App Engine |
Pelanggan tidak perlu melakukan tindakan apa pun. Layanan ini tidak terpengaruh oleh kerentanan ini. |
Lingkungan fleksibel App Engine |
Pelanggan tidak perlu melakukan tindakan apa pun. Layanan ini tidak terpengaruh oleh kerentanan ini. |
Cloud Run |
Pelanggan tidak perlu melakukan tindakan apa pun. Layanan ini tidak terpengaruh oleh kerentanan ini. |
Cloud Run Functions |
Pelanggan tidak perlu melakukan tindakan apa pun. Layanan ini tidak terpengaruh oleh kerentanan ini. |
Cloud Composer |
Pelanggan tidak perlu melakukan tindakan apa pun. Layanan ini tidak terpengaruh oleh kerentanan ini. |
Dataflow |
Pelanggan tidak perlu melakukan tindakan apa pun. Layanan ini tidak terpengaruh oleh kerentanan ini. |
Dataproc |
Pelanggan tidak perlu melakukan tindakan apa pun. Layanan ini tidak terpengaruh oleh kerentanan ini. |
Cloud SQL |
Pelanggan tidak perlu melakukan tindakan apa pun. Layanan ini tidak terpengaruh oleh kerentanan ini. |
GCP-2020-009
Dipublikasikan: 15-07-2020Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Baru-baru ini ditemukan kerentanan eskalasi hak istimewa, CVE-2020-8559, di Kubernetes. Kerentanan ini memungkinkan penyerang yang telah menyusupi node untuk menjalankan perintah di Pod mana pun dalam cluster. Dengan demikian, penyerang dapat menggunakan node yang sudah disusupi untuk menyusupi node lain dan berpotensi membaca informasi, atau menyebabkan tindakan destruktif. Perhatikan bahwa agar penyerang dapat mengeksploitasi kerentanan ini, node di cluster Anda harus sudah disusupi. Kerentanan ini, dengan sendirinya, tidak akan membahayakan node apa pun di cluster Anda. Untuk petunjuk dan detail selengkapnya, lihat: |
Sedang |
GCP-2020-008
Dipublikasikan: 19-06-2020Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
DeskripsiVM yang mengaktifkan Login OS mungkin rentan terhadap kerentanan eskalasi hak istimewa. Kerentanan ini memberi pengguna yang diberi izin Login OS (tetapi tidak diberi akses admin) kemampuan untuk mengeskalasikan ke akses root di VM. Untuk petunjuk dan detail selengkapnya, lihat berita keamanan Compute Engine.
|
Tinggi |
GCP-2020-007
Dipublikasikan: 01-06-2020Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Kerentanan Pemalsuan Permintaan Sisi Server (SSRF), CVE-2020-8555, baru-baru ini ditemukan di Kubernetes, yang memungkinkan pengguna tertentu yang diberi otorisasi untuk membocorkan informasi sensitif hingga 500 byte dari jaringan host bidang kontrol. Bidang kontrol Google Kubernetes Engine (GKE) menggunakan pengontrol dari Kubernetes sehingga terpengaruh oleh kerentanan ini. Sebaiknya upgrade panel kontrol ke versi patch terbaru. Upgrade node tidak diperlukan. Untuk petunjuk dan detail selengkapnya, lihat: |
Sedang |
GCP-2020-006
Dipublikasikan: 01-06-2020Deskripsi
Deskripsi | Keparahan | Catatan |
---|---|---|
Kubernetes telah mengungkapkan kerentanan yang memungkinkan penampung dengan hak istimewa mengalihkan traffic node ke penampung lain. Traffic TLS/SSH bersama, seperti antara kubelet dan server API atau traffic dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau diubah oleh serangan ini. Semua node Google Kubernetes Engine (GKE) terpengaruh oleh kerentanan ini, dan sebaiknya upgrade ke versi patch terbaru. Untuk petunjuk dan detail selengkapnya, lihat: |
Sedang |
GCP-2020-005
Dipublikasikan: 07-05-2020Deskripsi
Kerentanan |
Keparahan |
CVE |
---|---|---|
Baru-baru ini ditemukan kerentanan di kernel Linux, yang dijelaskan dalam CVE-2020-8835, yang memungkinkan container escape mendapatkan hak istimewa root di node host. Node Ubuntu Google Kubernetes Engine (GKE) yang menjalankan GKE 1.16 atau 1.17 terpengaruh oleh kerentanan ini, dan sebaiknya Anda mengupgrade ke versi patch terbaru secepatnya. Lihat buletin keamanan GKE untuk mengetahui petunjuk dan detail selengkapnya. |
Tinggi |
GCP-2020-004
Dipublikasikan: 31-03-2020Diperbarui: 31-03-2020
Deskripsi
Kubernetes telah mengungkapkan kerentanan berikut:
Kerentanan |
Keparahan |
CVE |
---|---|---|
CVE-2019-11254 — Ini adalah kerentanan Denial of Service (DoS) yang memengaruhi server API. |
Sedang |
Lihat Buletin keamanan GKE di VMware untuk mengetahui petunjuk dan detail selengkapnya.
GCP-2020-003
Dipublikasikan: 31-03-2020Diperbarui: 31-03-2020
Deskripsi
Kubernetes telah mengungkapkan kerentanan berikut:
Kerentanan |
Keparahan |
CVE |
---|---|---|
CVE-2019-11254 — Ini adalah kerentanan Denial of Service (DoS) yang memengaruhi server API. |
Sedang |
Lihat buletin keamanan GKE untuk mengetahui petunjuk dan detail selengkapnya.
GCP-2020-002
Dipublikasikan: 23-03-2020Diperbarui: 23-03-2020
Deskripsi
Kubernetes telah mengungkapkan kerentanan berikut:
Kerentanan |
Keparahan |
CVE |
---|---|---|
CVE-2020-8551 — Ini adalah kerentanan Denial of Service (DoS) yang memengaruhi kubelet. |
Sedang |
|
CVE-2020-8552 — Ini adalah kerentanan Denial of Service (DoS) yang memengaruhi server API. |
Sedang |
Lihat buletin keamanan GKE untuk mengetahui petunjuk dan detail selengkapnya.
GCP-2020-001
Dipublikasikan: 21-01-2020Diperbarui: 21-01-2020
Deskripsi
Microsoft telah mengungkapkan kerentanan berikut:
Kerentanan |
Keparahan |
CVE |
---|---|---|
CVE-2020-0601 — Kerentanan ini juga dikenal sebagai Kerentanan Spoofing Windows Crypto API. Hal ini dapat dieksploitasi untuk membuat file yang dapat dieksekusi berbahaya tampak tepercaya atau memungkinkan penyerang melakukan serangan man-in-the-middle dan mendekripsi informasi rahasia pada koneksi pengguna ke software yang terpengaruh. |
Skor Dasar NVD: 8,1 (Tinggi) |
Untuk mengetahui informasi selengkapnya, lihat pengungkapan Microsoft.
Dampak Google Cloud
Infrastruktur yang menghosting produk Google Cloud dan Google tidak terpengaruh oleh kerentanan ini. Detail tambahan per produk tercantum di bawah.
Produk |
Dampak |
---|---|
Compute Engine |
CVE-2020-0601 |
Google Kubernetes Engine |
CVE-2020-0601 |
Layanan Terkelola untuk Microsoft Active Directory |
CVE-2020-0601 |
Google Workspace |
Pelanggan tidak perlu melakukan tindakan apa pun. Layanan ini tidak terpengaruh oleh kerentanan ini. |
Lingkungan standar App Engine |
Pelanggan tidak perlu melakukan tindakan apa pun. Layanan ini tidak terpengaruh oleh kerentanan ini. |
Lingkungan fleksibel App Engine |
Pelanggan tidak perlu melakukan tindakan apa pun. Layanan ini tidak terpengaruh oleh kerentanan ini. |
Cloud Run |
Pelanggan tidak perlu melakukan tindakan apa pun. Layanan ini tidak terpengaruh oleh kerentanan ini. |
Cloud Run Functions |
Pelanggan tidak perlu melakukan tindakan apa pun. Layanan ini tidak terpengaruh oleh kerentanan ini. |
Cloud Composer |
Pelanggan tidak perlu melakukan tindakan apa pun. Layanan ini tidak terpengaruh oleh kerentanan ini. |
Dataflow |
Pelanggan tidak perlu melakukan tindakan apa pun. Layanan ini tidak terpengaruh oleh kerentanan ini. |
Dataproc |
Pelanggan tidak perlu melakukan tindakan apa pun. Layanan ini tidak terpengaruh oleh kerentanan ini. |
Cloud SQL |
Pelanggan tidak perlu melakukan tindakan apa pun. Layanan ini tidak terpengaruh oleh kerentanan ini. |
GCP-2019-001
Dipublikasikan: 12-11-2019Diperbarui: 12-11-2019
Deskripsi
Intel telah mengungkapkan kerentanan berikut:
Kerentanan |
Keparahan |
CVE |
---|---|---|
CVE-2019-11135 — Kerentanan ini disebut sebagai TSX Async Abort (TAA) dan dapat digunakan untuk mengeksploitasi eksekusi spekulatif dalam transaksi TSX. Kerentanan ini berpotensi memungkinkan data diekspos melalui struktur data mikroarsitektur yang sama yang diekspos oleh Sampling Data Mikroarsitektur (MDS). |
Sedang |
|
CVE-2018-12207 — Ini adalah kerentanan Denial of Service (DoS) yang memengaruhi host virtual machine (bukan tamu). Masalah ini dikenal sebagai "Kesalahan Pemeriksaan Mesin pada Perubahan Ukuran Halaman". |
Sedang |
Untuk informasi selengkapnya, lihat pengungkapan Intel:
Dampak Google Cloud
Infrastruktur yang menghosting produk Google Cloud dan Google dilindungi dari kerentanan ini. Detail tambahan per produk tercantum di bawah.
Produk |
Dampak |
---|---|
Compute Engine |
CVE-2019-11135 CVE-2018-12207 |
Google Kubernetes Engine |
CVE-2019-11135 CVE-2018-12207 |
Lingkungan standar App Engine |
Anda tidak perlu melakukan tindakan tambahan apa pun. |
Lingkungan fleksibel App Engine |
CVE-2019-11135 CVE-2018-12207 |
Cloud Run |
Anda tidak perlu melakukan tindakan tambahan apa pun. |
Cloud Run Functions |
Anda tidak perlu melakukan tindakan tambahan apa pun. |
Cloud Composer |
Anda tidak perlu melakukan tindakan tambahan apa pun. |
Dataflow |
CVE-2019-11135 CVE-2018-12207 |
Dataproc |
CVE-2019-11135 CVE-2018-12207 |
Cloud SQL |
Anda tidak perlu melakukan tindakan tambahan apa pun. |