Buletin Keamanan

Buletin keamanan berikut terkait dengan produk Google Cloud.

Gunakan feed XML ini untuk berlangganan buletin keamanan untuk halaman ini. Berlangganan

GCP-2024-062

Dipublikasikan: 02-12-2024

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-46800

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2024-46800

GCP-2024-061

Dipublikasikan: 25-11-2024

Deskripsi

Deskripsi Keparahan Catatan

Masalah keamanan yang ditemukan di cluster Kubernetes dapat menyebabkan eksekusi kode jarak jauh menggunakan volume gitRepo. Jika repositori git dibuat dengan niat jahat, pengguna dengan kemampuan untuk membuat Pod dan mengaitkan volume gitRepo dapat menjalankan perintah arbitrer di luar batas penampung.

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2024-10220

GCP-2024-060

Dipublikasikan: 17-10-2024

Deskripsi Keparahan Catatan

Berdasarkan saran keamanan VMware VMSA-2024-0020, beberapa kerentanan di VMware NSX dilaporkan secara bertanggung jawab ke VMware.

Versi NSX-T yang berjalan di lingkungan VMware Engine Anda tidak terpengaruh oleh CVE-2024-38815, CVE-2024-38818, atau CVE-2024-38817.

Apa yang harus saya lakukan?

Karena cluster VMware Engine tidak terpengaruh oleh kerentanan ini, tidak diperlukan tindakan lebih lanjut.

Sedang

GCP-2024-059

Dipublikasikan: 16-10-2024

Deskripsi Keparahan Catatan

Berdasarkan saran keamanan VMware VMSA-2024-0021, kerentanan injection SQL yang diautentikasi di VMware HCX dilaporkan secara pribadi ke VMware.

Kami telah menerapkan mitigasi yang disetujui oleh VMware untuk mengatasi kerentanan ini. Perbaikan ini mengatasi kerentanan keamanan yang dijelaskan dalam CVE-2024-38814. Versi image yang berjalan di cloud pribadi VMware Engine Anda saat ini tidak mencerminkan perubahan apa pun untuk menunjukkan perubahan yang diterapkan. Mitigasi yang sesuai telah diinstal dan lingkungan Anda diamankan dari kerentanan ini.

Apa yang harus saya lakukan?

Sebaiknya upgrade ke VMware HCX versi 4.9.2.

Tinggi

GCP-2024-058

Dipublikasikan: 16-10-2024

Deskripsi

Deskripsi Keparahan Catatan

Migrate to Containers untuk Windows versi 1.1.0 hingga 1.2.2 membuat m2cuser lokal dengan hak istimewa administrator. Hal ini menimbulkan risiko keamanan jika perintah analyze atau generate terganggu oleh pengguna atau karena error internal yang menyebabkan tindakan untuk menghapus pengguna lokal m2cuser dilewati.

Apa yang harus saya lakukan?

Versi Migrate to Containers CLI untuk Windows berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade Migrate to Containers CLI secara manual ke versi berikut atau yang lebih tinggi:

Kerentanan apa yang sedang ditangani?

Kerentanan, CVE-2024-9858, memungkinkan penyerang mendapatkan akses administrator ke mesin Windows yang terpengaruh menggunakan pengguna administrator lokal yang dibuat oleh software Migrate to Containers.

Sedang CVE-2024-9858

GCP-2024-057

Dipublikasikan: 03-10-2024

Diperbarui: 19-11-2024

Deskripsi

Deskripsi Keparahan Catatan

Update 19-11-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Pembaruan 15-10-2024: Menambahkan versi patch untuk GDC (VMware). Memperbarui tingkat keparahan GKE dan GDC (VMware).


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-45016

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Sedang CVE-2024-45016

GCP-2024-056

Dipublikasikan: 27-09-2024

Deskripsi

Deskripsi Keparahan Catatan

Rantai kerentanan (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) yang dapat menyebabkan eksekusi kode jarak jauh ditemukan di sistem pencetakan CUPS yang digunakan oleh beberapa distribusi Linux. Penyerang dapat mengeksploitasi kerentanan ini jika layanan CUPS memproses port UDP 631 dan mereka dapat terhubung ke port tersebut.

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tidak ada

GCP-2024-055

Dipublikasikan: 24-09-2024

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan Penyelubungan Permintaan HTTP di Looker memungkinkan penyerang yang tidak sah menangkap respons HTTP yang ditujukan untuk pengguna yang sah.

Ada dua versi Looker yang dihosting oleh Looker:

  • Looker (Google Cloud core) ditemukan rentan. Masalah ini telah dimitigasi dan investigasi kami tidak menemukan tanda-tanda eksploitasi.
  • Looker (asli) tidak rentan terhadap masalah ini.

Instance Looker yang dihosting pelanggan ditemukan rentan dan harus diupgrade ke salah satu versi di bawah.

Kerentanan ini telah ditambal di semua versi Looker yang dihosting pelanggan yang didukung, yang tersedia di halaman download Looker.

Apa yang harus saya lakukan?

  • Untuk semua instance yang dihosting Looker, termasuk instance Looker (Google Cloud core), Anda tidak perlu melakukan tindakan apa pun.
  • Untuk instance Looker yang dihosting pelanggan, update ke Looker versi terbaru yang didukung sesegera mungkin. Semua versi di bawah telah diupdate untuk melindungi dari kerentanan ini. Anda dapat mendownload versi ini di halaman download Looker:
    • 23.12 -> 23.12.123+
    • 23.18 -> 23.18.117+
    • 24.0 -> 24.0.92+
    • 24.6 -> 24.6.77+
    • 24.8 -> 24.8.66+
    • 24.10 -> 24.10.78+
    • 24.12 -> 24.12.56+
    • 24.14 -> 24.14.37+

Kerentanan apa yang sedang ditangani?

Kerentanan, CVE-2024-8912, memungkinkan penyerang mengirim header permintaan HTTP yang dibuat khusus ke Looker, yang mungkin mengakibatkan intersepsi respons HTTP yang ditujukan untuk pengguna lain.

Respons ini dapat berisi informasi sensitif.

Kerentanan ini hanya dapat dieksploitasi dalam konfigurasi tertentu.

Sedang CVE-2024-8912

GCP-2024-054

Dipublikasikan: 23-09-2024

Deskripsi

Deskripsi Keparahan Catatan

Masalah keamanan ditemukan di cluster Kubernetes dengan node Windows tempat BUILTIN\Users mungkin dapat membaca log penampung dan Pengguna NT AUTHORITY\Authenticated mungkin dapat mengubah log penampung.

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Sedang CVE-2024-5321

GCP-2024-053

Dipublikasikan: 19-09-2024

Deskripsi

Deskripsi Keparahan Catatan

Saat mengurai kolom yang tidak diketahui di library Protobuf Java Full dan Lite, pesan yang dibuat dengan niat jahat dapat menyebabkan error StackOverflow dan menyebabkan error program.

Apa yang sebaiknya saya lakukan?

Kami telah berupaya keras untuk mengatasi masalah ini dan telah merilis mitigasi yang kini tersedia. Sebaiknya gunakan paket software berikut versi terbaru:

  • protobuf-java (3.25.5, 4.27.5, 4.28.2)
  • protobuf-javalite (3.25.5, 4.27.5, 4.28.2)
  • protobuf-kotlin (3.25.5, 4.27.5, 4.28.2)
  • protobuf-kotlin-lite (3.25.5, 4.27.5, 4.28.2)
  • com-protobuf [khusus gem JRuby] (3.25.5, 4.27.5, 4.28.2)

Kerentanan apa yang diatasi oleh patch ini?

Kerentanan ini berpotensi menyebabkan Denial of Service.

Mengurai grup bertingkat sebagai kolom yang tidak diketahui dengan pengurai DiscardUnknownFieldsParser atau Java Protobuf Lite, atau terhadap kolom peta Protobuf, akan membuat rekursi tanpa batas yang dapat disalahgunakan oleh penyerang.

Skor CVSS4.0 8,7

Tinggi

CVE-2024-7254

GCP-2024-052

Deskripsi

Deskripsi Keparahan Catatan

CVE berikut mengekspos Cloud Service Mesh ke kerentanan yang dapat dieksploitasi:

  • CVE-2024-45807: error oghttp2 di OnBeginHeadersForStream
  • CVE-2024-45808: Injeksi log berbahaya melalui log akses
  • CVE-2024-45806: Potensi untuk memanipulasi header `x-envoy` dari sumber eksternal
  • CVE-2024-45809: Error filter JWT di cache rute yang jelas dengan JWK jarak jauh
  • CVE-2024-45810: Envoy mengalami error untuk LocalReply di klien asinkron http

Untuk mengetahui petunjuk dan detail selengkapnya, lihat berita keamanan Cloud Service Mesh.

Menengah hingga Tinggi

GCP-2024-051

Dipublikasikan: 18-09-2024

Deskripsi Keparahan Catatan

VMware mengungkapkan beberapa kerentanan di VMSA-2024-0019 yang memengaruhi komponen vCenter yang di-deploy di lingkungan pelanggan.

Dampak VMware Engine

  • Google telah menonaktifkan potensi eksploitasi kerentanan ini. Misalnya, Google telah memblokir port yang dapat digunakan untuk mengeksploitasi kerentanan ini.
  • Selain itu, Google memastikan semua deployment vCenter di masa mendatang tidak terpengaruh oleh kerentanan ini.

Apa yang harus saya lakukan?

Untuk saat ini, Anda tidak perlu melakukan tindakan lebih lanjut.

Kritis

GCP-2024-050

Dipublikasikan: 04-09-2024

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan eksekusi kode jarak jauh baru (CVE-2024-38063) telah ditemukan di Windows. Penyerang dapat mengeksploitasi kerentanan ini dari jarak jauh dengan mengirim paket IPv6 yang dibuat khusus ke host.

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tidak ada CVE-2024-38063

GCP-2024-049

Dipublikasikan: 21-08-2024

Diperbarui: 01-11-2024

Deskripsi

Deskripsi Keparahan Catatan

Update 01-11-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Update 21-10-2024: Menambahkan versi patch dan memperbarui Tingkat Keparahan untuk GDC (VMware).


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-36978

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2024-36978

GCP-2024-048

Dipublikasikan: 20-08-2024

Diperbarui: 30-10-2024

Deskripsi

Deskripsi Keparahan Catatan

Update 30-10-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Update 25-10-2024: Menambahkan versi patch dan memperbarui Tingkat Keparahan untuk GDC (VMware).


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-41009

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2024-41009

GCP-2024-047

Dipublikasikan: 19-08-2024

Diperbarui: 30-10-2024

Deskripsi

Deskripsi Keparahan Catatan

Update 30-10-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Update 21-10-2024: Menambahkan versi patch dan memperbarui Tingkat Keparahan untuk GDC (VMware).


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-39503

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2024-39503

GCP-2024-046

Dipublikasikan: 05-08-2024

Deskripsi

Deskripsi Keparahan Catatan

AMD telah memberi tahu Google tentang 3 kerentanan firmware baru (2 risiko sedang, 1 risiko tinggi) yang memengaruhi SEV-SNP di CPU AMD EPYC generasi ke-3 (Milan) dan generasi ke-4 (Genoa).

Google telah menerapkan perbaikan pada aset yang terpengaruh, termasuk Google Cloud, untuk memastikan pelanggan terlindungi. Saat ini, tidak ada bukti eksploitasi yang ditemukan atau dilaporkan ke Google.

Apa yang sebaiknya saya lakukan?

Pelanggan tidak perlu melakukan tindakan apa pun. Perbaikan telah diterapkan ke kumpulan server Google.

Untuk informasi selengkapnya, lihat saran keamanan AMD AMD-SN-3011.

Sedang–Tinggi

CVE-2023-31355

CVE-2024-21978

CVE-2024-21980

GCP-2024-045

Dipublikasikan: 17-07-2024

Diperbarui: 19-09-2024

Deskripsi

Deskripsi Keparahan Catatan

Update 19-09-2024: Menambahkan versi patch untuk software GDC untuk VMware.


Update 21-08-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26925

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2024-26925

GCP-2024-044

Dipublikasikan: 16-07-2024

Diperbarui: 30-10-2024

Deskripsi

Deskripsi Keparahan Catatan

Update 30-10-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Update 21-10-2024: Menambahkan versi patch dan memperbarui Tingkat Keparahan untuk GDC (VMware).


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-36972

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2024-36972

GCP-2024-043

Dipublikasikan: 16-07-2024

Diperbarui: 02-10-2024

Deskripsi

Deskripsi Keparahan Catatan

Update 02-10-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.


Update 20-09-2024: Menambahkan versi patch untuk software GDC untuk VMware.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26921

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2024-26921

GCP-2024-042

Dipublikasikan: 15-07-2024

Diperbarui: 18-07-2024

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 18-07-2024: Memperjelas bahwa cluster Autopilot dalam konfigurasi default tidak terpengaruh.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26809

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2024-26809

GCP-2024-041

Dipublikasikan: 08-07-2024

Diperbarui: 16-09-2024

Deskripsi

Deskripsi Keparahan Catatan

Update 16-09-2024: Menambahkan versi patch untuk software GDC untuk VMware.


Update 19-07-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-52654
  • CVE-2023-52656

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi

GCP-2024-040

Dipublikasikan: 01-07-2024

Diperbarui: 16-07-2024

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 16-07-2024:

Beberapa pelanggan Akses VPC Serverless berpotensi terpengaruh oleh kerentanan di OpenSSH (CVE-2024-6387). Jika eksploitasi berhasil, hal ini dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode arbitrer sebagai root di virtual machine target. Eksploitasi diyakini sulit. Misalnya, pelanggan tidak dapat mengakses VM dan VM tidak memiliki IP publik. Kami tidak mengetahui adanya upaya eksploitasi.

Apa yang sebaiknya saya lakukan?

Deployment Akses VPC Serverless telah diperbarui secara otomatis oleh Google jika memungkinkan. Namun, Anda harus memverifikasi bahwa agen layanan yang dikelola Google memiliki peran yang diperlukan. Jika tidak, konektor Akses VPC Serverless Anda mungkin masih rentan. Sebaiknya migrasikan ke traffic keluar VPC Langsung, atau deploy konektor baru dan hapus konektor lama, untuk memastikan Anda memiliki update yang diperlukan dengan perbaikan.


Update 11-07-2024: Menambahkan versi patch untuk software GDC untuk VMware, GKE di AWS, dan GKE di Azure. Untuk mengetahui detailnya, dalam dokumentasi GKE, lihat buletin berikut:


Pembaruan 10-07-2024:

  • Menambahkan buletin keamanan untuk Migrate to Virtual Machines.

Pembaruan 09-07-2024:

Beberapa pelanggan lingkungan fleksibel App Engine berpotensi terpengaruh oleh vulnerability di OpenSSH (CVE-2024-6387). Jika eksploitasi berhasil, hal ini dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode arbitrer sebagai root di virtual machine target.

Apa yang sebaiknya saya lakukan?

Google telah memperbarui deployment lingkungan fleksibel secara otomatis jika memungkinkan. Namun, beberapa pelanggan yang menonaktifkan agen layanan yang dikelola Google, atau melakukan perubahan pada Google Cloud API atau konfigurasi default lainnya, tidak dapat diupdate dan mungkin masih rentan. Anda harus men-deploy versi baru aplikasi untuk mengambil update dengan perbaikan.

Perhatikan bahwa deployment yang diperbarui akan melaporkan ssh versi OpenSSH_9.6p1. Versi ini telah di-patch dengan perbaikan untuk CVE-2024-6387.

Kerentanan apa yang ditangani?

Kerentanan CVE-2024-6387, yang memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode arbitrer sebagai root di mesin target.


Pembaruan 08-07-2024:

Cluster Dataproc di Google Compute Engine yang berjalan pada image versi 2.2 (semua sistem operasi) dan 2.1 (khusus Debian) terpengaruh oleh kerentanan di OpenSSH (CVE-2024-6387) yang jika berhasil di-exploit, dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode arbitrer sebagai root di komputer target.

Dataproc pada image Google Compute Engine versi 2.0 dan 1.5, serta image Dataproc versi 2.1 yang tidak berjalan di Debian, tidak terpengaruh. Cluster Dataproc dengan Autentikasi Pribadi yang diaktifkan tidak akan terpengaruh. Dataproc Serverless juga tidak terpengaruh.

Apa yang sebaiknya saya lakukan?

Update cluster Dataproc Anda di Google Compute Engine ke salah satu versi berikut:

  • 2.2.24 atau yang lebih baru
  • 2.1.58 atau yang lebih baru

Jika Anda tidak dapat mengupdate cluster Dataproc ke salah satu versi di atas, sebaiknya gunakan tindakan inisialisasi yang tersedia di lokasi ini: gs://dataproc-initialization-actions/hotfixes/openssh-CVE-2024-6387-mitigation.sh

Ikuti petunjuk berikut tentang cara menentukan tindakan inisialisasi untuk Dataproc. Perhatikan bahwa tindakan inisialisasi harus dijalankan di setiap node (master dan pekerja) untuk cluster yang sudah ada.


Pembaruan 03-07-2024:

  • Menambahkan versi patch untuk GKE.
  • Menambahkan buletin keamanan untuk GDC yang terhubung.

Pembaruan 02-07-2024:

  • Memperjelas bahwa cluster Autopilot terpengaruh dan akan memerlukan tindakan pengguna.
  • Menambahkan langkah mitigasi dan penilaian dampak untuk software GDC untuk VMware, GKE di AWS, dan GKE di Azure.
  • Memperbaiki buletin keamanan software GDC untuk bare metal guna mengklarifikasi bahwa software GDC untuk bare metal tidak terpengaruh secara langsung dan pelanggan harus memeriksa patch dengan vendor OS.


Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan ini mengeksploitasi kondisi perlombaan yang dapat digunakan untuk mendapatkan akses ke shell jarak jauh, sehingga penyerang dapat memperoleh akses root. Pada saat publikasi, eksploitasi diyakini sulit dan memerlukan waktu beberapa jam per mesin yang diserang. Kami tidak mengetahui adanya upaya eksploitasi.

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Kritis CVE-2024-6387

GCP-2024-039

Dipublikasikan: 28-06-2024

Diperbarui: 25-09-2024

Deskripsi

Deskripsi Keparahan Catatan

Update 25-09-2024: Menambahkan versi patch untuk software GDC untuk VMware.


Update 20-08-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26923

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2024-26923

GCP-2024-038

Dipublikasikan: 26-06-2024

Diperbarui: 17-09-2024

Deskripsi

Deskripsi Keparahan Catatan

Update 17-09-2024: Menambahkan versi patch untuk software GDC untuk VMware.


Pembaruan 06-08-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26924

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2024-26924

GCP-2024-037

Dipublikasikan: 18-06-2024

Deskripsi Keparahan Catatan

VMware mengungkapkan beberapa kerentanan dalam VMSA-2024-0012 yang memengaruhi komponen vCenter yang di-deploy di lingkungan pelanggan.

Dampak Google Cloud VMware Engine

  • Kerentanan ini dapat dieksploitasi dengan mengakses port tertentu di Server vCenter. Google telah memblokir port yang rentan di server vCenter, yang mencegah potensi eksploitasi kerentanan ini.
  • Selain itu, Google memastikan semua deployment vCenter di masa mendatang tidak terpengaruh oleh kerentanan ini.

Apa yang harus saya lakukan?

Untuk saat ini, Anda tidak perlu melakukan tindakan lebih lanjut.

Kritis

GCP-2024-036

Dipublikasikan: 18-06-2024

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2024-26584

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2024-26584

GCP-2024-035

Dipublikasikan: 12-06-2024

Diperbarui: 18-07-2024

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 18-07-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE dan menambahkan versi patch untuk versi 1.27 di node pool Container-Optimized OS.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26584

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2024-26584

GCP-2024-034

Dipublikasikan: 11-06-2024

Diperbarui: 10-07-2024

Deskripsi

Deskripsi Keparahan Catatan

Update 10-07-2024: Menambahkan versi patch untuk node Container-Optimized OS yang menjalankan versi minor 1.26 dan 1.27 serta menambahkan versi patch untuk node Ubuntu.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2024-26583

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2024-26583

GCP-2024-033

Dipublikasikan: 10-06-2024

Diperbarui: 26-09-2024

Deskripsi

Deskripsi Keparahan Catatan

Update 26-09-2024: Menambahkan versi patch untuk software GDC untuk VMware.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2022-23222

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2022-23222

GCP-2024-032

Dipublikasikan: 04-06-2024

Deskripsi

Deskripsi Keparahan Catatan

CVE berikut mengekspos Cloud Service Mesh ke kerentanan yang dapat dieksploitasi:

  • CVE-2024-23326: Envoy salah menerima respons HTTP 200 untuk memasuki mode upgrade.
  • CVE-2024-32974: Error di EnvoyQuicServerStream::OnInitialHeadersComplete().
  • CVE-2024-32975: Error di QuicheDataReader::PeekVarInt62Length().
  • CVE-2024-32976: Loop tanpa akhir saat mendekompresi data Brotli dengan input tambahan.
  • CVE-2024-34362: Error (use-after-free) di EnvoyQuicServerStream.
  • CVE-2024-34363: Error karena pengecualian JSON nlohmann yang tidak tertangkap.
  • CVE-2024-34364: Vektor OOM Envoy dari klien asinkron HTTP dengan buffering respons yang tidak terbatas untuk respons mirror.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat berita keamanan Cloud Service Mesh.

Tinggi

GCP-2024-031

Dipublikasikan: 24-05-2024

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 terpengaruh.

GKE, GKE di VMware, GKE di AWS, GKE di Azure, dan GKE di Bare Metal tidak menggunakan Fluent Bit versi yang rentan dan tidak terpengaruh.

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tidak ada CVE-2024-4323

GCP-2024-030

Dipublikasikan: 15-05-2024

Diperbarui: 18-07-2024

Deskripsi

Deskripsi Keparahan Catatan

Update 18-07-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-52620

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-52620

GCP-2024-029

Dipublikasikan: 14-05-2024

Diperbarui: 19-08-2024

Deskripsi

Deskripsi Keparahan Catatan

Update 19-08-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26642

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2024-26642

GCP-2024-028

Dipublikasikan: 13-05-2024

Diperbarui: 22-05-2024

Deskripsi

Deskripsi Keparahan Catatan

Update 22-05-2024: Menambahkan versi patch untuk Ubuntu


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26581

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2024-26581

GCP-2024-027

Dipublikasikan: 08-05-2024

Diperbarui: 25-09-2024

Deskripsi

Deskripsi Keparahan Catatan

Update 25-09-2024: Menambahkan versi patch untuk software GDC untuk VMware.


Update 15-05-2024: Menambahkan versi patch untuk node pool GKE Ubuntu.


Pembaruan 09-05-2024: Memperbaiki tingkat keparahan dari Sedang menjadi Tinggi dan mengklarifikasi bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26808

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2024-26808

GCP-2024-026

Dipublikasikan: 07-05-2024

Diperbarui: 06-08-2024

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 06-08-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.


Pembaruan 09-05-2024: Memperbaiki tingkat keparahan dari Sedang menjadi Tinggi.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26643

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2024-26643

GCP-2024-025

Dipublikasikan: 26-04-2024

Deskripsi

Deskripsi Keparahan Catatan

Looker memperbaiki kerentanan yang dilaporkan oleh peneliti eksternal melalui program Vulnerability Reward Program (VRP) Google dan Alphabet, tetapi tidak menemukan bukti eksploitasi. Masalah ini kini telah teratasi dan tidak ada tindakan pengguna yang diperlukan untuk pelanggan yang menghosting Looker di Looker (Google Cloud core) dan Looker (asli). Instance Looker yang dihosting sendiri disarankan untuk diupdate ke versi terbaru yang didukung.

Apa yang sebaiknya saya lakukan?

Instance yang dihosting Looker: Instance Looker (Google Cloud core) dan Looker (asli)

Pelanggan tidak perlu melakukan tindakan apa pun.

Khusus instance Looker yang dihosting sendiri

Jika instance Looker Anda dihosting sendiri, sebaiknya upgrade instance Looker Anda ke salah satu versi berikut:

  • 24.6.12+
  • 24.4.27+
  • 24.2.58+
  • 24.0.65+
  • 23.18.100+
  • 23.12.105+
  • 23.6.163+

Bagaimana cara memperbaikinya?

Google menonaktifkan akses administratif langsung ke database internal dari aplikasi Looker, menghapus hak istimewa yang ditingkatkan yang mengaktifkan akses lintas-tenant, dan merotasi secret yang terekspos. Selain itu, kami telah memperbaiki kerentanan traversal jalur yang berpotensi mengekspos kredensial akun layanan. Kami juga melakukan peninjauan menyeluruh terhadap kode dan sistem kami untuk mengidentifikasi dan mengatasi potensi kerentanan serupa.

Kritis

GCP-2024-024

Dipublikasikan: 25-04-2024

Diperbarui: 18-07-2024

Deskripsi

Deskripsi Keparahan Catatan

Update 18-07-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26585

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2024-26585

GCP-2024-023

Dipublikasikan: 24-04-2024

Deskripsi

Deskripsi Keparahan Catatan

CVE berikut mengekspos Cloud Service Mesh ke kerentanan yang dapat dieksploitasi:

  • CVE-2024-27919: HTTP/2: kehabisan memori karena banjir frame CONTINUATION.
  • CVE-2024-30255: HTTP/2: CPU habis karena banjir frame CONTINUATION
  • CVE-2024-32475: Penghentian abnormal saat menggunakan 'auto_sni' dengan header ':authority' yang lebih panjang dari 255 karakter.
  • CVE-2023-45288: Frame CONTINUATION HTTP/2 dapat digunakan untuk serangan DoS.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat berita keamanan Cloud Service Mesh.

Tinggi

GCP-2024-022

Dipublikasikan: 03-04-2024

Diperbarui: 17-07-2024

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 17-07-2024: Menambahkan versi patch untuk GKE di VMware


Pembaruan 09-07-2024: Menambahkan versi patch untuk GKE on Bare Metal


Pembaruan 24-04-2024: Menambahkan versi patch untuk GKE.


Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE).

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-45288

GCP-2024-021

Dipublikasikan: 03-04-2024

Deskripsi

Deskripsi Keparahan Catatan

Compute Engine tidak terpengaruh oleh CVE-2024-3094, yang memengaruhi paket xz-utils versi 5.6.0 dan 5.6.1 di library liblzma, dan dapat menyebabkan penyusupan utilitas OpenSSH.

Untuk mengetahui detail selengkapnya, lihat Buletin keamanan Compute Engine.

Sedang CVE-2024-3094

GCP-2024-020

Dipublikasikan: 02-04-2024

Deskripsi

Deskripsi Keparahan Catatan

Peneliti menemukan kerentanan (CVE-2023-48022) di Ray. Ray adalah alat open source pihak ketiga untuk beban kerja AI. Karena Ray tidak memerlukan autentikasi, pelaku ancaman dapat melakukan eksekusi kode jarak jauh melalui pengiriman tugas ke instance yang diekspos secara publik. Kerentanan ini telah disengketakan oleh Anyscale, developer Ray. Ray mempertahankan fungsinya sebagai fitur produk inti yang diinginkan, dan keamanan harus diterapkan di luar cluster Ray, karena eksposur jaringan yang tidak diinginkan dari cluster Ray dapat menyebabkan kompromi.

Berdasarkan respons tersebut, CVE ini disengketakan dan mungkin tidak muncul di pemindai kerentanan. Terlepas dari itu, fitur ini secara aktif dieksploitasi di dunia nyata dan pengguna harus mengonfigurasi penggunaannya seperti yang disarankan di bawah.

Apa yang sebaiknya saya lakukan?

Ikuti praktik terbaik dan panduan Ray, termasuk menjalankan kode tepercaya di jaringan tepercaya, untuk mengamankan workload Ray Anda. Deployment ray.io di instance cloud pelanggan termasuk dalam model tanggung jawab bersama.

Keamanan Google Kubernetes Engine (GKE) telah memublikasikan blog tentang hardening Ray di GKE.

Untuk informasi lebih lanjut tentang cara menambahkan autentikasi dan otorisasi ke layanan Ray, lihat dokumentasi Identity-Aware Proxy (IAP). Pengguna GKE dapat menerapkan IAP dengan mengikuti panduan ini atau dengan menggunakan kembali modul Terraform yang ditautkan di blog.

Tinggi CVE-2023-48022

GCP-2024-018

Dipublikasikan: 12-03-2024

Diperbarui: 04-04-2024, 06-05-2024

Deskripsi

Deskripsi Keparahan Catatan

Update 06-05-2024: Menambahkan versi patch untuk node pool GKE Ubuntu.


Pembaruan 04-04-2024: Memperbaiki versi minimum untuk node pool Container-Optimized OS GKE.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-1085

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2024-1085

GCP-2024-017

Dipublikasikan: 06-03-2024

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3611

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-3611

GCP-2024-016

Dipublikasikan: 05-03-2024

Deskripsi Keparahan Catatan

VMware mengungkapkan beberapa kerentanan di VMSA-2024-0006 yang memengaruhi komponen ESXi yang di-deploy di lingkungan pelanggan.

Dampak Google Cloud VMware Engine

Cloud pribadi Anda telah diupdate untuk mengatasi kerentanan keamanan.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Kritis

GCP-2024-014

Dipublikasikan: 26-02-2024

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3776

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-3776

GCP-2024-013

Dipublikasikan: 27-02-2024

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3610

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-3610

GCP-2024-012

Dipublikasikan: 20-02-2024

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-0193

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2024-0193

GCP-2024-011

Dipublikasikan: 15-02-2024

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-6932

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-6932

GCP-2024-010

Dipublikasikan: 14-02-2024

Diperbarui: 17-04-2024

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 17-04-2024: Menambahkan versi patch untuk GKE di VMware.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-6931

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-6931

GCP-2024-009

Dipublikasikan: 13-02-2024

Deskripsi

Deskripsi Keparahan Catatan

Pada 13 Februari 2024, AMD mengungkapkan dua kerentanan yang memengaruhi SEV-SNP pada CPU EPYC berdasarkan core Zen "Milan" generasi ketiga dan "Genoa" generasi keempat. Kerentanan ini memungkinkan penyerang dengan hak istimewa mengakses data yang sudah tidak berlaku dari tamu atau menyebabkan hilangnya integritas tamu.

Google telah menerapkan perbaikan pada aset yang terpengaruh, termasuk Google Cloud, untuk memastikan pelanggan terlindungi. Saat ini, tidak ada bukti eksploitasi yang ditemukan atau dilaporkan ke Google.

Apa yang sebaiknya saya lakukan?

Pelanggan tidak perlu melakukan tindakan apa pun. Perbaikan telah diterapkan ke kumpulan server Google untuk Google Cloud, termasuk Compute Engine.

Untuk informasi selengkapnya, lihat saran keamanan AMD AMD-SN-3007.

Sedang

GCP-2024-008

Dipublikasikan: 12-02-2024

Deskripsi

Deskripsi Keparahan Catatan

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin di node tersebut.

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-5528

GCP-2024-007

Dipublikasikan: 08-02-2024

Deskripsi

Deskripsi Keparahan Catatan

CVE berikut mengekspos Cloud Service Mesh ke kerentanan yang dapat dieksploitasi:

  • CVE-2024-23322: Envoy mengalami error saat tidak ada aktivitas dan waktu tunggu per permintaan per percobaan terjadi dalam interval backoff.
  • CVE-2024-23323: Penggunaan CPU yang berlebihan saat pencocok template URI dikonfigurasi menggunakan ekspresi reguler.
  • CVE-2024-23324: Otorisasi eksternal dapat diabaikan saat filter protokol Proxy menetapkan metadata UTF-8 yang tidak valid.
  • Envoy mengalami error saat menggunakan jenis alamat yang tidak didukung oleh OS.
  • CVE-2024-23327: Error dalam protokol proxy saat jenis perintahnya adalah LOCAL.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat berita keamanan Cloud Service Mesh.

Tinggi

GCP-2024-006

Dipublikasikan: 5-02-2024

Deskripsi

Deskripsi Keparahan Catatan

Saat proxy Pengelolaan API Apigee terhubung ke endpoint target atau server target, proxy tidak melakukan validasi nama host untuk sertifikat yang ditampilkan oleh endpoint target atau server target secara default. Jika validasi nama host tidak diaktifkan menggunakan salah satu opsi berikut, proxy Apigee yang terhubung ke endpoint target atau server target mungkin berisiko terkena serangan man-in-the-middle oleh pengguna yang diotorisasi. Untuk informasi selengkapnya, lihat Mengonfigurasi TLS dari Edge ke backend (Cloud dan Cloud Pribadi).

Deployment proxy Apigee di platform Apigee berikut terpengaruh:

  • Apigee Edge untuk Public Cloud
  • Apigee Edge untuk Private Cloud

Untuk mengetahui petunjuk dan detail selengkapnya, lihat Buletin keamanan Apigee.

Tinggi

GCP-2024-005

Dipublikasikan: 31-01-2024
Diperbarui: 02-04-2024, 06-05-2024

Deskripsi

Deskripsi Keparahan Catatan

Update 06-05-2024: Menambahkan versi patch untuk GKE di AWS dan GKE di Azure.


Pembaruan 02-04-2024: Menambahkan versi patch untuk GKE on Bare Metal


Update 06-03-2024: Menambahkan versi patch untuk GKE di VMware


Pembaruan 28-02-2024: Menambahkan versi patch untuk Ubuntu


Update 15-02-2024: Mengklarifikasi bahwa versi patch Ubuntu 1.25 dan 1.26 dalam update 14-02-2024 dapat menyebabkan node tidak sehat.


Update 14-02-2024: Menambahkan versi patch untuk Ubuntu


Pembaruan 06-02-2024: Menambahkan versi patch untuk Container-Optimized OS.


Kerentanan keamanan, CVE-2024-21626, telah ditemukan di runc tempat pengguna dengan izin untuk membuat Pod di node Container-Optimized OS dan Ubuntu mungkin dapat memperoleh akses penuh ke sistem file node.

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2024-21626

GCP-2024-004

Dipublikasikan: 24-01-2024
Diperbarui: 07-02-2024

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 07-02-2024: Menambahkan versi patch untuk Ubuntu.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-6817

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-6817

GCP-2024-003

Dipublikasikan: 19-01-2024
Diperbarui: 26-01-2024

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 26-01-2024: Memperjelas jumlah cluster yang terpengaruh dan tindakan yang kami lakukan untuk membantu memitigasi dampaknya. Untuk mengetahui detailnya, lihat berita keamanan GCP-2024-003.


Kami telah mengidentifikasi beberapa cluster tempat pengguna telah memberikan hak istimewa Kubernetes ke grup system:authenticated, yang mencakup semua pengguna dengan Akun Google. Jenis binding ini tidak direkomendasikan, karena melanggar prinsip hak istimewa terendah dan memberikan akses ke grup pengguna yang sangat besar. Lihat panduan di bagian 'Apa yang harus saya lakukan' untuk mengetahui petunjuk cara menemukan jenis binding ini.

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Sedang

GCP-2024-002

Dipublikasikan: 17-01-2024

Diperbarui: 20-02-2024

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 20-02-2024: Menambahkan versi patch untuk GKE di VMware.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS.

  • CVE-2023-6111

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-6111

GCP-2024-001

Dipublikasikan: 09-01-2024

Deskripsi

Deskripsi Keparahan Catatan

Beberapa kerentanan ditemukan di firmware TianoCore EDK II UEFI. Firmware ini digunakan di VM Google Compute Engine. Jika dieksploitasi, kerentanan ini dapat memungkinkan pengabaian booting aman, yang akan memberikan pengukuran palsu dalam proses booting aman, termasuk saat digunakan di Shielded VM.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Google telah menerapkan patch pada kerentanan ini di seluruh Compute Engine dan semua VM dilindungi dari kerentanan ini.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Patch ini mengurangi kerentanan berikut:

  • CVE-2022-36763
  • CVE-2022-36764
  • CVE-2022-36765
Sedang

GCP-2023-051

Dipublikasikan: 28-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3609

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-3609

GCP-2023-050

Dipublikasikan: 27-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3389

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-3389

GCP-2023-049

Dipublikasikan: 20-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3090

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-3090

GCP-2023-048

Dipublikasikan: 15-12-2023

Diperbarui: 21-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 21-12-2023: Mengklarifikasi bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3390

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-3390

GCP-2023-047

Dipublikasikan: 14-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Penyerang yang telah membahayakan penampung logging Fluent Bit dapat menggabungkan akses tersebut dengan hak istimewa tinggi yang diperlukan oleh Cloud Service Mesh (di cluster yang telah mengaktifkannya) untuk mengeskalasi hak istimewa di cluster.

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Sedang

GCP-2023-046

Dipublikasikan: 22-11-2023
Diperbarui: 04-03-2024

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 04-03-2024: Menambahkan versi GKE untuk GKE di VMware.

Update 22-01-2024: Menambahkan versi patch Ubuntu


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-5717

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-5717

GCP-2023-045

Dipublikasikan: 20-11-2023

Diperbarui: 21-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 21-12-2023: Mengklarifikasi bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-5197

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-5197

GCP-2023-044

Dipublikasikan: 15-11-2023

Deskripsi

Deskripsi Keparahan Catatan

Pada 14 November, AMD mengungkapkan beberapa kerentanan yang memengaruhi berbagai CPU server AMD. Secara khusus, kerentanan ini memengaruhi CPU Server EPYC yang memanfaatkan core Zen generasi ke-2 "Rome", generasi ke-3 "Milan", dan generasi ke-4 "Genoa".

Google telah menerapkan perbaikan pada aset yang terpengaruh, termasuk Google Cloud, untuk memastikan pelanggan terlindungi. Saat ini, tidak ada bukti eksploitasi yang ditemukan atau dilaporkan ke Google.

Apa yang sebaiknya saya lakukan?

Pelanggan tidak perlu melakukan tindakan apa pun.

Perbaikan telah diterapkan ke kumpulan server Google untuk Google Cloud, termasuk Google Compute Engine.

Kerentanan apa yang ditangani?

Patch ini mengurangi kerentanan berikut:

  • CVE-2022-23820
  • CVE-2021-46774
  • CVE-2023-20533
  • CVE-2023-20519
  • CVE-2023-20592
  • CVE-2023-20566
  • CVE-2023-20521
  • CVE-2021-46766
  • CVE-2022-23830
  • CVE-2023-20526
  • CVE-2021-26345

Untuk informasi selengkapnya, lihat saran keamanan AMD AMD-SN-3005: "AMD INVD Instruction Security Notice", yang juga dipublikasikan sebagai CacheWarp, dan AMD-SN-3002: "AMD Server Vulnerabilities – November 2023".

Sedang

GCP-2023-043

Dipublikasikan: 14-11-2023

Deskripsi

Deskripsi Keparahan Catatan

Intel mengungkapkan kerentanan CPU di prosesor tertentu. Google telah mengambil langkah-langkah untuk mengurangi jumlah servernya, termasuk Google Compute Engine untuk Google Cloud, dan perangkat Chrome OS untuk memastikan pelanggan terlindungi.

Detail kerentanan:

  • CVE-2023-23583

Apa yang sebaiknya saya lakukan?

Pelanggan tidak perlu melakukan tindakan apa pun.

Mitigasi yang disediakan oleh Intel untuk prosesor yang terpengaruh telah diterapkan ke seluruh server Google, termasuk Google Compute Engine untuk Google Cloud.

Saat ini, Google Distributed Cloud Edge memerlukan update dari OEM. Google akan memperbaiki produk ini setelah update tersedia, dan buletin ini akan diperbarui sesuai kebutuhan.

Perangkat Chrome OS dengan prosesor yang terpengaruh menerima perbaikan secara otomatis sebagai bagian dari rilis 119, 118, dan 114 (LTS).

Kerentanan apa yang ditangani?

CVE-2023-23583. Untuk mengetahui detailnya, lihat Intel Security Advisory INTEL-SA-00950.

Tinggi CVE-2023-23583

GCP-2023-042

Dipublikasikan: 13-11-2023
Diperbarui: 15-11-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 15-11-2023: Mengklarifikasi bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi yang di-patch yang sesuai untuk GKE.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4147

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-4147

GCP-2023-041

Dipublikasikan: 08-11-2023

Diperbarui: 21-11-2023, 05-12-2023, 21-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 21-12-2023: Mengklarifikasi bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.


Pembaruan 05-12-2023: Menambahkan versi GKE tambahan untuk node pool Container-Optimized OS.


Pembaruan 21-11-2023: Mengklarifikasi bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi yang di-patch yang sesuai untuk GKE.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4004

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-4004

GCP-2023-040

Dipublikasikan: 06-11-2023

Diperbarui: 21-11-2023, 21-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 21-12-2023: Mengklarifikasi bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.


Pembaruan 21-11-2023: Mengklarifikasi bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi yang di-patch yang sesuai untuk GKE.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4921

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-4921

GCP-2023-039

Dipublikasikan: 06-11-2023

Diperbarui: 21-11-2023, 16-11-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 21-11-2023: Mengklarifikasi bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi yang di-patch yang sesuai untuk GKE.


Update 16-11-2023: Kerentanan yang terkait dengan buletin keamanan ini adalah CVE-2023-4622. CVE-2023-4623 salah dicantumkan sebagai kerentanan dalam buletin keamanan versi sebelumnya.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4623

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-4622

GCP-2023-038

Dipublikasikan: 06-11-2023

Diperbarui: 21-11-2023, 21-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 21-12-2023: Mengklarifikasi bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.


Pembaruan 21-11-2023: Mengklarifikasi bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi yang di-patch yang sesuai untuk GKE.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4623

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-4623

GCP-2023-037

Dipublikasikan: 06-11-2023

Diperbarui: 21-11-2023, 21-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 21-12-2023: Mengklarifikasi bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.


Pembaruan 21-11-2023: Mengklarifikasi bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi yang di-patch yang sesuai untuk GKE.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4015

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-4015

GCP-2023-036

Dipublikasikan: 30-10-2023

Deskripsi

Deskripsi Keparahan Catatan

Deep Learning VM Image adalah kumpulan image virtual machine bawaan dengan framework deep learning yang siap dijalankan. Baru-baru ini, kerentanan penulisan di luar batas ditemukan dalam fungsi `ReadHuffmanCodes()` di library `libwebp`. Hal ini dapat memengaruhi gambar yang menggunakan library ini.

Google Cloud terus memindai image yang dipublikasikan secara publik dan mengupdate paket untuk memastikan distro yang di-patch disertakan dalam rilis terbaru yang tersedia untuk diadopsi pelanggan. Deep Learning VM Image telah diupdate untuk memastikan bahwa image VM terbaru menyertakan distro yang di-patch. Pelanggan yang menggunakan image VM terbaru tidak akan terpengaruh oleh kerentanan ini.

Apa yang sebaiknya saya lakukan?

Pelanggan Google Cloud yang menggunakan image VM yang dipublikasikan harus memastikan bahwa mereka menggunakan image terbaru dan lingkungan mereka sudah yang terbaru sesuai dengan model tanggung jawab bersama.

CVE-2023-4863 dapat dieksploitasi oleh penyerang untuk mengeksekusi kode arbitrer. Kerentanan ini diidentifikasi di Google Chrome sebelum versi 116.0.5845.187 dan di `libwebp` sebelum versi 1.3.2 dan tercantum dalam CVE-2023-4863.

Tinggi CVE-2023-4863

GCP-2023-035

Dipublikasikan: 26-10-2023

Diperbarui: 21-11-2023, 21-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 21-12-2023: Mengklarifikasi bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.


Pembaruan 21-11-2023: Mengklarifikasi bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi yang di-patch yang sesuai untuk GKE.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-4206CVE-2023-4207, CVE-2023-4208, CVE-2023-4128

GCP-2023-034

Dipublikasikan: 25-10-2023

Diperbarui: 27-10-2023

Deskripsi

Deskripsi Keparahan Catatan

VMware mengungkapkan beberapa kerentanan di VMSA-2023-0023 yang memengaruhi komponen vCenter yang di-deploy di lingkungan pelanggan.

Dampak Cloud Customer Care

  • Kerentanan ini dapat dieksploitasi dengan mengakses port tertentu di vCenter Server. Port ini tidak diekspos ke internet publik.
  • Jika port vCenter 2012/tcp, 2014/tcp, dan 2020/tcp tidak dapat diakses oleh sistem yang tidak tepercaya, Anda tidak akan terekspos pada kerentanan ini.
  • Google telah memblokir port yang rentan di server vCenter, sehingga mencegah potensi eksploitasi kerentanan ini.
  • Selain itu, Google akan memastikan semua deployment server vCenter di masa mendatang tidak terekspos pada kerentanan ini.
  • Pada saat buletin ini dibuat, VMware tidak mengetahui adanya eksploitasi "di alam liar". Untuk mengetahui detail selengkapnya, lihat dokumentasi VMware untuk mengetahui informasi selengkapnya.

Apa yang harus saya lakukan?

Untuk saat ini, Anda tidak perlu melakukan tindakan lebih lanjut

Kritis CVE-2023-34048,CVE-2023-34056

GCP-2023-033

Dipublikasikan: 24-10-2023

Diperbarui: 21-11-2023, 21-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 21-12-2023: Mengklarifikasi bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh dan workload GKE Sandbox tidak terpengaruh.


Pembaruan 21-11-2023: Mengklarifikasi bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi yang di-patch yang sesuai untuk GKE.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3777

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-3777

GCP-2023-032

Dipublikasikan: 13-10-2023

Diperbarui: 03-11-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 03-11-2023: Menambahkan masalah umum untuk Apigee Edge untuk Private Cloud.

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan dalam beberapa penerapan protokol HTTP/2 (CVE-2023-44487), termasuk layanan Apigee Ingress (Cloud Service Mesh) yang digunakan oleh Apigee X dan Apigee Hybrid. Kerentanan ini dapat menyebabkan DoS pada fungsi pengelolaan Apigee API.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan Apigee.

Tinggi CVE-2023-44487

GCP-2023-031

Dipublikasikan: 10-10-2023

Deskripsi

Deskripsi Keparahan Catatan

Serangan denial of service dapat memengaruhi bidang data saat menggunakan protokol HTTP/2. Untuk mengetahui petunjuk dan detail selengkapnya, lihat berita keamanan Cloud Service Mesh.

Tinggi CVE-2023-44487

GCP-2023-030

Dipublikasikan: 10-10-2023

Diperbarui: 20-03-2024

Deskripsi

Deskripsi Keparahan Catatan

Update 20-03-2024: Menambahkan versi patch untuk GKE di AWS dan GKE di Azure dengan patch terbaru untuk CVE-2023-44487.


Update 14-02-2024: Menambahkan versi patch untuk GKE di VMware.


Update 09-11-2023: Menambahkan CVE-2023-39325. Memperbarui versi GKE dengan patch terbaru untuk CVE-2023-44487 dan CVE-2023-39325.


Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE). Cluster GKE dengan jaringan resmi yang dikonfigurasi dilindungi dengan membatasi akses jaringan, tetapi semua cluster lainnya akan terpengaruh.

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-44487, CVE-2023-39325

GCP-2023-029

Dipublikasikan: 03-10-2023

Deskripsi

Deskripsi Keparahan Catatan

TorchServe digunakan untuk menghosting model machine learning PyTorch untuk prediksi online. Vertex AI menyediakan container penayangan model PyTorch bawaan yang bergantung pada TorchServe. Kerentanan baru-baru ini ditemukan di TorchServe yang memungkinkan penyerang mengontrol deployment TorchServe jika API pengelolaan modelnya terekspos. Pelanggan dengan model PyTorch yang di-deploy ke prediksi online Vertex AI tidak terpengaruh oleh kerentanan ini, karena Vertex AI tidak mengekspos API pengelolaan model TorchServe. Pelanggan yang menggunakan TorchServe di luar Vertex AI harus melakukan tindakan pencegahan untuk memastikan deployment mereka disiapkan dengan aman.

Apa yang sebaiknya saya lakukan?

Pelanggan Vertex AI dengan model yang di-deploy menggunakan container penayangan PyTorch bawaan Vertex AI tidak perlu melakukan tindakan apa pun untuk mengatasi kerentanan tersebut, karena deployment Vertex AI tidak mengekspos server pengelolaan TorchServe ke internet.

Pelanggan yang menggunakan container PyTorch bawaan dalam konteks lain, atau yang menggunakan distribusi TorchServe yang dibuat khusus atau dari pihak ketiga harus melakukan hal berikut:

  • Pastikan API pengelolaan model TorchServe tidak terekspos ke internet. API pengelolaan model dapat dibatasi untuk akses lokal hanya dengan memastikan bahwa management_address terikat dengan 127.0.0.1.
  • Gunakan setelan allowed_urls untuk memastikan bahwa model hanya dapat dimuat dari sumber yang diinginkan.
  • Upgrade TorchServe ke versi 0.8.2, yang mencakup mitigasi untuk masalah ini, sesegera mungkin. Sebagai tindakan pencegahan, Vertex AI akan merilis container bawaan tetap pada 13-10-2023.

Kerentanan apa yang ditangani?

API pengelolaan TorchServe terikat pada 0.0.0.0 secara default di sebagian besar image Docker TorchServe, termasuk yang dirilis oleh Vertex AI, sehingga dapat diakses oleh permintaan eksternal. Alamat IP default untuk API pengelolaan diubah menjadi 127.0.0.1 di TorchServe 0.8.2, sehingga dapat memitigasi masalah ini.

CVE-2023-43654 dan CVE-2022-1471 memungkinkan pengguna dengan akses ke API pengelolaan dapat memuat model dari sumber arbitrer dan mengeksekusi kode dari jarak jauh. Mitigasi untuk kedua masalah ini tercakup dalam TorchServe 0.8.2: jalur eksekusi kode jarak jauh akan dihapus, dan peringatan akan dimunculkan jika nilai default untuk allowed_urls digunakan.

Tinggi CVE-2023-43654, CVE-2022-1471

GCP-2023-028

Dipublikasikan: 19-09-2023

Diperbarui: 29-05-2024

Deskripsi

Deskripsi Keparahan Catatan
Pembaruan 29-05-2024: Feed baru tidak lagi menggunakan akun layanan bersama, tetapi tetap aktif untuk feed yang ada guna menghindari gangguan layanan. Perubahan pada sumber di feed lama diblokir untuk mencegah penyalahgunaan akun layanan bersama. Pelanggan dapat terus menggunakan feed lama mereka seperti biasa, selama mereka tidak mengubah sumbernya.

Pelanggan dapat mengonfigurasi Google Security Operations untuk menyerap data dari bucket Cloud Storage milik pelanggan menggunakan feed penyerapan. Hingga baru-baru ini, Google Security Operations menyediakan akun layanan bersama yang digunakan pelanggan untuk memberikan izin ke bucket. Ada peluang sehingga instance Google Security Operations milik satu pelanggan dapat dikonfigurasi untuk menyerap data dari bucket Cloud Storage milik pelanggan lain. Setelah melakukan analisis dampak, kami tidak menemukan eksploitasi kerentanan ini saat ini atau sebelumnya. Kerentanan ini ada di semua versi Google Security Operations sebelum 19 September 2023.

Apa yang sebaiknya saya lakukan?

Mulai 19 September 2023, Google Security Operations telah diupdate untuk mengatasi kerentanan ini. Pelanggan tidak perlu melakukan tindakan apa pun.

Kerentanan apa yang ditangani?

Sebelumnya, Google Security Operations menyediakan akun layanan bersama yang digunakan pelanggan untuk memberikan izin ke bucket. Karena pelanggan yang berbeda memberikan izin akun layanan Google Security Operations yang sama ke bucket mereka, terdapat vektor eksploitasi yang memungkinkan feed satu pelanggan mengakses bucket pelanggan lain saat feed dibuat atau diubah. Vektor eksploitasi ini memerlukan pengetahuan tentang URI bucket. Sekarang, selama pembuatan atau perubahan feed, Google Security Operations menggunakan akun layanan unik untuk setiap pelanggan.

Tinggi

GCP-2023-027

Dipublikasikan: 11-09-2023
Deskripsi Keparahan Catatan

Update VMware vCenter Server mengatasi beberapa kerentanan kerusakan memori (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896)

Dampak Layanan Pelanggan

VMware vCenter Server (vCenter Server) dan VMware Cloud Foundation (Cloud Foundation).

Apa yang harus saya lakukan?

Pelanggan tidak terpengaruh dan tidak perlu melakukan tindakan apa pun.

Sedang

GCP-2023-026

Dipublikasikan: 06-09-2023

Deskripsi

Deskripsi Keparahan Catatan

Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, yaitu pengguna yang dapat membuat Pod di node Windows mungkin dapat mengeskalasi ke hak istimewa admin di node tersebut. Kerentanan ini memengaruhi Kubelet versi Windows dan proxy CSI Kubernetes.

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-3676, CVE-2023-3955, CVE-2023-3893

GCP-2023-025

Dipublikasikan: 08-08-2023
Deskripsi Keparahan Catatan

Intel baru-baru ini mengumumkan Intel Security Advisory INTEL-SA-00828 yang memengaruhi beberapa keluarga prosesor mereka. Sebaiknya Anda menilai risiko berdasarkan saran tersebut.

Dampak Google Cloud VMware Engine

Armada kami menggunakan keluarga prosesor yang terpengaruh. Dalam deployment kami, seluruh server didedikasikan untuk satu pelanggan. Oleh karena itu, model deployment kami tidak menambahkan risiko tambahan apa pun pada penilaian Anda terhadap kerentanan ini.

Kami sedang bekerja sama dengan partner kami untuk mendapatkan patch yang diperlukan dan akan men-deploy patch ini secara prioritas di seluruh fleet menggunakan proses upgrade standar dalam beberapa minggu ke depan.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan apa pun, kami sedang berupaya mengupgrade semua sistem yang terpengaruh.

Tinggi

GCP-2023-024

Dipublikasikan: 08-08-2023

Diperbarui: 10-08-2023, 04-06-2024

Deskripsi

Deskripsi Keparahan Catatan

Update 04-06-2024: Produk yang tidak ada berikut kini telah diperbarui untuk memperbaiki kerentanan ini:

  • Google Distributed Cloud Hosted
  • Google Distributed Cloud Edge


Pembaruan 10-08-2023: Menambahkan nomor versi LTS ChromeOS.


Intel mengungkapkan kerentanan di prosesor tertentu (CVE-2022-40982). Google telah mengambil langkah-langkah untuk memitigasi armada servernya, termasuk Google Cloud, untuk memastikan pelanggan terlindungi.

Detail kerentanan:

  • CVE-2022-40982 (Intel IPU 2023.3, "GDS" alias "Downfall")

Apa yang sebaiknya saya lakukan?

Pelanggan tidak perlu melakukan tindakan apa pun.

Semua patch yang tersedia telah diterapkan ke kumpulan server Google untuk Google Cloud, termasuk Google Compute Engine.

Saat ini, produk berikut memerlukan pembaruan tambahan dari partner dan vendor.

  • Google Cloud VMware Engine
  • Google Distributed Cloud Hosted
  • Google Distributed Cloud Edge
  • Solusi Bare Metal Google Cloud
  • Evolved Packet Core

Google akan memperbaiki produk ini setelah patch ini tersedia, dan buletin ini akan diperbarui.

Pelanggan Google Chromebook dan ChromeOS Flex otomatis menerima mitigasi yang disediakan Intel di Stabil (115), LTS (108), Beta (116), dan LTC (114). Pelanggan Chromebook dan ChromeOS Flex yang disematkan ke rilis lama harus mempertimbangkan untuk melepas sematkan dan beralih ke rilis Stabil atau LTS untuk memastikan mereka menerima perbaikan kerentanan ini dan kerentanan lainnya.

Kerentanan apa yang ditangani?

CVE-2022-40982 - Untuk informasi selengkapnya, lihat Intel Security Advisory INTEL-SA-00828.

Tinggi CVE-2022-40982

GCP-2023-023

Dipublikasikan: 08-08-2023

Deskripsi

Deskripsi Keparahan Catatan

AMD mengungkapkan kerentanan pada prosesor tertentu (CVE-2023-20569). Google telah mengambil langkah-langkah untuk memitigasi armada servernya, termasuk Google Cloud, untuk memastikan pelanggan terlindungi.

Detail kerentanan:

  • CVE-2023-20569 (AMD SB-7005 alias "Inception")

Apa yang sebaiknya saya lakukan?

Pengguna VM Compute Engine harus mempertimbangkan mitigasi yang disediakan OS jika menggunakan eksekusi kode tidak tepercaya dalam instance. Sebaiknya pelanggan menghubungi vendor OS mereka untuk mendapatkan panduan yang lebih spesifik.

Perbaikan telah diterapkan ke kumpulan server Google untuk Google Cloud, termasuk Google Compute Engine.

Kerentanan apa yang ditangani?

CVE-2023-20569 - Untuk informasi selengkapnya, lihat AMD SB-7005.

Sedang CVE-2023-20569

GCP-2023-022

Dipublikasikan: 03-08-2023

Deskripsi

Deskripsi Keparahan Catatan

Google mengidentifikasi kerentanan dalam Implementasi gRPC C++ sebelum rilis 1.57. Ini adalah kerentanan Denial of Service dalam implementasi C++ gRPC. Masalah ini telah diperbaiki dalam rilis 1.53.2, 1.54.3, 1.55.2, 1.56.2, dan 1.57.

Apa yang sebaiknya saya lakukan?

Pastikan Anda menggunakan paket software berikut versi terbaru:

  • gRPC (C++, Python, Ruby) versi 1.53, 1.54, 1.55, dan 1.56 perlu diupgrade ke rilis patch berikut:
    • 1.53.2
    • 1.54.3
    • 1.55.2
    • 1.56.2
  • gRPC (C++, Python, Ruby) versi 1.52 dan yang lebih lama harus diupgrade ke salah satu rilis patch yang disetujui. Misalnya, 1.53.2, 1.54.3, 1.53.4, dll.

Kerentanan apa yang ditangani?

Patch ini mengurangi kerentanan berikut:

  • Kerentanan Denial-of-Service dalam implementasi gRPC C++: Permintaan yang dibuat secara khusus dapat menyebabkan penghentian koneksi antara proxy dan backend.
Tinggi CVE-2023-33953

GCP-2023-021

Updated:2023-07-26

Published:2023-07-25

Deskripsi

Deskripsi Keparahan Catatan

CVE berikut mengekspos Cloud Service Mesh ke kerentanan yang dapat dieksploitasi:

  • CVE-2023-35941: Klien berbahaya dapat membuat kredensial dengan validitas permanen dalam beberapa skenario tertentu. Misalnya, kombinasi host dan waktu habis masa berlaku dalam payload HMAC dapat selalu valid dalam pemeriksaan HMAC filter OAuth2.
  • CVE-2023-35942: Logger akses gRPC yang menggunakan cakupan global pemroses dapat menyebabkan error use-after-free saat pemroses habis. Hal ini dapat dipicu oleh update LDS dengan konfigurasi log akses gRPC yang sama.
  • CVE-2023-35943: Jika header origin dikonfigurasi untuk dihapus dengan request_headers_to_remove: origin, filter CORS akan segfault dan membuat Envoy error.
  • CVE-2023-35944: Penyerang dapat mengirim permintaan skema campuran untuk mengabaikan pemeriksaan skema di Envoy. Misalnya, jika permintaan dengan skema HTTP campuran dikirim ke filter OAuth2, permintaan tersebut akan gagal dalam pemeriksaan kecocokan persis untuk HTTP, dan memberi tahu endpoint jarak jauh bahwa skemanya adalah HTTPS, sehingga berpotensi mengabaikan pemeriksaan OAuth2 khusus untuk permintaan HTTP.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat berita keamanan Cloud Service Mesh.

Tinggi

GCP-2023-020

Updated:2023-07-26

Dipublikasikan: 24-07-2023

Deskripsi

Deskripsi Keparahan Catatan

AMD telah merilis update mikrokode yang mengatasi kerentanan keamanan hardware (CVE-2023-20593). Google telah menerapkan perbaikan yang diperlukan untuk kerentanan ini ke kumpulan servernya, termasuk server untuk Google Cloud Platform. Pengujian menunjukkan tidak ada dampak pada performa sistem.

Apa yang sebaiknya saya lakukan?

Pelanggan tidak perlu melakukan tindakan apa pun, karena perbaikan telah diterapkan ke kumpulan server Google untuk Google Cloud Platform.

Kerentanan apa yang ditangani?

CVE-2023-20593 mengatasi kerentanan di beberapa CPU AMD. Informasi selengkapnya dapat ditemukan di sini.

Tinggi CVE-2023-20593

GCP-2023-019

Published:2023-07-18

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan baru (CVE-2023-35945) telah ditemukan di Envoy saat respons yang dibuat secara khusus dari layanan upstream yang tidak tepercaya dapat menyebabkan denial of service melalui kehabisan memori. Hal ini disebabkan oleh codec HTTP/2 Envoy yang dapat membocorkan peta header dan struktur pencatatan setelah menerima RST_STREAM yang segera diikuti oleh frame GOAWAY dari server upstream.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat berita keamanan Cloud Service Mesh.

Tinggi CVE-2023-35945

GCP-2023-018

Dipublikasikan: 27-06-2023

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. Cluster GKE Autopilot terpengaruh karena node GKE Autopilot selalu menggunakan image node Container-Optimized OS. Cluster GKE Standard dengan versi 1.25 atau yang lebih baru yang menjalankan image node Container-Optimized OS akan terpengaruh.

Cluster GKE tidak akan terpengaruh jika hanya menjalankan image node Ubuntu, atau menjalankan versi sebelum 1.25, atau menggunakan GKE Sandbox.

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-2235

GCP-2023-017

Dipublikasikan: 26-06-2023

Diperbarui: 11-07-2023

Deskripsi

Deskripsi Keparahan Catatan

Update 11-07-2023: Versi GKE baru telah diupdate untuk menyertakan versi Ubuntu terbaru yang melakukan patch pada CVE-2023-31436.


Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. Cluster GKE, termasuk cluster Autopilot, terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh.

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-31436

GCP-2023-016

Dipublikasikan: 26-06-2023

Deskripsi

Deskripsi Keparahan Catatan

Sejumlah kerentanan telah ditemukan di Envoy, yang digunakan di Cloud Service Mesh yang memungkinkan penyerang berbahaya menyebabkan denial of service atau membuat Envoy mengalami error. Hal ini dilaporkan secara terpisah sebagai GCP-2023-002.

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487

GCP-2023-015

Dipublikasikan: 20-06-2023

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan baru, CVE-2023-0468, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna tanpa hak istimewa untuk meningkatkan hak istimewa ke root saat io_poll_get_ownership akan terus meningkatkan req->poll_refs pada setiap io_poll_wake, lalu melampaui batas ke 0 yang akan fput req->file dua kali dan menyebabkan masalah refcount file struct. Cluster GKE, termasuk cluster Autopilot, dengan Container-Optimized OS yang menggunakan Linux Kernel versi 5.15 terpengaruh. Cluster GKE yang menggunakan image Ubuntu atau menggunakan GKE Sandbox tidak terpengaruh.

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Sedang CVE-CVE-2023-0468

GCP-2023-014

Diperbarui: 11-08-2023
Dipublikasikan: 15-06-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 11-08-2023: Menambahkan versi patch untuk GKE di VMware, GKE di AWS, GKE di Azure, dan Google Distributed Cloud Virtual untuk Bare Metal.


Dua masalah keamanan baru ditemukan di Kubernetes, yaitu pengguna mungkin dapat meluncurkan penampung yang mengabaikan batasan kebijakan saat menggunakan penampung sementara dan ImagePolicyWebhook (CVE-2023-2727) atau plugin izin ServiceAccount (CVE-2023-2728).

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Sedang CVE-2023-2727, CVE-2023-2728

GCP-2023-013

Dipublikasikan: 08-06-2023

Deskripsi

Deskripsi Keparahan Catatan

Saat Anda mengaktifkan Cloud Build API dalam project, Cloud Build akan otomatis membuat akun layanan default untuk menjalankan build atas nama Anda. Akun layanan Cloud Build ini sebelumnya memiliki izin IAM logging.privateLogEntries.list, yang memungkinkan build memiliki akses untuk mencantumkan log pribadi secara default. Izin ini kini telah dicabut dari akun layanan Cloud Build untuk mematuhi prinsip keamanan dengan hak istimewa terendah.

Untuk petunjuk dan detail selengkapnya, lihat berita keamanan Cloud Build.

Rendah

GCP-2023-010

Dipublikasikan: 07-06-2023

Deskripsi

Deskripsi Keparahan Catatan

Google mengidentifikasi tiga kerentanan baru dalam penerapan gRPC C ++. Masalah ini akan segera dipublikasikan secara publik sebagai CVE-2023-1428, CVE-2023-32731, dan CVE-2023-32732.

Pada bulan April, kami mengidentifikasi dua kerentanan dalam rilis 1.53 dan 1.54. Salah satunya adalah kerentanan Denial-of-Service dalam implementasi C++ gRPC dan yang lainnya adalah kerentanan eksfiltrasi data jarak jauh. Masalah ini telah diperbaiki dalam rilis 1.53.1, 1.54.2, dan yang lebih baru.

Sebelumnya pada bulan Maret, tim internal kami menemukan kerentanan Denial-of-Service dalam implementasi C++ gRPC saat melakukan aktivitas fuzzing rutin. Masalah ini ditemukan dalam rilis gRPC 1.52, dan telah diperbaiki dalam rilis 1.52.2 dan 1.53.

Apa yang harus saya lakukan?

Pastikan Anda menggunakan paket software berikut versi terbaru:

  • grpc (C++, Python, Ruby) versi 1.52, 1.53, dan 1.54 harus diupgrade ke rilis patch berikut;
    • 1.52.2
    • 1.53.1
    • 1.54.2
  • grpc (C++, Python, Ruby) versi 1.51 dan yang lebih lama tidak terpengaruh, sehingga pengguna dengan versi ini tidak dapat mengambil tindakan

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Patch ini mengurangi kerentanan berikut:

  • Rilis 1.53.1, 1.54.2, dan yang lebih baru mengatasi hal berikut: Kerentanan Denial-of-Service dalam penerapan gRPC C++. Permintaan yang dibuat secara khusus dapat menyebabkan penghentian koneksi antara proxy dan backend. Kerentanan eksfiltrasi data jarak jauh: Desinkronisasi dalam tabel HPACK karena batasan ukuran header dapat menyebabkan backend proxy membocorkan data header dari klien lain yang terhubung ke proxy.
  • Rilis 1.52.2, 1.53, dan yang lebih baru mengatasi hal berikut: Kerentanan Denial of Service dalam penerapan C++ gRPC. Mengurai beberapa permintaan yang dibuat secara khusus dapat menyebabkan error yang memengaruhi server.

Sebaiknya upgrade ke versi terbaru paket software berikut seperti yang tercantum di atas.

Tinggi (CVE-2023-1428, CVE-2023-32731). Sedang (CVE-2023-32732) CVE-2023-1428, CVE-2023-32731, CVE-023-32732

GCP-2023-009

Dipublikasikan: 06-06-2023

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan baru (CVE-2023-2878) telah ditemukan di driver secrets-store-csi, tempat pelaku dengan akses ke log driver dapat mengamati token akun layanan.

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tidak ada CVE-2023-2878

GCP-2023-008

Dipublikasikan: 05-06-2023

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa ke root di node.

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-1872

GCP-2023-007

Dipublikasikan: 2023-06-02

Deskripsi

Deskripsi Keparahan Catatan

Baru-baru ini ditemukan kerentanan di Cloud SQL untuk SQL Server yang memungkinkan akun administrator pelanggan membuat pemicu di database tempdb dan menggunakannya untuk mendapatkan hak istimewa sysadmin di instance. Hak istimewa sysadmin akan memberi penyerang akses ke database sistem dan akses sebagian ke mesin yang menjalankan instance SQL Server tersebut.

Google Cloud menyelesaikan masalah ini dengan mem-patch kerentanan keamanan paling lambat 1 Maret 2023. Google Cloud tidak menemukan instance pelanggan yang disusupi.

Untuk petunjuk dan detail selengkapnya, lihat Buletin keamanan Cloud SQL.

Tinggi

GCP-2023-005

Dipublikasikan: 18-05-2023

Diperbarui: 06-06-2023

Deskripsi

Deskripsi Keparahan Catatan

Update 06-06-2023: Versi GKE baru telah diupdate untuk menyertakan versi Ubuntu terbaru yang menerapkan patch CVE-2023-1281 dan CVE-2023-1829.


Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa ke root di node.

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-1281 CVE-2023-1829

GCP-2023-004

Dipublikasikan: 26-04-2023

Deskripsi

Deskripsi Keparahan Catatan

Dua kerentanan (CVE-2023-1017 dan CVE-2023-1018) ditemukan di Trusted Platform Module (TPM) 2.0.

Kerentanan ini dapat memungkinkan penyerang canggih untuk mengeksploitasi operasi baca/tulis di luar batas 2 byte pada VM Compute Engine tertentu.

Untuk petunjuk dan detail selengkapnya, lihat berita keamanan Compute Engine.

Sedang

GCP-2023-003

Dipublikasikan: 11-04-2023

Diperbarui: 21-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 21-12-2023: Mengklarifikasi bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.


Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna tanpa hak istimewa untuk meningkatkan hak istimewa.

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-0240, CVE-2023-23586

GCP-2023-002

Deskripsi

Deskripsi Keparahan Catatan

CVE berikut mengekspos Cloud Service Mesh ke kerentanan yang dapat dieksploitasi:

  • CVE-2023-27496: Jika Envoy berjalan dengan filter OAuth yang diaktifkan dan diekspos, pelaku berbahaya dapat membuat permintaan yang akan menyebabkan denial of service dengan membuat Envoy error.
  • CVE-2023-27488: Penyerang dapat menggunakan kerentanan ini untuk mengabaikan pemeriksaan autentikasi saat ext_authz digunakan.
  • CVE-2023-27493: Konfigurasi Envoy juga harus menyertakan opsi untuk menambahkan header permintaan yang dihasilkan menggunakan input dari permintaan, seperti SAN sertifikat peer.
  • CVE-2023-27492: Penyerang dapat mengirim isi permintaan yang besar untuk rute yang mengaktifkan filter Lua dan memicu error.
  • CVE-2023-27491: Penyerang dapat mengirim permintaan HTTP/2 atau HTTP/3 yang dibuat secara khusus untuk memicu error penguraian pada layanan upstream HTTP/1.
  • CVE-2023-27487: Header `x-envoy-original-path` harus berupa header internal, tetapi Envoy tidak menghapus header ini dari permintaan di awal pemrosesan permintaan saat dikirim dari klien yang tidak tepercaya.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat berita keamanan Cloud Service Mesh.:

Tinggi

GCP-2023-001

Dipublikasikan: 01-03-2023, 21-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 21-12-2023: Mengklarifikasi bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.


Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node.

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2022-4696

GCP-2022-026

Dipublikasikan: 11-01-2023

Deskripsi

Deskripsi Keparahan Catatan

Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error.

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Sedang

GCP-2022-025

Dipublikasikan: 21-12-2022
Diperbarui: 19-01-2023, 21-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 21-12-2023: Mengklarifikasi bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.


Pembaruan 19-01-2023: Menambahkan informasi bahwa GKE versi 1.21.14-gke.14100 tersedia.


Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error.

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Sedang

GCP-2022-024

Dipublikasikan: 09-11-2022

Diperbarui: 19-01-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 19-01-2023: Menambahkan informasi bahwa GKE versi 1.21.14-gke.14100 tersedia.

Update 16-12-2022: Menambahkan versi patch untuk GKE dan GKE di VMware.


Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan container penuh keluar ke root di node.

Untuk petunjuk dan detail selengkapnya, lihat:

Tinggi

GCP-2022-023

Dipublikasikan: 04-11-2022

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh, yang memungkinkan penyerang berbahaya membuat bidang kontrol error.

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2022-39278

GCP-2022-022

Dipublikasikan: 28-10-2022

Diperbarui: 14-12-2022

Deskripsi

Deskripsi Keparahan Catatan

Update 14-12-2022: Menambahkan versi patch untuk GKE dan GKE di VMware.


Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna tanpa hak istimewa untuk melakukan eskalasi ke hak eksekusi sistem.

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2022-20409

GCP-2022-021

Dipublikasikan: 27-10-2022

Diperbarui: 19-01-2023, 21-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 21-12-2023: Mengklarifikasi bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.


Pembaruan 19-01-2023: Menambahkan informasi bahwa GKE versi 1.21.14-gke.14100 tersedia.

Pembaruan 15-12-2022: Memperbarui informasi bahwa versi Google Kubernetes Engine 1.21.14-gke.9400 tertunda peluncurannya dan dapat diganti dengan nomor versi yang lebih tinggi.

Update 22-11-2022: Menambahkan versi patch untuk GKE di VMware, GKE di AWS, dan GKE di Azure.


Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mendapatkan breakout penampung penuh ke root di node.

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2022-3176

GCP-2022-020

Dipublikasikan: 05-10-2022

Diperbarui: 12-10-2022

Deskripsi

Deskripsi Keparahan Catatan

Bidang kontrol Istio istiod rentan terhadap error pemrosesan permintaan, yang memungkinkan penyerang berbahaya yang mengirim pesan yang dibuat khusus yang menyebabkan bidang kontrol mengalami error saat webhook validasi untuk cluster diekspos secara publik. Endpoint ini ditayangkan melalui port TLS 15017, tetapi tidak memerlukan autentikasi apa pun dari penyerang.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat berita keamanan Cloud Service Mesh.

Tinggi CVE-2022-39278

GCP-2022-019

Dipublikasikan: 22-09-2022

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan penguraian pesan dan pengelolaan memori dalam implementasi C++ dan Python ProtocolBuffer dapat memicu kegagalan memori habis (OOM) saat memproses pesan yang dibuat secara khusus. Hal ini dapat menyebabkan denial of service (DoS) pada layanan yang menggunakan library.

Apa yang harus saya lakukan?

Pastikan Anda menggunakan paket software berikut versi terbaru:

  • protobuf-cpp (3.18.3, 3.19.5, 3.20.2, 3.21.6)
  • protobuf-python (3.18.3, 3.19.5, 3.20.2, 4.21.6)

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Patch ini mengurangi jenis kerentanan berikut:

Pesan kecil yang dibuat khusus yang menyebabkan layanan yang berjalan mengalokasikan RAM dalam jumlah besar. Ukuran permintaan yang kecil berarti mudah untuk memanfaatkan kerentanan dan menghabiskan resource. Sistem C++ dan Python yang menggunakan protobuf tidak tepercaya akan rentan terhadap serangan DoS jika berisi objek MessageSet dalam permintaan RPC-nya.

Sedang CVE-2022-1941

GCP-2022-018

Dipublikasikan: 01-08-2022

Diperbarui: 14-09-2022, 21-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 21-12-2023: Mengklarifikasi bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.


Update 14-09-2022: Menambahkan versi patch untuk GKE di VMware, GKE di AWS, dan GKE di Azure.


Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mencapai pemisahan penampung penuh ke root di node.

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2022-2327

GCP-2022-017

Dipublikasikan: 29-06-2022
Diperbarui: 22-11-2022

Deskripsi

Deskripsi Keparahan Catatan

Update 22-11-2022: Workload yang menggunakan GKE Sandbox tidak terpengaruh oleh kerentanan ini.


Pembaruan 21-07-2022: informasi tambahan tentang GKE di VMware.


Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna tanpa hak istimewa dengan akses lokal ke cluster untuk mencapai pemisahan penampung penuh ke root di node. Hanya cluster yang menjalankan Container-Optimized OS yang terpengaruh. Versi Ubuntu GKE menggunakan kernel versi 5.4 atau 5.15 dan tidak terpengaruh.

Untuk petunjuk dan detail selengkapnya, lihat:

Tinggi CVE-2022-1786

GCP-2022-016

Dipublikasikan: 23-06-2022
Diperbarui: 22-11-2022

Deskripsi

Deskripsi Keparahan Catatan

Update 22-11-2022: Cluster Autopilot tidak terpengaruh oleh CVE-2022-29581, tetapi rentan terhadap CVE-2022-29582 dan CVE-2022-1116.


Tiga kerentanan kerusakan memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna tanpa hak istimewa dengan akses lokal ke cluster untuk mencapai pemisahan penampung penuh ke root di node. Semua cluster Linux (Container-Optimized OS dan Ubuntu) akan terpengaruh.

Untuk petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi

GCP-2022-015

Dipublikasikan: 09-06-2022
Diperbarui: 10-06-2022

Deskripsi

Deskripsi Keparahan Catatan

Update 10-06-2022: Versi Cloud Service Mesh telah diupdate. Untuk mengetahui petunjuk dan detail selengkapnya, lihat berita keamanan Cloud Service Mesh.


CVE Envoy dan Istio berikut mengekspos Cloud Service Mesh dan Istio di GKE ke kerentanan yang dapat dieksploitasi dari jarak jauh:

  • CVE-2022-31045: Data plane Istio berpotensi mengakses memori secara tidak aman saat ekstensi Metadata Exchange dan Stats diaktifkan.
  • CVE-2022-29225: Data dapat melebihi batas buffer perantara jika penyerang berbahaya meneruskan payload kecil yang sangat dikompresi (serangan zip bomb).
  • CVE-2021-29224: Potensi dereferensi pointer null di GrpcHealthCheckerImpl.
  • CVE-2021-29226: Filter OAuth memungkinkan pengabaian sepele.
  • CVE-2022-29228: Filter OAuth dapat merusak memori (versi sebelumnya) atau memicu ASSERT() (versi yang lebih baru).
  • CVE-2022-29227: Pengalihan internal mengalami error untuk permintaan dengan isi atau trailer.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat berita keamanan Cloud Service Mesh.

Kritis

GCP-2022-014

Dipublikasikan: 26-04-2022
Diperbarui: 22-11-2022

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 22-11-2022: Cluster dan workload GKE Autopilot yang berjalan di GKE Sandbox tidak terpengaruh.


Pembaruan 12-05-2022: Versi GKE di AWS dan GKE di Azure telah diperbarui. Untuk petunjuk dan detail selengkapnya, lihat:

Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap masalah dapat menyebabkan penyerang lokal dapat melakukan container breakout, eskalasi akses di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu). Untuk petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Tinggi CVE-2022-1055
CVE-2022-27666

GCP-2022-013

Dipublikasikan: 11-04-2022
Diperbarui: 22-04-2022

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan containerd terhadap traversal jalur dalam spesifikasi volume image OCI. Container yang diluncurkan melalui penerapan CRI containerd dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke file dan direktori arbitrer di host. Kerentanan ini dapat mengabaikan penerapan berbasis kebijakan pada penyiapan penampung (termasuk Kebijakan Keamanan Pod Kubernetes).

Untuk petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Sedang CVE-2022-23648

GCP-2022-012

Dipublikasikan: 07-04-2022
Diperbarui: 22-11-2022

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 22-11-2022: Untuk cluster GKE dalam kedua mode, Standard dan Autopilot, workload yang menggunakan GKE Sandbox tidak terpengaruh.


Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa penampung ke root. Kerentanan ini memengaruhi produk berikut:

  • Node pool GKE versi 1.22 dan yang lebih baru yang menggunakan image Container-Optimized OS (Container-Optimized OS 93 dan yang lebih baru)
  • GKE on VMware v1.10 untuk image Container-Optimized OS
  • GKE di AWS v1.21 dan GKE di AWS (generasi sebelumnya) v1.19, v1.20, v1.21, yang menggunakan Ubuntu
  • Cluster terkelola GKE di Azure v1.21 yang menggunakan Ubuntu

Untuk petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Tinggi CVE-2022-0847

GCP-2022-011

Dipublikasikan: 22-03-2022
Diperbarui: 11-08-2022

Deskripsi

Deskripsi Keparahan

Pembaruan 11-08-2022: Menambahkan informasi selengkapnya tentang konfigurasi Multi-Threading Simultan (SMT). SMT dimaksudkan untuk dinonaktifkan, tetapi diaktifkan pada versi yang tercantum.

Jika Anda mengaktifkan SMT secara manual untuk node pool dengan sandbox, SMT akan tetap diaktifkan secara manual meskipun ada masalah ini.


Ada kesalahan konfigurasi pada Simultaneous Multi-Threading (SMT), yang juga dikenal sebagai Hyper-threading, pada image GKE Sandbox. Konfigurasi yang salah membuat node berpotensi terekspos terhadap serangan side channel seperti Sampling Data Mikroarsitektur (MDS) (untuk konteks selengkapnya, lihat dokumentasi GKE Sandbox). Sebaiknya jangan gunakan versi yang terpengaruh berikut:

  • 1.22.4-gke.1501
  • 1.22.6-gke.300
  • 1.23.2-gke.300
  • 1.23.3-gke.600

Untuk petunjuk dan detail selengkapnya, lihat: Buletin keamanan GKE.

Sedang

GCP-2022-010

Deskripsi

Deskripsi Keparahan Catatan

CVE Istio berikut mengekspos Cloud Service Mesh ke kerentanan yang dapat dimanfaatkan dari jarak jauh:

  • CVE-2022-24726: Bidang kontrol Istio, `istiod`, rentan terhadap error pemrosesan permintaan, yang memungkinkan penyerang berbahaya yang mengirimkan pesan yang dibuat khusus yang menyebabkan bidang kontrol error saat webhook validasi untuk cluster diekspos secara publik. Endpoint ini ditayangkan melalui port TLS 15017, tetapi tidak memerlukan autentikasi apa pun dari penyerang.

Untuk petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Tinggi

GCP-2022-009

Dipublikasikan: 01-03-2022

Deskripsi

Deskripsi Keparahan

Beberapa jalur yang tidak terduga untuk mengakses VM node di cluster GKE Autopilot dapat digunakan untuk mengeskalasi hak istimewa di cluster. Masalah ini telah diperbaiki dan Anda tidak perlu melakukan tindakan lebih lanjut. Perbaikan ini mengatasi masalah yang dilaporkan melalui Vulnerability Reward Program kami.

Untuk petunjuk dan detail selengkapnya, lihat Buletin keamanan GKE

Rendah

GCP-2022-008

Dipublikasikan: 23-02-2022
Diperbarui: 28-04-2022

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 28-04-2022: Menambahkan versi GKE di VMware yang memperbaiki kerentanan ini. Untuk mengetahui detailnya, lihat Buletin keamanan GKE di VMware.


Project Envoy baru-baru ini menemukan serangkaian kerentanan. Semua masalah yang tercantum di bawah telah diperbaiki dalam rilis Envoy 1.21.1.
  • CVE-2022-23606: Saat cluster dihapus melalui Cluster Discovery Service (CDS), semua koneksi tidak ada aktivitas yang dibuat ke endpoint di cluster tersebut akan terputus. Rekursi secara keliru diperkenalkan di Envoy versi 1.19 ke prosedur pemutusan koneksi tidak ada aktivitas yang dapat menyebabkan kehabisan stack dan penghentian proses yang tidak normal saat cluster memiliki banyak koneksi tidak ada aktivitas.
  • CVE-2022-21655: Kode pengalihan internal Envoy mengasumsikan bahwa entri rute ada. Jika pengalihan internal dilakukan ke rute yang memiliki entri respons langsung dan tidak ada entri rute, hal ini akan menyebabkan dereferensi pointer null dan error.
  • CVE-2021-43826: Jika Envoy dikonfigurasi untuk menggunakan tcp_proxy yang menggunakan tunneling upstream (melalui HTTP), dan penghentian TLS downstream, Envoy akan error jika klien downstream terputus selama TLS handshake saat streaming HTTP upstream masih dibuat. Pemutusan koneksi downstream dapat dimulai oleh klien atau server. Klien dapat memutuskan koneksi karena alasan apa pun. Server dapat terputus jika, misalnya, tidak memiliki cipher TLS atau versi protokol TLS yang kompatibel dengan klien. Anda mungkin juga dapat memicu error ini di konfigurasi downstream lainnya.
  • CVE-2021-43825: Mengirim respons yang dihasilkan secara lokal harus menghentikan pemrosesan lebih lanjut data permintaan atau respons. Envoy melacak jumlah data permintaan dan respons yang dibuffer serta membatalkan permintaan jika jumlah data yang dibuffer melebihi batas dengan mengirimkan respons 413 atau 500. Namun, saat respons yang dihasilkan secara lokal dikirim karena buffer internal overflow saat respons diproses oleh rantai filter, operasi mungkin tidak dibatalkan dengan benar dan mengakibatkan akses ke blok memori yang dibebaskan.
  • CVE-2021-43824: Envoy mengalami error saat menggunakan filter JWT dengan aturan pencocokan "safe_regex" dan permintaan yang dibuat khusus seperti "CONNECT host:port HTTP/1.1". Saat mencapai filter JWT, aturan "safe_regex" harus mengevaluasi jalur URL, tetapi tidak ada di sini, dan Envoy mengalami error dengan segfault.
  • CVE-2022-21654: Envoy akan salah mengizinkan kelanjutan sesi TLS setelah setelan validasi mTLS dikonfigurasi ulang. Jika sertifikat klien diizinkan dengan konfigurasi lama, tetapi tidak diizinkan dengan konfigurasi baru, klien dapat melanjutkan sesi TLS sebelumnya meskipun konfigurasi saat ini seharusnya tidak mengizinkannya. Perubahan pada setelan berikut akan terpengaruh:
    • match_subject_alt_names
    • Perubahan CRL
    • allow_expired_certificate
    • Trust_chain_verification
    • only_verify_leaf_cert_crl
  • CVE-2022-21657: Envoy tidak membatasi kumpulan sertifikat yang diterima dari peer, baik sebagai klien TLS maupun server TLS, hanya untuk sertifikat yang berisi extendedKeyUsage yang diperlukan (id-kp-serverAuth dan id-kp-clientAuth). Artinya, peer dapat menampilkan sertifikat email (misalnya id-kp-emailProtection), baik sebagai sertifikat leaf maupun sebagai CA dalam rantai, dan akan diterima untuk TLS. Hal ini sangat buruk jika digabungkan dengan CVE-2022-21656 , karena memungkinkan CA PKI Web yang hanya ditujukan untuk digunakan dengan S/MIME, sehingga dikecualikan dari audit atau pengawasan, untuk menerbitkan sertifikat TLS yang akan diterima oleh Envoy.
  • CVE-2022-21656: Implementasi validator yang digunakan untuk menerapkan rutinitas validasi sertifikat default memiliki bug "kebingungan jenis" saat memproses subjectAltNames. Pemrosesan ini memungkinkan, misalnya, rfc822Name atau uniformResourceIndicator diautentikasi sebagai nama domain. Kekacauan ini memungkinkan pengabaian nameConstraints, seperti yang diproses oleh implementasi OpenSSL/BoringSSL yang mendasarinya, sehingga mengekspos kemungkinan peniruan identitas server arbitrer.
Untuk petunjuk mendetail terkait produk tertentu, lihat buletin keamanan berikut:
Apa yang harus saya lakukan?
Pengguna Envoy yang mengelola Envoy mereka sendiri harus memastikan bahwa mereka menggunakan rilis Envoy 1.21.1. Pengguna Envoy yang mengelola Envoy mereka sendiri akan mem-build biner dari sumber seperti GitHub dan men-deploynya.

Tidak ada tindakan yang perlu dilakukan oleh pengguna yang menjalankan Envoy terkelola (Google Cloud menyediakan biner Envoy), yang produk Google Cloud-nya akan beralih ke 1.21.1.
Tinggi CVE-2022-23606
CVE-2022-21655
CVE-2021-43826
CVE-2021-43825
CVE-2021-43824
CVE-2022-21654CVE-2022-21657CVE-2022-21656

GCP-2022-007

Dipublikasikan: 22-02-2022

Deskripsi

Deskripsi Keparahan Catatan

CVE Envoy dan Istio berikut mengekspos Cloud Service Mesh dan Istio di GKE ke kerentanan yang dapat dieksploitasi dari jarak jauh:

  • CVE-2022-23635: Istiod mengalami error saat menerima permintaan dengan header authorization yang dibuat khusus.
  • CVE-2021-43824: Potensi dereferensi pointer null saat menggunakan pencocokan safe_regex filter JWT
  • CVE-2021-43825: Use-after-free saat filter respons meningkatkan data respons, dan data yang meningkat melebihi batas buffering downstream.
  • CVE-2021-43826: Use-after-free saat melakukan tunneling TCP melalui HTTP, jika downstream terputus selama pembentukan koneksi upstream.
  • CVE-2022-21654: Penanganan konfigurasi yang salah memungkinkan penggunaan kembali sesi mTLS tanpa validasi ulang setelah setelan validasi berubah.
  • CVE-2022-21655: Penanganan pengalihan internal yang salah ke rute dengan entri respons langsung.
  • CVE-2022-23606: Kehabisan stack saat cluster dihapus melalui Layanan Penemuan Cluster.

Untuk petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Tinggi

GCP-2022-006

Dipublikasikan: 14-02-2022
Diperbarui: 16-05-2022

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 16-05-2022: Menambahkan GKE versi 1.19.16-gke.7800 atau yang lebih baru ke daftar versi yang memiliki kode untuk memperbaiki kerentanan ini. Untuk mengetahui detailnya, lihat Buletin keamanan GKE.


Pembaruan 12-05-2022: Versi GKE, GKE di VMware, GKE di AWS, dan GKE di Azure telah diperbarui. Untuk petunjuk dan detail selengkapnya, lihat:


Kerentanan keamanan, CVE-2022-0492, telah ditemukan dalam fungsi cgroup_release_agent_write kernel Linux. Serangan ini menggunakan namespace pengguna tanpa hak istimewa dan dalam keadaan tertentu, kerentanan ini dapat dieksploitasi untuk keluar dari penampung.

Rendah

Untuk petunjuk dan detail selengkapnya, lihat:

GCP-2022-005

Dipublikasikan: 11-02-2022
Diperbarui: 15-02-2022

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan keamanan, CVE-2021-43527, telah ditemukan dalam biner apa pun yang ditautkan ke versi libnss3 yang rentan yang ditemukan dalam versi NSS (Network Security Services) sebelum 3.73 atau 3.68.1. Aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsi TLS, X.509, OCSP, atau CRL lainnya mungkin terpengaruh, bergantung pada cara NSS digunakan/dikonfigurasi.

Untuk petunjuk dan detail selengkapnya, lihat:

Sedang CVE-2021-43527

GCP-2022-004

Dipublikasikan: 04-02-2022

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan keamanan, CVE-2021-4034, telah ditemukan di pkexec, bagian dari paket policy kit Linux (polkit), yang memungkinkan pengguna yang diautentikasi untuk melakukan serangan eskalasi hak istimewa. PolicyKit umumnya hanya digunakan di sistem desktop Linux untuk memungkinkan pengguna non-root melakukan tindakan seperti memulai ulang sistem, menginstal paket, memulai ulang layanan, dll., sebagaimana diatur oleh kebijakan.

Untuk petunjuk dan detail selengkapnya, lihat:

Tidak ada CVE-2021-4034

GCP-2022-002

Dipublikasikan: 01-02-2022
Diperbarui: 25-02-2022

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 25-02-2022: Versi GKE telah diupdate. Untuk petunjuk dan detail selengkapnya, lihat:

Pembaruan 23-02-2022: Versi GKE dan GKE di VMware telah diupdate. Untuk petunjuk dan detail selengkapnya, lihat:


Pembaruan 04-02-2022: Tanggal mulai peluncuran untuk versi patch GKE adalah 2 Februari.


Tiga kerentanan keamanan, CVE-2021-4154, CVE-2021-22600, dan CVE-2022-0185, telah ditemukan di kernel Linux, yang masing-masing dapat menyebabkan breakout penampung, eskalasi hak istimewa di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node (COS dan Ubuntu) di GKE, GKE di VMware, GKE di AWS (generasi saat ini dan sebelumnya), serta GKE di Azure. Pod yang menggunakan GKE Sandbox tidak rentan terhadap kerentanan ini. Lihat catatan rilis COS untuk mengetahui detail selengkapnya.

Untuk petunjuk dan detail selengkapnya, lihat:

Tinggi

GCP-2022-001

Dipublikasikan: 06-01-2022

Deskripsi

Deskripsi Keparahan Catatan

Potensi masalah Denial of Service di protobuf-java ditemukan dalam prosedur penguraian untuk data biner.

Apa yang sebaiknya saya lakukan?

Pastikan Anda menggunakan paket software berikut versi terbaru:

  • protobuf-java (3.16.1, 3.18.2, 3.19.2)
  • protobuf-kotlin (3.18.2, 3.19.2)
  • google-protobuf [JRuby gem] (3.19.2)

Pengguna "javalite" Protobuf (biasanya Android) tidak terpengaruh.

Kerentanan apa yang diatasi oleh patch ini?

Patch ini mengurangi jenis kerentanan berikut:

Kelemahan implementasi dalam cara penguraian kolom yang tidak diketahui di Java. Payload malicious kecil (~800 KB) dapat menempati parser selama beberapa menit dengan membuat banyak objek berumur pendek yang menyebabkan seringnya jeda pengumpulan sampah berulang.

Tinggi CVE-2021-22569

GCP-2021-024

Dipublikasikan: 21-10-2021

Deskripsi

Deskripsi Keparahan Catatan

Masalah keamanan ditemukan di pengontrol ingress-nginx Kubernetes, CVE-2021-25742. Cuplikan kustom ingress-nginx memungkinkan pengambilan token dan secret akun layanan ingress-nginx di semua namespace.

Untuk petunjuk dan detail selengkapnya, lihat:

Tidak ada CVE-2021-25742

GCP-2021-019

Dipublikasikan: 29-09-2021

Deskripsi

Deskripsi Keparahan Catatan

Ada masalah umum saat mengupdate resource BackendConfig menggunakan v1beta1 API akan menghapus kebijakan keamanan Google Cloud Armor yang aktif dari layanannya.

Untuk petunjuk dan detail selengkapnya, lihat Buletin keamanan GKE.

Rendah

GCP-2021-022

Dipublikasikan: 22-09-2021

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan telah ditemukan di modul LDAP Layanan Identitas Enterprise GKE (AIS) GKE pada VMware versi 1.8 dan 1.8.1, dengan kunci seed yang digunakan dalam pembuatan kunci dapat diprediksi. Dengan kerentanan ini, pengguna yang diautentikasi dapat menambahkan klaim arbitrer dan mengeskalasi hak istimewa tanpa batas waktu.

Untuk petunjuk dan detail selengkapnya, lihat berita keamanan GKE di VMware.

Tinggi

GCP-2021-021

Dipublikasikan: 22-09-2021

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan keamanan, CVE-2020-8561, telah ditemukan di Kubernetes tempat webhook tertentu dapat dibuat untuk mengalihkan permintaan kube-apiserver ke jaringan pribadi server API tersebut.

Untuk petunjuk dan detail selengkapnya, lihat:

Sedang CVE-2020-8561

GCP-2021-023

Dipublikasikan: 21-09-2021

Deskripsi

Deskripsi Keparahan Catatan

Berdasarkan saran keamanan VMware VMSA-2021-0020, VMware menerima laporan tentang beberapa kerentanan di vCenter. VMware telah menyediakan update untuk memperbaiki kerentanan ini di produk VMware yang terpengaruh.

Kami telah menerapkan patch yang disediakan oleh VMware untuk stack vSphere ke Google Cloud VMware Engine sesuai dengan pemberitahuan keamanan VMware. Update ini mengatasi kerentanan keamanan yang dijelaskan dalam CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008, dan CVE-2021-22010. Masalah keamanan non-kritis lainnya akan ditangani dalam upgrade stack VMware mendatang (sesuai pemberitahuan awal yang dikirim pada Juli, detail selengkapnya akan segera diberikan pada linimasa upgrade tertentu).

Dampak VMware Engine

Berdasarkan investigasi kami, tidak ada pelanggan yang terpengaruh.

Apa yang harus saya lakukan?

Karena cluster VMware Engine tidak terpengaruh oleh kerentanan ini, tidak diperlukan tindakan lebih lanjut.

Kritis

GCP-2021-020

Dipublikasikan: 17-09-2021

Deskripsi

Deskripsi Keparahan Catatan

Load balancer Google Cloud tertentu yang merutekan ke Layanan Backend yang mengaktifkan Identity-Aware Proxy (IAP) mungkin rentan terhadap pihak yang tidak tepercaya dalam kondisi terbatas. Pembaruan ini mengatasi masalah yang dilaporkan melalui Vulnerability Reward Program kami.

Kondisinya adalah server:
  • Apakah load balancer HTTP(S) dan
  • Menggunakan backend default atau backend yang memiliki aturan pemetaan host pengganti (yaitu, host="*")

Selain itu, pengguna di organisasi Anda harus telah mengklik link yang dibuat secara khusus dan dikirim oleh pihak yang tidak tepercaya.

Masalah ini sekarang telah diperbaiki. IAP telah diperbarui untuk hanya menerbitkan cookie kepada host resmi mulai 17 September 2021. Host dianggap diotorisasi jika cocok dengan setidaknya satu Nama Alternatif Subjek (SAN) di salah satu sertifikat yang diinstal di load balancer Anda.

Yang harus dilakukan

Beberapa pengguna Anda mungkin mengalami respons HTTP 401 Unauthorized dengan kode error IAP 52 saat mencoba mengakses aplikasi atau layanan. Kode error ini berarti klien mengirim header Host yang tidak cocok dengan Nama Alternatif Subjek apa pun yang terkait dengan sertifikat SSL load balancer. Administrator load balancer perlu memperbarui sertifikat SSL untuk memastikan bahwa daftar Nama Alternatif Subjek (SAN) berisi semua nama host yang digunakan pengguna untuk mengakses aplikasi atau layanan yang dilindungi IAP. Pelajari kode error IAP lebih lanjut.

Tinggi

GCP-2021-018

Dipublikasikan: 15-09-2021
Diperbarui: 20-09-2021

Deskripsi

Deskripsi Keparahan Catatan

Masalah keamanan ditemukan di Kubernetes, CVE-2021-25741, saat pengguna mungkin dapat membuat penampung dengan pemasangan volume subjalur untuk mengakses file & direktori di luar volume, termasuk di sistem file host.

Untuk petunjuk dan detail selengkapnya, lihat:

Tinggi CVE-2021-25741

GCP-2021-017

Dipublikasikan: 01-09-2021
Diperbarui: 23-09-2021

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 23-09-2021: Container yang berjalan di dalam GKE Sandbox tidak terpengaruh oleh kerentanan ini untuk serangan yang berasal dari dalam container.


Dua kerentanan keamanan, CVE-2021-33909 dan CVE-2021-33910, telah ditemukan di kernel Linux yang dapat menyebabkan error OS atau eskalasi ke root oleh pengguna yang tidak memiliki hak istimewa. Kerentanan ini memengaruhi semua sistem operasi node GKE (COS dan Ubuntu).

Untuk petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Tinggi CVE-2021-33909, CVE-2021-33910

GCP-2021-016

Dipublikasikan: 24-08-2021

Deskripsi

Deskripsi Keparahan Catatan

CVE Envoy dan Istio berikut mengekspos Cloud Service Mesh dan Istio di GKE ke kerentanan yang dapat dieksploitasi dari jarak jauh:

  • CVE-2021-39156: Permintaan HTTP dengan fragmen (bagian di akhir URI yang diawali dengan karakter #) di jalur URI dapat mengabaikan kebijakan otorisasi berbasis jalur URI Istio.
  • CVE-2021-39155: Permintaan HTTP berpotensi mengabaikan kebijakan otorisasi Istio saat menggunakan aturan berdasarkan hosts atau notHosts.
  • CVE-2021-32781: Memengaruhi ekstensi decompressor, json-transcoder, atau grpc-web Envoy atau ekstensi eksklusif yang mengubah dan meningkatkan ukuran isi permintaan atau respons. Mengubah dan meningkatkan ukuran isi dalam ekstensi Envoy di luar ukuran buffer internal dapat menyebabkan Envoy mengakses memori yang dide-alokasikan dan dihentikan secara tidak normal.
  • CVE-2021-32780: Layanan upstream yang tidak tepercaya dapat menyebabkan Envoy dihentikan secara tidak normal dengan mengirimkan frame GOAWAY, diikuti dengan frame SETTINGS dengan parameter SETTINGS_MAX_CONCURRENT_STREAMS ditetapkan ke 0. (Tidak berlaku untuk Istio di GKE)
  • CVE-2021-32778: Klien Envoy yang membuka, lalu mereset sejumlah besar permintaan HTTP/2 dapat menyebabkan konsumsi CPU yang berlebihan. (Tidak berlaku untuk Istio di GKE)
  • CVE-2021-32777: Permintaan HTTP dengan beberapa header nilai dapat melakukan pemeriksaan kebijakan otorisasi yang tidak lengkap saat ekstensi ext_authz digunakan.

Untuk petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Tinggi

GCP-2021-015

Dipublikasikan: 13-07-2021
Diperbarui: 15-07-2021

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan keamanan baru, CVE-2021-22555, telah ditemukan saat pelaku berbahaya dengan hak istimewa CAP_NET_ADMIN berpotensi menyebabkan container breakout menjadi root di host. Kerentanan ini memengaruhi semua cluster GKE dan GKE di VMware yang menjalankan Linux versi 2.6.19 atau yang lebih baru.

Untuk petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Tinggi CVE-2021-22555

GCP-2021-014

Dipublikasikan: 05-07-2021

Deskripsi

Deskripsi Keparahan Catatan

Microsoft memublikasikan buletin keamanan tentang kerentanan Eksekusi kode jarak jauh (RCE), CVE-2021-34527, yang memengaruhi spooler pencetakan di server Windows. CERT Coordination Center (CERT/CC) memublikasikan catatan update tentang kerentanan terkait, yang dijuluki "PrintNightmare" yang juga memengaruhi spooler pencetakan Windows - PrintNightmare, Critical Windows Print Spooler Vulnerability

Untuk petunjuk dan detail selengkapnya, lihat Buletin keamanan GKE.

Tinggi CVE-2021-34527

GCP-2021-012

Dipublikasikan: 24-06-2021
Diperbarui: 09-07-2021

Deskripsi

Deskripsi Keparahan Catatan

Project Istio baru-baru ini mengumumkan kerentanan keamanan saat kredensial yang ditentukan di kolom credentialName Gateway dan DestinationRule dapat diakses dari namespace yang berbeda.

Untuk petunjuk khusus produk dan detail selengkapnya, lihat:

Tinggi CVE-2021-34824

GCP-2021-011

Dipublikasikan: 04-06-2021
Diperbarui: 19-10-2021

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 19-10-2021:

Untuk petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:


Komunitas keamanan baru-baru ini mengungkapkan kerentanan keamanan baru (CVE-2021-30465) yang ditemukan di runc yang berpotensi mengizinkan akses penuh ke sistem file node.

Untuk GKE, karena mengeksploitasi kerentanan ini memerlukan kemampuan untuk membuat pod, kami telah menilai keparahan kerentanan ini sebagai SEDANG.

Untuk petunjuk dan detail selengkapnya, lihat Buletin keamanan GKE.

Sedang CVE-2021-30465

GCP-2021-010

Dipublikasikan: 25-05-2021

Deskripsi

Deskripsi Keparahan Catatan

Berdasarkan saran keamanan VMware VMSA-2021-0010, kerentanan bypass autentikasi dan eksekusi kode jarak jauh di vSphere Client (HTML5) dilaporkan secara pribadi ke VMware. VMware telah menyediakan update untuk memperbaiki kerentanan ini di produk VMware yang terpengaruh.

Kami telah menerapkan patch yang disediakan oleh VMware untuk stack vSphere sesuai dengan saran keamanan VMware. Update ini mengatasi kerentanan keamanan yang dijelaskan dalam CVE-2021-21985 dan CVE-2021-21986. Versi image yang berjalan di cloud pribadi VMware Engine Anda saat ini tidak mencerminkan perubahan apa pun untuk menunjukkan patch yang diterapkan. Jangan khawatir, patch yang sesuai telah diinstal dan lingkungan Anda aman dari kerentanan ini.

Dampak VMware Engine

Berdasarkan investigasi kami, tidak ada pelanggan yang terpengaruh.

Apa yang harus saya lakukan?

Karena cluster VMware Engine tidak terpengaruh oleh kerentanan ini, tidak diperlukan tindakan lebih lanjut.

Kritis

GCP-2021-008

Dipublikasikan: 17-05-2021

Deskripsi

Deskripsi Keparahan Catatan

Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh, yaitu klien eksternal dapat mengakses layanan yang tidak terduga di cluster, mengabaikan pemeriksaan otorisasi, saat gateway dikonfigurasi dengan konfigurasi perutean AUTO_PASSTHROUGH.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat berita keamanan Cloud Service Mesh.

Tinggi

CVE-2021-31921

GCP-2021-007

Dipublikasikan: 17-05-2021

Deskripsi

Deskripsi Keparahan Catatan

Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh, yaitu jalur permintaan HTTP dengan beberapa garis miring atau karakter garis miring yang di-escape (%2F atau %5C) berpotensi mengabaikan kebijakan otorisasi Istio saat aturan otorisasi berbasis jalur digunakan.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat berita keamanan Cloud Service Mesh.

Tinggi

CVE-2021-31920

GCP-2021-006

Dipublikasikan: 11-05-2021

Deskripsi

Deskripsi Keparahan Catatan

Project Istio baru-baru ini mengungkap kerentanan keamanan baru (CVE-2021-31920) yang memengaruhi Istio.

Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh, yaitu permintaan HTTP dengan beberapa garis miring atau karakter garis miring yang di-escape dapat mengabaikan kebijakan otorisasi Istio saat aturan otorisasi berbasis jalur digunakan.

Untuk petunjuk dan detail selengkapnya, lihat:

Tinggi

CVE-2021-31920

GCP-2021-005

Dipublikasikan: 11-05-2021

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan yang dilaporkan telah menunjukkan bahwa Envoy tidak mendekode urutan garis miring yang di-escape %2F dan %5C di jalur URL HTTP di Envoy versi 1.18.2 dan yang lebih lama. Selain itu, beberapa produk berbasis Envoy tidak mengaktifkan kontrol normalisasi jalur. Penyerang jarak jauh dapat membuat jalur dengan garis miring yang di-escape (misalnya, /something%2F..%2Fadmin,), untuk mengabaikan kontrol akses (misalnya, pemblokiran pada /admin). Server backend kemudian dapat mendekode urutan garis miring dan menormalisasi jalur untuk memberikan akses kepada penyerang di luar cakupan yang disediakan oleh kebijakan kontrol akses.

Apa yang harus saya lakukan?

Jika server backend memperlakukan / dan %2F atau \ dan %5C secara bergantian dan pencocokan berbasis jalur URL dikonfigurasi, sebaiknya konfigurasi ulang server backend agar tidak memperlakukan \ dan %2F atau \ dan %5C secara bergantian, jika memungkinkan.

Perubahan perilaku apa yang diperkenalkan?

Opsi normalize_path dan merge adjacent slashes Envoy diaktifkan untuk mengatasi kerentanan kebingungan jalur umum lainnya di produk berbasis Envoy.

Tinggi

CVE-2021-29492

GCP-2021-004

Dipublikasikan: 06-05-2021

Deskripsi

Deskripsi Keparahan Catatan

Project Envoy dan Istio baru-baru ini mengumumkan beberapa kerentanan keamanan baru (CVE-2021-28683, CVE-2021-28682, dan CVE-2021-29258), yang dapat memungkinkan penyerang membuat Envoy error.

Cluster Google Kubernetes Engine tidak menjalankan Istio secara default dan tidak rentan. Jika Istio telah diinstal di cluster dan dikonfigurasi untuk mengekspos layanan ke internet, layanan tersebut mungkin rentan terhadap denial of service.

Google Distributed Cloud Virtual for Bare Metal dan GKE di VMware menggunakan Envoy secara default untuk Ingress, sehingga layanan Ingress mungkin rentan terhadap denial of service.

Untuk petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Sedang

GCP-2021-003

Dipublikasikan: 19-04-2021

Deskripsi

Deskripsi Keparahan Catatan

Project Kubernetes baru-baru ini mengumumkan kerentanan keamanan baru, CVE-2021-25735, yang dapat memungkinkan update node mengabaikan Validating Admission Webhook.

Dalam skenario saat penyerang memiliki hak istimewa yang memadai dan Validating Admission Webhook diterapkan yang menggunakan properti objek Node lama (misalnya kolom di Node.NodeSpec), penyerang dapat memperbarui properti node yang dapat menyebabkan kompromi cluster. Tidak ada kebijakan yang diberlakukan oleh pengontrol akses bawaan GKE dan Kubernetes yang terpengaruh, tetapi sebaiknya pelanggan memeriksa webhook akses tambahan yang telah mereka instal.

Untuk petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Sedang

CVE-2021-25735

GCP-2021-002

Dipublikasikan: 05-03-2021

Deskripsi

Deskripsi Keparahan Catatan

Berdasarkan saran keamanan VMware VMSA-2021-0002, VMware menerima laporan tentang beberapa kerentanan di VMware ESXi dan vSphere Client (HTML5). VMware telah menyediakan update untuk memperbaiki kerentanan ini di produk VMware yang terpengaruh.

Kami telah menerapkan solusi yang didokumentasikan secara resmi untuk stack vSphere sesuai dengan saran keamanan VMware. Update ini mengatasi kerentanan keamanan yang dijelaskan dalam CVE-2021-21972, CVE-2021-21973, dan CVE-2021-21974.

Dampak VMware Engine

Berdasarkan investigasi kami, tidak ada pelanggan yang terpengaruh.

Apa yang harus saya lakukan?

Karena cluster VMware Engine tidak terpengaruh oleh kerentanan ini, tidak diperlukan tindakan lebih lanjut.

Kritis

GCP-2021-001

Dipublikasikan: 28-01-2021

Deskripsi

Deskripsi Keparahan Catatan

Baru-baru ini ditemukan kerentanan di utilitas Linux sudo, yang dijelaskan dalam CVE-2021-3156, yang dapat memungkinkan penyerang dengan akses shell lokal tanpa hak istimewa di sistem dengan sudo yang diinstal untuk mengeskalasi hak istimewa mereka menjadi root di sistem.

Infrastruktur dasar yang menjalankan Compute Engine tidak terpengaruh oleh kerentanan ini.

Semua cluster Google Kubernetes Engine (GKE), GKE di VMware, GKE di AWS, dan Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh kerentanan ini.

Untuk petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Tidak ada CVE-2021-3156

GCP-2020-015

Dipublikasikan: 07-12-2020
Diperbarui: 22-12-2020

Deskripsi

Deskripsi Keparahan Catatan

Diperbarui: 22-12-2021 Perintah untuk GKE di bagian berikut harus menggunakan gcloud beta, bukan perintah gcloud.

gcloud container clusters update –no-enable-service-externalips

Diperbarui: 15-12-2021 Untuk GKE, mitigasi berikut kini tersedia:
  1. Mulai GKE versi 1.21, layanan dengan ExternalIP diblokir oleh pengontrol penerimaan DenyServiceExternalIPs yang diaktifkan secara default untuk cluster baru.
  2. Pelanggan yang mengupgrade ke GKE versi 1.21 dapat memblokir layanan dengan ExternalIPs menggunakan perintah berikut:
    gcloud container clusters update –no-enable-service-externalips
    

Untuk mengetahui informasi selengkapnya, lihat Meningkatkan keamanan cluster Anda.


Project Kubernetes baru-baru ini menemukan kerentanan keamanan baru, CVE-2020-8554, yang dapat memungkinkan penyerang yang telah mendapatkan izin untuk membuat Layanan Kubernetes dari jenis LoadBalancer atau ClusterIP untuk menyadap traffic jaringan yang berasal dari Pod lain di cluster. Kerentanan ini sendiri tidak memberi penyerang izin untuk membuat Layanan Kubernetes.

Semua cluster Google Kubernetes Engine (GKE), GKE di VMware, dan GKE di AWS terpengaruh oleh kerentanan ini.

Apa yang harus saya lakukan?

Untuk mengetahui petunjuk dan detail selengkapnya, lihat:

Sedang

CVE-2020-8554

GCP-2020-014

Dipublikasikan: 20-10-2020
Diperbarui: 20-10-2020

Deskripsi

Deskripsi Keparahan Catatan

Project Kubernetes baru-baru ini menemukan beberapa masalah yang memungkinkan eksposur data rahasia saat opsi logging panjang diaktifkan. Masalahnya adalah:

  • CVE-2020-8563: Kebocoran secret dalam log untuk kube-controller-manager Penyedia vSphere
  • CVE-2020-8564: Rahasia konfigurasi Docker bocor saat file salah format dan loglevel >= 4
  • CVE-2020-8565: Perbaikan yang tidak lengkap untuk CVE-2019-11250 di Kubernetes memungkinkan kebocoran token dalam log saat logLevel >= 9. Ditemukan oleh Keamanan GKE.
  • CVE-2020-8566: adminSecrets Ceph RBD diekspos dalam log saat loglevel >= 4

Apa yang harus saya lakukan?

Tidak perlu tindakan lebih lanjut karena tingkat logging panjang default GKE.

Tidak ada

Dampak Google Cloud

Detail per produk tercantum di bawah.

Produk

Dampak

Google Kubernetes Engine (GKE)

Google Kubernetes Engine (GKE) tidak terpengaruh.

GKE On-Prem

GKE On-Prem tidak terpengaruh.

GKE di AWS

GKE di AWS tidak terpengaruh.

GCP-2020-013

Dipublikasikan: 29-09-2020

Deskripsi

Microsoft telah mengungkapkan kerentanan berikut:

Kerentanan

Keparahan

CVE

CVE-2020-1472 — Kerentanan di Windows Server memungkinkan penyerang menggunakan Protokol Jauh Netlogon untuk menjalankan aplikasi yang dibuat khusus di perangkat di jaringan.

Skor Dasar NVD: 10 (Kritis)

CVE-2020-1472

Untuk mengetahui informasi selengkapnya, lihat pengungkapan Microsoft.

Dampak Google Cloud

Infrastruktur yang menghosting produk Google Cloud dan Google tidak terpengaruh oleh kerentanan ini. Detail tambahan per produk tercantum di bawah.

Produk

Dampak

Compute Engine

CVE-2020-1472

Untuk sebagian besar pelanggan, tidak diperlukan tindakan lebih lanjut.

Pelanggan yang menggunakan virtual machine Compute Engine yang menjalankan Windows Server harus memastikan instance mereka telah diupdate dengan patch Windows terbaru atau menggunakan image Windows Server yang dipublikasikan setelah 17-08-2020 (v20200813 atau yang lebih tinggi).

Google Kubernetes Engine

CVE-2020-1472

Untuk sebagian besar pelanggan, tidak diperlukan tindakan lebih lanjut.

Setiap pelanggan yang menghosting pengontrol domain di node GKE Windows Server harus memastikan node dan beban kerja dalam container yang berjalan di node tersebut memiliki image node Windows terbaru saat tersedia. Versi image node baru akan diumumkan dalam catatan rilis GKE pada bulan Oktober.

Layanan Terkelola untuk Microsoft Active Directory

CVE-2020-1472

Untuk sebagian besar pelanggan, tidak diperlukan tindakan lebih lanjut.

Patch Agustus yang dirilis oleh Microsoft yang menyertakan perbaikan pada protokol NetLogon telah diterapkan ke semua pengontrol domain Microsoft AD Terkelola. Patch ini memberikan fungsi untuk melindungi dari potensi eksploitasi. Penerapan patch yang tepat waktu adalah salah satu keunggulan utama menggunakan Layanan Terkelola untuk Microsoft Active Directory. Setiap pelanggan yang menjalankan Microsoft Active Directory secara manual (dan tidak menggunakan layanan terkelola Google Cloud) harus memastikan instance mereka memiliki patch Windows terbaru atau menggunakan image Windows Server.

Google Workspace

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Lingkungan standar App Engine

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Lingkungan fleksibel App Engine

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud Run

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud Run Functions

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud Composer

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Dataflow

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Dataproc

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud SQL

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

GCP-2020-012

Dipublikasikan: 14-09-2020
Diperbarui: 17-09-2020

Deskripsi

Deskripsi Keparahan Catatan

Baru-baru ini ditemukan kerentanan di kernel Linux, yang dijelaskan dalam CVE-2020-14386, yang dapat memungkinkan container escape mendapatkan hak istimewa root di node host.

Semua node GKE terpengaruh. Pod yang berjalan di GKE Sandbox tidak dapat memanfaatkan kerentanan ini.

Untuk petunjuk dan detail selengkapnya, lihat:


Kerentanan apa yang diatasi oleh patch ini?

Patch ini mengurangi kerentanan berikut:

Kerentanan CVE-2020-14386, yang memungkinkan container dengan CAP_NET_RAW
menulis 1 hingga 10 byte memori kernel, dan mungkin keluar dari container serta mendapatkan hak istimewa root di node host. Kerentanan ini dinilai sebagai kerentanan keparahan Tinggi.

Tinggi

CVE-2020-14386

GCP-2020-011

Dipublikasikan: 24-07-2020

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan jaringan, CVE-2020-8558, baru-baru ini ditemukan di Kubernetes. Layanan terkadang berkomunikasi dengan aplikasi lain yang berjalan di dalam Pod yang sama menggunakan antarmuka loopback lokal (127.0.0.1). Kerentanan ini memungkinkan penyerang dengan akses ke jaringan cluster untuk mengirim traffic ke antarmuka loopback dari Pod dan node yang berdekatan. Layanan yang mengandalkan antarmuka loopback yang tidak dapat diakses di luar Pod-nya dapat dieksploitasi.

Untuk petunjuk dan detail selengkapnya, lihat:

Rendah (GKE dan GKE di AWS),
Sedang (GKE di VMware)

CVE-2020-8558

GCP-2020-010

Dipublikasikan: 27-07-2020

Deskripsi

Microsoft telah mengungkapkan kerentanan berikut:

Kerentanan

Keparahan

CVE

CVE-2020-1350 — Windows Server yang berfungsi dalam kapasitas server DNS dapat dieksploitasi untuk menjalankan kode yang tidak tepercaya oleh Akun Sistem Lokal.

Skor Dasar NVD: 10,0 (Kritis)

CVE-2020-1350

Untuk mengetahui informasi selengkapnya, lihat pengungkapan Microsoft.

Dampak Google Cloud

Infrastruktur yang menghosting produk Google Cloud dan Google tidak terpengaruh oleh kerentanan ini. Detail tambahan per produk tercantum di bawah.

Produk

Dampak

Compute Engine

CVE-2020-1350

Untuk sebagian besar pelanggan, tidak diperlukan tindakan lebih lanjut.

Pelanggan yang menggunakan virtual machine Compute Engine yang menjalankan Windows Server dalam kapasitas server DNS harus memastikan instance mereka memiliki patch Windows terbaru atau menggunakan image Windows Server yang disediakan sejak 14/07/2020.

Google Kubernetes Engine

CVE-2020-1350

Untuk sebagian besar pelanggan, tidak diperlukan tindakan lebih lanjut.

Pelanggan yang menggunakan GKE dengan node Windows Server dalam kapasitas server DNS harus secara manual mengupdate node dan beban kerja dalam container yang berjalan di node tersebut ke versi server Windows yang berisi perbaikan.

Layanan Terkelola untuk Microsoft Active Directory

CVE-2020-1350

Untuk sebagian besar pelanggan, tidak diperlukan tindakan lebih lanjut.

Semua domain Microsoft AD Terkelola telah otomatis diupdate dengan image yang di-patch. Setiap pelanggan yang menjalankan Microsoft Active Directory secara manual (dan tidak menggunakan Managed Microsoft AD) harus memastikan instance mereka memiliki patch Windows terbaru atau menggunakan image Windows Server yang disediakan sejak 14/07/2020.

Google Workspace

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Lingkungan standar App Engine

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Lingkungan fleksibel App Engine

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud Run

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud Run Functions

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud Composer

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Dataflow

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Dataproc

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud SQL

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

GCP-2020-009

Dipublikasikan: 15-07-2020

Deskripsi

Deskripsi Keparahan Catatan

Baru-baru ini ditemukan kerentanan eskalasi hak istimewa, CVE-2020-8559, di Kubernetes. Kerentanan ini memungkinkan penyerang yang telah menyusupi node untuk menjalankan perintah di Pod mana pun dalam cluster. Dengan demikian, penyerang dapat menggunakan node yang sudah disusupi untuk menyusupi node lain dan berpotensi membaca informasi, atau menyebabkan tindakan destruktif.

Perhatikan bahwa agar penyerang dapat mengeksploitasi kerentanan ini, node di cluster Anda harus sudah disusupi. Kerentanan ini, dengan sendirinya, tidak akan membahayakan node apa pun di cluster Anda.

Untuk petunjuk dan detail selengkapnya, lihat:

Sedang

CVE-2020-8559

GCP-2020-008

Dipublikasikan: 19-06-2020

Deskripsi

Deskripsi Keparahan Catatan

Deskripsi

VM yang mengaktifkan Login OS mungkin rentan terhadap kerentanan eskalasi hak istimewa. Kerentanan ini memberi pengguna yang diberi izin Login OS (tetapi tidak diberi akses admin) kemampuan untuk mengeskalasikan ke akses root di VM.

Untuk petunjuk dan detail selengkapnya, lihat berita keamanan Compute Engine.

Tinggi

GCP-2020-007

Dipublikasikan: 01-06-2020

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan Pemalsuan Permintaan Sisi Server (SSRF), CVE-2020-8555, baru-baru ini ditemukan di Kubernetes, yang memungkinkan pengguna tertentu yang diberi otorisasi untuk membocorkan informasi sensitif hingga 500 byte dari jaringan host bidang kontrol. Bidang kontrol Google Kubernetes Engine (GKE) menggunakan pengontrol dari Kubernetes sehingga terpengaruh oleh kerentanan ini. Sebaiknya upgrade panel kontrol ke versi patch terbaru. Upgrade node tidak diperlukan.

Untuk petunjuk dan detail selengkapnya, lihat:

Sedang

CVE-2020-8555

GCP-2020-006

Dipublikasikan: 01-06-2020

Deskripsi

Deskripsi Keparahan Catatan

Kubernetes telah mengungkapkan kerentanan yang memungkinkan penampung dengan hak istimewa mengalihkan traffic node ke penampung lain. Traffic TLS/SSH bersama, seperti antara kubelet dan server API atau traffic dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau diubah oleh serangan ini. Semua node Google Kubernetes Engine (GKE) terpengaruh oleh kerentanan ini, dan sebaiknya upgrade ke versi patch terbaru.

Untuk petunjuk dan detail selengkapnya, lihat:

Sedang

Masalah Kubernetes 91507

GCP-2020-005

Dipublikasikan: 07-05-2020

Deskripsi

Kerentanan

Keparahan

CVE

Baru-baru ini ditemukan kerentanan di kernel Linux, yang dijelaskan dalam CVE-2020-8835, yang memungkinkan container escape mendapatkan hak istimewa root di node host.

Node Ubuntu Google Kubernetes Engine (GKE) yang menjalankan GKE 1.16 atau 1.17 terpengaruh oleh kerentanan ini, dan sebaiknya Anda mengupgrade ke versi patch terbaru secepatnya.

Lihat buletin keamanan GKE untuk mengetahui petunjuk dan detail selengkapnya.

Tinggi

CVE-2020-8835

GCP-2020-004

Dipublikasikan: 31-03-2020
Diperbarui: 31-03-2020

Deskripsi

Kubernetes telah mengungkapkan kerentanan berikut:

Kerentanan

Keparahan

CVE

CVE-2019-11254 — Ini adalah kerentanan Denial of Service (DoS) yang memengaruhi server API.

Sedang

CVE-2019-11254

Lihat Buletin keamanan GKE di VMware untuk mengetahui petunjuk dan detail selengkapnya.

GCP-2020-003

Dipublikasikan: 31-03-2020
Diperbarui: 31-03-2020

Deskripsi

Kubernetes telah mengungkapkan kerentanan berikut:

Kerentanan

Keparahan

CVE

CVE-2019-11254 — Ini adalah kerentanan Denial of Service (DoS) yang memengaruhi server API.

Sedang

CVE-2019-11254

Lihat buletin keamanan GKE untuk mengetahui petunjuk dan detail selengkapnya.

GCP-2020-002

Dipublikasikan: 23-03-2020
Diperbarui: 23-03-2020

Deskripsi

Kubernetes telah mengungkapkan kerentanan berikut:

Kerentanan

Keparahan

CVE

CVE-2020-8551 — Ini adalah kerentanan Denial of Service (DoS) yang memengaruhi kubelet.

Sedang

CVE-2020-8551

CVE-2020-8552 — Ini adalah kerentanan Denial of Service (DoS) yang memengaruhi server API.

Sedang

CVE-2020-8552

Lihat buletin keamanan GKE untuk mengetahui petunjuk dan detail selengkapnya.

GCP-2020-001

Dipublikasikan: 21-01-2020
Diperbarui: 21-01-2020

Deskripsi

Microsoft telah mengungkapkan kerentanan berikut:

Kerentanan

Keparahan

CVE

CVE-2020-0601 — Kerentanan ini juga dikenal sebagai Kerentanan Spoofing Windows Crypto API. Hal ini dapat dieksploitasi untuk membuat file yang dapat dieksekusi berbahaya tampak tepercaya atau memungkinkan penyerang melakukan serangan man-in-the-middle dan mendekripsi informasi rahasia pada koneksi pengguna ke software yang terpengaruh.

Skor Dasar NVD: 8,1 (Tinggi)

CVE-2020-0601

Untuk mengetahui informasi selengkapnya, lihat pengungkapan Microsoft.

Dampak Google Cloud

Infrastruktur yang menghosting produk Google Cloud dan Google tidak terpengaruh oleh kerentanan ini. Detail tambahan per produk tercantum di bawah.

Produk

Dampak

Compute Engine

CVE-2020-0601

Untuk sebagian besar pelanggan, tidak diperlukan tindakan lebih lanjut.

Pelanggan yang menggunakan virtual machine Compute Engine yang menjalankan Windows Server harus memastikan instance mereka memiliki patch Windows terbaru atau menggunakan image Windows Server yang disediakan sejak 15/1/2020. Lihat Buletin keamanan Compute Engine untuk mengetahui detail selengkapnya.

Google Kubernetes Engine

CVE-2020-0601

Untuk sebagian besar pelanggan, tidak diperlukan tindakan lebih lanjut.

Pelanggan yang menggunakan GKE dengan node Windows Server, baik node maupun workload dalam container yang berjalan di node tersebut harus diupdate ke versi yang di-patch untuk mengurangi kerentanan ini. Lihat Buletin keamanan GKE untuk mengetahui petunjuk dan detail selengkapnya.

Layanan Terkelola untuk Microsoft Active Directory

CVE-2020-0601

Untuk sebagian besar pelanggan, tidak diperlukan tindakan lebih lanjut.

Semua domain Microsoft AD Terkelola telah otomatis diupdate dengan image yang di-patch. Setiap pelanggan yang menjalankan Microsoft Active Directory secara manual (dan tidak menggunakan Managed Microsoft AD) harus memastikan instance mereka memiliki patch Windows terbaru atau menggunakan image Windows Server yang disediakan sejak 15/1/2020.

Google Workspace

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Lingkungan standar App Engine

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Lingkungan fleksibel App Engine

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud Run

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud Run Functions

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud Composer

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Dataflow

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Dataproc

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud SQL

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

GCP-2019-001

Dipublikasikan: 12-11-2019
Diperbarui: 12-11-2019

Deskripsi

Intel telah mengungkapkan kerentanan berikut:

Kerentanan

Keparahan

CVE

CVE-2019-11135 — Kerentanan ini disebut sebagai TSX Async Abort (TAA) dan dapat digunakan untuk mengeksploitasi eksekusi spekulatif dalam transaksi TSX. Kerentanan ini berpotensi memungkinkan data diekspos melalui struktur data mikroarsitektur yang sama yang diekspos oleh Sampling Data Mikroarsitektur (MDS).

Sedang

CVE-2019-11135

CVE-2018-12207 — Ini adalah kerentanan Denial of Service (DoS) yang memengaruhi host virtual machine (bukan tamu). Masalah ini dikenal sebagai "Kesalahan Pemeriksaan Mesin pada Perubahan Ukuran Halaman".

Sedang

CVE-2018-12207

Untuk informasi selengkapnya, lihat pengungkapan Intel:

Dampak Google Cloud

Infrastruktur yang menghosting produk Google Cloud dan Google dilindungi dari kerentanan ini. Detail tambahan per produk tercantum di bawah.

Produk

Dampak

Compute Engine

CVE-2019-11135

Untuk sebagian besar pelanggan, tidak diperlukan tindakan tambahan.

Pelanggan N2, C2, atau M2 yang menjalankan kode tidak tepercaya di layanan multi-tenant mereka sendiri dalam virtual machine Compute Engine harus menghentikan dan memulai VM mereka untuk memastikan bahwa mereka memiliki mitigasi keamanan terbaru.

CVE-2018-12207

Untuk semua pelanggan, tidak diperlukan tindakan tambahan.

Google Kubernetes Engine

CVE-2019-11135

Untuk sebagian besar pelanggan, tidak diperlukan tindakan tambahan.

Jika Anda menggunakan node pool dengan node N2, M2, atau C2, dan node tersebut menjalankan kode yang tidak tepercaya di dalam cluster GKE multi-tenant Anda sendiri, Anda harus memulai ulang node. Jika Anda ingin memulai ulang semua node di node pool, upgrade node pool yang terpengaruh.

CVE-2018-12207

Untuk semua pelanggan, tidak diperlukan tindakan tambahan.

Lingkungan standar App Engine

Anda tidak perlu melakukan tindakan tambahan apa pun.

Lingkungan fleksibel App Engine

CVE-2019-11135

Anda tidak perlu melakukan tindakan tambahan apa pun.

Pelanggan harus meninjau praktik terbaik Intel sehubungan dengan berbagi tingkat aplikasi yang dapat terjadi di antara hyperthread dalam Flex VM.

CVE-2018-12207

Tidak diperlukan tindakan tambahan.

Cloud Run

Anda tidak perlu melakukan tindakan tambahan apa pun.

Cloud Run Functions

Anda tidak perlu melakukan tindakan tambahan apa pun.

Cloud Composer

Anda tidak perlu melakukan tindakan tambahan apa pun.

Dataflow

CVE-2019-11135

Untuk sebagian besar pelanggan, tidak diperlukan tindakan tambahan.

Pelanggan Dataflow yang menjalankan beberapa beban kerja tidak tepercaya di VM Compute Engine N2, C2, atau M2 yang dikelola oleh Dataflow dan khawatir dengan serangan intra-tamu harus mempertimbangkan untuk memulai ulang pipeline streaming yang sedang berjalan. Atau, pipeline batch dapat dibatalkan dan dijalankan ulang. Anda tidak perlu melakukan tindakan apa pun untuk pipeline yang diluncurkan setelah hari ini.

CVE-2018-12207

Untuk semua pelanggan, tidak diperlukan tindakan tambahan.

Dataproc

CVE-2019-11135

Untuk sebagian besar pelanggan, tidak diperlukan tindakan tambahan.

Pelanggan Cloud Dataproc yang menjalankan beberapa workload tidak tepercaya di cluster Cloud Dataproc yang sama yang berjalan di VM Compute Engine N2, C2, atau M2 dan khawatir dengan serangan intra-tamu, harus men-deploy ulang cluster mereka.

CVE-2018-12207

Untuk semua pelanggan, tidak diperlukan tindakan tambahan.

Cloud SQL

Anda tidak perlu melakukan tindakan tambahan apa pun.