Boletins de segurança

Os boletins de segurança a seguir são relacionados aos produtos do Google Cloud.

Use este feed XML para se inscrever nos boletins de segurança desta página. Assinar

GCP-2024-045

Publicado : 17/07/2024

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26925

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-26925

GCP-2024-044

Publicado : 16/07/2024

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-36972

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-36972

GCP-2024-043

Publicado : 16/07/2024

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26921

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-26921

GCP-2024-042

Publicado : 15/07/2024

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26809

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-26809

GCP-2024-041

Publicado : 08/07/2024

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-52654
  • CVE-2023-52656

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta

GCP-2024-040

Publicado:01/07/2024

Atualizado:16/07/2024

Descrição

Descrição Gravidade Observações

Atualizações de 16/07/2024:

Alguns clientes do acesso VPC sem servidor podem ser afetados uma vulnerabilidade no OpenSSH (CVE-2024-6387). Em caso de sucesso isso pode permitir que um invasor remoto e não autenticado execute código arbitrário como raiz na máquina virtual de destino. A exploração é acreditavam ser difíceis. Por exemplo, os clientes não conseguem acessar as VMs e as VMs não têm IPs públicos. Não estamos cientes de nenhuma exploração de tentativas.

O que fazer?

As implantações de acesso VPC sem servidor são atualizados pelo Google sempre que possível. No entanto, verifique se o O agente de serviço gerenciado pelo Google tem o papel necessário. Caso contrário, talvez o conector de acesso VPC sem servidor ainda esteja vulnerável. Recomendamos que você migre para a saída da VPC direta ou implante um novo conector e exclua o conector antigo para garantir que você tenha a atualização necessária com o corrigir.

Atualização de 11/07/2024:adicionamos versões de patch para software GDC para VMware, GKE na AWS e GKE no Azure. Para mais detalhes, no console do GKE, documentação, consulte os boletins a seguir:

Atualização de 10/07/2024:

  • Adicionamos um boletim de segurança sobre o Migrate to Virtual Machines.

Atualizações: 9 de julho de 2024:

Alguns clientes do ambiente flexível do App Engine podem ser afetados uma vulnerabilidade no OpenSSH (CVE-2024-6387). Em caso de sucesso isso pode permitir que um invasor remoto e não autenticado execute código arbitrário como raiz na máquina virtual de destino.

O que fazer?

O Google já atualizou as implantações no ambiente flexível automaticamente sempre que possível. No entanto, alguns clientes que desativaram o agente de serviço gerenciado pelo Google, ou fez alterações nas APIs do Google Cloud ou em outras configurações padrão, não pôde ser atualizada e ainda pode estar vulnerável. Implante uma nova versão do app para receber a atualização com a correção.

As implantações atualizadas vão informar a versão OpenSSH_9.6p1 do SSH. Essa versão foi corrigida com uma correção para CVE-2024-6387.

Quais vulnerabilidades estão sendo resolvidas?

A vulnerabilidade CVE-2024-6387, que permite uma conexão que o invasor execute código arbitrário como raiz na máquina-alvo.

Atualizações de 08/07/2024:

Clusters do Dataproc no Google Compute Engine em execução no imagem da versão 2.2 (todos os sistemas operacionais) e 2.1 (somente Debian) impactados por uma vulnerabilidade no OpenSSH (CVE-2024-6387), que, no caso de bem-sucedida, poderia permitir que um invasor remoto e não autenticado executar código arbitrário como raiz na máquina de destino.

Versões 2.0 e 2.0 de imagem do Dataproc no Google Compute Engine 1.5, assim como as imagens do Dataproc versão 2.1 que não estão em execução no Debian não são afetados. Clusters do Dataproc com As autenticações ativadas não são afetadas. Dataproc sem servidor também não será afetado.

O que fazer?

Atualize seus clusters do Dataproc no Google Compute Engine para uma das seguintes versões:

  • 2.2.24 ou mais recente
  • 2.1.58 ou mais recente

Caso não seja possível atualizar os clusters do Dataproc para uma das versões acima, recomendamos o uso da ação disponível neste local: gs://dataproc-initialization-actions/hotfixes/openssh-CVE-2024-6387-mitigation.sh

Siga estas instruções sobre como especifique ações de inicialização do Dataproc. Observe que a ação de inicialização precisa ser executada em cada nó (mestres e workers) para clusters preexistentes.

Atualizações de 03/07/2024:

  • Inclusão de versões de patch para o GKE.
  • Adição de boletim de segurança ao GDC conectados.

Atualizações de 02/07/2024:

  • Esclarecemos que os clusters do Autopilot são impactados e vai exigir uma ação do usuário.
  • Adicionadas avaliações de impacto e etapas de mitigação para Software GDC para VMware, GKE na AWS e GKE no Azure.
  • Corrigiu o software do GDC para o boletim de segurança bare metal para esclarecer que o software do GDC para bare metal não está diretamente afetados e que os clientes devem verificar os patches junto aos fornecedores de SO.

Uma vulnerabilidade de execução remota de código, CVE-2024-6387 (em inglês). foi descoberto recentemente no OpenSSH. A vulnerabilidade explora uma disputa que podem ser usados para obter acesso a um shell remoto, permitindo que os atacantes obtenham acesso raiz. No momento da publicação, acredita-se que a exploração seja difícil e que leve horas por máquina atacado. Não estamos cientes de tentativas de exploração.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Crítica CVE-2024-6387

GCP-2024-039

Publicado : 28/06/2024

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26923

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-26923

GCP-2024-038

Publicado : 26/06/2024

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26924

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-26924

GCP-2024-037

Publicado : 18/06/2024

Descrição Gravidade Observações

A VMware divulgou várias vulnerabilidades no VMSA-2024-0012. que afetam os componentes do vCenter implantados nos ambientes dos clientes.

Impacto no Google Cloud VMware Engine

  • A vulnerabilidade pode ser explorada acessando portas específicas no vCenter Servidor. O Google já bloqueou as portas vulneráveis no vCenter o que impede possíveis explorações dessa vulnerabilidade.
  • Além disso, o Google garante que todas as implantações futuras do vCenter não sejam a essa vulnerabilidade.

O que devo fazer?

Nenhuma outra ação é necessária no momento.

Crítica

GCP-2024-036

Publicado : 18/06/2024

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2024-26584

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-26584

GCP-2024-035

Publicado : 12/06/2024

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26584

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-26584

GCP-2024-034

Publicado : 11/06/2024

Atualizado:10/07/2024

Descrição

Descrição Gravidade Observações

Atualização de 10/07/2024:adicionamos versões de patch para Nós do Container-Optimized OS executando as versões secundárias 1.26 e 1.27 e adicionamos versões de patch para os nós do Ubuntu.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2024-26583

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-26583

GCP-2024-033

Publicado : 10/06/2024

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:

  • CVE-2022-23222

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2022-23222

GCP-2024-032

Publicado:04/06/2024

Descrição

Descrição Gravidade Observações

As CVEs a seguir expõem o Cloud Service Mesh a vulnerabilidades exploráveis:

  • CVE-2024-23326: o Envoy aceita incorretamente a resposta HTTP 200 para entrar no modo de upgrade.
  • CVE-2024-32974: falha no EnvoyQuicServerStream::OnInitialHeadersComplete().
  • CVE-2024-32975: falha no QuicheDataReader::PeekVarInt62Length().
  • CVE-2024-32976: loop infinito ao descompactar dados Brotli com entrada extra.
  • CVE-2024-34362: falha (uso após a liberação) no EnvoyQuicServerStream.
  • CVE-2024-34363: falha devido a uma exceção JSON nlohmann não capturada.
  • CVE-2024-34364: vetor de OOM do Envoy do cliente assíncrono HTTP com buffer de resposta ilimitado para resposta espelhada.

Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh.

Alta

GCP-2024-031

Publicado:24/05/2024

Descrição

Descrição Gravidade Observações

Uma nova vulnerabilidade (CVE-2024-4323) foi descoberta no Fluent Bit. que pode resultar na execução remota do código. Fluent Bit versão 2.0.7 até a versão 3.0.3 serão afetadas.

GKE, GKE no VMware, GKE na AWS, O GKE no Azure e o GKE em Bare Metal não usam uma mais vulnerável do Fluent Bit e não são afetadas.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Nenhum CVE-2024-4323

GCP-2024-030

Publicado : 15/05/2024

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-52620

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-52620

GCP-2024-029

Publicado : 14/05/2024

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26642

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-26642

GCP-2024-028

Publicado : 13/05/2024

Atualizado:22/05/2024

Descrição

Descrição Gravidade Observações

Atualização de 22/05/2024:adicionamos versões com patch a Ubuntu

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26581

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-26581

GCP-2024-027

Publicado : 08/05/2024

Atualizado:09/05/2024, 15/05/2024

Descrição

Descrição Gravidade Observações

Atualização de 15/05/2024:adicionamos versões com patch a pools de nós do Ubuntu do GKE.

Atualização de 09/05/2024:gravidade média corrigida para High e esclarecemos que o Autopilot do GKE clusters na configuração padrão não são afetados.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26808

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-26808

GCP-2024-026

Publicado : 07/05/2024

Atualizado:09/05/2024

Descrição

Descrição Gravidade Observações

Atualização de 09/05/2024:gravidade média corrigida para alta.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26643

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-26643

GCP-2024-025

Publicado:26/04/2024

Descrição

Descrição Gravidade Observações

O Looker corrigiu as vulnerabilidades relatadas por um pesquisador externo no Programa de recompensa para descobertas de vulnerabilidades (VRP, na sigla em inglês) do Google e da Alphabet, mas não encontrou evidências de exploração. Esses problemas já foram resolvidos, e nenhuma ação é necessária para clientes hospedados no Looker (Google Cloud Core) e Looker (original). Recomendamos que as instâncias auto-hospedadas do Looker sejam atualizadas para a versão com suporte mais recente.

O que fazer?

Instâncias hospedadas do Looker: instâncias do Looker (Google Cloud Core) e do Looker (original)

Nenhuma ação do cliente é necessária.

Somente instâncias auto-hospedadas do Looker

Caso sua instância do Looker seja auto-hospedada, recomendamos fazer upgrade dela para uma das seguintes versões:

  • 24.6.12+
  • 24.4.27+
  • 24.2.58+
  • 24.0.65+
  • 23.18.100+
  • 23.12.105+
  • 23.6.163+

Como o problema foi corrigido?

O Google desativou o acesso administrativo direto ao banco de dados interno do aplicativo Looker, removeu privilégios elevados que permitiam o acesso entre locatários e alternou as chaves secretas expostas. Além disso, corrigimos vulnerabilidades de travessia de caminhos que possivelmente expuseram credenciais de conta de serviço. Também estamos conduzindo uma análise completa do nosso código e dos nossos sistemas para identificar e resolver possíveis vulnerabilidades semelhantes.

 Crítica

GCP-2024-024

Publicado : 25/04/2024

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-26585

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-26585

GCP-2024-023

Publicado:24/04/2024

Descrição

Descrição Gravidade Observações

As CVEs a seguir expõem o Cloud Service Mesh a vulnerabilidades exploráveis:

  • CVE-2024-27919: HTTP/2: esgotamento da memória devido à sobrecarga do frame CONTINUATION.
  • CVE-2024-30255: HTTP/2: esgotamento da CPU devido à sobrecarga do frame CONTINUATION
  • CVE-2024-32475: encerramento anormal ao usar "auto_sni" com ':authority' cabeçalho com mais de 255 caracteres.
  • CVE-2023-45288: os frames de CONTINUAÇÃO HTTP/2 podem ser usados para ataques DoS.

Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh.

Alta

GCP-2024-022

Publicado:03/04/2024

Atualizado:17/07/2024

Descrição

Descrição Gravidade Observações

Atualização de 17/07/2024:adicionamos versões de patch para o GKE no VMware.

Atualização de 09/07/2024:foram adicionadas versões de patch para o GKE em Bare Metal.

Atualização de 24/04/2024:adicionamos versões de patch para o GKE.

Uma vulnerabilidade de negação de serviço (DoS) (CVE-2023-45288) foi descoberta recentemente em várias implementações do protocolo HTTP/2, incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Google Kubernetes Engine (GKE).

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-45288

GCP-2024-021

Publicado : 03/04/2024

Descrição

Descrição Gravidade Observações

O Compute Engine não é afetado pela CVE-2024-3094 (em inglês), que afeta as versões 5.6.0 e 5.6.1 do pacote xz-utils na liblzma e pode levar ao comprometimento do utilitário OpenSSH.

Para mais detalhes, consulte a Boletim de segurança do Compute Engine.

 Médio CVE-2024-3094

GCP-2024-020

Publicado : 02/04/2024

Descrição

Descrição Gravidade Observações

Os pesquisadores descobriram uma vulnerabilidade (CVE-2023-48022). no Ray. Ray é um de terceiros, uma ferramenta de código aberto para cargas de trabalho de IA. Como o Ray não exige os agentes invasores podem conseguir a execução remota de códigos enviando jobs para instâncias expostas publicamente. O a vulnerabilidade em disputado por Anyscale, desenvolvedor do Ray. O Ray mantém as funções são um recurso principal do produto e que a segurança ser implementadas fora de um cluster do Ray, porque qualquer rede não intencional exposição do cluster do Ray pode levar ao comprometimento.

Com base na resposta, essa CVE é contestada e pode não aparecer nos verificações de vulnerabilidades. Independentemente disso, ela está sendo explorada ativamente e os usuários devem configurar o uso conforme sugerido a seguir.

O que fazer?

Siga o Ray melhor de código aberto e diretrizes, incluindo a execução de código redes confiáveis para proteger suas cargas de trabalho do Ray. Implantação da ray.io em instâncias de nuvem do cliente se enquadra no modelo de responsabilidade compartilhada.

A equipe de segurança do Google Kubernetes Engine (GKE) publicou um blog sobre como aumentar a proteção do Ray no GKE.

Para mais informações sobre como adicionar autenticação e autorização aos serviços do Ray, consulte o Identity-Aware Proxy (IAP) Documentação. Os usuários do GKE podem implementar o IAP depois orientação ou reaproveite os módulos do Terraform vinculados blog.

Alta CVE-2023-48022

GCP-2024-018

Publicado : 12/03/2024

Atualizado:04/04/2024, 06/05/2024

Descrição

Descrição Gravidade Observações

Atualização de 06/05/2024:adicionamos versões de patch para pools de nós do GKE Ubuntu.

Atualização de 04/04/2024:versões mínimas corrigidas para pools de nós do GKE Container-Optimized OS.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-1085

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-1085

GCP-2024-017

Publicado : 06/03/2024

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3611

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-3611

GCP-2024-016

Publicado : 05/03/2024

Descrição Gravidade Observações

A VMware divulgou várias vulnerabilidades no VMSA-2024-0006 que impacto dos componentes ESXi implantados nos ambientes dos clientes.

Impacto no Google Cloud VMware Engine

Suas nuvens privadas foram atualizadas para resolver a vulnerabilidade de segurança.

O que devo fazer?

Você não precisa fazer nada.

Crítica

GCP-2024-014

Publicado : 26/02/2024

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3776

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-3776

GCP-2024-013

Publicado : 27/02/2024

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-3610

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-3610

GCP-2024-012

Publicado : 20/02/2024

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2024-0193

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-0193

GCP-2024-011

Publicado : 15/02/2024

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:

  • CVE-2023-6932

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-6932

GCP-2024-010

Publicado : 14/02/2024

Atualizado:17/04/2024

Descrição

Descrição Gravidade Observações

Atualização de 17/04/2024:adicionamos versões de patch para o GKE no VMware.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-6931

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-6931

GCP-2024-009

Publicado:13/02/2024

Descrição

Descrição Gravidade Observações

Em 13 de fevereiro de 2024, a AMD divulgou duas vulnerabilidades que afetam o SEV-SNP em CPUs EPYC baseadas na terceira geração de "Milão" e a quarta geração, "Genoa", Núcleos Zen. As vulnerabilidades permitem que invasores com privilégios acessem dos convidados ou causar uma perda de integridade deles.

O Google aplicou correções aos recursos afetados, incluindo o Google Cloud, para para garantir a proteção dos clientes. No momento, nenhuma evidência de exploração foram encontrados ou denunciados ao Google.

O que fazer?

Nenhuma ação do cliente é necessária. As correções já foram aplicadas à Frota de servidores do Google para o Google Cloud, incluindo o Compute Engine.

Para mais informações, consulte o aviso de segurança da AMD AMD-SN-3007 (link em inglês)

 Moderado

GCP-2024-008

Publicado:12/02/2024

Descrição

Descrição Gravidade Observações

A CVE-2023-5528 permite que um invasor crie pods e volumes permanentes em nós do Windows permitindo o escalonamento de privilégios de administrador nesses nós.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-5528

GCP-2024-007

Publicado:08/02/2024

Descrição

Descrição Gravidade Observações

As CVEs a seguir expõem o Cloud Service Mesh a vulnerabilidades exploráveis:

  • CVE-2024-23322: o Envoy falha quando o tempo limite de inatividade e as solicitações por tentativa ocorrem dentro do intervalo de espera.
  • CVE-2024-23323: uso excessivo de CPU quando a correspondência de modelo de URI está configurada usando regex.
  • CVE-2024-23324: a autorização externa pode ser ignorada quando o filtro do protocolo proxy define metadados UTF-8 inválidos.
  • O Envoy falha ao usar um tipo de endereço incompatível com o SO.
  • CVE-2024-23327: falha no protocolo de proxy quando o tipo de comando é LOCAL.

Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh.

Alta

GCP-2024-006

Publicado:5/02/2024

Descrição

Descrição Gravidade Observações

Quando um proxy de gerenciamento de APIs da Apigee se conecta a um endpoint de destino ou a servidor de destino, o proxy não realiza a validação do nome do host para o certificado apresentado pelo endpoint ou servidor de destino por padrão. Se a validação do nome do host não estiver ativada usando uma das opções a seguir, os proxies da Apigee que se conectam a um endpoint ou servidor de destino poderão estar em risco de um ataque "man-in-the-middle" por um usuário autorizado. Para mais informações, consulte Como configurar o TLS da borda para o back-end (nuvem e nuvem privada).

As implantações de proxy da Apigee nas seguintes plataformas da Apigee foram afetadas:

  • Apigee Edge para nuvem pública
  • Apigee Edge para nuvem privada

Para instruções e mais detalhes, consulte o boletim de segurança da Apigee.

 Alta

GCP-2024-005

Publicado:31/01/2024
Atualizado:02/04/2024, 06/05/2024

Descrição

Descrição Gravidade Observações

Atualização de 06/05/2024: adicionamos versões de patch para o GKE na AWS e no GKE no Azure.

Atualização de 02/04/2024: adicionamos versões de patch para o GKE em Bare Metal.

Atualização de 06/03/2024: adicionamos versões de patch para o GKE no VMware.

Atualização de 28/02/2024: versões de patch adicionadas para Ubuntu

Atualização de 15/02/2024: esclarecemos que as versões 1.25 e 1.26 As versões de patch do Ubuntu na atualização de 14/02/2024 podem causar problemas de nós.

Atualização de 14/02/2024: versões de patch adicionadas para Ubuntu

Atualização de 06/02/2024 : adicionamos versões de patch para o Container-Optimized OS.

Uma vulnerabilidade de segurança, CVE-2024-21626, foi descoberta em runc, em que um usuário com permissão para criar pods em nós do Ubuntu e do Container-Optimized OS pode ter acesso total ao sistema de arquivos do nó.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2024-21626

GCP-2024-004

Publicado : 24/01/2024
Atualizado:07/02/2024

Descrição

Descrição Gravidade Observações

Atualização de 07/02/2024 : adicionamos versões de patch para o Ubuntu.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-6817

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-6817

GCP-2024-003

Publicado:19/01/2024
Atualizado:26/01/2024

Descrição

Descrição Gravidade Observações

Atualização de 26/01/2024:esclarecemos o número de clusters afetados e as ações que que realizamos para ajudar a reduzir o impacto. Veja mais detalhes no boletim de segurança do GCP-2024-003.

Identificamos vários clusters em que os usuários concederam permissão privilégios para o grupo system:authenticated, que inclui todos usuários com uma Conta do Google. Esses tipos de vinculações não são recomendadas, já que elas violam o princípio de privilégio mínimo e concedem acesso a grupos muito grandes de usuários. Consulte as orientações em O que devo fazer para: instruções sobre como encontrar esses tipos de vinculações.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Médio

GCP-2024-002

Publicado : 17/01/2024

Atualizado:20/02/2024

Descrição

Descrição Gravidade Observações

Atualização de 20/02/2024:adicionamos versões de patch para o GKE no VMware.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS.

  • CVE-2023-6111

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-6111

GCP-2024-001

Publicado:09/01/2024

Descrição

Descrição Gravidade Observações

Várias vulnerabilidades foram descobertas no sistema TianoCore EDK II UEFI firmware da Web. Esse firmware é usado nas VMs do Google Compute Engine. Se exploradas, as vulnerabilidades poderiam permitir um desvio da inicialização segura, forneceriam medidas falsas no processo de inicialização segura, incluindo quando usados em VMs protegidas.

O que devo fazer?

Você não precisa fazer nada. O Google corrigiu essa vulnerabilidade em O Compute Engine e todas as VMs estão protegidos contra essa vulnerabilidade.

Quais vulnerabilidades são corrigidas por esse patch?

O patch mitigou as seguintes vulnerabilidades:

  • CVE-2022-36763
  • CVE-2022-36764
  • CVE-2022-36765
 Médio

GCP-2023-051

Publicado : 28/12/2023

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3609

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-3609

GCP-2023-050

Publicado : 27/12/2023

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3389

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-3389

GCP-2023-049

Publicado : 20/12/2023

Descrição

Descrição Gravidade Observações

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3090

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-3090

GCP-2023-048

Publicado : 15/12/2023

Atualizado:21/12/2023

Descrição

Descrição Gravidade Observações

Atualização de 21/12/2023:esclarecemos que o GKE os clusters do Autopilot na configuração padrão não são impactados.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3390

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-3390

GCP-2023-047

Publicado:14/12/2023

Descrição

Descrição Gravidade Observações

Um invasor que comprometeu o contêiner do Fluent Bit Logging poderia combinar esse acesso com os altos privilégios exigidos Cloud Service Mesh (em clusters que o ativaram) para escalonar no cluster.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Médio

GCP-2023-046

Publicado : 22/11/2023
Atualizado:04/03/2024

Descrição

Descrição Gravidade Observações

Atualização de 04/03/2024 : adicionamos versões do GKE para o GKE no VMware.

Atualização de 22/01/2024:adicionamos versões de patch do Ubuntu.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-5717

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-5717

GCP-2023-045

Publicado : 20/11/2023

Atualizado:21/12/2023

Descrição

Descrição Gravidade Observações

Atualização de 21/12/2023:esclarecemos que o GKE os clusters do Autopilot na configuração padrão não são impactados.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-5197

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-5197

GCP-2023-044

Publicado:15/11/2023

Descrição

Descrição Gravidade Observações

Em 14 de novembro, a AMD divulgou várias vulnerabilidades que afetam vários CPUs do servidor AMD. Especificamente, as vulnerabilidades afetam as CPUs do servidor EPYC aproveitando a segunda geração do Zen Core, "Roma", da terceira geração, "Milão", e a quarta geração, "Genoa".

O Google aplicou correções aos recursos afetados, incluindo o Google Cloud, para garantir a proteção dos clientes. Até o momento, nenhuma evidência de exploração foi encontrados ou denunciados ao Google.

O que fazer?

Nenhuma ação do cliente é necessária.

As correções já foram aplicadas à frota de servidores do Google Google Cloud, incluindo o Google Compute Engine.

Quais vulnerabilidades estão sendo resolvidas?

O patch mitigou as seguintes vulnerabilidades:

  • CVE-2022-23820
  • CVE-2021-46774
  • CVE-2023-20533
  • CVE-2023-20519
  • CVE-2023-20592
  • CVE-2023-20566
  • CVE-2023-20521
  • CVE-2021-46766
  • CVE-2022-23830
  • CVE-2023-20526
  • CVE-2021-26345

Para mais informações, consulte também o aviso de segurança da AMD AMD-SN-3005: "AMD INVD Instruction Security Aviso" (em inglês), publicado como CacheWarp e AMD-SN-3002: "AMD Server Server Vulnerabilities – novembro 2023".

 Moderado

GCP-2023-043

Publicado:14/11/2023

Descrição

Descrição Gravidade Observações

A Intel divulgou uma vulnerabilidade de CPU em alguns processadores. Para garantir a proteção dos clientes, o Google tomou medidas para reduzir a frota de servidores, incluindo o Google Compute Engine para Google Cloud e os dispositivos ChromeOS.

Detalhes da vulnerabilidade:

  • CVE-2023-23583

O que fazer?

Nenhuma ação do cliente é necessária.

A mitigação fornecida pela Intel para os processadores afetados foi aplicada à frota de servidores do Google, incluindo o Google Compute Engine para Google Cloud.

No momento, o Google Distributed Cloud Edge requer uma atualização do OEM. O Google vai corrigir o problema assim que a atualização for disponibilizada, e este boletim será atualizado de acordo.

Os dispositivos ChromeOS com os processadores afetados receberam a correção automática nas versões 119, 118 e 114 (LTS).

Quais vulnerabilidades estão sendo resolvidas?

CVE-2023-23583 Para mais detalhes, consulte Consultoria de segurança da Intel INTEL-SA-00950.

 Alta CVE-2023-23583

GCP-2023-042

Publicado : 13/11/2023
Atualizado:15/11/2023

Descrição

Descrição Gravidade Observações

Atualização de 15/11/2023:esclarecemos que apenas os itens listados versões secundárias precisam fazer upgrade para uma versão com patch correspondente para no GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4147

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-4147

GCP-2023-041

Publicado : 08/11/2023

Atualizado:21/11/2023, 05/12/2023, 21/12/2023

Descrição

Descrição Gravidade Observações

Atualização de 21/12/2023:esclarecemos que o GKE os clusters do Autopilot na configuração padrão não são impactados.

Atualização de 5/12/2023:adicionamos outras versões do GKE para pools de nós do Container-Optimized OS.

Atualização de 21/11/2023:esclarecemos que apenas os itens listados versões secundárias precisam fazer upgrade para uma versão com patch correspondente para no GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4004

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-4004

GCP-2023-040

Publicado : 06/11/2023

Atualizado:21/11/2023, 21/12/2023

Descrição

Descrição Gravidade Observações

Atualização de 21/12/2023:esclarecemos que o GKE os clusters do Autopilot na configuração padrão não são impactados.

Atualização de 21/11/2023:esclarecemos que apenas os itens listados versões secundárias precisam fazer upgrade para uma versão com patch correspondente para no GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4921

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-4921

GCP-2023-039

Publicado:06/11/2023

Atualizado : 21/11/2023, 16/11/2023

Descrição

Descrição Gravidade Observações

Atualização de 21/11/2023:esclarecemos que apenas os itens listados versões secundárias precisam fazer upgrade para uma versão com patch correspondente para no GKE.

Atualização de 16/11/2023:a vulnerabilidade associada a este boletim de segurança é a CVE-2023-4622. A CVE-2023-4623 foi listada incorretamente como a vulnerabilidade em uma versão anterior do boletim de segurança.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4623

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-4622

GCP-2023-038

Publicado : 06/11/2023

Atualizado:21/11/2023, 21/12/2023

Descrição

Descrição Gravidade Observações

Atualização de 21/12/2023:esclarecemos que o GKE os clusters do Autopilot na configuração padrão não são impactados.

Atualização de 21/11/2023:esclarecemos que apenas os itens listados versões secundárias precisam fazer upgrade para uma versão com patch correspondente para no GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4623

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-4623

GCP-2023-037

Publicado:06/11/2023

Atualizado:21/11/2023, 21/12/2023

Descrição

Descrição Gravidade Observações

Atualização de 21/12/2023:esclarecemos que o GKE os clusters do Autopilot na configuração padrão não são impactados.

Atualização de 21/11/2023:esclarecemos que apenas os itens listados versões secundárias precisam fazer upgrade para uma versão com patch correspondente para no GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4015

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-4015

GCP-2023-036

Publicado: 30/10/2023

Descrição

Descrição Gravidade Observações

O Deep Learning VM Images é um conjunto de imagens de máquinas virtuais pré-empacotadas com um framework de aprendizado profundo pronto para ser executado. Recentemente, uma vulnerabilidade de gravação fora do limite foi descoberta na função "ReadHuffmanCodes()" da biblioteca "libwebp". Isso pode afetar as imagens que usam essa biblioteca.

O Google Cloud verifica continuamente as imagens publicadas de maneira pública e atualiza os pacotes para garantir que as distribuições com patch sejam incluídas nas versões mais recentes disponíveis para a adoção pelo cliente. O Deep Learning VM Image foi atualizado para garantir que as imagens de VM mais recentes incluam as distribuições com patch. Os clientes que adotam as imagens de VM mais recentes não ficam expostos a essa vulnerabilidade.

O que fazer?

Os clientes do Google Cloud que usam imagens de VM publicadas precisam verificar se estão adotando as imagens mais recentes e se os ambientes estão atualizados de acordo com o modelo de responsabilidade compartilhada.

A CVE-2023-4863 pode ser explorada por um invasor que queira executar códigos arbitrários. Essa vulnerabilidade foi identificada no Google Chrome antes da 116.0.5845.187 e em "libwebp" antes da 1.3.2 e está listada na CVE-2023-4863.

 Alta CVE-2023-4863

GCP-2023-035

Publicado:26/10/2023

Atualizado:21/11/2023, 21/12/2023

Descrição

Descrição Gravidade Observações

Atualização de 21/12/2023:esclarecemos que o GKE os clusters do Autopilot na configuração padrão não são impactados.

Atualização de 21/11/2023:esclarecemos que apenas os itens listados versões secundárias precisam fazer upgrade para uma versão com patch correspondente para no GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-4206CVE-2023-4207, CVE-2023-4208, CVE-2023-4128 (links em inglês)

GCP-2023-034

Publicado em: 25/10/2023

Atualizado em: 27/10/2023

Descrição

Descrição Gravidade Observações

A VMware divulgou várias vulnerabilidades na VMSA-2023-0023 que afetam os componentes do vCenter implantados nos ambientes dos clientes.

Impacto do Cloud Customer Care

  • A vulnerabilidade pode ser explorada ao acessar portas específicas no servidor vCenter. Essas portas não estão expostas à Internet pública.
  • Se as portas do vCenter 2012/tcp, 2014/tcp e 2020/tcp não acessíveis por sistemas não confiáveis, você não estará exposto a esse a vulnerabilidade.
  • O Google já bloqueou as portas vulneráveis no vCenter Server, impedindo qualquer possível exploit dessa vulnerabilidade.
  • Além disso, o Google garantirá que todas as implantações futuras do vCenter Server não sejam expostas a essa vulnerabilidade.
  • No momento da publicação do boletim, a VMware não estava ciente de nenhuma exploração conhecida. Para mais detalhes, consulte a documentação da VMware.

O que devo fazer?

No momento, nenhuma outra ação é necessária.

 Crítica CVE-2023-34048,CVE-2023-34056

GCP-2023-033

Publicado:24/10/2023

Atualizado:21/11/2023, 21/12/2023

Descrição

Descrição Gravidade Observações

Atualização de 21/12/2023:esclarecemos que o GKE os clusters do Autopilot na configuração padrão não são e as cargas de trabalho do GKE Sandbox não serão afetadas.

Atualização de 21/11/2023:esclarecemos que apenas os itens listados versões secundárias precisam fazer upgrade para uma versão com patch correspondente para no GKE.

As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.

  • CVE-2023-3777

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-3777

GCP-2023-032

Publicado: 2023-10-13

Atualizado em: 03/11/2023

Descrição

Descrição Gravidade Observações

Atualização de 03/11/2023: foi adicionado um problema conhecido relacionado ao Apigee Edge para nuvem privada.

Uma vulnerabilidade de negação de serviço (DoS) foi descoberta recentemente em um várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o serviço Ingress (Cloud Service Mesh) da Apigee usado pelo Apigee X e Apigee híbrida. A vulnerabilidade pode levar a um DoS da funcionalidade de gerenciamento da API Apigee.

Para instruções e mais detalhes, consulte a boletim de segurança da Apigee.

Alta CVE-2023-44487

GCP-2023-031

Publicado: 2023-10-10

Descrição

Descrição Gravidade Observações

Um ataque de negação de serviço pode afetar o plano de dados quando com o protocolo HTTP/2. Para instruções e mais detalhes, consulte a Boletim de segurança do Cloud Service Mesh.

Alta CVE-2023-44487

GCP-2023-030

Publicado: 2023-10-10

Atualizado:20/03/2024

Descrição

Descrição Gravidade Observações

Atualização de 20/03/2024:adicionamos versões de patch a GKE na AWS e GKE no Azure com os patches mais recentes para CVE-2023-44487.

Atualização de 14/02/2024:adicionamos versões de patch a GKE no VMware.

Atualização de 09/11/2023:foi adicionada a CVE-2023-39325. Atualizado Versões do GKE com os patches mais recentes para CVE-2023-44487 e CVE-2023-39325.

Uma vulnerabilidade de negação de serviço (DoS) foi recentemente descoberta em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Google Kubernetes Engine (GKE). Os clusters do GKE com redes autorizadas configuradas são protegidos limitando o acesso à rede, mas todos os outros clusters são afetados.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-44487, CVE-2023-39325

GCP-2023-029

Publicado: 03/10/2023

Descrição

Descrição Gravidade Observações

O TorchServe é usado para hospedar modelos de machine learning PyTorch para previsão on-line. A Vertex AI fornece contêineres pré-criados de exibição de modelos PyTorch que dependem do TorchServe. Recentemente, foram descobertas no TorchServe vulnerabilidades que permitiriam a um invasor assumir o controle de uma implantação do TorchServe se a API de gerenciamento de modelos for exposta. Os clientes com modelos PyTorch implantados na previsão on-line da Vertex AI não são afetados por essas vulnerabilidades, porque a Vertex AI não expõe a API de gerenciamento de modelos do TorchServe. Os clientes que usam o TorchServe fora da Vertex AI precisam tomar precauções para garantir que as implantações sejam configuradas com segurança.

O que fazer?

Os clientes da Vertex AI com modelos implantados usando contêineres de exibição pré-criados do PyTorch da Vertex AI não precisam fazer nada para resolver as vulnerabilidades, já que as implantações da Vertex AI não expõem o servidor de gerenciamento do TorchServe à Internet.

Os clientes que usam os contêineres pré-criados do PyTorch em outros contextos ou que usam uma distribuição personalizada ou de terceiros do TorchServe devem fazer o seguinte:

  • Verifique se a API de gerenciamento de modelos do TorchServe não está exposta à Internet. A API de gerenciamento de modelos pode ser restrita ao acesso local apenas garantindo que o management_address esteja vinculado a 127.0.0.1.
  • Use a configuração allowed_urls para garantir que os modelos possam ser carregados apenas de origens pretendidas.
  • Faça upgrade do TorchServe para a versão 0.8.2, que inclui mitigações para esse problema, o mais rápido possível. Por precaução, a Vertex AI vai lançar contêineres pré-criados corrigidos em 13/10/2023.

Quais vulnerabilidades estão sendo resolvidas?

A API de gerenciamento do TorchServe está vinculada a 0.0.0.0 por padrão na maioria das imagens do Docker do TorchServe, incluindo as lançadas pela Vertex AI, o que a torna acessível para solicitações externas. O endereço IP padrão da API de gerenciamento foi alterado para 127.0.0.1 no TorchServe 0.8.2, reduzindo esse problema.

A CVE-2023-43654 e a CVE-2022-1471 permitem que um usuário com acesso à API de gerenciamento carregue modelos de fontes arbitrárias e execute código remotamente. As mitigações para esses dois problemas estão incluídas no TorchServe 0.8.2: o caminho de execução do código remoto é removido e um aviso é emitido se o valor padrão de allowed_urls é usado.

 Alta CVE-2023-43654, CVE-2022-1471

GCP-2023-028

Publicado:19/09/2023

Atualizado : 29/05/2024

Descrição

Descrição Gravidade Observações
Atualização de 29/05/2024: os novos feeds não usam mais o conta de serviço compartilhada, mas ela permanece ativa para os feeds atuais para evitar e as interrupções do serviço. Mudanças na origem em feeds mais antigos são bloqueadas para evitar o uso indevido da conta de serviço compartilhada. Os clientes podem continuar usando seus feeds antigos normalmente, desde que não alterem a origem.

Os clientes podem configurar o Google Security Operations para ingerir dados de buckets do Cloud Storage de propriedade do cliente usando um feed de ingestão. Até pouco tempo atrás, as Operações de segurança do Google forneciam uma conta de serviço compartilhada que os clientes usavam para conceder permissão ao bucket. Havia uma oportunidade para que a instância de Google Security Operations de um cliente pudesse ser configurada para ingerir dados do bucket do Cloud Storage de outro cliente. Após uma análise de impacto, não encontramos exploração atual ou anterior dessa vulnerabilidade. A vulnerabilidade estava presente em todas as versões do Google Security Operations antes de 19 de setembro de 2023.

O que fazer?

Desde 19 de setembro de 2023, as Operações de segurança do Google foram atualizadas para resolver essa vulnerabilidade. Nenhuma ação do cliente é necessária.

Quais vulnerabilidades estão sendo resolvidas?

Antes, as Operações de segurança do Google forneciam uma conta de serviço compartilhada que os clientes usavam para conceder permissão a um bucket. Como clientes diferentes deram permissão à mesma conta de serviço das Operações de segurança do Google para seus buckets, havia um vetor de exploração que permitia que o feed de um cliente acessasse o bucket de outro cliente durante a criação ou modificação de um feed. Esse vetor de exploração exigiu conhecimento do URI do bucket. Agora, durante a criação ou modificação de feeds, as Operações de segurança do Google usam contas de serviço exclusivas para cada cliente.

 Alta

GCP-2023-027

Publicado: 2023-09-11
Descrição Gravidade Observações

As atualizações do VMware vCenter Server lidam com várias vulnerabilidades de corrupção de memória (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896)

Impacto no atendimento ao cliente

VMware vCenter Server (vCenter Server) e VMware Cloud Foundation (Cloud Foundation).

O que devo fazer?

Os clientes não são afetados, e nenhuma ação é necessária.

 Meio

GCP-2023-026

Publicado:06/09/2023

Descrição

Descrição Gravidade Observações

Três vulnerabilidades (CVE-2023-3676, CVE-2023-3955 e CVE-2023-3893) foram descobertas no Kubernetes. Com elas, um usuário capaz de criar pods em nós do Windows pode escalonar para privilégios de administrador nesses nós. Essas vulnerabilidades afetam as versões para Windows do Kubelet e do proxy CSI do Kubernetes.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-3676 (em inglês). CVE-2023-3955 (em inglês), CVE-2023-3893

GCP-2023-025

Publicado: 2023-08-08
Descrição Gravidade Observações

A Intel anunciou recentemente o Intel Security Advisory INTEL-SA-00828 (link em inglês) que afeta algumas das famílias de processadores. Recomendamos que você avalie os riscos com base na orientação.

Impacto no Google Cloud VMware Engine

Nossa frota usa as famílias de processadores afetados. Na nossa implantação, todo o servidor é dedicado a um cliente. Portanto, nosso modelo de implantação não adiciona nenhum risco à sua avaliação dessa vulnerabilidade.

Estamos trabalhando com nossos parceiros para conseguir os patches necessários e vamos implantá-los com prioridade em toda a frota usando o processo de upgrade padrão nas próximas semanas.

O que devo fazer?

Você não precisa fazer nada. Estamos trabalhando para fazer upgrade de todos os sistemas afetados.

 Alta

GCP-2023-024

Publicado:08/08/2023

Atualizado:10/08/2023, 04/06/2024

Descrição

Descrição Gravidade Observações

Atualização de 04/06/2024:os seguintes produtos ausentes foram atualizadas para corrigir essa vulnerabilidade:

  • Google Distributed Cloud Hosted
  • Google Distributed Cloud Edge

Atualização de 10/08/2023:o número da versão do LTS do ChromeOS foi adicionado.

A Intel divulgou uma vulnerabilidade em processadores selecionados (CVE-2022-40982). O Google tomou medidas para reduzir a frota de servidores, incluindo Cloud, para garantir a proteção dos clientes.

Detalhes da vulnerabilidade:

  • CVE-2022-40982 (IPU da Intel 2023.3, "GDS", também conhecido como "Queda")

O que fazer?

Nenhuma ação do cliente é necessária.

Todos os patches disponíveis já foram aplicados ao servidor do Google para o Google Cloud, incluindo o Google Compute Engine.

No momento, os seguintes produtos exigem atualizações adicionais a partir de parceiros e fornecedores.

  • Google Cloud VMware Engine
  • Google Distributed Cloud Hosted
  • Google Distributed Cloud Edge
  • Solução Bare Metal do Google Cloud
  • Núcleo de pacote evoluído

O Google vai corrigir esses produtos assim que os patches forem feitos disponível, e este boletim será atualizado adequadamente.

Os clientes do Google Chromebook e ChromeOS Flex receberam automaticamente as mitigações fornecidas pela Intel nos níveis Stable (115), LTS (108), Beta (116) e LTC (114). Clientes do Chromebook e ChromeOS Flex fixados a uma em uma versão mais antiga, recomendamos liberar e migrar para Stable ou LTS. para garantir que recebam essa e outras correções de vulnerabilidade.

Quais vulnerabilidades estão sendo resolvidas?

CVE-2022-40982: para mais informações, consulte Consultoria de segurança da Intel INTEL-SA-00828.

Alta CVE-2022-40982

GCP-2023-023

Publicado:08/08/2023

Descrição

Descrição Gravidade Observações

A AMD divulgou uma vulnerabilidade em processadores selecionados (CVE-2023-20569). O Google tomou medidas para reduzir a frota de servidores, incluindo Cloud, para garantir a proteção dos clientes.

Detalhes da vulnerabilidade:

  • CVE-2023-20569 (AMD SB-7005, também conhecido como "Inception")

O que fazer?

Os usuários de VMs do Compute Engine devem considerar as mitigações fornecidas pelo SO se usando a execução de código não confiável dentro da instância. Recomendamos clientes para entrar em contato com os fornecedores do sistema operacional para receber orientações mais específicas.

As correções já foram aplicadas à frota de servidores do Google Google Cloud, incluindo o Google Compute Engine.

Quais vulnerabilidades estão sendo resolvidas?

CVE-2023-20569: para mais informações, consulte AMD SB-7005 (link em inglês).

Moderado CVE-2023-20569

GCP-2023-022

Publicado : 03/08/2023

Descrição

Descrição Gravidade Observações

O Google identificou uma vulnerabilidade nas implementações do gRPC em C++ nas versões anteriores à 1.57. Uma vulnerabilidade de negação de serviço foi encontrada na implementação do gRPC em C ++. Isso foi corrigido nas versões 1.53.2, 1.54.3, 1.55.2, 1.56.2 e 1.57.

O que fazer?

Confira se você está usando as versões mais recentes dos seguintes pacotes de software:

  • As versões 1.53, 1.54, 1.55 e 1.56 do gRPC (C++, Python, Ruby) precisam para atualizar para as seguintes versões de patch:
    • 1.53.2
    • 1.54.3
    • 1.55.2
    • 1.56.2
  • As versões 1.52 e anteriores do gRPC (C++, Python, Ruby) precisam ser atualizadas para uma das versões de patch aprovadas. Por exemplo, 1.53.2, 1.54.3, 1.53.4 etc.

Quais vulnerabilidades estão sendo resolvidas?

As correções minimizam as seguintes vulnerabilidades:

  • Vulnerabilidade de negação de serviço em implementações gRPC em C++: solicitações mais elaboradas podem encerrar a conexão entre um proxy e um back-end.
Alta CVE-2023-33953

GCP-2023-021

Atualizado: 2023-07-26

Published:2023-07-25

Descrição

Descrição Gravidade Observações

As CVEs a seguir expõem o Cloud Service Mesh a vulnerabilidades exploráveis:

  • CVE-2023-35941: um cliente malicioso consegue construir credenciais com validade permanente em alguns cenários específicos. Por exemplo, a combinação de host e tempo de expiração no O payload do HMAC sempre pode ser válido na verificação de HMAC do filtro OAuth2.
  • CVE-2023-35942: registradores de acesso gRPC usando a interface global pode causar uma falha de uso após a liberação quando o listener for escorrida. Isso pode ser acionado por uma atualização do LDS com o mesmo configuração do registro de acesso do gRPC.
  • CVE-2023-35943: se o cabeçalho origin estiver configurado para ser removido com request_headers_to_remove: origin, CORS o filtro segfault causará uma falha no Envoy.
  • CVE-2023-35944: invasores podem enviar solicitações de esquemas mistos para burlar verificações de esquema no Envoy. Por exemplo, se uma solicitação com dados esquema HTTP for enviado ao filtro OAuth2, ele falhará de correspondência exata para HTTP e informa ao endpoint remoto o esquema é HTTPS, possivelmente ignorando verificações de OAuth2 específicas a solicitações HTTP.

Para instruções e mais detalhes, consulte a Boletim de segurança do Cloud Service Mesh.

Alta

GCP-2023-020

Atualizado: 2023-07-26

Publicado : 24/07/2023

Descrição

Descrição Gravidade Observações

A AMD lançou uma atualização de microcódigo que aborda um problema de segurança do hardware (CVE-2023-20593). O Google aplicou as correções necessárias por essa vulnerabilidade aos servidores da empresa, incluindo os da Google Cloud Platform. Os testes indicam que não há impacto no o desempenho dos sistemas.

O que fazer?

Nenhuma ação do cliente é necessária, porque as correções já foram aplicadas. à frota de servidores do Google para o Google Cloud Platform.

Quais vulnerabilidades estão sendo resolvidas?

A CVE-2023-20593 aborda uma vulnerabilidade em algumas CPUs AMD. Mais mais informações podem ser encontradas aqui.

Alta CVE-2023-20593

GCP-2023-019

Published:2023-07-18

Descrição

Descrição Gravidade Observações

Uma nova vulnerabilidade (CVE-2023-35945) foi descoberta no Envoy em que uma resposta criada especificamente de um serviço upstream não confiável pode causar uma negação de serviço por meio do esgotamento da memória. Isso é causado pelo codec HTTP/2 do Envoy, que pode vazar um mapa de cabeçalho e registros. estruturas após receber RST_STREAM imediatamente seguidas pelos frames GOAWAY de um servidor upstream.

Para instruções e mais detalhes, consulte a Boletim de segurança do Cloud Service Mesh.

Alta CVE-2023-35945

GCP-2023-018

Publicado:27/06/2023

Descrição

Descrição Gravidade Observações

Uma nova vulnerabilidade (CVE-2023-2235) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE Autopilot são afetados porque os nós do GKE Autopilot sempre usam imagens de nó do Container-Optimized OS. Os clusters do GKE Standard com versões 1.25 ou posteriores que executam imagens de nó do Container-Optimized OS são afetados.

Os clusters do GKE não serão afetados se estiverem executando apenas imagens de nós do Ubuntu ou versões anteriores à 1.25 ou usarem o GKE Sandbox.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-2235

GCP-2023-017

Publicado:26/06/2023

Atualizado:11/07/2023

Descrição

Descrição Gravidade Observações

Atualização de 11/07/2023:novas versões do GKE foram atualizadas para incluir as versões mais recentes do Ubuntu que corrigem CVE-2023-31436

Uma nova vulnerabilidade (CVE-2023-31436) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE, incluindo os clusters do Autopilot, foram afetados. Os clusters do GKE que usam o GKE Sandbox não são afetados.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-31436

GCP-2023-016

Publicado:26/06/2023

Descrição

Descrição Gravidade Observações

Várias vulnerabilidades foram descobertas no Envoy, que é usado no Cloud Service Mesh que permitem que um invasor cause uma negação de serviço ou falha no Envoy. Elas foram relatadas separadamente como GCP-2023-002.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-27496 (em inglês), CVE-2023-27488 (em inglês), CVE-2023-27493 (em inglês) CVE-2023-27492, CVE-2023-27491, CVE-2023-27487

GCP-2023-015

Publicado:20/06/2023

Descrição

Descrição Gravidade Observações

Uma nova vulnerabilidade, CVE-2023-0468, foi descoberta no kernel do Linux. Ela poderia permitir que um usuário sem privilégios escalasse privilégios para a raiz quando io_poll_get_ownership aumentasse req->poll_refs em cada io_poll_wake e, em seguida, estouraria para 0, o que fput req->file duas vezes e causa um problema de refcount do arquivo de estrutura. Os clusters do GKE, incluindo clusters do Autopilot, com Container-Optimized OS e que usam o kernel do Linux versão 5.15, são afetados. Os clusters do GKE que usam imagens do Ubuntu ou do GKE Sandbox não são afetados.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Médio CVE-CVE-2023-0468

GCP-2023-014

Atualizado : 11/08/2023
Publicado:15/06/2023

Descrição

Descrição Gravidade Observações

Atualização de 11/08/2023 : adicionamos versões de patch para GKE no VMware, GKE na AWS, GKE no Azure e Google Distributed Cloud Virtual para Bare Metal.

Foram descobertos dois novos problemas de segurança no Kubernetes em que os usuários podem iniciar contêineres que ignoram as restrições da política ao usar contêineres efêmeros e o ImagePolicyWebhook (CVE-2023-2727) ou o plug-in de admissão ServiceAccount (CVE-2023-2728).

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Médio CVE-2023-2727, CVE-2023-2728 (links em inglês)

GCP-2023-013

Publicado:08/06/2023

Descrição

Descrição Gravidade Observações

Quando você ativa a API Cloud Build em um projeto, O Cloud Build cria automaticamente uma conta de serviço padrão para executar builds em seu nome. Este serviço do Cloud Build a conta tinha logging.privateLogEntries.list Permissão do IAM, que permitiu que os builds tivessem acesso a listar registros particulares por padrão. Esta permissão foi revogada para a conta de serviço do Cloud Build para aderir às normas princípio de privilégio mínimo.

Para instruções e mais detalhes, consulte a Boletim de segurança do Cloud Build.

 Baixo

GCP-2023-010

Publicado:07/06/2023

Descrição

Descrição Gravidade Observações

O Google identificou três novas vulnerabilidades na implementação do gRPC em C ++. Em breve, elas serão publicadas publicamente como CVE-2023-1428, CVE-2023-32731 e CVE-2023-32732.

Em abril, identificamos duas vulnerabilidades nas versões 1.53 e 1.54. A primeira era uma vulnerabilidade de negação de serviço que acontecia durante a implementação do gRPC em C ++, e a outra era relacionada à exfiltração de dados. Corrigimos esses problemas nas versões 1.53.1, 1.54.2 e posteriores.

Em março, nossas equipes descobriram uma vulnerabilidade de negação de serviço durante a implementação do gRPC em C ++ ao executarem testes de fuzzing de rotina. O problema foi encontrado na versão 1.52 e foi corrigido nas versões 1.52.2 e 1.53.

O que devo fazer?

Confira se você está usando as versões mais recentes dos seguintes pacotes de software:

  • O gRPC (C++, Python, Ruby) versão 1.52, 1.53 e 1.54 precisa ser atualizado para as seguintes versões de patch:
    • 1.52.2
    • 1.53.1
    • 1.54.2
  • O gRPC (C++, Python, Ruby) versão 1.51 e anteriores não foi afetado. Por isso, os usuários com essas versões não podem fazer nada.

Quais vulnerabilidades serão corrigidas?

As correções minimizam as seguintes vulnerabilidades:

  • As versões 1.53.1, 1.54.2 e posteriores abordam o seguinte: vulnerabilidade de negação de serviço na implementação do gRPC em C++. As solicitações feitas especialmente podem encerrar a conexão entre um proxy e um back-end. Vulnerabilidade de exfiltração de dados remota: a dessincronização na tabela HPACK devido a limitações de tamanho do cabeçalho pode resultar em back-ends de proxy com vazamento de dados de cabeçalho de outros clientes conectados ao proxy.
  • As versões 1.52.2, 1.53 e posteriores abordam o seguinte: vulnerabilidade de negação de serviço na implementação do gRPC em C++. A análise de algumas solicitações formadas especificamente pode levar a uma falha que afeta um servidor.

Recomendamos que você faça upgrade para as versões mais recentes dos seguintes pacotes de software, conforme listado acima.

 Alta (CVE-2023-1428, CVE-2023-32731). Médio (CVE-2023-32732) CVE-2023-1428 CVE-2023-32731 (em inglês) CVE-023-32732

GCP-2023-009

Publicado:06/06/2023

Descrição

Descrição Gravidade Observações

Uma nova vulnerabilidade (CVE-2023-2878) foi encontrada no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Nenhum CVE-2023-2878

GCP-2023-008

Publicado:05/06/2023

Descrição

Descrição Gravidade Observações

Uma nova vulnerabilidade (CVE-2023-1872) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios para raiz no nó.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-1872

GCP

Publicado02-06-2023

Descrição

Descrição Gravidade Observações

Recentemente foi descoberta no Cloud SQL para SQL Server que uma vulnerabilidade permitiu que contas de administrador de clientes criassem acionadores no tempdb e use-os para ganhar sysadmin na instância. Os privilégios sysadmin dar ao invasor acesso aos bancos de dados do sistema e acesso parcial aos máquina que executa essa instância do SQL Server.

O Google Cloud resolveu o problema corrigindo a vulnerabilidade de segurança até 1o de março de 2023. O Google Cloud não encontrou instâncias de cliente comprometidas.

Para instruções e mais detalhes, consulte a Boletim de segurança do Cloud SQL.

 Alta

GCP-2023-005

Publicado:18/05/2023

Atualizado:06/06/2023

Descrição

Descrição Gravidade Observações

Atualização de 06/06/2023:novas versões do GKE foram atualizadas para incluir as versões mais recentes do Ubuntu que corrigem a CVE-2023-1281 e a CVE-2023-1829.

Duas novas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) foram descobertas no kernel do Linux, o que pode levar a um escalonamento de privilégios na raiz do nó.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-1281 CVE-2023-1829

GCP-2023-004

Publicado:26/04/2023

Descrição

Descrição Gravidade Observações

Duas vulnerabilidades (CVE-2023-1017, em inglês) e CVE-2023-1018). foram descobertas no módulo de plataforma confiável (TPM) 2.0.

As vulnerabilidades poderiam ter permitido que um invasor sofisticado exploram uma leitura/gravação fora dos limites de 2 bytes em determinadas Compute Engine ou de várias VMs.

Para instruções e mais detalhes, consulte a Boletim de segurança do Compute Engine.

 Médio

GCP-2023-003

Publicado:11/04/2023

Atualizado:21/12/2023

Descrição

Descrição Gravidade Observações

Atualização de 21/12/2023:esclarecemos que o GKE os clusters do Autopilot na configuração padrão não são impactados.

Duas novas vulnerabilidades, CVE-2023-0240 e CVE-2023-23586, foram descobertas no kernel do Linux. Elas podem permitir que um usuário sem privilégios aumente os privilégios.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2023-0240, CVE-2023-23586 (links em inglês)

GCP-2023-002

Descrição

Descrição Gravidade Observações

As CVEs a seguir expõem o Cloud Service Mesh a vulnerabilidades exploráveis:

  • CVE-2023-27496: se o Envoy estivesse em execução com o filtro OAuth ativado e exposto, um usuário malicioso poderia criar uma solicitação que causava negação de serviço ao travar o Envoy.
  • CVE-2023-27488: o invasor pode usar essa vulnerabilidade para contornar verificações de autenticação quando ext_authz for usado.
  • CVE-2023-27493: a configuração do Envoy também precisa incluir uma opção para adicionar cabeçalhos de solicitação que foram gerados usando entradas da solicitação, como o certificado de peering SAN.
  • CVE-2023-27492: os invasores podem enviar corpos de solicitação grandes para rotas com o filtro Lua ativado e acionando falhas.
  • CVE-2023-27491: os invasores podem enviar solicitações HTTP/2 ou HTTP/3 criadas especificamente para acionar erros de análise no serviço upstream HTTP/1.
  • CVE-2023-27487: o cabeçalho "x-envoy-original-path" precisa ser interno, mas o Envoy não o remove da solicitação no início do processamento quando ela é enviada de um cliente não confiável.

Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh:

Alta

GCP-2023-001

Publicado:01/03/2023, 21/12/2023

Descrição

Descrição Gravidade Observações

Atualização de 21/12/2023:esclarecemos que o GKE os clusters do Autopilot na configuração padrão não são impactados.

Uma nova vulnerabilidade (CVE-2022-4696) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Alta CVE-2022-4696

GCP-2022-026

Publicado:11/01/2023

Descrição

Descrição Gravidade Observações

Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertos no OpenSSL v3.0.6 que possa causar uma falha.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Médio

GCP-2022-025

Publicado:21/12/2022
Atualizado:19/01/2023, 21/12/2023

Descrição

Descrição Gravidade Observações

Atualização de 21/12/2023:esclarecemos que o GKE os clusters do Autopilot na configuração padrão não são impactados.

Atualização de 19/01/2023:adicionamos informações que A versão 1.21.14-gke.14100 do GKE está disponível.

Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertos no OpenSSL v3.0.6 que possa causar uma falha.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

 Médio

GCP-2022-024

Publicado:09/11/2022

Atualizado:19/01/2023

Descrição

Descrição Gravidade Observações

Atualização de 19/01/2023:adicionamos informações que A versão 1.21.14-gke.14100 do GKE está disponível.

Atualização de 16/12/2022:adicionamos versões de patch para GKE e GKE no VMware.

Duas novas vulnerabilidades (CVE-2022-2585 e CVE-2022-2588) foram descobertas no kernel do Linux que podem levar a uma divisão completa do contêiner para raiz do nó.

Para instruções e mais detalhes, consulte:

Alta

GCP-2022-023

Publicado:04/11/2022

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade de segurança, CVE-2022-39278, foi descoberta no O Istio, usado no Cloud Service Mesh, para permitir que uma conexão derrubar o plano de controle.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

Alta CVE-2022-39278

GCP-2022-022

Publicado:28/10/2022

Atualizado:14/12/2022

Descrição

Descrição Gravidade Observações

Atualização de 14/12/2022:adicionamos versões de patch para GKE e GKE no VMware.

Uma nova vulnerabilidade, CVE-2022-20409, foi descoberta no Linux que poderia permitir que um usuário sem privilégios escalasse para o sistema privilégio de execução.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

Alta CVE-2022-20409

GCP-2022-021

Publicado:27/10/2022

Atualizado:19/01/2023, 21/12/2023

Descrição

Descrição Gravidade Observações

Atualização de 21/12/2023:esclarecemos que o GKE os clusters do Autopilot na configuração padrão não são impactados.

Atualização de 19/01/2023:adicionamos informações que A versão 1.21.14-gke.14100 do GKE está disponível.

Atualização de 15/12/2022:informações atualizadas que a versão A versão 1.21.14-gke.9400 do Google Kubernetes Engine está com o lançamento pendente e pode estar substituído por um número de versão superior.

Atualização de 22/11/2022:adicionamos versões com patch a GKE no VMware, GKE na AWS e GKE no Azure.

Uma nova vulnerabilidade (CVE-2022-3176) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

Alta CVE-2022-3176

GCP-2022-020

Publicado:05/10/2022

Atualizado:12/10/2022

Descrição

Descrição Gravidade Observações

O plano de controle do Istio istiod está vulnerável a uma de processamento de solicitação, permitindo que um atacante mal-intencionado envie uma uma mensagem especialmente criada que resulta na falha do plano de controle quando o webhook de validação de um cluster é exposto publicamente. Isso da Web é exibido pela porta TLS 15017, mas não exige a autenticação do invasor.

Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh.

 Alta CVE-2022-39278

GCP-2022-019

Publicado:22/09/2022

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade de análise de mensagens e gerenciamento de memória em As implementações em C++ e Python do ProtocolBuffer podem acionar uma falha de memória (OOM, na sigla em inglês) ao processar uma mensagem especialmente criada. Isso pode levar a uma negação de serviço (DoS) em serviços usando bibliotecas.

O que devo fazer?

Verifique se você está usando as versões mais recentes dos seguintes softwares pacotes:

  • protobuf-cpp (3.18.3, 3.19.5, 3.20.2, 3.21.6)
  • protobuf-python (3.18.3, 3.19.5, 3.20.2, 4.21.6)

Quais vulnerabilidades são corrigidas por esse patch?

O patch reduz os riscos da seguinte vulnerabilidade:

uma pequena mensagem especialmente construída que faz com que o serviço em execução para alocar grandes quantidades de RAM. O tamanho pequeno da solicitação significa que é fácil aproveitar a vulnerabilidade e o esgotamento do Google Cloud. Sistemas C++ e Python que consomem protobufs não confiáveis ficam vulneráveis a ataques DoS se tivessem uma MessageSet na solicitação de RPC.

Médio CVE-2022-1941

GCP-2022-018

Publicado:01/08/2022

Atualizado:14/09/2022, 21/12/2023

Descrição

Descrição Gravidade Observações

Atualização de 21/12/2023:esclarecemos que o GKE os clusters do Autopilot na configuração padrão não são impactados.

Atualização de 14/09/2022:adicionamos versões com patch a GKE no VMware, GKE na AWS e GKE no Azure.

Uma nova vulnerabilidade (CVE-2022-2327) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó.

Para receber instruções e mais detalhes, consulte os seguintes boletins:

Alta CVE-2022-2327

GCP-2022-017

Publicado:29/06/2022
Atualizado:22/11/2022

Descrição

Descrição Gravidade Observações

Atualização de 22/11/2022:as cargas de trabalho que usam o GKE Sandbox não são afetadas por essas vulnerabilidades.

Atualização de 21/07/2022:mais informações sobre o GKE no VMware.

Uma nova vulnerabilidade (CVE-2022-1786) foi descoberta na versão 5.10 e 5.11 do kernel do Linux. Essa vulnerabilidade permite que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. Apenas os clusters que executam o Container-Optimized OS são afetados. As versões do GKE Ubuntu usam a versão 5.4 ou 5.15 do kernel e não são afetadas.

Para instruções e mais detalhes, consulte:

 Alta CVE-2022-1786

GCP-2022-016

Publicado:23/06/2022
Atualizado:22/11/2022

Descrição

Descrição Gravidade Observações

Atualização de 22/11/2022:os clusters do Autopilot não são afetados pela CVE-2022-29581, mas estão vulneráveis à CVE-2022-29582 e à CVE-2022-1116.

Três novas vulnerabilidades de corrupção de memória (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) foram descobertas em kernel do Linux. Essas vulnerabilidades permitem que um usuário sem privilégios acesso local ao cluster para realizar uma fuga completa do contêiner para o acesso raiz no nó. Todos os clusters do Linux (Container-Optimized OS e Ubuntu) são afetadas.

Para instruções e mais detalhes, consulte os seguintes boletins:

 Alta

GCP

Publicado:09/06/2022
Atualizado:10/06/2022

Descrição

Descrição Gravidade Observações

Atualização de 10/06/2022:as versões do Cloud Service Mesh foram atualizado. Para instruções e mais detalhes, consulte a Boletim de segurança do Cloud Service Mesh.

As CVEs do Envoy e do Istio a seguir expõem o Cloud Service Mesh e o Istio no GKE a vulnerabilidades que podem ser exploradas remotamente:

  • CVE-2022-31045: o plano de dados do Istio pode acessar a memória de forma não segura quando as extensões Metadata Exchange e Stats estão ativadas.
  • CVE-2022-29225: os dados podem exceder os limites de buffer intermediários se um invasor malicioso transmitir uma carga útil pequena altamente compactada (ataque de bomba zip).
  • CVE-2021-29224: possível cancelamento de referência de ponteiro nulo no GrpcHealthCheckerImpl.
  • CVE-2021-29226: o filtro OAuth permite uma exceção trivial.
  • CVE-2022-29228: o filtro OAuth pode corromper a memória (versões anteriores) ou acionar um ASSERT() (versões posteriores).
  • CVE-2022-29227: falha de redirecionamento interno para solicitações com corpo ou trailers.

Para instruções e mais detalhes, consulte a Boletim de segurança do Cloud Service Mesh.

Crítica

GCP-2022-014

Publicado:26/04/2022
Atualizado:22/11/2022

Descrição

Descrição Gravidade Observações

Atualização de 22/11/2022:clusters e cargas de trabalho do GKE Autopilot em execução no O GKE Sandbox não é afetado.

Atualização de 12/05/2022:o GKE na AWS e As versões do GKE no Azure foram atualizadas. Para instruções e mais detalhes, consulte:

Duas vulnerabilidades de segurança, CVE-2022-1055 e CVE-2022-27666, foram descobertas no kernel do Linux. Cada um deles pode fazer com que um invasor local realize uma análise de contêineres, um escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais dos nós do GKE (Container-Optimized OS e Ubuntu). Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança:

Alta CVE-2022-1055
CVE-2022-27666

GCP-2022-013

Publicado:11/04/2022
Atualizado:22/04/2022

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade de segurança, CVE-2022-23648, foi descoberta no processamento de Path Traversal de contêineres na especificação do volume de imagem OCI. Os contêineres lançados pela implementação da CRI em contêiner com uma configuração de imagem especialmente criada podem obter acesso completo de leitura para arquivos e diretórios arbitrários no host. Essa vulnerabilidade pode ignorar qualquer aplicação baseada em políticas na configuração do contêiner (incluindo uma política de segurança de pods do Kubernetes).

Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança:

Médio CVE-2022-23648

GCP-2022-012

Publicado:07/04/2022
Atualizado:22/11/2022

Descrição

Descrição Gravidade Observações

Atualização de 22/11/2022:para clusters do GKE nos modos Standard e Autopilot, as cargas de trabalho que usam o GKE Sandbox não são afetadas.

Uma vulnerabilidade de segurança, CVE-2022-0847, foi descoberta na versão 5.8 e posterior do kernel do Linux. É possível escalonar privilégios de contêiner na raiz. Essa vulnerabilidade afeta os seguintes produtos:

  • Versões 1.22 e mais recentes do pool de nós do GKE que usam imagens do Container-Optimized OS (Container-Optimized OS 93 e mais recentes)
  • GKE no VMware v1.10 para imagens do Container-Optimized OS
  • GKE na AWS v1.21 e GKE na AWS (geração anterior) v1.19, v1.20, v1.21, que usam o Ubuntu
  • Clusters gerenciados do GKE no Azure v1.21 que usam o Ubuntu

Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança:

Alta CVE-2022-0847

GCP-2022-011

Publicado:22/03/2022
Atualizado : 11/08/2022

Descrição

Descrição Gravidade

Atualização de 11/08/2022: mais informações foram adicionadas sobre a configuração de várias linhas de execução simultâneas (SMT, na sigla em inglês). O objetivo da SMT era ser desativado, mas ativado nas versões listadas.

Se você ativou a SMT manualmente para um pool de nós no modo sandbox, a SMT permanecerá ativada manualmente, apesar desse problema.

Há uma configuração incorreta com várias linhas de execução simultâneas (SMT, na sigla em inglês), também conhecida como Hyper-threading, nas imagens do GKE Sandbox. A configuração incorreta deixa os nós potencialmente expostos a ataques de canal lateral, como amostragem de dados de microarquitetura (MDS, na sigla em inglês). Para mais contexto, consulte a documentação do GKE Sandbox. Não recomendamos o uso das seguintes versões afetadas:

  • 1.22.4-gke.1501
  • 1.22.6-gke.300
  • 1.23.2-gke.300
  • 1.23.3-gke.600

Para instruções e mais detalhes, consulte o boletim de segurança do GKE.

 Médio

GCP-2022-010

Descrição

Descrição Gravidade Observações

A CVE do Istio a seguir expõe o Cloud Service Mesh a uma rede explorável:

  • CVE-2022-24726: o plano de controle do Istio, "istiod", está vulnerável a um erro de processamento de solicitação, permitindo que um invasor envia uma mensagem especialmente criada que resulta no plano de controle falha quando o webhook de validação de um cluster é exposto publicamente. Esse endpoint é exibido pela porta TLS 15017, mas não que exigem qualquer autenticação do invasor.

Para instruções e mais detalhes, consulte o seguinte boletim de segurança:

Alta

GCP-2022-009

Publicado:01/03/2022

Descrição

Descrição Gravidade

Alguns caminhos inesperados para acessar a VM do nó em clusters do Autopilot GKE podem ter sido usados para escalonar privilégios no cluster. Esses problemas foram corrigidos e nenhuma outra ação é necessária. As correções resolvem problemas reportados pelo nosso Programa de recompensa para descobertas de vulnerabilidades.

Para instruções e mais detalhes, consulte o boletim de segurança do GKE.

 Baixo

GCP-2022-008

Publicado:23/02/2022
Atualizado : 28/04/2022

Descrição

Descrição Gravidade Observações

Atualização de 28/04/2022 : adicionamos versões do GKE no VMware que corrigem esses problemas vulnerabilidades. Para mais detalhes, consulte a Boletim de segurança do GKE no VMware.

O projeto Envoy descobriu recentemente um conjunto de vulnerabilidades. Todos problemas listados abaixo foram corrigidos na versão 1.21.1 do Envoy.
  • CVE-2022-23606: Quando um cluster é excluído pelo Serviço de Descoberta de Cluster (CDS, na sigla em inglês) todo as conexões estabelecidas com os endpoints nesse cluster são desconectadas. Um a recursão foi introduzida por engano na versão 1.19 do Envoy no procedimento de desconectar conexões inativas que podem levar ao esgotamento da pilha e encerramento anormal de processo quando um cluster tem um grande número de conexões de rede.
  • CVE-2022-21655: O código de redirecionamento interno do Envoy supõe que já existe uma entrada de rota. Quando um o redirecionamento interno é feito para uma rota que tenha uma entrada de resposta direta e nenhuma entrada de rota, resulta na desreferenciamento de um ponteiro nulo e falha.
  • CVE-2021-43826: Quando o Envoy é configurado para usar tcp_proxy, que utiliza o encapsulamento upstream, (por HTTP) e término de TLS de downstream, o Envoy falhará se o cliente downstream se desconecta durante o handshake de TLS O stream HTTP ainda está sendo estabelecido. A desconexão downstream pode ser iniciado pelo cliente ou pelo servidor. O cliente pode se desconectar de qualquer e por um bom motivo. O servidor pode se desconectar se, por exemplo, não tiver criptografias TLS ou Versões do protocolo TLS compatíveis com o cliente. Pode ser possível também acionará essa falha em outras configurações downstream.
  • CVE-2021-43825: O envio de uma resposta gerada localmente deve interromper o processamento adicional do dados de solicitação ou resposta. O Envoy rastreia a quantidade de solicitações em buffer e dados de resposta e aborta a solicitação se a quantidade de dados em buffer for excedida o limite enviando 413 ou 500 respostas. No entanto, quando gerados localmente, a resposta é enviada devido aos estouros do buffer interno enquanto a resposta é processado pela cadeia de filtros, a operação poderá não ser cancelada corretamente resultando no acesso de um bloco de memória liberada.
  • CVE-2021-43824: O Envoy falha ao usar o filtro JWT com um "safe_regex" regra de correspondência e uma solicitação criada especialmente, como "CONNECT host:port HTTP/1.1". Quando ao alcançar o filtro JWT, um "safe_regex" deve avaliar o caminho do URL mas não há nenhuma aqui, e o Envoy falha com segfaults.
  • CVE-2022-21654: O Envoy permite incorretamente a retomada da sessão TLS após a validação do mTLS. configurações foram reconfiguradas. Se um certificado do cliente foi permitido com com a configuração antiga, mas não permitida com a nova configuração, o cliente poderá retomar a sessão TLS anterior, mesmo que a configuração atual ela deve ser proibida. As mudanças nas seguintes configurações foram afetadas:
    • match_subject_alt_names
    • Alterações de CRL
    • allow_expired_certificate
    • Trust_chain_verification
    • only_verify_leaf_cert_crl
  • CVE-2022-21657: O Envoy não restringe o conjunto de certificados que aceita do terminal. como um cliente TLS ou um servidor TLS, apenas para os certificados que que você tenha o estendidaKeyUsage (id-kp-serverAuth e id-kp-clientAuth, respectivamente). Isso significa que um colega pode apresentar certificado de e-mail (por exemplo, id-kp-emailProtection), seja como uma folha ou como uma CA na cadeia e ela será aceita para o TLS. Isso é particularmente ruim quando combinada com CVE-2022-21656 , pois permite uma CA PKI da Web destinada apenas para uso com S/MIME e, portanto, isenta de auditoria ou supervisão para emitir certificados TLS que sejam aceitos pela Envoy.
  • CVE-2022-21656: A implementação do validador usada para implementar o certificado padrão rotinas de validação têm uma "confiança de tipos" bug ao processar subjectAltNames. Esse processamento permite, por exemplo, um rfc822Name ou uniformResourceIndicator para ser autenticado como um nome de domínio. Isso confusão permite ignorar nameConstraints, conforme processado pelo implementação subjacente de OpenSSL/BoringSSL, expondo a possibilidade de representação de servidores arbitrários.
. Para obter instruções detalhadas sobre produtos específicos, consulte o seguintes boletins de segurança:
. O que devo fazer?
Os usuários do Envoy que gerenciam os próprios Envoy precisam usar a versão 1.21.1. Os usuários do Envoy que gerenciam seus próprios Envoy criam os binários a partir de uma fonte como o GitHub e os implantam.

Os usuários que executam o Envoys gerenciados não precisam fazer nada. O Google Cloud fornece os binários do Envoy. Para isso, os produtos do Google Cloud vão mudar para a versão 1.21.1. 		Alta CVE-2022-23606
CVE-2022-21655
CVE-2021-43826
CVE-2021-43825
CVE-2021-43824
CVE-2022-21654
CVE-2022-21657
CVE-2022-21656

GCP-2022-007

Publicado:22/02/2022

Descrição

Descrição Gravidade Observações

As CVEs do Envoy e do Istio a seguir expõem o Cloud Service Mesh e o Istio no GKE para vulnerabilidades exploráveis remotamente:

  • CVE-2022-23635: o Istiod falha ao receber solicitações com uma um cabeçalho authorization criado especificamente.
  • CVE-2021-43824: possível desreferência de ponteiro nulo ao usar o JWT correspondência do filtro safe_regex
  • CVE-2021-43825: uso após a liberação quando os filtros de resposta aumentarem e o aumento de dados excede os limites do buffer downstream.
  • CVE-2021-43826: uso após a liberação ao encapsular TCP sobre HTTP, se desconexões downstream durante o estabelecimento da conexão upstream.
  • CVE-2022-21654: processamento de configuração incorreto permite mTLS reutilização de sessão sem revalidação após as configurações de validação mudaram.
  • CVE-2022-21655: processamento incorreto de redirecionamentos internos para rotas com uma entrada de resposta direta.
  • CVE-2022-23606: esgotamento da pilha quando um cluster é excluído por meio de Serviço de descoberta de cluster.

Para instruções e mais detalhes, consulte os tópicos de segurança a seguir boletins:

Alta

GCP-2022-006

Publicado:14/02/2022
Atualizado : 16/05/2022

Descrição

Descrição Gravidade Observações

Atualização de 16/05/2022:adicionamos a versão 1.19.16-gke.7800 ou mais recente do GKE à lista de versões que têm código para corrigir essa vulnerabilidade. Para mais detalhes, consulte o boletim de segurança do GKE.

Atualização de 12/05/2022:o GKE, GKE no VMware, GKE na AWS e As versões do GKE no Azure foram atualizadas. Para instruções e mais detalhes, consulte:

Uma vulnerabilidade de segurança, CVE-2022-0492, foi descoberta na função cgroup_release_agent_write do kernel do Linux. O ataque usa namespaces de usuários sem privilégios e, em determinadas circunstâncias, essa vulnerabilidade pode ser explorada na quebra do contêiner.

 Baixo

Para instruções e mais detalhes, consulte:

GCP-2022-005

Publicado:11/02/2022
Atualizado : 15/02/2022

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade de segurança, CVE-2021-43527, foi descoberta em qualquer binário que vincule às versões vulneráveis do libnss3 encontradas nas versões NSS (Serviços de segurança de rede) anteriores à 3.73 ou 3.68.1. Aplicativos que usam NSS para validação de certificados ou outro recurso TLS, X.509, OCSP ou CRL podem ser afetados, dependendo de como o NSS é usado/configurado.

Para instruções e mais detalhes, consulte:

Médio CVE-2021-43527

GCP-2022-004

Publicado:04/02/2022

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade de segurança, CVE-2021-4034, foi descoberta no pkexec, parte do pacote do kit de políticas do Linux (polkit) que permite que um usuário autenticado execute um ataque de escalonamento de privilégios. O PolicyKit geralmente é usado apenas em sistemas Linux para computadores, permitindo que usuários não raiz realizem ações como reiniciar o sistema, instalar pacotes, reiniciar serviços etc., conforme regido por uma política.

Para instruções e mais detalhes, consulte:

Nenhum CVE-2021-4034

GCP-2022-002

Publicado:01/02/2022
Atualizado:25/02/2022

Descrição

Descrição Gravidade Observações

Atualização de 25/02/2022:o GKE de rede foram atualizadas. Para instruções e mais detalhes, consulte:

Atualização de 23/02/2022 : o GKE e As versões do GKE no VMware foram atualizadas. Para instruções e mais detalhes, consulte:

Atualização de 04/02/2022: a data de início do lançamento das versões de patch do GKE foi 2 de fevereiro.

Três vulnerabilidades de segurança, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185. foram descobertas no kernel do Linux. Cada uma delas pode levar a uma falha de contêiner, escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais de nós (COS e Ubuntu) no GKE, GKE no VMware, GKE na AWS (geração atual e anterior) e GKE no Azure. Os pods que usam o GKE Sandbox não são vulneráveis a essas vulnerabilidades. Para mais detalhes, consulte as Notas de lançamento da imagem COS.

Para instruções e mais detalhes, consulte:

Alta

GCP-2022-001

Publicado:06/01/2022

Descrição

Descrição Gravidade Observações

Um possível problema de negação de serviço em protobuf-java foi descobertos no procedimento de análise de dados binários.

O que fazer?

Verifique se você está usando as versões mais recentes dos seguintes softwares pacotes:

  • protobuf-java (3.16.1, 3.18.2, 3.19.2)
  • protobuf-kotlin (3.18.2, 3.19.2)
  • google-protobuf [JRuby gem] (3.19.2)

Protobuf "javalite" os usuários (geralmente Android) não são afetados.

Quais vulnerabilidades serão corrigidas?

O patch reduz os riscos da seguinte vulnerabilidade:

Uma fraqueza de implementação na forma como campos desconhecidos são analisados em Java. Um payload malicioso pequeno (~800 KB) pode ocupar o analisador por vários minutos criando um grande número de objetos de curta duração que causam a coleta de lixo repetida faz pausas.

 Alta CVE-2021-22569

GCP-2021-024

Publicado em: 21/10/2021

Descrição

Descrição Gravidade Observações

Um problema de segurança foi encontrado no controlador ingress-nginx do Kubernetes, CVE-2021-25742 (em inglês). Os snippets personalizados do ingress-nginx permitem a recuperação de tokens e secrets da conta de serviço no ingress-nginx em todos os namespaces.

Para instruções e mais detalhes, consulte:

Nenhum CVE-2021-25742

GCP-2021-019

Publicado em: 29/09/2021

Descrição

Descrição Gravidade Observações

Há um problema conhecido em que a atualização de um recurso BackendConfig usando a API v1beta1 remove uma política de segurança ativa do Google Cloud Armor do Serviço.

Para ver instruções e mais detalhes, consulte o boletim de segurança do GKE.

 Baixa

GCP-2021-022

Publicado em: 22/09/2021

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade foi descoberta no serviço de identidade do GKE Enterprise (AIS) do GKE no VMware versões 1.8 e 1.8.1, em que um de seed usada para gerar chaves é previsível. Com essa vulnerabilidade, um usuário autenticado pode adicionar declarações arbitrárias e escalonar privilégios indefinidamente.

Para instruções e mais detalhes, consulte a página do GKE no VMware boletim de segurança da nuvem.

 Alta

GCP-2021-021

Publicado em: 22/09/2021

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade de segurança, CVE-2020-8561, foi descoberta no Kubernetes. Nela, é possível fazer determinados webhooks para redirecionar solicitações kube-apiserver para redes privadas desse servidor de API.

Para instruções e mais detalhes, consulte:

Médio CVE-2020-8561

GCP-2021-023

Publicado: 21-09-2021

Descrição

Descrição Gravidade Observações

De acordo com o alerta de segurança do VMware VMSA-2021-0020, o VMware recebeu relatórios de várias vulnerabilidades no vCenter. O VMware disponibilizou atualizações para corrigir essas vulnerabilidades nos produtos do VMware afetados.

Já aplicamos os patches fornecidos pelo VMware à pilha do vSphere no Google Cloud VMware Engine, de acordo com os alertas de segurança do VMware. Essa atualização aborda as vulnerabilidades de segurança descritas em CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 e CVE-2021-22010. Outros problemas de segurança não críticos serão abordados no próximo upgrade da pilha do VMware (de acordo com o aviso com antecedência enviado em julho. Mais detalhes serão fornecidos em breve no cronograma específico do upgrade).

Impacto no VMware Engine

Com base em nossas investigações, nenhum cliente foi afetado.

O que fazer?

Como os clusters do VMware Engine não são afetados por essa vulnerabilidade, nenhuma outra ação é necessária.

 Crítica

GCP-2021-020

Publicado em: 17/09/2021

Descrição

Descrição Gravidade Observações

Alguns balanceadores de carga do Google Cloud com roteamento para um Serviço de back-end com o Identity-Aware Proxy (IAP) podem ter sido vulneráveis a uma parte não confiável em condições limitadas. Elas corrigem um problema informado no Programa de recompensa para descobertas de vulnerabilidades.

As condições eram as seguintes: os servidores:
  • eram balanceadores de carga HTTP(S) e;
  • Usar um back-end padrão ou um que tinha uma regra de mapeamento de host com caractere curinga (ou seja, host="*")

Além disso, um usuário na sua organização precisa ter clicado em um link criado especificamente por uma parte não confiável.

Esse problema já foi resolvido. O IAP foi atualizado para emitir cookies somente a hosts autorizados a partir de 17 de setembro de 2021. Um host é considerado autorizado se corresponder a pelo menos um nome alternativo do requerente (SAN, na sigla em inglês) em um dos certificados instalados nos balanceadores de carga.

O que fazer

Alguns usuários podem receber uma resposta "HTTP 401 Unauthorized" com um código de erro 52 do IAP ao tentar acessar apps ou serviços. Esse código de erro significa que o cliente enviou um cabeçalho Host que não corresponde a nenhum nome alternativo do assunto associado aos certificados SSL do balanceador de carga. Um administrador do balanceador de carga precisa atualizar o certificado SSL para garantir que a lista de nomes alternativos do requerente (SANs) contenha todos os nomes do host pelos quais os usuários acessam os apps ou serviços protegidos pelo IAP. Saiba mais sobre códigos de erro do IAP.

Alta

GCP-2021-018

Publicação: 15/09/2021
Atualizado em: 20/09/2021

Descrição

Descrição Gravidade Observações

Foi descoberto recentemente um problema de segurança no Kubernetes, CVE-2021-25741, em que um usuário pode criar um contêiner com montagens de volume de subcaminho para acessar arquivos e diretórios fora do volume, incluindo no sistema de arquivos do host.

Para instruções e mais detalhes, consulte:

Alta CVE-2021-25741

GCP-2021-017

Publicação: 01/09/2021
Atualizado em: 23/09/2021

Descrição

Descrição Gravidade Observações

Atualização de 23/09/2021: contêineres em execução no GKE Sandbox não são afetados por essa vulnerabilidade em ataques originados no contêiner.

Duas vulnerabilidades de segurança, CVE-2021-33909 e CVE-2021-33910, foram descobertas no kernel do Linux que podem levar a uma falha no SO ou um escalonamento para a raiz por um usuário sem privilégios. Essa vulnerabilidade afeta todos os sistemas operacionais dos nós do GKE (COS e Ubuntu).

Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança:

Alta CVE-2021-33909, CVE-2021-33910

GCP-2021-016

Publicado em: 24/08/2021

Descrição

Descrição Gravidade Observações

As CVEs do Envoy e do Istio a seguir expõem o Cloud Service Mesh e o Istio no GKE a vulnerabilidades que podem ser exploradas remotamente:

  • CVE-2021-39156: solicitações HTTP com um fragmento (uma seção no fim de um URI que começa com um caractere #) no caminho do URI podem ignorar as políticas de autorização baseadas em caminho de URI do Istio.
  • CVE-2021-39155: solicitações HTTP podem ignorar uma política de autorização do Istio ao usar regras baseadas em hosts ou notHosts.
  • CVE-2021-32781: afeta as extensões decompressor, json-transcoder ou grpc-web do Envoy do Envoy ou as extensões proprietárias que modificam e aumentam o tamanho dos corpos de solicitações ou respostas. Modificar e aumentar o tamanho do corpo em uma extensão do Envoy além do tamanho do buffer interno pode levar o Envoy a acessar a memória desalocada e encerrar de forma anormal.
  • CVE-2021-32780: um serviço upstream não confiável pode fazer com que o Envoy seja encerrado de maneira anormal enviando o frame GOAWAY seguido do frame SETTINGS com o parâmetro SETTINGS_MAX_CONCURRENT_STREAMS definido como 0. (Não aplicável ao Istio no GKE)
  • CVE-2021-32778: a abertura e o redefinição de um grande número de solicitações HTTP/2 com um cliente Envoy podem levar ao consumo excessivo da CPU. (Não aplicável ao Istio no GKE)
  • CVE-2021-32777: solicitações HTTP com vários cabeçalhos de valor podem fazer uma verificação de política de autorização incompleta quando a extensão ext_authz é usada.

Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança:

Alta

GCP-2021-015

Publicação: 13/07/2021
Atualizado em: 15/07/2021

Descrição

Descrição Gravidade Observações

Foi descoberta uma nova vulnerabilidade de segurança, a CVE-2021-22555 (em inglês), em que um ator mal-intencionado com privilégios CAP_NET_ADMIN pode causar uma falha de root no contêiner. Essa vulnerabilidade afeta todos os clusters do GKE e GKE no VMware executando a versão 2.6.19 ou posterior do Linux.

Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança:

Alta CVE-2021-22555

GCP-2021-014

Publicado em: 05/07/2021

Descrição

Descrição Gravidade Observações

A Microsoft publicou um boletim de segurança sobre uma vulnerabilidade de execução remota de código (RCE, na sigla em inglês), CVE-2021-34527, que afeta o spooler de impressão nos servidores do Windows. O CERT Coordination Center (CERT/CC) publicou uma nota de atualização sobre uma vulnerabilidade relacionada, chamada de "Printnightmare", que também afeta os spoolers de impressão do Windows. Vulnerabilidade do Spooler de impressão crítica do Windows

Para instruções e mais detalhes, consulte o boletim de segurança do GKE.

Alta CVE-2021-34527

GCP-2021-012

Publicação: 24/06/2021
Atualizado em: 09/07/2021

Descrição

Descrição Gravidade Observações

Recentemente, o projeto Istio anunciou uma vulnerabilidade de segurança em que as credenciais especificadas no campo Gateway e no DestinationRule credentialName podem ser acessadas de diferentes namespaces.

Para ver instruções específicas do produto e mais detalhes, consulte:

 Alta CVE-2021-34824

GCP-2021-011

Publicação: 04/06/2021
Atualizado em: 19/10/2021

Descrição

Descrição Gravidade Observações

Atualização de 19/10/2021:

Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança:

A comunidade de segurança divulgou recentemente uma nova vulnerabilidade de segurança, a CVE-2021-30465, encontrada no runc e que tem o potencial de permitir acesso total a um sistema de arquivos de nós.

Para o GKE, como a exploração dessa vulnerabilidade requer a capacidade de criar pods, classificamos a gravidade dessa vulnerabilidade como "MÉDIA".

Para instruções e mais detalhes, consulte o boletim de segurança do GKE.

Médio CVE-2021-30465

GCP-2021-010

Publicado em: 25/05/2021

Descrição

Descrição Gravidade Observações

De acordo com o aviso de segurança da VMware VMSA-2021-0010, a execução remota de código e as vulnerabilidades de desvio de autenticação no vSphere Client (HTML5) foram relatadas de modo privado à VMware. A VMware disponibilizou atualizações para corrigir essas vulnerabilidades nos produtos da VMware afetados.

Aplicamos os patches fornecidos pela VMware na pilha vSphere de acordo com o aviso de segurança da VMware. Essa atualização aborda as vulnerabilidades de segurança descritas na CVE-2021-21985 e na CVE-2021-21986. As versões de imagem em execução na nuvem particular do VMware Engine não refletem nenhuma alteração no momento para indicar os patches aplicados. Não se preocupe, pois os patches adequados foram instalados e seu ambiente está protegido contra essas vulnerabilidades.

Impacto no VMware Engine

Com base nas nossas investigações, nenhum cliente foi afetado.

O que fazer?

Como os clusters do VMware Engine não são afetados por essa vulnerabilidade, nenhuma outra ação é necessária.

 Crítica

GCP-2021-008

Publicado em: 17/05/2021

Descrição

Descrição Gravidade Observações

O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que um cliente externo pode acessar serviços inesperados no cluster, ignorando as verificações de autorização, quando um gateway está configurado com a configuração de roteamento AUTO_PASSTHROUGH.

Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh.

Alta

 CVE-2021-31921

GCP-2021-007

Publicado em: 17/05/2021

Descrição

Descrição Gravidade Observações

O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que um caminho de solicitação HTTP com várias barras ou caracteres de barra de escape (%2F ou %5C) tem a possibilidade de ignorar uma política de autorização do Istio quando regras de autorização baseadas em caminho forem usadas.

Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh.

Alta

 CVE-2021-31920 (em inglês)

GCP-2021-006

Publicado em: 11/05/2021

Descrição

Descrição Gravidade Observações

Recentemente, o projeto Istio divulgou uma nova vulnerabilidade de segurança (CVE-2021-31920) que afeta o Istio.

O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que uma solicitação HTTP com várias barras ou caracteres de barra de escape pode ignorar a política de autorização do Istio quando regras de autorização com base em caminho forem usadas.

Para instruções e mais detalhes, consulte:

Alta

 CVE-2021-31920

GCP-2021-005

Publicado em: 11/05/2021

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade reportada mostrou que o Envoy não decodifica sequências de barras com escape %2F e %5C em caminhos de URL HTTP nas versões 1.18.2 e anteriores do Envoy. Além disso, alguns produtos baseados no Envoy não ativam controles de normalização de caminho. Um invasor remoto pode criar um caminho com barras com escape (por exemplo, /something%2F..%2Fadmin,) para ignorar o controle de acesso (por exemplo, um bloco em /admin). Um servidor de back-end poderia decodificar sequências de barras e normalizar o caminho para fornecer um acesso de invasor além do escopo fornecido pela política de controle de acesso.

O que fazer?

Se os servidores de back-end tratarem/ e%2F ou os\ e%5C intercambiável, e uma correspondência baseada em caminho do URL está configurada, recomendamos reconfigurar o servidor de back-end para não tratar\ e%2F ou os\ e%5C alternadamente, se possível.

Quais mudanças comportamentais foram introduzidas?

As opções normalize_path e merge barras adjacentes do Envoy foram ativadas para resolver outras vulnerabilidades comuns de confusão de caminho em produtos baseados no Envoy.

Alta

 CVE-2021-29492

GCP-2021-004

Publicado: 06/05/2021

Descrição

Descrição Gravidade Observações

Os projetos do Envoy e do Istio recentemente anunciaram várias novas vulnerabilidades de segurança (CVE-2021-28683, CVE-2021-28682 e CVE-2021-29258), que permitem que um invasor derrube o Envoy.

Os clusters do Google Kubernetes Engine não executam o Istio por padrão e não são vulneráveis. Se o Istio tiver sido instalado em um cluster e configurado para expor serviços à Internet, esses serviços poderão ficar vulneráveis a ataques de negação de serviço.

O Google Distributed Cloud Virtual para Bare Metal e o GKE no VMware usam o Envoy padrão para Entrada, portanto, os serviços Entrada podem ser vulneráveis à negação de serviço.

Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança:

Médio

GCP-2021-003

Publicado em: 19/04/2021

Descrição

Descrição Gravidade Observações

O projeto do Kubernetes anunciou recentemente uma nova vulnerabilidade de segurança, CVE-2021-25735, que pode permitir que as atualizações de nó ignorem uma validação do webhook de admissão.

Em um cenário em que um invasor tem privilégios suficientes e em que uma validação do webhook de admissão foi implementado que usa propriedades de objetos Node antigas (por exemplo, campos em Node.NodeSpec), o invasor pode atualizar propriedades de um nó que podem levar a um comprometimento do cluster. Nenhuma das políticas aplicadas pelos controladores de admissão integrados do GKE e do Kubernetes é afetada. No entanto, recomendamos que os clientes verifiquem os webhooks de admissão adicionais instalados.

Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança:

Médio

CVE-2021-25735

GCP-2021-002

Publicado: 05-03-2021

Descrição

Descrição Gravidade Observações

De acordo com o aviso de segurança da VMware VMSA-2021-0002, a VMware recebeu relatórios de várias vulnerabilidades na VMware ESXi e no vSphere Client (HTML5). A VMware disponibilizou atualizações para corrigir essas vulnerabilidades nos produtos da VMware afetados.

Aplicamos as soluções documentadas oficialmente da pilha do vSphere de acordo com o aviso de segurança da VMware. Essa atualização aborda as vulnerabilidades de segurança descritas na CVE-2021-21972, CVE-2021-21973 e CVE-2021-21974.

Impacto no VMware Engine

Com base nas nossas investigações, nenhum cliente foi afetado.

O que devo fazer?

Como os clusters do VMware Engine não são afetados por essa vulnerabilidade, nenhuma outra ação é necessária.

 Crítica

GCP-2021-001

Publicado em: 28/01/2021

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade foi descoberta recentemente no utilitário sudo do Linux, descrito em CVE-2021-3156, que pode permitir que um invasor com acesso shell local não privilegiado em um sistema com o sudo instalado encaminhe seus privilégios à raiz do sistema.

A infraestrutura subjacente que executa o Compute Engine não é afetada por essa vulnerabilidade.

Google Kubernetes Engine (GKE), GKE no VMware, GKE na AWS, e do Google Distributed Cloud Virtual para clusters Bare Metal não são afetados por essa vulnerabilidade.

Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança:

Nenhum CVE-2021-3156

GCP-2020-015

Publicado:07/12/2020
Atualizado:22/12/2020

Descrição

Descrição Gravidade Observações

Atualizado em: 22/12/2021 O comando para GKE na seção a seguir devem usar gcloud beta em vez do comando gcloud. 

gcloud container clusters update –no-enable-service-externalips

Atualizado em 15/12/2021 No GKE, a mitigação a seguir foi aplicada disponíveis:
  1. A partir da versão 1.21 do GKE, os serviços com ExternalIPs são bloqueados por um controlador de admissão de DenyServiceExternalIPs que é ativado por padrão para novos clusters.
  2. Os clientes que fizerem o upgrade para a versão 1.21 do GKE poderão bloquear serviços com ExternalIPs usando o seguinte comando: 
    gcloud container clusters update –no-enable-service-externalips

Para mais informações, consulte Como aumentar a segurança do cluster.

O projeto Kubernetes descobriu recentemente uma nova vulnerabilidade de segurança, CVE-2020-8554, que pode permitir que um invasor que tenha permissões para criar um serviço do Kubernetes do tipo LoadBalancer ou ClusterIP intercepte o tráfego de rede proveniente de outros pods no cluster. Essa vulnerabilidade em si não concede permissões a um invasor para criar um serviço do Kubernetes.

Todos os serviços do Google Kubernetes Engine (GKE), do GKE no VMware e Os clusters do GKE na AWS são afetados por essa vulnerabilidade.

O que devo fazer?

Para instruções e mais detalhes, consulte:

Médio

 CVE-2020-8554

GCP-2020-014

Publicação: 20/10/2020
Atualizado em: 20/10/2020

Descrição

Descrição Gravidade Observações

Recentemente, foram descobertos vários problemas do Kubernetes que permitem a exposição de dados secretos quando as opções de registro detalhado estão ativadas. Os problemas são os seguintes:

  • CVE-2020-8563: vazamentos de secret em registros para o provedor vSphere kube-controller-manager.
  • CVE-2020-8564: os secrets de configuração do Docker vazaram quando o arquivo estava malformado e com logLevel >= 4.
  • CVE-2020-8565: correção incompleta para CVE-2019-11250 no Kubernetes possibilita o vazamento de token nos registros com logLevel >= 9. Descoberto pela segurança do GKE.
  • CVE-2020-8566: adminSecrets do Ceph RBD expostos em registros com logLevel >= 4

O que fazer?

Nenhuma outra ação é necessária devido aos níveis de registro detalhado padrão do GKE.

Nenhum

Impacto no Google Cloud

Veja detalhes por produto abaixo.

Produto

Impacto

Google Kubernetes Engine (GKE)

O Google Kubernetes Engine (GKE) não foi afetado.

GKE On-Prem

O GKE On-Prem não é afetado.

GKE na AWS

O GKE na AWS não é afetado.

GCP-2020-013

Publicado em: 29/09/2020

Descrição

A Microsoft divulgou a seguinte vulnerabilidade:

Vulnerabilidade

Gravidade

CVE

CVE-2020-1472— Uma vulnerabilidade no Windows Server permite que invasores usem o protocolo remoto Netlogon para executar um aplicativo especialmente desenvolvido em um dispositivo na rede.

Pontuação base do NVD: 10 (crítico)

CVE-2020-1472

Para mais informações, consulte a divulgação da Microsoft.

Impacto no Google Cloud

A infraestrutura que hospeda os produtos do Google Cloud e do Google não é afetada por essa vulnerabilidade. Veja abaixo mais detalhes de acordo com o produto.

Produto

Impacto

Compute Engine

CVE-2020-1472

Para a maioria dos clientes, nenhuma outra ação é necessária.

Os clientes que usam máquinas virtuais do Compute Engine que executam o Windows Server precisam garantir que suas instâncias foram atualizadas com o patch mais recente do Windows ou o uso de imagens do Windows Server publicadas após 17/08/2020 (v20200813 ou posterior).

Google Kubernetes Engine

CVE-2020-1472

Para a maioria dos clientes, nenhuma outra ação é necessária.

Todos os clientes que hospedam controladores de domínio nos nós do GKE do Windows Server precisam garantir que os nós e as cargas de trabalho em contêiner executadas neles tenham a imagem do nó do Windows mais recente quando estiver disponível. Uma nova versão da imagem do nó será anunciada nas Notas de lançamento do GKE em outubro.

Serviço gerenciado para o Microsoft Active Directory

CVE-2020-1472

Para a maioria dos clientes, nenhuma outra ação é necessária.

O patch de agosto lançado pela Microsoft, que inclui correções no protocolo NetLogon, foi aplicado a todos os controladores de domínio do Microsoft AD gerenciados. Esse patch oferece a funcionalidade de proteção contra possíveis explorações. A aplicação oportuna dos patches é uma das principais vantagens do uso do serviço gerenciado no Microsoft Active Directory. Todos os clientes que executam o Microsoft Active Directory manualmente (e não utilizam o serviço gerenciado do Google Cloud) precisam garantir que as instâncias deles tenham o patch do Windows mais recente ou usem imagens do Windows Server.

Google Workspace

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Ambiente padrão do App Engine

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Ambiente flexível do App Engine

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud Run

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud Functions

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud Composer

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Dataflow

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Dataproc

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud SQL

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

GCP-2020-012

Publicação: 14/09/2020
Atualizado em: 17/09/2020

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade foi descoberta recentemente no kernel do Linux, descrita em CVE-2020-14386, que pode permitir que os escapes de contêineres recebam privilégios raiz no nó host.

Essa vulnerabilidade afeta todos os nós do GKE. Os pods em execução no GKE Sandbox não são afetados por essa vulnerabilidade.

Para instruções e mais detalhes, consulte:


Qual vulnerabilidade é corrigida por esse patch?

O patch reduz a seguinte vulnerabilidade:

A vulnerabilidade CVE-2020-14386, que permite que contêineres com CAP_NET_RAW
gravem de 1 a 10 bytes de memória do kernel e possivelmente escapem o contêiner e recebam privilégios raiz no nó host. Isso é classificado como uma vulnerabilidade de alto nível de gravidade.

Alta

CVE-2020-14386

GCP-2020-011

Publicação: 24/07/2020

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade de rede, CVE-2020-8558, foi descoberta recentemente no Kubernetes. Às vezes, os serviços se comunicam com outros aplicativos em execução no mesmo pod usando a interface de loopback local (127.0.0.1). Essa vulnerabilidade permite que um invasor com acesso à rede do cluster envie tráfego para a interface de loopback de pods e nós adjacentes. Os serviços que dependem da interface de loopback e não são acessados fora do pod podem ser explorados.

Para instruções e mais detalhes, consulte:

Baixa (GKE e GKE na AWS),
Médio (GKE no VMware)

CVE-2020-8558 (em inglês)

GCP-2020-010

Publicação: 27/07/2020

Descrição

A Microsoft divulgou a seguinte vulnerabilidade:

Vulnerabilidade

Gravidade

CVE

CVE-2020-1350: os Windows Servers que atendem em uma capacidade de servidor DNS podem ser explorados para executar códigos não confiáveis pela conta do sistema local.

Pontuação base do NVD: 10.0 (crítico)

CVE-2020-1350

Para mais informações, consulte a divulgação da Microsoft.

Impacto no Google Cloud

A infraestrutura que hospeda os produtos do Google Cloud e do Google não é afetada por essa vulnerabilidade. Veja abaixo mais detalhes de acordo com o produto.

Produto

Impacto

Compute Engine

CVE-2020-1350

Para a maioria dos clientes, nenhuma outra ação é necessária.

Os clientes que usam máquinas virtuais do Compute Engine que executam o Windows Server em uma capacidade de servidor DNS precisam garantir que as instâncias deles tenham o patch do Windows mais recente ou usem imagens do Windows Server fornecidas a partir de 14/07/2020.

Google Kubernetes Engine

CVE-2020-1350

Para a maioria dos clientes, nenhuma outra ação é necessária.

Os clientes que usam o GKE com o nó do Windows Server em uma capacidade de servidor DNS precisam atualizar manualmente os nós e as cargas de trabalho em contêiner executadas nesses nós para uma versão do Windows Server contendo a correção.

Serviço gerenciado para o Microsoft Active Directory

CVE-2020-1350

Para a maioria dos clientes, nenhuma outra ação é necessária.

Todos os domínios gerenciados do Microsoft AD foram atualizados automaticamente com a imagem em patch. Todos os clientes que executam o Microsoft Active Directory e não utilizam o Microsoft AD gerenciado devem garantir que as instâncias deles tenham o patch do Windows mais recente ou usar imagens do Windows Server fornecidas a partir de 14/07/2020.

Google Workspace

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Ambiente padrão do App Engine

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Ambiente flexível do App Engine

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud Run

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud Functions

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud Composer

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Dataflow

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Dataproc

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud SQL

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

GCP-2020-009

Publicado: 15/07/2020

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade de escalonamento de privilégios, CVE-2020-8559, foi descoberta recentemente no Kubernetes. Essa vulnerabilidade permite que um invasor que já tenha comprometido um nó execute um comando em qualquer pod do cluster. Dessa forma, o invasor pode usar o nó já afetado para comprometer outros nós e, possivelmente, ler informações ou causar ações destrutivas.

Para que um invasor explore essa vulnerabilidade, é preciso que um nó do cluster já tenha sido comprometido. Essa vulnerabilidade, por si só, não comprometerá os nós do cluster.

Para instruções e mais detalhes, consulte:

Médio

CVE-2020-8559 (em inglês)

GCP-2020-008

Publicação: 19/06/2020

Descrição

Descrição Gravidade Notas

Descrição

As VMs que têm o login do SO ativado podem ser suscetíveis a vulnerabilidades de escalonamento de privilégios. Com essas vulnerabilidades, os usuários que têm permissões de login do SO sem acesso de administrador podem encaminhar para o acesso raiz na VM.

Para instruções e mais detalhes, consulte o boletim de segurança do Compute Engine.

 Alta

GCP-2020-007

Publicação: 01/06/2020

Descrição

Descrição Gravidade Observações

A vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) CVE-2020-8555 foi descoberta recentemente no Kubernetes. Ela permite que determinados usuários autorizados vazem até 500 bytes de informações confidenciais da rede do host do plano de controle. O plano de controle do Google Kubernetes Engine (GKE, na sigla em inglês) usa controladores do Kubernetes e, portanto, é afetado por essa vulnerabilidade. Recomendamos que você atualize o plano de controle para a versão mais recente do patch. Não é necessário fazer upgrade do nó.

Para instruções e mais detalhes, consulte:

Médio

CVE-2020-8555 (em inglês)

GCP-2020-006

Publicação: 01/06/2020

Descrição

Descrição Gravidade Observações

O Kubernetes divulgou uma vulnerabilidade que permite que um contêiner com privilégios redirecione o tráfego do nó para outro contêiner. O tráfego TLS/SSH mútuo, como entre o kubelet e o servidor da API, e o tráfego de aplicativos que usam mTLS não podem ser lidos ou modificados por esse ataque. Todos os nós do Google Kubernetes Engine (GKE) são afetados por essa vulnerabilidade. Recomendamos que você faça o upgrade para a versão mais recente do patch.

Para instruções e mais detalhes, consulte:

Médio

Problema 91507 do Kubernetes

GCP-2020-005

Publicação: 07/05/2020

Descrição

Vulnerabilidade

Gravidade

CVE

Uma vulnerabilidade foi recentemente descoberta no kernel do Linux, descrita em CVE-2020-8835 (em inglês), permitindo que o escape de contêiner receba privilégios de raiz no nó do host.

Os nós do Ubuntu do GKE que executam o GKE 1.16 ou 1.17 são afetados por essa vulnerabilidade. Recomendamos que você faça o upgrade para a versão mais recente do patch o mais rápido possível.

Consulte o boletim de segurança do GKE para instruções e mais detalhes.

Alta

CVE-2020-8835 (em inglês)

GCP-2020-004

Publicação: 31/03/2020
Atualizado em: 31/03/2020

Descrição

O Kubernetes divulgou as seguintes vulnerabilidades:

Vulnerabilidade

Gravidade

CVE

CVE-2019-11254 — é uma vulnerabilidade de negação de serviço (DoS) que afeta o servidor da API.

Médio

CVE-2019-11254 (em inglês)

Consulte o boletim de segurança do GKE no VMware para instruções e mais detalhes.

GCP-2020-003

Publicação: 31/03/2020
Atualizado em: 31/03/2020

Descrição

O Kubernetes divulgou as seguintes vulnerabilidades:

Vulnerabilidade

Gravidade

CVE

CVE-2019-11254 — é uma vulnerabilidade de negação de serviço (DoS) que afeta o servidor da API.

Médio

CVE-2019-11254 (em inglês)

Consulte o boletim de segurança do GKE para instruções e mais detalhes.

GCP-2020-002

Publicação: 23/03/2020
Atualizado em: 23/03/2020

Descrição

O Kubernetes divulgou as seguintes vulnerabilidades:

Vulnerabilidade

Gravidade

CVE

CVE-2020-8551 — é uma vulnerabilidade de negação de serviço (DoS) que afeta o kubelet.

Médio

CVE-2020-8551 (em inglês)

CVE-2020-8552 — é uma vulnerabilidade de negação de serviço (DoS) que afeta o servidor de API.

Médio

CVE-2020-8552 (em inglês)

Consulte o boletim de segurança do GKE para instruções e mais detalhes.

GCP-2020-001

Publicação: 21/01/2020
Atualizado em: 21/01/2020

Descrição

A Microsoft divulgou a seguinte vulnerabilidade:

Vulnerabilidade

Gravidade

CVE

CVE-2020-0601 — é uma vulnerabilidade também é conhecida como a vulnerabilidade de spoofing da API Windows Crypto. Ela pode ser explorada para fazer executáveis maliciosos parecerem confiáveis ou permitir que o invasor realize ataques "man-in-the-middle" e descriptografe informações confidenciais nas conexões do usuário com o software afetado.

Pontuação base do NVD: 8,1 (alta)

CVE-2020-0601

Para mais informações, consulte a divulgação da Microsoft.

Impacto no Google Cloud

A infraestrutura que hospeda os produtos do Google Cloud e do Google não é afetada por essa vulnerabilidade. Veja abaixo mais detalhes de acordo com o produto.

Produto

Impacto

Compute Engine

CVE-2020-0601

Para a maioria dos clientes, nenhuma outra ação é necessária.

Os clientes que usam máquinas virtuais do Compute Engine e executam o Windows Server devem garantir que as instâncias deles tenham o patch do Windows mais recente ou usem imagens do Windows Server fornecidas a partir de 15/01/2020. Consulte o boletim de segurança do Compute Engine para saber mais detalhes.

Google Kubernetes Engine

CVE-2020-0601

Para a maioria dos clientes, nenhuma outra ação é necessária.

Os nós e as cargas de trabalho em contêiner que são executadas nesses nós precisam ser atualizados para versões em patch para reduzir a vulnerabilidade caso o usuário use o GKE com nós do Windows Server. Consulte o boletim de segurança do GKE para instruções e mais detalhes.

Serviço gerenciado para o Microsoft Active Directory

CVE-2020-0601

Para a maioria dos clientes, nenhuma outra ação é necessária.

Todos os domínios gerenciados do Microsoft AD foram atualizados automaticamente com a imagem em patch. Todos os clientes que executam o Microsoft Active Directory e não utilizam o Microsoft AD gerenciado devem garantir que as instâncias deles tenham o patch do Windows mais recente ou usar imagens do Windows Server fornecidas a partir de 15/01/2020.

Google Workspace

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Ambiente padrão do App Engine

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Ambiente flexível do App Engine

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud Run

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud Functions

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud Composer

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Dataflow

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Dataproc

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud SQL

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

GCP 2019-001

Publicação: 12/11/2019
Atualizado em: 12/11/2019

Descrição

A Intel divulgou as seguintes vulnerabilidades:

Vulnerabilidade

Gravidade

CVE

CVE-2019-11135 — Essa vulnerabilidade, chamada TSX Async Abort (TAA, na sigla em inglês), pode ser usada para explorar a execução especulativa em uma transação do TSX. Essa vulnerabilidade permite que os dados sejam possivelmente expostos por meio das mesmas estruturas de dados de microarquitetura expostas pela amostragem de dados de microarquitetura (MDS, na sigla em inglês).

Médio

CVE-2019-11135

CVE-2018-12207 — essa é uma vulnerabilidade de negação de serviço (DoS) que afeta hosts (não convidados) de máquinas virtuais. Esse problema é conhecido como "Erro de verificação da máquina na alteração de tamanho da página".

Médio

CVE-2018-12207

Para mais informações, consulte as divulgações da Intel:

Impacto no Google Cloud

A infraestrutura que hospeda os produtos do Google Cloud e do Google é protegida contra essas vulnerabilidades. Abaixo, são listados mais detalhes de acordo com o produto.

Produto

Impacto

Compute Engine

CVE-2019-11135

Para a maioria dos clientes, nenhuma outra ação é necessária.

Os clientes N2, C2 ou M2 que executam código não confiável nos próprios serviços com vários locatários em máquinas virtuais do Compute Engine precisam encerrar e iniciar as VMs para garantir que elas tenham as mitigações de segurança mais recentes.

CVE-2018-12207

Para todos os clientes, nenhuma outra ação é necessária.

Google Kubernetes Engine

CVE-2019-11135

Para a maioria dos clientes, nenhuma outra ação é necessária.

Se você usar pools com nós N2, M2 ou C2 e esses nós executarem o código não confiável nos próprios clusters do GKE com vários locatários, será necessário reiniciá-los. Se você quiser reiniciar todos os nós de um pool, faça upgrade do pool afetado.

CVE-2018-12207

Para todos os clientes, nenhuma outra ação é necessária.

Ambiente padrão do App Engine

Nenhuma outra ação é necessária.

Ambiente flexível do App Engine

CVE-2019-11135

Nenhuma outra ação é necessária.

Os clientes precisam rever as práticas recomendadas da Intel com relação ao compartilhamento no nível do aplicativo que pode ocorrer entre hyperthreads em uma VM flexível.

CVE-2018-12207

Nenhuma outra ação é necessária.

Cloud Run

Nenhuma outra ação é necessária.

Cloud Functions

Nenhuma outra ação é necessária.

Cloud Composer

Nenhuma outra ação é necessária.

Dataflow

CVE-2019-11135

Para a maioria dos clientes, nenhuma outra ação é necessária.

Os clientes do Dataflow que executam várias cargas de trabalho não confiáveis em VMs do Compute Engine N2, C2 ou M2 gerenciadas pelo Dataflow e que estão preocupados com ataques entre os convidados precisam reiniciar todos os pipelines de streaming em execução no momento. Como opção, os pipelines em lote podem ser cancelados e executados novamente. Nenhuma ação é necessária com relação aos pipelines lançados de amanhã em diante.

CVE-2018-12207

Para todos os clientes, nenhuma outra ação é necessária.

Dataproc

CVE-2019-11135

Para a maioria dos clientes, nenhuma outra ação é necessária.

Os clientes do Cloud Dataproc que executam várias cargas de trabalho não confiáveis no mesmo cluster do Cloud Dataproc que está em execução em VMs do Compute Engine N2, C2 ou M2 e que estão preocupados com ataques entre os convidados precisam reimplantar os clusters.

CVE-2018-12207

Para todos os clientes, nenhuma outra ação é necessária.

Cloud SQL

Nenhuma outra ação é necessária.