Bulletins de sécurité

Les bulletins de sécurité suivants concernent les produits Google Cloud.

Utilisez ce flux XML pour vous abonner aux bulletins de sécurité de la présente page. S'abonner

GCP-2024-060

Date de publication : 17/10/2024

Description Gravité Remarques

Conformément à l'avis de sécurité VMware VMSA-2024-0020, plusieurs failles de VMware NSX ont été signalées de manière responsable à VMware.

La version NSX-T exécutée sur votre environnement VMware Engine n'est pas affectée par les failles CVE-2024-38815, CVE-2024-38818 ou CVE-2024-38817.

Que dois-je faire ?

Comme les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise.

 Moyenne

GCP-2024-059

Publié: 16/10/2024

Description Gravité Remarques

Conformément à l'avis de sécurité VMware VMSA-2024-0021, une faille d'injection SQL authentifiée dans VMware HCX a été signalée à VMware de manière privée.

Nous avons appliqué la mesure d'atténuation approuvée par VMware pour corriger cette faille. Ce correctif résout une faille de sécurité décrite dans CVE-2024-38814. Les versions d'image exécutées dans votre cloud privé VMware Engine ne reflètent pour le moment aucune modification indiquant les modifications appliquées. Les mesures d'atténuation appropriées ont été mises en place et votre environnement est protégé contre cette faille.

Que dois-je faire ?

Nous vous recommandons de passer à VMware HCX version 4.9.2.

Élevée

GCP-2024-058

Publié: 16/10/2024

Description

Description Gravité Remarques

Les versions 1.1.0 à 1.2.2 de Migrate to Containers pour Windows ont créé un m2cuser local avec des droits d'administrateur. Cela représentait un risque de sécurité si les commandes analyze ou generate étaient interrompues par l'utilisateur ou en raison d'une erreur interne, ce qui entraînait le saut de l'action de suppression de l'utilisateur local m2cuser.

Que dois-je faire ?

Les versions suivantes de la CLI Migrate to Containers pour Windows ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau manuellement votre CLI Migrate to Containers vers la version suivante ou une version ultérieure:

Quelles failles sont corrigées ?

La faille CVE-2024-9858 permet à un pirate informatique d'obtenir un accès administrateur aux machines Windows concernées à l'aide de l'utilisateur administrateur local créé par le logiciel Migrate to Containers.

 Moyenne CVE-2024-9858

GCP-2024-057

Publié : 03/10/2024

Mise à jour:15/10/2024

Description

Description Gravité Remarques

Mise à jour du 15/10/2024:ajout de versions de correctifs pour GDC (VMware). Mise à jour des niveaux de gravité de GKE et de GDC (VMware).

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-45016

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Moyenne CVE-2024-45016

GCP-2024-056

Date de publication:27/09/2024

Description

Description Gravité Remarques

Une chaîne de failles (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 et CVE-2024-47177) pouvant entraîner l'exécution de code à distance a été découverte dans le système d'impression CUPS utilisé par certaines distributions Linux. Un pirate informatique peut exploiter cette faille si les services CUPS écoutent sur le port UDP 631 et qu'ils peuvent s'y connecter.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Aucun

GCP-2024-055

Date de publication:24/09/2024

Description

Description Gravité Remarques

Une faille de contrebande de requêtes HTTP dans Looker permettait à un pirate informatique non autorisé de capturer les réponses HTTP destinées à des utilisateurs légitimes.

Il existe deux versions de Looker hébergées par Looker:

  • Looker (Google Cloud Core) s'est avéré vulnérable. Ce problème a déjà été atténué et notre enquête n'a trouvé aucun signe d'exploitation.
  • Looker (version d'origine) n'était pas vulnérable à ce problème.

Les instances Looker hébergées par le client ont été identifiées comme étant vulnérables et doivent être mises à niveau vers l'une des versions ci-dessous.

Cette faille a été corrigée dans toutes les versions compatibles de Looker hébergée par le client, disponibles sur la page de téléchargement de Looker.

Que dois-je faire ?

  • Aucune action n'est requise de votre part pour toutes les instances hébergées sur Looker, y compris les instances Looker (Google Cloud Core).
  • Pour les instances Looker hébergées par le client, veuillez passer à la dernière version compatible de Looker dès que possible. Les versions ci-dessous ont toutes été mises à jour pour vous protéger de cette faille. Vous pouvez télécharger ces versions sur la page de téléchargement de Looker :
    • 23.12 -> 23.12.123+
    • 23.18 -> 23.18.117+
    • 24.0 -> 24.0.92 et versions ultérieures
    • 24.6 -> 24.6.77+
    • 24.8 -> 24.8.66 et plus
    • 24.10 -> 24.10.78 et plus
    • 24.12 -> 24.12.56 et versions ultérieures
    • 24.14 -> 24.14.37 et versions ultérieures

Quelles failles sont corrigées ?

La faille CVE-2024-8912 permet à un pirate informatique d'envoyer des en-têtes de requête HTTP personnalisés à Looker, ce qui peut entraîner l'interception des réponses HTTP destinées à d'autres utilisateurs.

Ces réponses peuvent contenir des informations sensibles.

Cette faille ne peut être exploitée que dans certaines configurations spécifiques.

Moyenne CVE-2024-8912

GCP-2024-054

Publié: 23/09/2024

Description

Description Gravité Remarques

Un problème de sécurité a été détecté dans les clusters Kubernetes avec des nœuds Windows, où BUILTIN\Users peut lire les journaux des conteneurs et les utilisateurs NT AUTHORITY\Authenticated peuvent modifier les journaux des conteneurs.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Moyenne CVE-2024-5321

GCP-2024-053

Publié: 19/09/2024

Description

Description Gravité Remarques

Lors de l'analyse de champs inconnus dans les bibliothèques Java Full et Lite de Protobuf, un message malveillant peut provoquer une erreur StackOverflow et un plantage du programme.

Que dois-je faire ?

Nous avons travaillé dur pour résoudre ce problème et avons publié une solution de contournement qui est désormais disponible. Nous vous recommandons d'utiliser les dernières versions des packages logiciels suivants:

  • protobuf-java (3.25.5, 4.27.5, 4.28.2)
  • protobuf-javalite (3.25.5, 4.27.5, 4.28.2)
  • protobuf-kotlin (3.25.5, 4.27.5, 4.28.2)
  • protobuf-kotlin-lite (3.25.5, 4.27.5, 4.28.2)
  • com-protobuf [gem JRuby uniquement] (3.25.5, 4.27.5, 4.28.2)

Quelles failles ce correctif permet-il de résoudre ?

Cette faille constitue un déni de service potentiel.

L'analyse des groupes imbriqués en tant que champs inconnus avec DiscardUnknownFieldsParser ou l'analyseur Java Protobuf Lite, ou contre les champs de mappage Protobuf, crée des récursions illimitées qui peuvent être exploitées par un pirate informatique.

Score CVSS 4.0 : 8,7

Élevée

 CVE-2024-7254

GCP-2024-052

Description

Description Gravité Remarques

Les failles CVE suivantes exposent Cloud Service Mesh à des failles exploitables:

  • CVE-2024-45807: plantage d'oghttp2 sur OnBeginHeadersForStream
  • CVE-2024-45808: injection de journal malveillante via les journaux d'accès
  • CVE-2024-45806: possibilité de manipuler les en-têtes "x-envoy" à partir de sources externes
  • CVE-2024-45809: plantage du filtre JWT dans le cache de routage en texte clair avec des clés JWKS distantes
  • CVE-2024-45810: Envoy plante pour LocalReply dans le client HTTP asynchrone

Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité de Cloud Service Mesh.

Moyenne à élevée

GCP-2024-051

Date de publication : 18/09/2024

Description Gravité Remarques

VMware a divulgué plusieurs failles dans l'VMSA-2024-0019 qui affectent les composants vCenter déployés dans les environnements client.

Impact sur VMware Engine

  • Google a déjà désactivé toute exploitation potentielle de cette faille. Par exemple, Google a bloqué les ports par lesquels cette faille pourrait être exploitée.
  • De plus, Google s'assure que tous les futurs déploiements de vCenter ne sont pas exposés à cette faille.

Que dois-je faire ?

Aucune action supplémentaire n'est requise de votre part pour le moment.

Critique

GCP-2024-050

Date de publication:04/09/2024

Description

Description Gravité Remarques

Une nouvelle faille d'exécution de code à distance (CVE-2024-38063) a été détectée dans Windows. Un pirate informatique peut exploiter cette faille à distance en envoyant à un hôte des paquets IPv6 spécialement conçus.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Aucun CVE-2024-38063

GCP-2024-049

Publié: 21/08/2024

Mise à jour:01/11/2024

Description

Description Gravité Remarques

Mise à jour du 01/11/2024 : ajout de versions de correctifs pour les pools de nœuds Ubuntu sur GKE.

Mise à jour du 21/10/2024:ajout de versions de correctif et modification de la gravité pour GDC (VMware).

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-36978

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2024-36978

GCP-2024-048

Publié: 20/08/2024

Mise à jour:30/10/2024

Description

Description Gravité Remarques

Mise à jour du 30/10/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Mise à jour du 25/10/2024:ajout de versions de correctif et modification de la gravité pour GDC (VMware).

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-41009

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2024-41009

GCP-2024-047

Publié: 19/08/2024

Mise à jour:30/10/2024

Description

Description Gravité Remarques

Mise à jour du 30/10/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Mise à jour du 21/10/2024:ajout de versions de correctif et modification de la gravité pour GDC (VMware).

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-39503

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2024-39503

GCP-2024-046

Publié: 05/08/2024

Description

Description Gravité Remarques

AMD a informé Google de trois nouvelles failles de micrologiciel (deux à risque moyen et une à risque élevé) affectant SEV-SNP dans les processeurs AMD EPYC de troisième génération (Milan) et de quatrième génération (Genoa).

Google a appliqué des correctifs aux ressources concernées, y compris Google Cloud, pour assurer la protection des clients. Pour le moment, aucune preuve d'exploitation n'a été trouvée ni signalée à Google.

Que dois-je faire ?

Aucune action n'est requise de la part du client. Des correctifs ont déjà été appliqués à la flotte de serveurs Google.

Pour en savoir plus, consultez l'avis de sécurité AMD AMD-SN-3011.

 Moyen à élevé

CVE-2023-31355

CVE-2024-21978

CVE-2024-21980

GCP-2024-045

Publié: 17/07/2024

Mise à jour:19/09/2024

Description

Description Gravité Remarques

Mise à jour du 19/09/2024 : ajout de versions de correctifs pour le logiciel GDC pour VMware.

Mise à jour du 21/08/2024:ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26925

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2024-26925

GCP-2024-044

Publié: 16/07/2024

Mise à jour:30/10/2024

Description

Description Gravité Remarques

Mise à jour du 30/10/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Mise à jour du 21/10/2024:ajout de versions de correctif et modification de la gravité pour GDC (VMware).

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-36972

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2024-36972

GCP-2024-043

Publié: 16/07/2024

Mise à jour: 02/10/2024

Description

Description Gravité Remarques

Mise à jour du 02/10/2024 : ajout de versions de correctifs pour les pools de nœuds Ubuntu sur GKE.

Mise à jour du 20/09/2024 : ajout de versions de correctifs pour le logiciel GDC pour VMware.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26921

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2024-26921

GCP-2024-042

Date de publication : 15/07/2024

Mise à jour:18/07/2024

Description

Description Gravité Remarques

Mise à jour du 18/07/2024:Clarification que les clusters Autopilot dans la configuration par défaut ne sont pas concernés.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26809

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2024-26809

GCP-2024-041

Publié: 08/07/2024

Mise à jour:16-09-2024

Description

Description Gravité Remarques

Mise à jour du 16/09/2024 : ajout de versions de correctif pour le logiciel GDC pour VMware.

Mise à jour du 19/07/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-52654
  • CVE-2023-52656

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée

GCP-2024-040

Publié: 01/07/2024

Mise à jour:16-07-2024

Description

Description Gravité Remarques

Mises à jour du 16-07-2024:

Certains clients de l'accès au VPC sans serveur sont potentiellement concernés par une faille dans OpenSSH (CVE-2024-6387). En cas d'exploitation réussie, cela pourrait permettre à un pirate informatique distant non authentifié d'exécuter du code arbitraire en tant que root sur la machine virtuelle cible. L'exploitation est considérée comme difficile. Par exemple, les clients ne peuvent pas accéder aux VM et celles-ci n'ont pas d'adresses IP publiques. Nous n'avons connaissance d'aucune tentative d'exploitation.

Que dois-je faire ?

Dans la mesure du possible, les déploiements de l'accès au VPC sans serveur ont été automatiquement mis à jour par Google. Vous devez toutefois vérifier que l'agent de service géré par Google dispose du rôle requis. Sinon, votre connecteur d'accès au VPC sans serveur est peut-être toujours vulnérable. Nous vous recommandons de migrer vers la sortie du VPC direct ou de déployer un nouveau connecteur et de supprimer l'ancien connecteur, afin de vous assurer que vous disposez de la mise à jour requise avec le correctif.

Mise à jour du 11/07/2024:ajout de versions de correctif pour le logiciel GDC pour VMware, GKE sur AWS et GKE sur Azure. Pour en savoir plus, consultez les bulletins suivants dans la documentation GKE:

Mise à jour du 10/07/2024:

  • Ajout d'un bulletin de sécurité pour Migrate to Virtual Machines.

Mises à jour du 09-07-2024:

Certains clients de l'environnement flexible App Engine sont potentiellement concernés par une faille dans OpenSSH (CVE-2024-6387). En cas d'exploitation réussie, cela peut permettre à un pirate informatique distant non authentifié d'exécuter un code arbitraire en tant que racine sur la machine virtuelle cible.

Que dois-je faire ?

Google a déjà mis à jour automatiquement les déploiements d'environnements flexibles dans la mesure du possible. Toutefois, certains clients qui ont désactivé l'agent de service géré par Google, ou apporté des modifications aux API Google Cloud ou à d'autres configurations par défaut, n'ont pas pu être mis à jour et peuvent toujours être vulnérables. Vous devez déployer une nouvelle version de votre application pour récupérer la mise à jour avec le correctif.

Notez que les déploiements mis à jour indiquent la version ssh OpenSSH_9.6p1. Cette version a été corrigée pour corriger CVE-2024-6387.

Quelles failles sont corrigées ?

La faille CVE-2024-6387, qui permet à un pirate informatique distant non authentifié d'exécuter du code arbitraire en tant que racine sur la machine cible,

Mises à jour du 08/07/2024:

Les clusters Dataproc sur Google Compute Engine exécutant les versions d'image 2.2 (tous les systèmes d'exploitation) et 2.1 (Debian uniquement) sont affectés par une faille dans OpenSSH (CVE-2024-6387) qui, en cas d'exploitation réussie, pourrait permettre à un pirate informatique distant non authentifié d'exécuter du code arbitraire en tant que root sur la machine cible.

Les versions d'image 2.0 et 1.5 de Dataproc sur Google Compute Engine, ainsi que les images Dataproc version 2.1 qui ne s'exécutent pas sur Debian, ne sont pas affectées. Les clusters Dataproc pour lesquels l'authentification personnelle est activée ne sont pas concernés. Dataproc sans serveur n'est pas non plus affecté.

Que dois-je faire ?

Veuillez mettre à jour vos clusters Dataproc sur Google Compute Engine vers l'une des versions suivantes:

  • 2.2.24 ou version ultérieure
  • 2.1.58 ou version ultérieure

Si vous ne parvenez pas à mettre à jour vos clusters Dataproc vers l'une des versions ci-dessus, nous vous recommandons d'utiliser l'action d'initialisation disponible à l'adresse suivante : gs://dataproc-initialization-actions/hotfixes/openssh-CVE-2024-6387-mitigation.sh

Veuillez suivre ces instructions pour spécifier les actions d'initialisation pour Dataproc. Veuillez noter que l'action d'initialisation doit être exécutée sur chaque nœud (maîtres et nœuds de calcul) des clusters préexistants.

Mise à jour du 3 juillet 2024:

  • Ajout de versions de correctifs pour GKE.
  • Ajout d'un bulletin de sécurité pour les connexions GDC.

Mises à jour du 2 juillet 2024:

  • Clarification sur le fait que les clusters Autopilot sont concernés et nécessiteront une action de la part de l'utilisateur.
  • Ajout d'évaluations de l'impact et d'étapes d'atténuation pour le logiciel GDC pour VMware, GKE sur AWS et GKE sur Azure.
  • Correction du bulletin de sécurité sur le logiciel GDC pour bare metal afin de préciser que le logiciel GDC pour bare metal n'est pas directement concerné et que les clients doivent contacter les fournisseurs d'OS pour obtenir des correctifs.

Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment découverte dans OpenSSH. La faille exploite une condition de concurrence permettant d'accéder à une interface système distante, permettant ainsi aux pirates informatiques d'obtenir un accès root. Au moment de la publication, l'exploitation est considérée comme difficile et prend plusieurs heures par machine attaquée. Nous n'avons connaissance d'aucune tentative d'exploitation.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Critique CVE-2024-6387

GCP-2024-039

Publié: 28/06/2024

Mise à jour:25-09-2024

Description

Description Gravité Remarques

Mise à jour du 25/09/2024 : ajout de versions de correctifs pour le logiciel GDC pour VMware.

Mise à jour du 20/08/2024:ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26923

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2024-26923

GCP-2024-038

Date de publication : 26/06/2024

Mise à jour:17-09-2024

Description

Description Gravité Remarques

Mise à jour du 17/09/2024 : ajout de versions de correctif pour le logiciel GDC pour VMware.

Mise à jour du 06/08/2024:ajout de versions de correctifs pour les pools de nœuds Ubuntu sur GKE.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26924

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2024-26924

GCP-2024-037

Publié: 18/06/2024

Description Gravité Remarques

VMware a divulgué plusieurs failles dans l'VMSA-2024-0012 qui affectent les composants vCenter déployés dans les environnements client.

Impact de Google Cloud VMware Engine

  • La faille peut être exploitée en accédant à des ports spécifiques dans vCenter Server. Google a déjà bloqué les ports vulnérables sur le serveur vCenter, ce qui empêche toute exploitation potentielle de cette faille.
  • De plus, Google s'assure que tous les futurs déploiements de vCenter ne sont pas exposés à cette faille.

Que dois-je faire ?

Aucune action supplémentaire n'est requise de votre part pour le moment.

Critique

GCP-2024-036

Publié: 18/06/2024

Description

Description Gravité Remarques

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS:

  • CVE-2024-26584

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2024-26584

GCP-2024-035

Publié: 12/06/2024

Mise à jour:18/07/2024

Description

Description Gravité Remarques

Mise à jour du 18/07/2024 : Ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE et ajout d'une version de correctif pour la version 1.27 sur les pools de nœuds Container-Optimized OS.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26584

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2024-26584

GCP-2024-034

Publié: 11/06/2024

Mise à jour:10-07-2024

Description

Description Gravité Remarques

Mise à jour du 10/07/2024:ajout de versions de correctifs pour les nœuds Container-Optimized OS exécutant les versions mineures 1.26 et 1.27, et ajout de versions de correctifs pour les nœuds Ubuntu.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS:

  • CVE-2024-26583

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2024-26583

GCP-2024-033

Publié: 10/06/2024

Mise à jour:26/09/2024

Description

Description Gravité Remarques

Mise à jour du 26/09/2024 : ajout de versions de correctif pour le logiciel GDC pour VMware.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS:

  • CVE-2022-23222

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2022-23222

GCP-2024-032

Publié: 04/06/2024

Description

Description Gravité Remarques

Les failles CVE suivantes exposent Cloud Service Mesh à des failles exploitables:

  • CVE-2024-23326: Envoy accepte de manière incorrecte la réponse HTTP 200 pour passer en mode de mise à niveau.
  • CVE-2024-32974: plantage dans EnvoyQuicServerStream::OnInitialHeadersComplete().
  • CVE-2024-32975: plantage dans QuicheDataReader::PeekVarInt62Length().
  • CVE-2024-32976: boucle infinie lors de la décompression des données Brotli avec une entrée supplémentaire.
  • CVE-2024-34362: plantage (utilisation après libération) dans EnvoyQuicServerStream.
  • CVE-2024-34363: plantage en raison d'une exception JSON nlohmann non détectée.
  • CVE-2024-34364: vecteur OOM Envoy du client HTTP asynchrone avec tampon de réponse illimité pour la réponse en miroir.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Cloud Service Mesh.

Élevée

GCP-2024-031

Publié: 24/05/2024

Description

Description Gravité Remarques

Une nouvelle faille (CVE-2024-4323) a été détectée dans Fluent Bit. Elle pourrait entraîner l'exécution de code à distance. Les versions Fluent Bit 2.0.7 à 3.0.3 sont concernées.

GKE, GKE sur VMware, GKE sur AWS, GKE sur Azure et GKE sur Bare Metal n'utilisent pas de version vulnérable de Fluent Bit et ne sont pas concernés.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Aucun CVE-2024-4323

GCP-2024-030

Date de publication : 15/05/2024

Mise à jour:18-07-2024

Description

Description Gravité Remarques

Mise à jour du 18/07/2024 : ajout de versions de correctifs pour les pools de nœuds Ubuntu sur GKE

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-52620

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2023-52620

GCP-2024-029

Publié: 14/05/2024

Mise à jour:19/08/2024

Description

Description Gravité Remarques

Mise à jour du 19/08/2024:ajout de versions de correctifs pour les pools de nœuds Ubuntu sur GKE.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26642

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2024-26642

GCP-2024-028

Publié: 13/05/2024

Mise à jour:22-05-2024

Description

Description Gravité Remarques

Mise à jour du 22/05/2024:ajout de versions de correctifs pour Ubuntu

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26581

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2024-26581

GCP-2024-027

Date de publication : 08/05/2024

Mise à jour: 25/09/2024

Description

Description Gravité Remarques

Mise à jour du 25/09/2024 : ajout de versions de correctifs pour le logiciel GDC pour VMware.

Mise à jour du 15/05/2024:ajout de versions de correctifs pour les pools de nœuds Ubuntu GKE.

Mise à jour du 09/05/2024:correction de la gravité de "Moyenne" à "Élevée" et clarification du fait que les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26808

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2024-26808

GCP-2024-026

Date de publication : 07/05/2024

Mise à jour:06/08/2024

Description

Description Gravité Remarques

Mise à jour du 06/08/2024:ajout de versions de correctifs pour les pools de nœuds Ubuntu sur GKE.

Mise à jour du 9 mai 2024:correction de la gravité de "Moyenne" à "Élevée".

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26643

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2024-26643

GCP-2024-025

Publié: 26/04/2024

Description

Description Gravité Remarques

Looker a corrigé les vulnérabilités signalées par un chercheur externe via le programme VRP (Vulnerability Reward Program (VRP) de Google et Alphabet), mais n'a trouvé aucune preuve d'exploitation. Ces problèmes sont maintenant résolus, et aucune action n'est requise de la part des clients hébergés sur Looker sur Looker (Google Cloud Core) et Looker (version initiale). Nous vous recommandons de passer à la dernière version compatible pour les instances Looker auto-hébergées.

Que dois-je faire ?

Instances hébergées par Looker: instances Looker (Google Cloud Core) et Looker (version initiale)

Aucune action n'est requise de la part du client.

Instances Looker auto-hébergées uniquement

Si votre instance Looker est auto-hébergée, nous vous recommandons de la mettre à niveau vers l'une des versions suivantes:

  • 24.6.12+
  • 24.4.27+
  • 24.2.58+
  • 24.0.65+
  • 23.18.100+
  • 23.12.105+
  • 23.6.163+

Comment ce problème a-t-il été résolu ?

Google a désactivé l'accès administrateur direct à la base de données interne depuis l'application Looker, supprimé les privilèges élevés permettant l'accès entre locataires et alterné les secrets exposés. Nous avons également corrigé les failles de traversée de chemin d'accès qui pouvaient potentiellement exposer les identifiants du compte de service. Nous procédons également à un examen approfondi de notre code et de nos systèmes afin d'identifier et de corriger toute faille potentielle similaire.

 Critique

GCP-2024-024

Publié: 25/04/2024

Mise à jour:18/07/2024

Description

Description Gravité Remarques

Mise à jour du 18/07/2024 : ajout de versions de correctifs pour les pools de nœuds Ubuntu sur GKE

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-26585

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2024-26585

GCP-2024-023

Date de publication:24/04/2024

Description

Description Gravité Remarques

Les failles CVE suivantes exposent Cloud Service Mesh à des failles exploitables:

  • CVE-2024-27919: HTTP/2: épuisement de la mémoire en raison d'une surcharge de trames CONTINUATION.
  • CVE-2024-30255: HTTP/2: épuisement du processeur en raison d'une surcharge de trames CONTINUATION
  • CVE-2024-32475: Arrêt anormal lors de l'utilisation de "auto_sni" avec un en-tête ":authority" de plus de 255 caractères.
  • CVE-2023-45288: Les trames CONTINUATION HTTP/2 peuvent être utilisées pour les attaques DoS.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Cloud Service Mesh.

Élevée

GCP-2024-022

Publié: 03/04/2024

Mise à jour:17/07/2024

Description

Description Gravité Remarques

Mise à jour du 17/07/2024:ajout de versions de correctifs pour GKE sur VMware

Mise à jour du 09/07/2024:ajout de versions de correctif pour GKE on Bare Metal

Mise à jour du 24/04/2024:ajout de versions de correctifs pour GKE.

Une faille de déni de service (DoS) (CVE-2023-45288) a été récemment découverte dans plusieurs implémentations du protocole HTTP/2, y compris sur le serveur HTTP golang utilisé par Kubernetes. Cette faille peut entraîner une attaque DoS du plan de contrôle de Google Kubernetes Engine (GKE).

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2023-45288

GCP-2024-021

Publié : 03/04/2024

Description

Description Gravité Remarques

Compute Engine n'est pas concerné par la faille CVE-2024-3094, qui affecte les versions 5.6.0 et 5.6.1 du paquet xz-utils dans la bibliothèque liblzma et peut compromettre l'utilitaire OpenSSH.

Pour en savoir plus, consultez le bulletin de sécurité Compute Engine.

 Moyenne CVE-2024-3094

GCP-2024-020

Date de publication : 02/04/2024

Description

Description Gravité Remarques

Des chercheurs ont découvert une faille (CVE-2023-48022) dans Ray. Ray est un outil Open Source tiers pour les charges de travail d'IA. Étant donné que Ray ne nécessite pas d'authentification, les acteurs de la menace peuvent exécuter du code à distance en envoyant des tâches à des instances exposées publiquement. La faille a été contestée par Anyscale, le développeur de Ray. Ray maintient que ses fonctions sont une fonctionnalité de base du produit prévue et que la sécurité doit être implémentée en dehors d'un cluster Ray, car toute exposition involontaire du cluster Ray au réseau pourrait entraîner une compromission.

D'après la réponse, cette faille CVE est contestée et peut ne pas apparaître dans les outils d'analyse des failles. Quoi qu'il en soit, il est activement exploité dans la nature, et les utilisateurs doivent configurer leur utilisation comme suggéré ci-dessous.

Que dois-je faire ?

Suivez les bonnes pratiques et consignes concernant Ray, y compris l'exécution de code de confiance sur des réseaux approuvés, afin de sécuriser vos charges de travail Ray. Le déploiement de ray.io dans les instances cloud du client relève du modèle de responsabilité partagée.

La sécurité de Google Kubernetes Engine (GKE) a publié un blog sur le renforcement de Ray sur GKE.

Pour en savoir plus sur les façons d'ajouter une authentification et une autorisation aux services Ray, consultez la documentation Identity-Aware Proxy (IAP). Les utilisateurs de GKE peuvent implémenter l'IAP en suivant ces conseils ou en réutilisant les modules Terraform associés dans le blog.

Élevée CVE-2023-48022

GCP-2024-018

Publié: 12/03/2024

Mise à jour:04-04-2024, 06-05-2024

Description

Description Gravité Remarques

Mise à jour du 06/05/2024:ajout de versions de correctif pour les pools de nœuds GKE Ubuntu.

Mise à jour du 4 avril 2024:correction des versions minimales pour les pools de nœuds GKE Container-Optimized OS.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-1085

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2024-1085

GCP-2024-017

Publié: 06/03/2024

Description

Description Gravité Remarques

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-3611

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2023-3611

GCP-2024-016

Date de publication : 05/03/2024

Description Gravité Remarques

VMware a divulgué plusieurs failles dans l'VMSA-2024-0006 qui affectent les composants ESXi déployés dans les environnements client.

Impact de Google Cloud VMware Engine

Vos clouds privés ont été mis à jour pour corriger la faille de sécurité.

Que dois-je faire ?

Aucune action n'est requise de votre part.

Critique

GCP-2024-014

Publié: 26/02/2024

Description

Description Gravité Remarques

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-3776

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2023-3776

GCP-2024-013

Publié: 27/02/2024

Description

Description Gravité Remarques

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-3610

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2023-3610

GCP-2024-012

Publié: 20/02/2024

Description

Description Gravité Remarques

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2024-0193

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2024-0193

GCP-2024-011

Publié: 15/02/2024

Description

Description Gravité Remarques

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:

  • CVE-2023-6932

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2023-6932

GCP-2024-010

Date de publication : 14/02/2024

Mise à jour:17-04-2024

Description

Description Gravité Remarques

Mise à jour du 17/04/2024:ajout de versions de correctifs pour GKE sur VMware.

Les failles suivantes ont été détectées dans le noyau Linux. Elles peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-6931

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2023-6931

GCP-2024-009

Date de publication:13/02/2024

Description

Description Gravité Remarques

Le 13 février 2024, AMD a révélé deux failles affectant SEV-SNP sur les processeurs EPYC basés sur les cœurs Zen "Milan" de troisième génération et "Genoa" de quatrième génération. Ces failles permettent aux pirates informatiques privilégiés d'accéder aux données obsolètes des invités ou de compromettre leur intégrité.

Google a appliqué des correctifs aux ressources concernées, y compris Google Cloud, pour assurer la protection des clients. Pour le moment, aucune preuve d'exploitation n'a été trouvée ni signalée à Google.

Que dois-je faire ?

Aucune action n'est requise de la part du client. Des correctifs ont déjà été appliqués à la flotte de serveurs Google pour Google Cloud, y compris à Compute Engine.

Pour en savoir plus, consultez l'avis de sécurité AMD AMD-SN-3007.

 Modérée

GCP-2024-008

Date de publication:12/02/2024

Description

Description Gravité Remarques

CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows de manière à accroître les droits d'administrateur sur ces nœuds.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2023-5528

GCP-2024-007

Publié: 08/02/2024

Description

Description Gravité Remarques

Les failles CVE suivantes exposent Cloud Service Mesh à des failles exploitables:

  • CVE-2024-23322: Envoy plante lorsqu'il est inactif et que le délai avant expiration des requêtes par tentative se produit dans l'intervalle de délai avant expiration.
  • CVE-2024-23323: utilisation excessive du processeur lorsque l'outil de correspondance de modèle d'URI est configuré à l'aide d'une expression régulière.
  • CVE-2024-23324: L'autorisation externe peut être contournée lorsque le filtre du protocole proxy définit des métadonnées UTF-8 non valides.
  • Envoy plante lorsque vous utilisez un type d'adresse non compatible avec l'OS.
  • CVE-2024-23327: plantage dans le protocole de proxy lorsque le type de commande est LOCAL.

Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité de Cloud Service Mesh.

Élevée

GCP-2024-006

Date de publication:5/02/2024

Description

Description Gravité Remarques

Lorsqu'un proxy de gestion d'API Apigee se connecte à un point de terminaison cible ou à un serveur cible, le proxy n'effectue pas de validation du nom d'hôte pour le certificat présenté par défaut par le point de terminaison cible ou le serveur cible. Si la validation du nom d'hôte n'est pas activée à l'aide de l'une des options suivantes, les proxys Apigee se connectant à un point de terminaison cible ou à un serveur cible peuvent courir le risque d'une attaque MITM ("man in the middle") par un utilisateur autorisé. Pour en savoir plus, consultez la page Configurer TLS de la périphérie au backend (cloud et cloud privé).

Les déploiements de proxy Apigee sur les plates-formes Apigee suivantes sont concernés :

  • Apigee Edge for Public Cloud
  • Apigee Edge pour le cloud privé

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Apigee.

 Élevée

GCP-2024-005

Date de publication:31/01/2024
Dernière mise à jour:02/04/2024, 06/05/2024

Description

Description Gravité Remarques

Mise à jour du 06/05/2024: ajout de versions de correctif pour GKE sur AWS et GKE sur Azure.

Mise à jour du 02-04-2024: ajout de versions de correctif pour GKE sur Bare Metal

Mise à jour du 06/03/2024: ajout de versions de correctif pour GKE sur VMware

Mise à jour du 28/02/2024: ajout de versions de correctif pour Ubuntu

Mise à jour du 15/02/2024: clarification que les versions de correctifs Ubuntu 1.25 et 1.26 de la mise à jour du 14/02/2024 peuvent entraîner des nœuds non sains.

Mise à jour du 14/02/2024: ajout de versions de correctif pour Ubuntu

Mise à jour du 06-02-2024 : ajout de versions de correctifs pour Container-Optimized OS.

Une faille de sécurité, CVE-2024-21626, a été détectée dans runc, où un utilisateur autorisé à créer des pods sur des nœuds Container-Optimized OS et Ubuntu peut obtenir un accès complet au système de fichiers de nœud.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2024-21626

GCP-2024-004

Date de publication: 24-01-2024
Dernière mise à jour:07-02-2024

Description

Description Gravité Remarques

Mise à jour du 07/02/2024 : ajout de versions de correctifs pour Ubuntu.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-6817

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2023-6817

GCP-2024-003

Date de publication:19-01-2024
Dernière mise à jour:26-01-2024

Description

Description Gravité Remarques

Mise à jour du 26/01/2024:clarification du nombre de clusters concernés et des mesures que nous avons prises pour atténuer l'impact. Pour en savoir plus, consultez le bulletin de sécurité GCP-2024-003.

Nous avons identifié plusieurs clusters dans lesquels des utilisateurs ont accordé des droits Kubernetes au groupe system:authenticated, qui inclut tous les utilisateurs disposant d'un compte Google. Ces types de liaisons ne sont pas recommandés, car ils enfreignent le principe du moindre privilège et accordent l'accès à de très grands groupes d'utilisateurs. Pour savoir comment trouver ces types de liaisons, consultez les conseils sous Que dois-je faire ?.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Moyenne

GCP-2024-002

Date de publication : 17/01/2024

Dernière mise à jour: 20-02-2024

Description

Description Gravité Remarques

Mise à jour du 20/02/2024:ajout de versions de correctifs pour GKE sur VMware.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS.

  • CVE-2023-6111

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2023-6111

GCP-2024-001

Publié: 09-01-2024

Description

Description Gravité Remarques

Plusieurs failles ont été détectées dans le micrologiciel UEFI de TianoCore EDK II. Ce micrologiciel est utilisé dans les VM Google Compute Engine. Si elles sont exploitées, ces failles peuvent permettre de contourner le démarrage sécurisé, ce qui fournirait de fausses mesures dans le processus de démarrage sécurisé, y compris lorsqu'il est utilisé dans des VM protégées.

Que dois-je faire ?

Aucune action n'est requise. Google a corrigé cette faille dans Compute Engine, et toutes les VM sont protégées contre elle.

Quelles failles ce correctif permet-il de résoudre ?

Ce correctif a permis de réduire les failles suivantes:

  • CVE-2022-36763
  • CVE-2022-36764
  • CVE-2022-36765
 Moyenne

GCP-2023-051

Publié: 28/12/2023

Description

Description Gravité Remarques

Les failles suivantes ont été détectées dans le noyau Linux. Elles peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-3609

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2023-3609

GCP-2023-050

Date de publication : 27/12/2023

Description

Description Gravité Remarques

Les failles suivantes ont été détectées dans le noyau Linux. Elles peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-3389

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2023-3389

GCP-2023-049

Publié: 20/12/2023

Description

Description Gravité Remarques

Les failles suivantes ont été détectées dans le noyau Linux. Elles peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-3090

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2023-3090

GCP-2023-048

Publié: 15/12/2023

Mise à jour:21/12/2023

Description

Description Gravité Remarques

Mise à jour du 21/12/2023:indiquez clairement que les clusters GKE Autopilot de la configuration par défaut ne sont pas affectés.

Les failles suivantes ont été détectées dans le noyau Linux. Elles peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-3390

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2023-3390

GCP-2023-047

Date de publication:14/12/2023

Description

Description Gravité Remarques

Un pirate informatique qui a compromis le conteneur de journalisation Fluent Bit peut combiner cet accès avec les privilèges élevés requis par Cloud Service Mesh (sur les clusters qui l'ont activé) pour accroître les privilèges dans le cluster.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Moyenne

GCP-2023-046

Date de publication: 22-11-2023
Dernière mise à jour:04-03-2024

Description

Description Gravité Remarques

Mise à jour du 4 mars 2024 : ajout de versions de GKE pour GKE sur VMware.

Mise à jour du 22/01/2024:ajout des versions de correctifs Ubuntu

Les failles suivantes ont été détectées dans le noyau Linux. Elles peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-5717

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2023-5717

GCP-2023-045

Publié : 20-11-2023

Mise à jour:21/12/2023

Description

Description Gravité Remarques

Mise à jour du 21/12/2023:indiquez clairement que les clusters GKE Autopilot de la configuration par défaut ne sont pas affectés.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-5197

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2023-5197

GCP-2023-044

Date de publication:15/11/2023

Description

Description Gravité Remarques

Le 14 novembre, AMD a révélé plusieurs failles affectant divers processeurs de serveur AMD. Plus précisément, les failles affectent les processeurs EPYC Server qui utilisent les cœurs Zen de 2e génération "Rome", de 3e génération "Milan" et de 4e génération "Genoa".

Google a appliqué des correctifs aux éléments concernés, y compris Google Cloud, pour assurer la protection des clients. Pour le moment, aucune preuve d'exploitation n'a été trouvée ni signalée à Google.

Que dois-je faire ?

Aucune action n'est requise de la part du client.

Des correctifs ont déjà été appliqués à la flotte de serveurs Google pour Google Cloud, y compris Google Compute Engine.

Quelles failles sont corrigées ?

Ce correctif a atténué les failles suivantes:

  • CVE-2022-23820
  • CVE-2021-46774
  • CVE-2023-20533
  • CVE-2023-20519
  • CVE-2023-20592
  • CVE-2023-20566
  • CVE-2023-20521
  • CVE-2021-46766
  • CVE-2022-23830
  • CVE-2023-20526
  • CVE-2021-26345

Pour en savoir plus, consultez l'avis de sécurité d'AMD AMD-SN-3005: "AMD INVD Instruction Security Notice", également publié sous le nom CacheWarp, et l'article AMD-SN-3002 : "AMD Server Vulnerabilities – Novembre 2023".

 Modérée

GCP-2023-043

Publié: 14/11/2023

Description

Description Gravité Remarques

Intel a révélé une faille de processeur dans certains processeurs. Google a pris des mesures pour atténuer les risques liés à son parc de serveurs, y compris Google Compute Engine pour Google Cloud, et aux appareils ChromeOS afin de protéger ses clients.

Détails de la faille:

  • CVE-2023-23583

Que dois-je faire ?

Aucune action n'est requise de la part du client.

La solution d'atténuation fournie par Intel pour les processeurs concernés a été appliquée à la flotte de serveurs Google, y compris Google Compute Engine pour Google Cloud.

Pour le moment, Google Distributed Cloud Edge nécessite une mise à jour de l'OEM. Google corrigera ce produit une fois la mise à jour disponible, et ce bulletin sera mis à jour en conséquence.

Les appareils ChromeOS sur lesquels les processeurs concernés sont concernés ont reçu automatiquement le correctif dans les versions 119, 118 et 114 (LTS).

Quelles failles sont corrigées ?

CVE-2023-23583. Pour en savoir plus, consultez l'avis de sécurité INTEL-SA-00950 d'Intel.

 Élevée CVE-2023-23583

GCP-2023-042

Date de publication: 13-11-2023
Dernière mise à jour:15-11-2023

Description

Description Gravité Remarques

Mise à jour du 15/11/2023:clarification indiquant que seules les versions mineures listées doivent passer à une version corrigée correspondante pour GKE.

Les failles suivantes ont été détectées dans le noyau Linux. Elles peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4147

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2023-4147

GCP-2023-041

Date de publication : 08/11/2023

Mise à jour:21-11-2023, 05-12-2023, 21-12-2023

Description

Description Gravité Remarques

Mise à jour du 21/12/2023:clarification que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.

Mise à jour du 05/12/2023:ajout de versions GKE supplémentaires pour les pools de nœuds Container-Optimized OS.

Mise à jour du 21/11/2023:clarification indiquant que seules les versions mineures listées doivent passer à une version corrigée correspondante pour GKE.

Les failles suivantes ont été détectées dans le noyau Linux. Elles peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4004

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2023-4004

GCP-2023-040

Date de publication : 06/11/2023

Mise à jour:21/11/2023, 21/12/2023

Description

Description Gravité Remarques

Mise à jour du 21/12/2023:clarification que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.

Mise à jour du 21/11/2023:clarification indiquant que seules les versions mineures listées doivent passer à une version corrigée correspondante pour GKE.

Les failles suivantes ont été détectées dans le noyau Linux. Elles peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4921

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2023-4921

GCP-2023-039

Date de publication:06/11/2023

Dernière mise à jour : 21/11/2023, 16/11/2023

Description

Description Gravité Remarques

Mise à jour du 21/11/2023:clarification indiquant que seules les versions mineures listées doivent passer à une version corrigée correspondante pour GKE.

Mise à jour du 16 novembre 2023:la faille associée à ce bulletin de sécurité est CVE-2023-4622. La faille CVE-2023-4623 était incorrectement listée comme faille dans une version précédente du bulletin de sécurité.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4623

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2023-4622

GCP-2023-038

Date de publication : 06/11/2023

Mise à jour:21/11/2023, 21/12/2023

Description

Description Gravité Remarques

Mise à jour du 21/12/2023:clarification que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.

Mise à jour du 21/11/2023:clarification indiquant que seules les versions mineures listées doivent passer à une version corrigée correspondante pour GKE.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4623

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2023-4623

GCP-2023-037

Date de publication:06/11/2023

Mise à jour:21/11/2023, 21/12/2023

Description

Description Gravité Remarques

Mise à jour du 21/12/2023:clarification que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.

Mise à jour du 21/11/2023:clarification indiquant que seules les versions mineures listées doivent passer à une version corrigée correspondante pour GKE.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4015

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2023-4015

GCP-2023-036

Publié : 30-10-2023

Description

Description Gravité Remarques

Deep Learning VM Image est un ensemble d'images de machines virtuelles pré-installées, dotées d'un framework de deep learning et prêtes à être exécutées immédiatement. Une faille liée à une écriture hors limite a été détectée récemment dans la fonction "ReadHuffmanCodes()" de la bibliothèque "libwebp". Les images qui utilisent cette bibliothèque peuvent être affectées.

Google Cloud analyse en continu ses images publiées et met à jour les packages pour garantir que les distributions corrigées sont incluses dans les dernières versions disponibles pour l'adoption par les clients. Les images Deep Learning VM Image ont été mises à jour pour garantir que les dernières images de VM incluent les distributions corrigées. Les clients qui adoptent les images de VM les plus récentes ne sont pas exposés à cette faille.

Que dois-je faire ?

Les clients Google Cloud qui utilisent des images de VM publiées doivent s'assurer qu'ils adoptent les dernières images et que leurs environnements sont à jour conformément au modèle de responsabilité partagée.

La faille CVE-2023-4863 peut être exploitée par un pirate informatique pour exécuter du code arbitraire. Cette faille a été identifiée dans Google Chrome avant la version 116.0.5845.187 et dans la bibliothèque "libwebp" antérieure à la version 1.3.2. Elle est référencée sous CVE-2023-4863.

 Élevée CVE-2023-4863

GCP-2023-035

Date de publication:26/10/2023

Mise à jour:21-11-2023, 21-12-2023

Description

Description Gravité Remarques

Mise à jour du 21/12/2023:clarification que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.

Mise à jour du 21/11/2023:clarification indiquant que seules les versions mineures listées doivent passer à une version corrigée correspondante pour GKE.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2023-4206CVE-2023-4207, CVE-2023-4208, CVE-2023-4128

GCP-2023-034

Publié: 25/10/2023

Mise à jour:27/10/2023

Description

Description Gravité Remarques

VMware a divulgué plusieurs failles dans l'VMSA-2023-0023 qui affectent les composants vCenter déployés dans les environnements client.

Impact du Cloud Customer Care

  • La faille peut être exploitée en accédant à des ports spécifiques dans vCenter Server. Ces ports ne sont pas exposés à l'Internet public.
  • Si les ports vCenter 2012/tcp, 2014/tcp et 2020/tcp ne sont pas accessibles par des systèmes non approuvés, vous n'êtes pas exposé à cette faille.
  • Google a déjà bloqué les ports vulnérables sur le serveur vCenter, ce qui empêche toute exploitation potentielle de cette faille.
  • De plus, Google s'assurera que tous les futurs déploiements du serveur vCenter ne sont pas exposés à cette faille.
  • Au moment de la publication de ce bulletin, VMware n'a connaissance d'aucune exploitation dans la nature. Pour en savoir plus, consultez la documentation VMware.

Que dois-je faire ?

Aucune action supplémentaire n'est requise de votre part pour le moment

 Critique CVE-2023-34048,CVE-2023-34056

GCP-2023-033

Publié:24-10-2023

Mise à jour:21-11-2023, 21-12-2023

Description

Description Gravité Remarques

Mise à jour du 21/12/2023:clarification que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés et que les charges de travail GKE Sandbox ne sont pas concernées.

Mise à jour du 21/11/2023:clarification indiquant que seules les versions mineures listées doivent passer à une version corrigée correspondante pour GKE.

Les failles suivantes ont été détectées dans le noyau Linux. Elles peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.

  • CVE-2023-3777

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2023-3777

GCP-2023-032

Publié : 2023-10-13

Mise à jour : 03-11-2023

Description

Description Gravité Remarques

Mise à jour du 03/11/2023 : ajout du problème connu pour Apigee Edge pour le cloud privé.

Une faille par déni de service (DoS) a récemment été détectée dans plusieurs implémentations du protocole HTTP/2 (CVE-2023-44487), y compris le service Apigee Ingress (Cloud Service Mesh) utilisé par Apigee X et Apigee Hybrid. La faille pourrait entraîner un déni de service de la fonctionnalité de gestion d'API Apigee.

Pour en savoir plus et obtenir des instructions, consultez le Bulletin de sécurité Apigee.

Élevée CVE-2023-44487

GCP-2023-031

Publié: 10/10/2023

Description

Description Gravité Remarques

Une attaque de déni de service peut affecter le plan de données lorsque vous utilisez le protocole HTTP/2. Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Cloud Service Mesh.

Élevée CVE-2023-44487

GCP-2023-030

Publié: 10/10/2023

Mise à jour:20-03-2024

Description

Description Gravité Remarques

Mise à jour du 20/03/2024:ajout de versions de correctif pour GKE sur AWS et GKE sur Azure avec les derniers correctifs pour CVE-2023-44487.

Mise à jour du 14/02/2024:ajout de versions de correctifs pour GKE sur VMware.

Mise à jour du 09/11/2023:ajout de la faille CVE-2023-39325. Mise à jour des versions de GKE avec les derniers correctifs pour CVE-2023-44487 et CVE-2023-39325.

Une faille par déni de service (DoS) a récemment été détectée dans plusieurs implémentations du protocole HTTP/2 (CVE-2023-44487), y compris le serveur HTTP golang utilisé par Kubernetes. La faille peut entraîner un DoS au niveau du plan de contrôle de Google Kubernetes Engine (GKE). Les clusters GKE avec des réseaux autorisés configurés sont protégés en limitant l'accès au réseau, mais tous les autres clusters sont concernés.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2023-44487, CVE-2023-39325

GCP-2023-029

Date de publication : 03/10/2023

Description

Description Gravité Remarques

TorchServe permet d'héberger des modèles de machine learning PyTorch pour la prédiction en ligne. Vertex AI fournit un modèle PyTorch prédéfini qui diffuse des conteneurs qui dépendent de TorchServe. Des failles ont été détectées récemment dans TorchServe. Elles permettent à un pirate informatique de prendre le contrôle d'un déploiement TorchServe si son API de gestion de modèle est exposée. Les clients avec des modèles PyTorch déployés sur la prédiction en ligne de Vertex AI ne sont pas affectés par ces failles, car Vertex AI n'expose pas l'API de gestion de modèles de TorchServe. Les clients qui utilisent TorchServe en dehors de Vertex AI doivent prendre des précautions pour s'assurer que leurs déploiements sont configurés de manière sécurisée.

Que dois-je faire ?

Les clients de Vertex AI qui ont déployé des modèles à l'aide des conteneurs de diffusion PyTorch prédéfinis de Vertex AI n'ont pas à intervenir pour résoudre les failles, car les déploiements de Vertex AI n'exposent pas le serveur de gestion de TorchServe à Internet.

Les clients qui utilisent des conteneurs PyTorch prédéfinis dans d'autres contextes, ou qui utilisent une distribution personnalisée ou tierce de TorchServe, doivent effectuer les opérations suivantes:

  • Assurez-vous que l'API de gestion des modèles de TorchServe n'est pas exposée sur Internet. L'API de gestion des modèles ne peut être limitée à l'accès local qu'en vous assurant que management_address est lié à 127.0.0.1.
  • Utilisez le paramètre allowed_urls pour vous assurer que les modèles ne peuvent être chargés qu'à partir de sources prévues.
  • Mettez dès que possible à niveau TorchServe vers la version 0.8.2, qui inclut des mesures d'atténuation pour ce problème. Par précaution, Vertex AI publiera des conteneurs prédéfinis corrigés d'ici le 13/10/2023.

Quelles failles sont corrigées ?

L'API de gestion de TorchServe est liée par défaut à 0.0.0.0 dans la plupart des images Docker TorchServe, y compris celles publiées par Vertex AI, ce qui la rend accessible aux requêtes externes. L'adresse IP par défaut de l'API de gestion est remplacée par 127.0.0.1 dans TorchServe 0.8.2, ce qui permet de limiter ce problème.

CVE-2023-43654 et CVE-2022-1471 permettent à un utilisateur ayant accès à l'API de gestion de charger des modèles à partir de sources arbitraires et d'exécuter du code à distance. Les atténuations pour ces deux problèmes sont incluses dans TorchServe 0.8.2: le chemin d'exécution du code à distance est supprimé, et un avertissement est émis si la valeur par défaut de allowed_urls est utilisée.

 Élevée CVE-2023-43654, CVE-2022-1471

GCP-2023-028

Date de publication:19/09/2023

Mise à jour : 29/05/2024

Description

Description Gravité Remarques
Mise à jour du 29 mai 2024: Les nouveaux flux n'utilisent plus le compte de service partagé, mais il reste actif pour les flux existants afin d'éviter toute interruption de service. Les modifications apportées à la source dans les anciens flux sont bloquées pour éviter tout usage abusif du compte de service partagé. Les clients peuvent continuer à utiliser leurs anciens flux normalement, à condition de ne pas modifier la source.

Les clients peuvent configurer Google Security Operations pour ingérer les données à partir de buckets Cloud Storage appartenant au client à l'aide d'un flux d'ingestion. Jusqu'à récemment, Google Security Operations fournissait un compte de service partagé que les clients utilisaient pour accorder une autorisation au bucket. Grâce à cette opportunité, l'instance Google Security Operations d'un client peut être configurée pour ingérer les données du bucket Cloud Storage d'un autre client. À la suite d'une analyse d'impact, nous n'avons trouvé aucune exploitation actuelle ni antérieure de cette vulnérabilité. La faille était présente dans toutes les versions de Google Security Operations antérieures au 19 septembre 2023.

Que dois-je faire ?

Le 19 septembre 2023, Google Security Operations a été mis à jour pour corriger cette faille. Aucune action n'est requise de la part du client.

Quelles failles sont corrigées ?

Auparavant, Google Security Operations fournissait un compte de service partagé que les clients utilisaient pour accorder une autorisation à un bucket. Étant donné que différents clients ont accordé la même autorisation au compte de service Google Security Operations pour leur bucket, un vecteur d'exploitation existait qui permettait au flux d'un client d'accéder au bucket d'un autre client lors de la création ou de la modification d'un flux. Ce vecteur d'exploitation nécessitait de connaître l'URI du bucket. Désormais, lors de la création ou de la modification d'un flux, Google Security Operations utilise des comptes de service uniques pour chaque client.

 Élevée

GCP-2023-027

Date de publication:11/09/2023
Description Gravité Remarques

Les mises à jour de VMware vCenter Server corrigent plusieurs failles de corruption de mémoire (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896).

Impact sur le service client

VMware vCenter Server (vCenter Server) et VMware Cloud Foundation (Cloud Foundation)

Que dois-je faire ?

Les clients ne sont pas concernés et aucune action n'est requise de leur part.

 Moyenne

GCP-2023-026

Date de publication:06/09/2023

Description

Description Gravité Remarques

Trois failles (CVE-2023-3676, CVE-2023-3955 et CVE-2023-3893) ont été détectées dans Kubernetes. Un utilisateur autorisé à créer des pods sur des nœuds Windows peut être en mesure d'obtenir des droits d'administrateur sur ces nœuds. Ces failles affectent les versions Windows de Kubelet et du proxy CSI Kubernetes.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2023-3676, CVE-2023-3955, CVE-2023-3893

GCP-2023-025

Date de publication:08/08/2023
Description Gravité Remarques

Intel a récemment publié l'avis de sécurité INTEL-SA-00828 concernant certaines de ses familles de processeurs. Nous vous encourageons à évaluer vos risques en fonction de cet avis.

Impact de Google Cloud VMware Engine

Notre flotte utilise les familles de processeurs concernées. Dans notre déploiement, l'ensemble du serveur est dédié à un seul client. Par conséquent, notre modèle de déploiement n'ajoute aucun risque supplémentaire à votre évaluation de cette faille.

Nous collaborons avec nos partenaires pour obtenir les correctifs nécessaires et les déploierons en priorité dans l'ensemble de la flotte à l'aide du processus de mise à niveau standard au cours des prochaines semaines.

Que dois-je faire ?

Aucune action de votre part n'est requise. Nous mettons à niveau tous les systèmes concernés.

 Élevée

GCP-2023-024

Date de publication:08/08/2023

Mise à jour: 10/08/2023, 04/06/2024

Description

Description Gravité Remarques

Mise à jour du 04/06/2024:les produits manquants suivants ont été mis à jour pour corriger cette faille:

  • Google Distributed Cloud Hosted
  • Google Distributed Cloud Edge

Mise à jour du 10/08/2023:ajout du numéro de version LTS de ChromeOS.

Intel a divulgué une faille dans certains processeurs (CVE-2022-40982). Google a pris des mesures pour limiter les risques liés à son parc de serveurs, y compris Google Cloud, afin de protéger ses clients.

Détails de la faille:

  • CVE-2022-40982 (Intel IPU 2023.3, "GDS" ou "Downfall")

Que dois-je faire ?

Aucune action n'est requise de la part du client.

Tous les correctifs disponibles ont déjà été appliqués à la flotte de serveurs Google pour Google Cloud, y compris Google Compute Engine.

Pour le moment, les produits suivants nécessitent des mises à jour supplémentaires de la part des partenaires et des fournisseurs.

  • Google Cloud VMware Engine
  • Google Distributed Cloud Hosted
  • Google Distributed Cloud Edge
  • Solution Bare Metal Google Cloud
  • Evolved Packet Core

Google corrigera ces produits une fois que ces correctifs seront disponibles, et ce bulletin sera mis à jour en conséquence.

Les clients Google Chromebook et ChromeOS Flex ont automatiquement reçu les mesures d'atténuation fournies par Intel dans les versions stable (115), LTS (108), bêta (116) et LTC (114). Les clients Chromebook et ChromeOS Flex qui ont épinglé une ancienne version doivent envisager de la désépingler et de passer aux versions stables ou LTS pour s'assurer de recevoir ce correctif et d'autres correctifs de failles.

Quelles failles sont corrigées ?

CVE-2022-40982 : pour en savoir plus, consultez l'avis de sécurité Intel INTEL-SA-00828.

Élevée CVE-2022-40982

GCP-2023-023

Date de publication:08/08/2023

Description

Description Gravité Remarques

AMD a divulgué une faille dans certains processeurs (CVE-2023-20569). Google a pris des mesures pour atténuer les risques liés à son parc de serveurs, y compris Google Cloud, afin de protéger ses clients.

Détails de la faille:

  • CVE-2023-20569 (AMD SB-7005, également appelé "Inception")

Que dois-je faire ?

Les utilisateurs de VM Compute Engine doivent envisager les mesures d'atténuation fournies par l'OS s'ils utilisent l'exécution de code non approuvé au sein d'une instance. Nous recommandons aux clients de contacter leurs fournisseurs d'OS pour obtenir des conseils plus spécifiques.

Des correctifs ont déjà été appliqués à la flotte de serveurs Google pour Google Cloud, y compris Google Compute Engine.

Quelles failles sont corrigées ?

CVE-2023-20569 : pour en savoir plus, consultez AMD SB-7005.

Modérée CVE-2023-20569

GCP-2023-022

Publié: 03/08/2023

Description

Description Gravité Remarques

Google a identifié une faille dans les implémentations gRPC C++ antérieures à la version 1.57. Il s'agissait d'une faille par déni de service dans l'implémentation C++ de gRPC. Ces problèmes ont été résolus dans les versions 1.53.2, 1.54.3, 1.55.2, 1.56.2 et 1.57.

Que dois-je faire ?

Assurez-vous d'utiliser les dernières versions des packages logiciels suivants:

  • Les versions 1.53, 1.54, 1.55 et 1.56 de gRPC (C++, Python, Ruby) doivent être mises à niveau vers les versions de correctif suivantes:
    • 1.53.2
    • 1.54.3
    • 1.55.2
    • 1.56.2
  • Les versions 1.52 et antérieures de gRPC (C++, Python, Ruby) doivent être mises à niveau vers l'une des versions de correctif approuvées. Par exemple, 1.53.2, 1.54.3, 1.53.4, etc.

Quelles failles sont corrigées ?

Ces correctifs réduisent les risques liés aux failles suivantes:

  • Vulnérabilité de déni de service dans les implémentations gRPC C++: des requêtes spécialement conçues peuvent entraîner la fin de la connexion entre un proxy et un backend.
Élevée CVE-2023-33953

GCP-2023-021

Updated:2023-07-26

Published:2023-07-25

Description

Description Gravité Remarques

Les failles CVE suivantes exposent Cloud Service Mesh à des failles exploitables:

  • CVE-2023-35941: dans certains scénarios spécifiques, un client malveillant est capable de créer des identifiants avec une validité permanente. Par exemple, la combinaison de l'hôte et de l'heure d'expiration dans la charge utile HMAC peut toujours être valide dans la vérification HMAC du filtre OAuth2.
  • CVE-2023-35942: les journaux d'accès gRPC qui utilisent le champ d'application global de l'écouteur peuvent provoquer un plantage de type use-after-free lorsque l'écouteur est vidé. Cela peut être déclenché par une mise à jour du LDS avec la même configuration du journal des accès gRPC.
  • CVE-2023-35943: si l'en-tête origin est configuré pour être supprimé avec request_headers_to_remove: origin, le filtre CORS segfault et plante Envoy.
  • CVE-2023-35944: les pirates informatiques peuvent envoyer des requêtes de schémas mixtes pour contourner les vérifications de schéma dans Envoy. Par exemple, si une requête avec un schéma HTTP mixte est envoyée au filtre OAuth2, les vérifications de correspondance exacte pour HTTP échoueront et le point de terminaison distant sera informé que le schéma est HTTPS, ce qui peut contourner les vérifications OAuth2 spécifiques aux requêtes HTTP.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Cloud Service Mesh.

Élevée

GCP-2023-020

Updated:2023-07-26

Publié: 24/07/2023

Description

Description Gravité Remarques

AMD a publié une mise à jour du microcode qui corrige une faille de sécurité matérielle (CVE-2023-20593). Google a appliqué les correctifs nécessaires à cette faille à son parc de serveurs, y compris les serveurs pour Google Cloud Platform. Les tests indiquent qu'il n'y a aucun impact sur les performances des systèmes.

Que dois-je faire ?

Aucune action n'est requise de la part des clients, car des correctifs ont déjà été appliqués à la flotte de serveurs Google pour Google Cloud Platform.

Quelles failles sont corrigées ?

CVE-2023-20593 corrige une faille dans certains processeurs AMD. Pour en savoir plus, cliquez ici.

Élevée CVE-2023-20593

GCP-2023-019

Published:2023-07-18

Description

Description Gravité Remarques

Une nouvelle faille (CVE-2023-35945) a été détectée dans Envoy, dans laquelle une réponse spécialement conçue par un service en amont non approuvé peut entraîner un déni de service par épuisement de la mémoire. Cela est dû au codec HTTP/2 d'Envoy, qui peut fuir une carte d'en-tête et des structures de comptabilité lors de la réception de RST_STREAM immédiatement suivie des trames GOAWAY d'un serveur en amont.

Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité de Cloud Service Mesh.

Élevée CVE-2023-35945

GCP-2023-018

Date de publication:27/06/2023

Description

Description Gravité Remarques

Une nouvelle faille (CVE-2023-2235) a été détectée dans le noyau Linux, qui peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE Autopilot sont concernés, car les nœuds GKE Autopilot utilisent toujours des images de nœuds Container-Optimized OS. Les clusters GKE Standard version 1.25 ou ultérieure exécutant des images de nœud Container-Optimized OS sont concernés.

Les clusters GKE ne sont pas affectés s'ils n'exécutent que des images de nœuds Ubuntu, s'ils exécutent des versions antérieures à la version 1.25 ou s'ils utilisent GKE Sandbox.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2023-2235

GCP-2023-017

Date de publication:26/06/2023

Mise à jour:11/07/2023

Description

Description Gravité Remarques

Mise à jour du 11/07/2023:les nouvelles versions de GKE ont été mises à jour pour inclure les dernières versions d'Ubuntu qui corrigent la faille CVE-2023-31436.

Une nouvelle faille (CVE-2023-31436) a été détectée dans le noyau Linux, qui peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE, y compris les clusters Autopilot, sont affectés. Les clusters GKE utilisant GKE Sandbox ne sont pas concernés.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2023-31436

GCP-2023-016

Date de publication:26/06/2023

Description

Description Gravité Remarques

Un certain nombre de failles ont été détectées dans Envoy, qui est utilisé dans Cloud Service Mesh. Elles permettent à un pirate informatique malveillant de provoquer un déni de service ou de planter Envoy. Ils ont été signalés séparément sous la référence GCP-2023-002.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487

GCP-2023-015

Date de publication:20/06/2023

Description

Description Gravité Remarques

Une nouvelle faille, CVE-2023-0468, a été détectée dans le noyau Linux. Elle pourrait permettre à un utilisateur non privilégié d'élever ses droits à la racine lorsque io_poll_get_ownership continuera d'augmenter req->poll_refs à chaque io_poll_wake, puis d'atteindre 0, ce qui entraînera la mise en file d'attente de req->file deux fois et un problème de référence de struct file. Les clusters GKE, y compris les clusters Autopilot, avec Container-Optimized OS avec Linux Kernel version 5.15, sont concernés. Les clusters GKE utilisant des images Ubuntu ou GKE Sandbox ne sont pas affectés.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Moyenne CVE-CVE-2023-0468

GCP-2023-014

Mise à jour: 11/08/2023
Date de publication:15/06/2023

Description

Description Gravité Remarques

Mise à jour du 11/08/2023 : ajout de versions de correctif pour GKE sur VMware, GKE sur AWS, GKE sur Azure et Google Distributed Cloud Virtual for Bare Metal.

Deux nouveaux problèmes de sécurité ont été détectés dans Kubernetes. Les utilisateurs peuvent lancer des conteneurs qui contournent les restrictions de stratégie lorsqu'ils utilisent des conteneurs éphémères et ImagePolicyWebhook (CVE-2023-2727) ou le plug-in d'admission ServiceAccount (CVE-2023-2728).

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Moyenne CVE-2023-2727, CVE-2023-2728

GCP-2023-013

Date de publication:08/06/2023

Description

Description Gravité Remarques

Lorsque vous activez l'API Cloud Build dans un projet, Cloud Build crée automatiquement un compte de service par défaut pour exécuter des builds en votre nom. Ce compte de service Cloud Build disposait auparavant de l'autorisation IAM logging.privateLogEntries.list, qui permettait aux compilations d'accéder à la liste des journaux privés par défaut. Cette autorisation a été révoquée pour le compte de service Cloud Build afin de respecter le principe de sécurité du moindre privilège.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité de Cloud Build.

 Faible

GCP-2023-010

Date de publication:07/06/2023

Description

Description Gravité Remarques

Google a identifié trois nouvelles failles dans l'implémentation gRPC C++. Elles seront bientôt publiées publiquement sous les numéros CVE-2023-1428, CVE-2023-32731 et CVE-2023-32732.

En avril, nous avons identifié deux failles dans les versions 1.53 et 1.54. L'une était une faille de déni de service dans l'implémentation C++ de gRPC, et l'autre une faille d'exfiltration de données à distance. Ils ont été corrigés dans les versions 1.53.1, 1.54.2 et ultérieures.

En mars dernier, nos équipes internes ont découvert une faille par déni de service dans l'implémentation C++ de gRPC lors d'activités de fuzzing de routine. Il a été détecté dans la version gRPC 1.52 et a été corrigé dans les versions 1.52.2 et 1.53.

Que dois-je faire ?

Assurez-vous d'utiliser les dernières versions des packages logiciels suivants:

  • Les versions 1.52, 1.53 et 1.54 de grpc (C++, Python, Ruby) doivent être mises à niveau vers les versions de correctif suivantes :
    • 1.52.2
    • 1.53.1
    • 1.54.2
  • Les versions 1.51 et antérieures de grpc (C++, Python, Ruby) ne sont pas concernées. Les utilisateurs de ces versions ne peuvent donc effectuer aucune action.

Quelles failles ces correctifs permettent-ils de résoudre ?

Ces correctifs réduisent les risques liés aux failles suivantes:

  • Les versions 1.53.1, 1.54.2 et ultérieures corrigent la faille de déni de service dans l'implémentation gRPC C++. Des requêtes spécialement conçues peuvent entraîner la rupture de la connexion entre un proxy et un backend. Vulnérabilité d'exfiltration de données à distance: la désynchronisation dans la table HPACK en raison des limites de taille des en-têtes peut entraîner une fuite de données d'en-tête d'autres clients connectés à un proxy par les backends de proxy.
  • Les versions 1.52.2, 1.53 et ultérieures corrigent la faille de déni de service dans l'implémentation C++ de gRPC. L'analyse de certaines requêtes spécifiquement formulées peut entraîner un plantage affectant un serveur.

Nous vous recommandons de passer aux dernières versions des packages logiciels suivants, comme indiqué ci-dessus.

 Élevé (CVE-2023-1428, CVE-2023-32731) Moyen (CVE-2023-32732) CVE-2023-1428, CVE-2023-32731, CVE-023-32732

GCP-2023-009

Date de publication:06/06/2023

Description

Description Gravité Remarques

Une nouvelle faille (CVE-2023-2878) a été découverte dans le pilote "secrets-store-csi-driver". Elle permet à un acteur ayant accès aux journaux du pilote d'observer les jetons de compte de service.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Aucun CVE-2023-2878

GCP-2023-008

Date de publication:05/06/2023

Description

Description Gravité Remarques

Une nouvelle faille (CVE-2023-1872) a été détectée dans le noyau Linux, qui peut entraîner une élévation des privilèges à la racine sur le nœud.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2023-1872

GCP-2023-007

Date de publication : 02/06/2023

Description

Description Gravité Remarques

Une faille a récemment été découverte dans Cloud SQL pour SQL Server, qui permettait aux comptes administrateur du client de créer des déclencheurs dans la base de données tempdb et de les utiliser pour obtenir les droits associés au rôle sysadmin sur l'instance. Les droits de sysadmin permettent au pirate informatique d'avoir accès aux bases de données système et un accès partiel à la machine exécutant cette instance SQL Server.

Google Cloud a résolu le problème en corrigeant la faille de sécurité avant le 1er mars 2023. Google Cloud n'a trouvé aucune instance client compromise.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Cloud SQL.

 Élevée

GCP-2023-005

Date de publication:18/05/2023

Mise à jour:06/06/2023

Description

Description Gravité Remarques

Mise à jour du 06/06/2023:les nouvelles versions de GKE ont été mises à jour pour inclure les dernières versions d'Ubuntu qui corrigent les failles CVE-2023-1281 et CVE-2023-1829.

Deux nouvelles failles (CVE-2023-1281 et CVE-2023-1829) ont été détectées dans le noyau Linux. Elles peuvent entraîner une escalade des privilèges vers root sur le nœud.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2023-1281 CVE-2023-1829

GCP-2023-004

Date de publication:26/04/2023

Description

Description Gravité Remarques

Deux failles (CVE-2023-1017 et CVE-2023-1018) ont été détectées dans le TPM (Trusted Platform Module) 2.0.

Ces failles auraient pu permettre à un pirate informatique sophistiqué d'exploiter une lecture/écriture hors limites de 2 octets sur certaines VM Compute Engine.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Compute Engine.

 Moyenne

GCP-2023-003

Publié: 11/04/2023

Mise à jour:21-12-2023

Description

Description Gravité Remarques

Mise à jour du 21/12/2023:clarification que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.

Deux nouvelles failles, CVE-2023-0240 et CVE-2023-23586, ont été détectées dans le noyau Linux. Elles pourraient permettre à un utilisateur non privilégié d'élever ses droits.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2023-0240, CVE-2023-23586

GCP-2023-002

Description

Description Gravité Remarques

Les failles CVE suivantes exposent Cloud Service Mesh à des failles exploitables:

  • CVE-2023-27496: si Envoy s'exécute avec le filtre OAuth activé et exposé, un acteur malveillant peut créer une requête qui entraînera un déni de service en faisant planter Envoy.
  • CVE-2023-27488: le pirate informatique peut exploiter cette faille pour contourner les vérifications d'authentification lorsque ext_authz est utilisé.
  • CVE-2023-27493: la configuration d'Envoy doit également inclure une option permettant d'ajouter des en-têtes de requête générés à l'aide des entrées de la requête, telles que le SAN du certificat de pair.
  • CVE-2023-27492: les pirates informatiques peuvent envoyer de grands corps de requête pour les routes pour lesquelles le filtre Lua est activé et déclencher des plantages.
  • CVE-2023-27491: les pirates informatiques peuvent envoyer des requêtes HTTP/2 ou HTTP/3 spécialement conçues pour déclencher des erreurs d'analyse sur le service en amont HTTP/1.
  • CVE-2023-27487: l'en-tête "x-envoy-original-path" doit être un en-tête interne, mais Envoy ne le supprime pas de la requête au début du traitement de la requête lorsqu'elle est envoyée depuis un client non approuvé.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Cloud Service Mesh :

Élevée

GCP-2023-001

Date de publication:01/03/2023, 21/12/2023

Description

Description Gravité Remarques

Mise à jour du 21/12/2023:clarification que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.

Une nouvelle faille (CVE-2022-4696) a été détectée dans le noyau Linux, qui peut entraîner une élévation des privilèges sur le nœud.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Élevée CVE-2022-4696

GCP-2022-026

Date de publication:11/01/2023

Description

Description Gravité Remarques

Deux nouvelles failles (CVE-2022-3786 et CVE-2022-3602) ont été détectées dans OpenSSL v3.0.6, qui peuvent potentiellement provoquer un plantage.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Moyenne

GCP-2022-025

Date de publication:21/12/2022
Dernière mise à jour:19/01/2023, 21/12/2023

Description

Description Gravité Remarques

Mise à jour du 21/12/2023:clarification que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.

Mise à jour du 19/01/2023:Ajout d'informations indiquant que la version 1.21.14-gke.14100 de GKE est disponible.

Deux nouvelles failles (CVE-2022-3786 et CVE-2022-3602) ont été détectées dans OpenSSL v3.0.6, qui peuvent potentiellement provoquer un plantage.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

 Moyenne

GCP-2022-024

Date de publication:09/11/2022

Mise à jour:19/01/2023

Description

Description Gravité Remarques

Mise à jour du 19/01/2023:Ajout d'informations indiquant que la version 1.21.14-gke.14100 de GKE est disponible.

Mise à jour du 16/12/2022:ajout de versions de correctif pour GKE et GKE sur VMware.

Deux nouvelles failles (CVE-2022-2585 et CVE-2022-2588) ont été découvertes dans le noyau Linux. Elles peuvent entraîner l'apparition d'un conteneur complet en racine sur le nœud.

Pour en savoir plus et obtenir des instructions, consultez les pages suivantes :

 Élevée

GCP-2022-023

Date de publication:04/11/2022

Description

Description Gravité Remarques

Une faille de sécurité, CVE-2022-39278, a été détectée dans Istio, qui est utilisé dans Cloud Service Mesh. Elle permet à un pirate informatique malveillant de planter le plan de contrôle.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

Élevée CVE-2022-39278

GCP-2022-022

Publié:28/10/2022

Mise à jour:14-12-2022

Description

Description Gravité Remarques

Mise à jour du 14/12/2022:ajout de versions de correctif pour GKE et GKE sur VMware.

Une nouvelle faille, CVE-2022-20409, a été détectée dans le noyau Linux. Elle pourrait permettre à un utilisateur non privilégié d'obtenir les droits d'exécution système.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

Élevée CVE-2022-20409

GCP-2022-021

Publié:27/10/2022

Dernière mise à jour: 19/01/2023, 21/12/2023

Description

Description Gravité Remarques

Mise à jour du 21/12/2023:clarification que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.

Mise à jour du 19/01/2023:Ajout d'informations indiquant que la version 1.21.14-gke.14100 de GKE est disponible.

Mise à jour du 15/12/2022:nous avons mis à jour les informations indiquant que la version 1.21.14-gke.9400 de Google Kubernetes Engine est en attente de déploiement et qu'elle peut être remplacée par un numéro de version supérieur.

Mise à jour du 22/11/2022:ajout de versions de correctif pour GKE sur VMware, GKE sur AWS et GKE sur Azure.

Une nouvelle faille, CVE-2022-3176, a été détectée dans le noyau Linux, qui peut entraîner l'élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'échapper complètement au conteneur pour arriver à la racine du nœud.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

Élevée CVE-2022-3176

GCP-2022-020

Date de publication:05/10/2022

Dernière mise à jour: 12/10/2022

Description

Description Gravité Remarques

Le plan de contrôle Istio istiod est vulnérable aux erreurs de traitement des requêtes, ce qui permet à un pirate informatique d'envoyer un message conçu à des fins malveillantes, qui va entraîner le plantage du plan de contrôle lorsque le webhook de validation d'un cluster est exposé publiquement. Ce point de terminaison est desservi via le port TLS 15017, mais ne nécessite aucune authentification de la part du pirate.

Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité de Cloud Service Mesh.

 Élevée CVE-2022-39278

GCP-2022-019

Date de publication:22/09/2022

Description

Description Gravité Remarques

Une faille d'analyse de message et de gestion de la mémoire dans les implémentations C++ et Python de ProtocolBuffer peut déclencher une erreur de mémoire insuffisante (OOM) lors du traitement d'un message spécialement conçu. Cela peut entraîner un déni de service (DoS) sur les services qui utilisent les bibliothèques.

Que dois-je faire ?

Assurez-vous d'utiliser les dernières versions des packages logiciels suivants:

  • protobuf-cpp (3.18.3, 3.19.5, 3.20.2, 3.21.6)
  • protobuf-python (3.18.3, 3.19.5, 3.20.2, 4.21.6)

Quelles failles ce correctif permet-il de résoudre ?

Ce correctif réduit les risques liés à la faille suivante :

Petit message spécialement conçu qui amène le service en cours d'exécution à allouer de grandes quantités de RAM. La petite taille de la requête signifie qu'il est facile de profiter de la faille et d'épuiser les ressources. Les systèmes C++ et Python qui utilisent des tampons de protocole non approuvés seront vulnérables aux attaques DoS s'ils contiennent un objet MessageSet dans leur requête RPC.

Moyenne CVE-2022-1941

GCP-2022-018

Date de publication:01/08/2022

Mise à jour:14-09-2022, 21-12-2023

Description

Description Gravité Remarques

Mise à jour du 21/12/2023:indiquez clairement que les clusters GKE Autopilot de la configuration par défaut ne sont pas affectés.

Mise à jour du 14/09/2022:ajout de versions de correctif pour GKE sur VMware, GKE sur AWS et GKE sur Azure.

Une nouvelle faille (CVE-2022-2327) a été détectée dans le noyau Linux, qui peut entraîner l'élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'échapper complètement au conteneur pour arriver à la racine du nœud.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

Élevée CVE-2022-2327

GCP-2022-017

Date de publication:29/06/2022
Dernière mise à jour:22/11/2022

Description

Description Gravité Remarques

Mise à jour du 22/11/2022:les charges de travail utilisant GKE Sandbox ne sont pas affectées par ces failles.

Mise à jour du 21/07/2022:informations supplémentaires sur GKE sur VMware.

Une nouvelle faille (CVE-2022-1786) a été détectée dans les versions de noyau Linux 5.10 et 5.11. Cette faille permet à un utilisateur non privilégié disposant d'un accès local au cluster de s'échapper d'un conteneur pour obtenir un accès racine au nœud. Seuls les clusters qui exécutent Container-Optimized OS sont affectés. Les versions d'Ubuntu GKE utilisent la version 5.4 ou 5.15 du noyau et ne sont pas affectées.

Pour en savoir plus et obtenir des instructions, consultez les pages suivantes:

 Élevée CVE-2022-1786

GCP-2022-016

Date de publication:23/06/2022
Dernière mise à jour:22/11/2022

Description

Description Gravité Remarques

Mise à jour du 22 novembre 2022:les clusters Autopilot ne sont pas concernés par CVE-2022-29581, mais sont vulnérables à CVE-2022-29582 et CVE-2022-1116.

Trois nouvelles failles de corruption de mémoire (CVE-2022-29581, CVE-2022-29582 et CVE-2022-1116) ont été détectées dans le noyau Linux. Ces failles permettent à un utilisateur non privilégié disposant d'un accès local au cluster de s'en échappement du conteneur complètement pour arriver à la racine du nœud. Tous les clusters Linux (Container-Optimized OS et Ubuntu) sont affectés.

Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants:

 Élevée

GCP-2022-015

Date de publication:09/06/2022
Dernière mise à jour:10/06/2022

Description

Description Gravité Remarques

Mise à jour du 10/06/2022:les versions de Cloud Service Mesh ont été mises à jour. Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Cloud Service Mesh.

Les failles CVE Envoy et Istio suivantes exposent Cloud Service Mesh et Istio sur GKE à des failles exploitables à distance:

  • CVE-2022-31045: le plan de données Istio peut potentiellement accéder à la mémoire de manière non sécurisée lorsque les extensions Metadata Exchange et Stats sont activées.
  • CVE-2022-29225: les données peuvent dépasser les limites des tampons intermédiaires si un pirate informatique transmet une petite charge utile présentant un taux de compression élevé (attaque de type "bombe zip").
  • CVE-2021-29224: déréférencement possible du pointeur nul dans GrpcHealthCheckerImpl.
  • CVE-2021-29226: le filtre OAuth permet de contourner simplement la protection assurée pour Envoy.
  • CVE-2022-29228: le filtre OAuth peut corrompre la mémoire (pour les versions antérieures) ou déclencher une fonction ASSERT() (pour les versions ultérieures).
  • CVE-2022-29227: plantage des redirections internes pour les requêtes comportant un corps ou des bandes-annonces.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Cloud Service Mesh.

Critique

GCP-2022-014

Date de publication:26/04/2022
Dernière mise à jour:22/11/2022

Description

Description Gravité Remarques

Mise à jour du 22/11/2022:les clusters GKE Autopilot et les charges de travail exécutées dans GKE Sandbox ne sont pas affectés.

Mise à jour du 12/05/2022:les versions de GKE sur AWS et de GKE sur Azure ont été mises à jour. Pour obtenir des instructions et en savoir plus, consultez les pages suivantes:

Deux failles de sécurité, CVE-2022-1055 et CVE-2022-27666, ont été détectées dans le noyau Linux. Chacune d'entre elles peut permettre à un pirate informatique local d'effectuer une interruption des conteneurs, une élévation des privilèges sur l'hôte, ou les deux. Ces failles affectent tous les systèmes d'exploitation du nœud GKE (Container-Optimized OS et Ubuntu). Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants :

Élevée CVE-2022-1055
CVE-2022-27666

GCP-2022-013

Date de publication:11-04-2022
Dernière mise à jour:22-04-2022

Description

Description Gravité Remarques

Une faille de sécurité, CVE-2022-23648, a été détectée dans la gestion du balayage de chemin d'accès de containerd dans la spécification du volume d'images OCI. Les conteneurs lancés via l'implémentation CRI de containerd avec une configuration d'image spécialement conçue à cet effet peuvent bénéficier d'un accès en lecture complet aux fichiers et répertoires arbitraires de l'hôte. Cette faille peut contourner toute application basée sur des règles lors de la configuration du conteneur (y compris une stratégie de sécurité des pods Kubernetes).

Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants :

Moyenne CVE-2022-23648

GCP-2022-012

Date de publication:07/04/2022
Dernière mise à jour:22/11/2022

Description

Description Gravité Remarques

Mise à jour du 22/11/2022:pour les clusters GKE dans les deux modes (Standard et Autopilot), les charges de travail utilisant GKE Sandbox ne sont pas affectées.

Une faille de sécurité, CVE-2022-0847, a été détectée dans les versions 5.8 et ultérieures du noyau Linux. Celle-ci peut potentiellement faire remonter les droits du conteneur à la racine. Cette faille affecte les produits suivants:

  • Versions 1.22 et ultérieures des pools de nœuds GKE qui utilisent des images Container-Optimized OS (Container-Optimized OS 93 et versions ultérieures)
  • GKE sur VMware v1.10 pour les images Container-Optimized OS
  • GKE sur AWS v1.21 et GKE sur AWS (génération précédente) v1.19, v1.20, v1.21, qui utilisent Ubuntu
  • Clusters gérés de GKE sur Azure v1.21 qui utilisent Ubuntu

Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants :

Élevée CVE-2022-0847

GCP-2022-011

Date de publication: 22/03/2022
Dernière mise à jour: 11/08/2022

Description

Description Gravité

Mise à jour du 11/08/2022 : ajout d'informations sur la configuration multithread (Simultaneous Multi-Threading) . SMT était destiné à être désactivé, mais il a été activé sur les versions répertoriées.

Si vous avez activé manuellement SMT pour un pool de nœuds en bac à sable, SMT restera activé manuellement, malgré ce problème.

Il existe une erreur de configuration avec le mode SMT (Simultaneous Multi-Threading), également appelé Hyper-Threading, sur les images GKE Sandbox. L'erreur de configuration laisse des nœuds potentiellement exposés à des attaques de versions secondaires, telles que l'échantillonnage des données microarchitecturales (pour en savoir plus, consultez la documentation de GKE Sandbox). Nous vous déconseillons d'utiliser les versions concernées suivantes :

  • 1.22.4-gke.1501
  • 1.22.6-gke.300
  • 1.23.2-gke.300
  • 1.23.3-gke.600

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité de GKE.

 Moyenne

GCP-2022-010

Description

Description Gravité Remarques

La faille CVE Istio suivante expose Cloud Service Mesh à une faille exploitable à distance:

  • CVE-2022-24726: le plan de contrôle Istio, "istiod", est vulnérable à une erreur de traitement des requêtes, ce qui permet à un pirate informatique malveillant qui envoie un message spécialement conçu, entraînant le plantage du plan de contrôle lorsque le webhook de validation d'un cluster est exposé publiquement. Ce point de terminaison est desservi via le port TLS 15017, mais ne nécessite aucune authentification de la part du pirate.

Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité suivant:

Élevée

GCP-2022-009

Date de publication:01/03/2022

Description

Description Gravité

Certains chemins inattendus permettant d'accéder à la VM de nœud sur les clusters GKE Autopilot auraient pu être utilisés pour une élévation des privilèges dans le cluster. Ces problèmes ont été corrigés et aucune autre action n'est requise. Ces correctifs permettent de résoudre les problèmes signalés via notre Vulnerability Reward Program.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité de GKE.

 Faible

GCP-2022-008

Date de publication:23/02/2022
Dernière mise à jour: 28/04/2022

Description

Description Gravité Remarques

Mise à jour du 28/04/2022 : ajout de versions de GKE sur VMware qui corrigent ces failles. Pour en savoir plus, consultez le bulletin de sécurité de GKE sur VMware.

Le projet Envoy a récemment découvert un ensemble de failles. Tous les problèmes répertoriés ci-dessous sont résolus dans la version 1.21.1 d'Envoy.
  • CVE-2022-23606 : lorsqu'un cluster est supprimé via le service de détection de clusters (CDS), toutes les connexions inactives établies avec les points de terminaison de ce cluster sont interrompues. Une récursion a été introduite par erreur dans la version 1.19 d'Envoy pour la procédure de déconnexion des connexions inactives, ce qui peut entraîner l'épuisement de la pile et l'arrêt anormal du processus lorsqu'un cluster comporte un grand nombre de connexions inactives.
  • CVE-2022-21655 : le code de redirection interne d'Envoy suppose qu'une entrée de route existe. Lorsqu'une redirection interne est effectuée vers un parcours qui comporte une entrée de réponse directe et aucune entrée de parcours, le déréférencement d'un pointeur nul entraîne un plantage.
  • CVE-2021-43826 : lorsque Envoy est configuré pour utiliser tcp_proxy utilisant un tunneling en amont (via HTTP) et une terminaison TLS en aval, Envoy plante si le client en aval se déconnecte lors du handshake TLS alors que le flux HTTP en amont est toujours en cours d'établissement. La déconnexion en aval peut être initiée par le client ou le serveur. Le client peut se déconnecter pour n'importe quelle raison. Le serveur peut se déconnecter si, par exemple, il ne dispose pas de chiffrements TLS ni de versions du protocole TLS compatibles avec le client. Il est également possible de déclencher ce plantage dans d'autres configurations en aval.
  • CVE-2021-43825 : l'envoi d'une réponse générée localement doit arrêter le traitement ultérieur des données de requête ou de réponse. Envoy suit la quantité de données de requête et de réponse mises en mémoire tampon, et interrompt la requête si la quantité de données mises en mémoire tampon dépasse la limite en envoyant des réponses 413 ou 500. Toutefois, lorsque la réponse générée localement est envoyée en raison des débordements de tampon internes pendant le traitement de la réponse par la chaîne de filtres, l'opération peut ne pas être interrompue correctement et entraîner l'accès à un bloc de mémoire libéré.
  • CVE-2021-43824 : Envoy plante lors de l'utilisation du filtre JWT avec une règle de correspondance "safe_regex" et une requête spécialement conçue, comme "CONNECT host:port HTTP/1.1". Lorsque vous atteignez le filtre JWT, une règle "safe_regex" doit évaluer le chemin d'URL, mais il n'y en a pas ici, et Envoy plante avec des erreurs de segmentation.
  • CVE-2022-21654 : Envoy n'autorise pas correctement la reprise de session TLS après la reconfiguration des paramètres de validation mTLS. Si un certificat client était autorisé avec l'ancienne configuration, mais non autorisé avec la nouvelle, le client pouvait reprendre la session TLS précédente, même si la configuration actuelle devait l'interdire. Les modifications apportées aux paramètres suivants sont concernées :
    • match_subject_alt_names
    • Modifications apportées à la LRC
    • allow_expired_certificate
    • Trust_chain_verification
    • only_verify_leaf_cert_crl
  • CVE-2022-21657 : Envoy ne limite pas l'ensemble de certificats qu'il accepte du pair (en tant que client TLS ou serveur TLS) aux seuls certificats contenant l'élément "ExtendedKeyUsage" requis (respectivement id-kp-serverAuth et id-kp-clientAuth). Cela signifie qu'un pair peut présenter un certificat de messagerie (par exemple, id-kp-emailProtection), soit en tant que certificat de feuille, soit en tant qu'autorité de certification dans la chaîne, et qu'il sera accepté pour TLS. Cela est particulièrement grave en cas de combinaison avec CVE-2022-21656 , car il permet à une autorité de certification PKI Web destinée uniquement à être utilisée avec S/MIME, et donc exemptée d'audit ou de supervision, d'émettre des certificats TLS qui seront acceptés par Envoy.
  • CVE-2022-21656 : l'implémentation du validateur utilisée pour implémenter les routines de validation de certificat par défaut comporte un bug de "confusion de type" lors du traitement des subjectAltNames. Ce traitement permet, par exemple, d'authentifier un objet rfc822Name ou uniformResourceIndicator en tant que nom de domaine. Cette confusion permet le contournement de nameConstraints, tel qu'il est traité par la mise en œuvre OpenSSL/BoringSSL sous-jacente, ce qui expose le risque d'usurpation d'identité de serveurs arbitraires.
Pour obtenir des instructions détaillées sur des produits spécifiques, consultez les bulletins de sécurité suivants:
Que dois-je faire ?
Les utilisateurs d'Envoy qui gèrent leurs propres Envoy doivent s'assurer qu'ils utilisent la version 1.21.1 d'Envoy. Les utilisateurs Envoy qui gèrent leurs propres fichiers Envoy créent les binaires à partir d'une source telle que GitHub et les déploient.

Aucune action n'est requise de la part des utilisateurs qui exécutent des serveurs Envoy gérés (Google Cloud fournit les binaires Envoy), pour lesquels les produits Google Cloud passeront à la version 1.21.1. 		Élevée CVE-2022-23606
CVE-2022-21655
CVE-2021-43826
CVE-2021-43825
CVE-2021-43824
CVE-2022-21654CVE-2022-21657

GCP-2022-007

Date de publication:22/02/2022

Description

Description Gravité Remarques

Les failles CVE Envoy et Istio suivantes exposent Cloud Service Mesh et Istio sur GKE à des failles exploitables à distance:

  • CVE-2022-23635: Istiod plante en cas de réception de requêtes avec un en-tête authorization spécialement conçu.
  • CVE-2021-43824: déréférencement possible de pointeur NULL lorsque vous utilisez la correspondance safe_regex du filtre JWT
  • CVE-2021-43825: utilisation après libération lorsque les filtres de réponse augmentent le volume de données de réponse et que l'augmentation du volume de données dépasse les limites de la mémoire tampon en aval.
  • CVE-2021-43826: vulnérabilité de type "use-after-free" lors de la tunnelisation TCP sur HTTP, en cas de déconnexion en aval lors de l'établissement de la connexion en amont.
  • CVE-2022-21654: une gestion de configuration incorrecte permet de réutiliser une session mTLS sans revalidation après la modification des paramètres de validation.
  • CVE-2022-21655: traitement incorrect des redirections internes vers des routes avec une entrée de réponse directe.
  • CVE-2022-23606: épuisement de la pile lorsqu'un cluster est supprimé via le service de découverte de cluster.

Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants:

Élevée

GCP-2022-006

Date de publication:14/02/2022
Dernière mise à jour: 16/05/2022

Description

Description Gravité Remarques

Mise à jour du 16/05/2022:ajout de la version 1.19.16-gke.7800 de GKE ou d'une version ultérieure à la liste des versions contenant du code pour corriger cette faille. Pour en savoir plus, consultez le bulletin de sécurité GKE.

Mise à jour du 12/05/2022:les versions de GKE, GKE sur VMware, GKE sur AWS et GKE sur Azure ont été mises à jour. Pour en savoir plus et obtenir des instructions, consultez les pages suivantes:

Une faille de sécurité, CVE-2022-0492, a été détectée dans la fonction cgroup_release_agent_write du noyau Linux. L'attaque utilise des espaces de noms utilisateur non privilégiés et, dans certaines circonstances, peut être exploitable pour l'interruption d'un conteneur.

 Faible

Pour en savoir plus et obtenir des instructions, consultez les pages suivantes :

GCP-2022-005

Date de publication:11-02-2022
Dernière mise à jour: 15-02-2022

Description

Description Gravité Remarques

Une faille de sécurité, CVE-2021-43527, a été détectée dans tout binaire lié aux versions vulnérables de libnss3 trouvées dans les versions NSS (Network Security Services) antérieures à la version 3.73 ou 3.68.1. Les applications utilisant NSS pour la validation du certificat ou d'autres fonctionnalités TLS, X.509, OCSP ou CRL peuvent être affectées, suivant la manière dont NSS est utilisé/configuré.

Pour en savoir plus et obtenir des instructions, consultez les pages suivantes :

 Moyenne CVE-2021-43527

GCP-2022-004

Date de publication:04/02/2022

Description

Description Gravité Remarques

Une faille de sécurité, CVE-2021-4034, a été détectée dans pkexec, une partie du package du kit de règles Linux (polkit), qui permet à un utilisateur authentifié d'effectuer une attaque d'élévation des privilèges. PolicyKit n'est généralement utilisé que sur les systèmes de bureau Linux pour permettre aux utilisateurs non racines d'effectuer des actions telles que le redémarrage du système, l'installation de packages ou le redémarrage de services conformément à une règle.

Pour en savoir plus et obtenir des instructions, consultez les pages suivantes :

 Aucun CVE-2021-4034

GCP-2022-002

Date de publication:01/02/2022
Dernière mise à jour:25/02/2022

Description

Description Gravité Remarques

Mise à jour du 25/02/2022:les versions de GKE ont été mises à jour. Pour en savoir plus et obtenir des instructions, consultez les pages suivantes:

Mise à jour du 23/02/2022 : les versions de GKE et de GKE sur VMware ont été mises à jour. Pour en savoir plus et obtenir des instructions, consultez les pages suivantes:

Mise à jour du 04-02-2022 : la date de début du déploiement des versions de correctif de GKE était le 2 février.

Trois failles de sécurité : CVE-2021-4154, CVE-2021-22600 et CVE-2022-0185 ont été découvertes dans le noyau Linux, chacune pouvant entraîner une rupture de conteneur, une élévation des privilèges sur l'hôte ou les deux. Ces failles affectent tous les systèmes d'exploitation de nœud (COS et Ubuntu) sur GKE, GKE sur VMware, GKE sur AWS (génération actuelle et précédente) et GKE sur Azure. Les pods utilisant GKE Sandbox ne sont pas vulnérables à ces failles. Pour en savoir plus, consultez la page Notes de version.

Pour en savoir plus et obtenir des instructions, consultez les pages suivantes :

 Élevée

GCP-2022-001

Date de publication:06/01/2022

Description

Description Gravité Remarques

Un problème potentiel de déni de service dans protobuf-java a été détecté dans la procédure d'analyse des données binaires.

Que dois-je faire ?

Assurez-vous d'utiliser les dernières versions des packages logiciels suivants:

  • protobuf-java (3.16.1, 3.18.2, 3.19.2)
  • protobuf-kotlin (3.18.2, 3.19.2)
  • google-protobuf [JRuby gem] (3.19.2)

Les utilisateurs de Protobuf "javalite" (généralement Android) ne sont pas concernés.

Quelles failles ce correctif permet-il de résoudre ?

Ce correctif réduit les risques liés à la faille suivante :

Une faille liée à l'implémentation concernant l'analyse des champs inconnus en Java. Une petite charge utile malveillante (~800 ko) peut occuper l'analyseur pendant plusieurs minutes en créant un grand nombre d'objets de courte durée qui provoquent des pauses de récupération de mémoire fréquentes et répétées.

 Élevée CVE-2021-22569

GCP-2021-024

Date de publication : 20-10-2021

Description

Description Gravité Remarques

Un problème de sécurité a été détecté dans le contrôleur Kubernetes ingress-nginx, CVE-2021-25742. Les extraits personnalisés ingress-nginx permettent la récupération des jetons de compte de service ingress-nginx et des secrets sur tous les espaces de noms.

Pour en savoir plus et obtenir des instructions, consultez les pages suivantes :

Aucun CVE-2021-25742

GCP-2021-019

Date de publication : 29-09-2021

Description

Description Gravité Remarques

Il existe un problème connu lorsque la mise à jour d'une ressource BackendConfig à l'aide de l'API v1beta1 supprime des règles de sécurité Google Cloud Armor actives de son service.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité de GKE.

 Faible

GCP-2021-022

Date de publication : 09-22-2021

Description

Description Gravité Remarques

Une faille a été détectée dans le module LDAP GKE Enterprise Identity Service (AIS) de GKE sur les versions 1.8 et 1.8.1 de VMware, où une clé initiale utilisée dans la génération de clés est prévisible. Avec cette faille, un utilisateur authentifié peut ajouter des revendications arbitraires et élever les privilèges indéfiniment.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité de GKE sur VMware.

 Élevée

GCP-2021-021

Date de publication : 09-22-2021

Description

Description Gravité Remarques

Une faille de sécurité, CVE-2020-8561, a été détectée dans Kubernetes. Certains webhooks peuvent être effectués pour rediriger les requêtes kube-apiserver vers des réseaux privés de cette API.

Pour en savoir plus et obtenir des instructions, consultez les pages suivantes :

 Moyenne CVE-2020-8561

GCP-2021-023

Date de publication : 2021-09-01

Description

Description Gravité Remarques

Conformément à l'avis de sécurité VMSA-2021-0020, VMware a reçu des rapports concernant plusieurs failles dans vCenter. VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés.

Nous avons déjà appliqué les correctifs fournis par VMware pour la pile vSphere à Google Cloud VMware Engine, conformément à l'avis de sécurité VMware. Cette mise à jour résout les failles de sécurité décrites dans CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 et CVE-2021-22010. D'autres problèmes de sécurité non critiques seront résolus dans la prochaine mise à niveau de la pile VMware (selon l'avis préalable envoyé en juillet, des détails supplémentaires seront bientôt fournis dans la chronologie spécifique de la mise à niveau).

Impact sur VMware Engine

D'après nos investigations, aucun client n'a été touché.

Que dois-je faire ?

Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise.

 Critique

GCP-2021-020

Date de publication : 17-09-2021

Description

Description Gravité Remarques

Certains équilibreurs de charge Google Cloud qui acheminent vers un service de backend Identity-Aware Proxy (IAP) peuvent être vulnérables à une partie non approuvée dans des conditions limitées. Ce changement résout un problème signalé via notre Vulnerability Reward Program.

Les conditions étaient les suivantes :
  • Les équilibreurs de charge HTTP(S) et
  • Utilisé un backend par défaut ou un backend comportant une règle de mappage d'hôte générique (c'est-à-dire host="*")

De plus, un utilisateur de votre organisation doit avoir cliqué sur un lien spécialement créé qui a été envoyé par une partie non approuvée.

Le problème a donc été résolu. IAP a été mis à jour pour émettre des cookies uniquement vers les hôtes autorisés depuis le 17 septembre 2021. Un hôte est considéré comme étant autorisé s'il correspond à au moins un SAN (Subject Alternative Name, nom alternatif du sujet) dans l'un des certificats installés sur vos équilibreurs de charge.

Que devez-vous faire ?

Certains de vos utilisateurs pourraient recevoir une réponse "HTTP 401: Unauthorized" accompagnée du code d'erreur 52 d'IAP en essayant d'accéder à vos applications ou services. Ce code d'erreur signifie que le client a envoyé un en-tête Host qui ne correspond à aucun autre nom d'objet associé au certificat SSL de l'équilibreur de charge. Un administrateur d'équilibreur de charge doit mettre à jour les certificats SSL afin que la liste des SAN contienne tous les noms d'hôtes via lesquels les utilisateurs accèdent à vos applications et services protégés par IAP. En savoir plus sur les codes d'erreur IAP.

Élevé

GCP-2021-018

Date de publication : 15-09-2021
Dernière mise à jour : 20-09-2020

Description

Description Gravité Remarques

Un problème de sécurité a été détecté dans Kubernetes, CVE-2021-25741, où un utilisateur peut créer un conteneur avec des montages de volume de sous-chemin pour accéder aux fichiers et répertoires en dehors du volume, y compris sur le système de fichiers hôte.

Pour en savoir plus et obtenir des instructions, consultez les pages suivantes :

 Élevée CVE-2021-25741

GCP-2021-017

Date de publication : 09-01-2021
Dernière mise à jour : 23-09-2021

Description

Description Gravité Remarques

Mise à jour du 23-09-2021 : les conteneurs s'exécutant dans GKE Sandbox ne sont pas affectés par cette faille pour les attaques provenant du conteneur.

Deux failles de sécurité, CVE-2021-33909 et CVE-2021-33910, ont été détectées dans le noyau Linux. Elles peuvent provoquer un plantage du système d'exploitation ou une escalade vers la racine par un utilisateur non privilégié. Cette faille affecte tous les systèmes d'exploitation du nœud GKE (COS et Ubuntu).

Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants :

Élevée CVE-2021-33909, CVE-2021-33910

GCP-2021-016

Date de publication : 24-08-2021

Description

Description Gravité Remarques

Les failles CVE Envoy et Istio suivantes exposent Cloud Service Mesh et Istio sur GKE à des failles exploitables à distance:

  • CVE-2021-39156 : les requêtes HTTP comportant un fragment (une section à la fin d'un URI commençant par le caractère #) dans le chemin de l'URI peuvent contourner les règles d'autorisation d'URI basées sur le chemin d'URI.
  • CVE-2021-39155 : les requêtes HTTP peuvent potentiellement contourner une règle d'autorisation Istio lors de l'utilisation de règles basées sur hosts ou notHosts.
  • CVE-2021-32781 : affecte les extensions propriétaires decompressor, json-transcoder ou grpc-web, ou les extensions propriétaires qui modifient et augmentent la taille des corps de requêtes ou de réponses. La modification et l'augmentation de la taille du corps d'une extension Envoy, au-delà de la taille du tampon interne, peuvent l'amener à accéder à la mémoire allouée et à s'arrêter de manière anormale.
  • CVE-2021-32780 : un service en amont non approuvé peut entraîner l'arrêt anormal d'Envoy en envoyant le cadre GOAWAY suivi du cadre SETTINGS avec le paramètre SETTINGS_MAX_CONCURRENT_STREAMS défini sur 0. (Non applicable à Istio sur GKE)
  • CVE-2021-32778 : un client Envoy qui ouvre, puis réinitialise un grand nombre de requêtes HTTP/2 peut entraîner une consommation excessive du processeur. (Non applicable à Istio sur GKE)
  • CVE-2021-32777 : les requêtes HTTP contenant plusieurs en-têtes de valeurs pourraient effectuer une vérification incomplète des règles d'autorisation lorsque l'extension ext_authz est utilisée.

Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants :

Élevé

GCP-2021-015

Date de publication : 13-07-2021
Dernière mise à jour : 15-07-2021

Description

Description Gravité Remarques

Une nouvelle faille de sécurité, CVE-2021-22555, a été détectée dans laquelle un acteur malveillant doté de privilèges CAP_NET_ADMIN peut permettre à l'interruption d'un conteneur de remonter jusqu'à l'accès racine de l'hôte. Cette faille affecte tous les clusters GKE et GKE sur VMware exécutant Linux 2.6.19 ou version ultérieure.

Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants :

Élevée CVE-2021-22555

GCP-2021-014

Date de publication : 05-07-2021

Description

Description Gravité Remarques

Microsoft a publié un bulletin de sécurité sur la faille d'exécution de code à distance (RCE, Remote Code Execution) CVE-2021-34527, qui affecte le spouleur d'impression sur les serveurs Windows. Le CERT Coordination Center (CERT/CC) a publié une note de mise à jour sur une faille similaire, surnommée "PrintNightmare", qui affecte également les spouleurs d'impression Windows : PrintNightmare, Critical Windows Print Spooler Vulnerability.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité de GKE.

Élevé CVE-2021-34527

GCP-2021-012

Date de publication : 24-06-2021
Dernière mise à jour : 09-07-2021

Description

Description Gravité Remarques

Le projet Istio a récemment annoncé une faille de sécurité dans laquelle les identifiants spécifiés dans le champ "GatewayGateway" et "DestinationRule credentialName" sont accessibles depuis différents espaces de noms.

Pour en savoir plus sur les produits concernés et obtenir plus d'informations, consultez les pages suivantes :

 Élevée CVE-2021-34824

GCP-2021-011

Date de publication : 04-06-2021
Dernière mise à jour : 19-10-2021

Description

Description Gravité Remarques

Mise à jour du 19-10-2021 :

Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants :

La communauté de sécurité a récemment divulgué une nouvelle faille de sécurité (CVE-2021-30465) dans runc est susceptible d'autoriser l'accès complet à un système de fichiers de nœud.

Pour GKE, étant donné que l'exploitation de cette faille nécessite la création de pods, nous avons évalué la gravité de cette faille sur MOYEN.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité de GKE.

Moyen CVE-2021-30465

GCP-2021-010

Date de publication : 2021-05-25

Description

Description Gravité Remarques

Selon l'avis de sécurité VMware VMSA-2021-0010, les failles liées à l'exécution du code distant et au contournement de l'authentification du client vSphere (HTML5) ont été signalées à VMware de manière privée. VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés.

Nous avons appliqué les correctifs fournis par VMware pour la pile vSphere conformément à l'avis de sécurité VMware. Cette mise à jour résout les failles de sécurité décrites dans les documents CVE-2021-21985 et CVE-2021-21986 Les versions d'image exécutées dans votre cloud privé VMware Engine ne reflètent pour le moment aucune modification indiquant les correctifs appliqués. Sachez que les correctifs appropriés ont été installés et que votre environnement est protégé contre ces failles.

Impact sur VMware Engine

D'après nos investigations, aucun client n'a été touché.

Que dois-je faire ?

Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise.

 Critique

GCP-2021-008

Date de publication : 17-05-2021

Description

Description Gravité Remarques

Istio souffre d'une faille utilisable à distance. Un client externe peut accéder à des services inattendus du cluster, en contournant les vérifications d'autorisation, lorsqu'une passerelle est configurée avec la configuration de routage AUTO_PASSTHROUGH.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Cloud Service Mesh.

Élevée

 CVE-2021-31921

GCP-2021-007

Date de publication : 17-05-2021

Description

Description Gravité Remarques

Istio souffre d'une faille utilisable à distance. Un chemin de requête HTTP avec plusieurs barres obliques ou barres obliques échappées (%2F ou %5C) est susceptible de contourner une règle d'autorisation Istio lorsque des règles d'autorisation basées sur le chemin sont utilisées.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Cloud Service Mesh.

Élevée

 CVE-2021-31920

GCP-2021-006

Date de publication : 11-05-2021

Description

Description Gravité Remarques

Le projet Istio a récemment divulgué une nouvelle faille de sécurité (CVE-2021-31920) affectant Istio.

Istio souffre d'une faille utilisable à distance. Une requête HTTP comportant plusieurs barres obliques ou des barres obliques échappées peut contourner la règle d'autorisation Istio lorsque des règles d'autorisation basées sur le chemin sont utilisées.

Pour en savoir plus et obtenir des instructions, consultez les pages suivantes :

Élevé

 CVE-2021-31920

GCP-2021-005

Date de publication : 11-05-2021

Description

Description Gravité Remarques

Une faille signalée a montré qu'Envoy ne décode pas les séquences de barres obliques échappées %2F et %5C dans les chemins d'URL HTTP dans Envoy 1.18.2 et versions antérieures. En outre, certains produits basés sur Envoy n'activent pas les contrôles de normalisation des chemins d'accès. Un pirate informatique distant peut créer un chemin avec des barres obliques (par exemple, /something%2F..%2Fadmin,) pour contourner le contrôle d'accès (par exemple, un bloc sur /admin). Un serveur backend peut ensuite décoder les séquences de barres obliques et normaliser le chemin pour fournir un accès pirate au-delà du champ d'application fourni par la stratégie de contrôle d'accès.

Que dois-je faire ?

Si les serveurs backend traitent / et %2F ou \ et%5C et qu'une correspondance basée sur le chemin d'URL est configurée, nous vous recommandons de reconfigurer le serveur backend afin de ne pas traiter \ et %2F ou \ et %5C de manière interchangeable, si possible.

Quels changements de comportement ont été introduits ?

Les options normalize_path et merge adjacent slashes d'Envoy ont été activées pour corriger les autres failles courantes de confusion des chemins d'accès dans les produits basés sur Envoy.

Élevé

 CVE-2021-29492

GCP-2021-004

Date de publication : 06-05-2021

Description

Description Gravité Remarques

Les projets Envoy et Istio ont récemment annoncé plusieurs nouvelles failles de sécurité (CVE-2021-28683, CVE-2021-28682 et CVE-2021-29258) qui pourraient permettre à un pirate informatique de planter Envoy.

Les clusters Google Kubernetes Engine n'exécutent pas Istio par défaut et ne sont pas vulnérables. Si Istio a été installé dans un cluster et est configuré pour exposer des services sur Internet, ces services peuvent être vulnérables aux attaques par déni de service.

Google Distributed Cloud Virtual pour Bare Metal et GKE sur VMware utilisent Envoy par défaut pour Ingress. Par conséquent, les services Ingress risquent d'être vulnérables aux attaques par déni de service.

Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants :

Moyenne

GCP-2021-003

Date de publication : 19-04-2021

Description

Description Gravité Remarques

Le projet Kubernetes a annoncé récemment une nouvelle faille de sécurité, CVE-2021-25735, qui pourrait permettre aux mises à jour de nœuds de contourner un webhook d'admission de validation.

Dans un scénario dans lequel un pirate informatique dispose de privilèges suffisants, et lorsqu'un webhook d'admission de validation est mis en œuvre à l'aide d'anciennes propriétés d'objet Node (par exemple, des champs dans Node.NodeSpec), le pirate a la possibilité de mettre à jour les propriétés d'un nœud, ce qui peut entraîner la compromission d'un cluster. Aucune des stratégies appliquées par GKE et les contrôleurs d'admission intégrés de Kubernetes n'est affectée, mais nous recommandons aux clients de vérifier les webhooks d'admission supplémentaires qu'ils ont installés, le cas échéant.

Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants :

Moyenne

CVE-2021-25735

GCP-2021-002

Date de publication : 05/03/2021

Description

Description Gravité Remarques

Conformément à l'avis de sécurité VMware VMSA-2021-0002, VMware a reçu des rapports concernant plusieurs failles dans VMware ESXi et le client vSphere (HTML5). VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés.

Nous avons appliqué les solutions de contournement officiellement décrites pour la pile vSphere conformément à l'avis de sécurité de VMware. Cette mise à jour concerne les failles de sécurité décrites dans les documents CVE-2021-21972, CVE-2021-21973 et CVE-2021-21974.

Impact sur VMware Engine

D'après nos investigations, aucun client n'a été touché.

Que dois-je faire ?

Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise.

 Critique

GCP-2021-001

Date de publication : 28-01-2021

Description

Description Gravité Remarques

Une faille a été récemment découverte dans l'utilitaire Linux sudo. Cette faille, décrite dans CVE-2201-3156, peut permettre à un pirate informatique disposant d'un accès non privilégié à une interface système locale sur un système avec sudo installé de remonter jusqu'à l'accès racine du système.

L'infrastructure sous-jacente qui exécute Compute Engine n'est pas affectée par cette faille.

Tous les clusters Google Kubernetes Engine (GKE), GKE sur VMware, GKE sur AWS et Google Distributed Cloud Virtual pour Bare Metal ne sont pas affectés par cette faille.

Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants :

Aucun CVE-2021-3156

GCP-2020-015

Date de publication:07-12-2020
Dernière mise à jour:22-12-2020

Description

Description Gravité Remarques

Dernière mise à jour : 22/12/2021 : la commande GKE de la section suivante doit utiliser gcloud beta au lieu de la commande gcloud. 

gcloud container clusters update –no-enable-service-externalips
Mise à jour: 15/12/2021 Pour GKE, l'atténuation suivante est désormais disponible :
  1. À partir de la version 1.21 de GKE, les services avec des adresses IP externes sont bloqués par un contrôleur d'admission DenyServiceExternalIPs activé par défaut pour les nouveaux clusters.
  2. Les clients qui passent à GKE version 1.21 peuvent bloquer des services avec des adresses IP externes à l'aide de la commande suivante: 
    gcloud container clusters update –no-enable-service-externalips

Pour en savoir plus, consultez la page Renforcer la sécurité d'un cluster.

Le projet Kubernetes a récemment découvert une nouvelle faille de sécurité : CVE-2020-8554. Celle-ci peut permettre à un pirate informatique ayant obtenu les autorisations nécessaires pour créer un service Kubernetes de type LoadBalancer ou ClusterIP d'intercepter le trafic réseau provenant d'autres pods du cluster. Cette faille, en elle-même, ne permet pas au pirate informatique de créer un service Kubernetes.

Tous les clusters Google Kubernetes Engine (GKE), GKE sur VMware et GKE sur AWS sont affectés par cette faille.

Que dois-je faire ?

Pour en savoir plus et obtenir des instructions, consultez les pages suivantes :

Moyen

 CVE-2020-8554

GCP-2020-014

Date de publication : 20-10-2020
Dernière mise à jour : 20-10-2020

Description

Description Gravité Remarques

Le projet Kubernetes a récemment découvert plusieurs problèmes qui permettent l'exposition des données des secrets lors de l'activation des options de journalisation détaillée. Les problèmes sont les suivants :

  • CVE-2020-8563 : fuites des secrets dans les journaux du fournisseur vSphere kube-controller-manager
  • CVE-2020-8564 : fuite des secrets de configuration Docker lorsque le fichier est mal formé, et que le niveau de journalisation est supérieur ou égal à 4.
  • CVE-2020-8565 : correction partielle de la faille CVE-2019-11250 dans Kubernetes occasionnant la divulgation des jetons dans les journaux lorsque le niveau de journalisation est supérieur ou égal à 9. Faille détectée par la sécurité de GKE.
  • CVE-2020-8566 : fuite des secrets des administrateurs Ceph RBD dans les journaux lorsque le niveau de journalisation est supérieur ou égal à 4.

Que dois-je faire ?

Aucune autre action n'est requise en raison des niveaux de journalisation détaillée par défaut de GKE.

Aucun

Impact sur Google Cloud

Des informations pour chaque produit sont répertoriées ci-dessous.

Produit

Impact

Google Kubernetes Engine (GKE)

Google Kubernetes Engine (GKE) n'est pas affecté.

GKE On-Prem

GKE On-Prem n'est pas affecté.

GKE sur AWS

GKE sur AWS n'est pas affecté.

GCP-2020-013

Date de publication : 29-09-2020

Description

Microsoft a divulgué la faille suivante :

Faille

Gravité

CVE

CVE-2020-1472 Une faille dans Windows Server permet aux pirates informatiques d'utiliser le protocole distant Netlogon pour exécuter une application spécialement conçue sur un appareil du réseau.

Score de base NVD : 10 (critique)

CVE-2020-1472

Pour en savoir plus, consultez la divulgation de Microsoft.

Impact sur Google Cloud

L'infrastructure hébergeant les produits Google Cloud et Google n'est pas affectée par cette faille. Des informations complémentaires pour chaque produit sont répertoriées ci-dessous.

Produit

Impact

Compute Engine

CVE-2020-1472

Pour la plupart des clients, aucune action n'est requise.

Les clients qui utilisent des machines virtuelles Compute Engine exécutant Windows Server doivent s'assurer que leurs instances ont été mises à jour avec la dernière version du correctif Windows ou qu'ils utilisent les images Windows Server publiées après le 17-08-2020 (v20200813 ou version ultérieure).

Google Kubernetes Engine

CVE-2020-1472

Pour la plupart des clients, aucune action n'est requise.

Tous les clients hébergeant des contrôleurs de domaine dans leurs nœuds Windows Server GKE doivent s'assurer que les nœuds et les charges de travail conteneurisées qui s'exécutent sur ces nœuds disposent de la dernière image de nœud Windows lorsqu'elle est disponible. Une nouvelle version de l'image de nœud sera annoncée dans les notes de version de GKE en octobre.

Service géré pour Microsoft Active Directory

CVE-2020-1472

Pour la plupart des clients, aucune action n'est requise.

Le correctif d'août publié par Microsoft qui inclut les correctifs du protocole NetLogon a été appliqué à tous les contrôleurs de domaine Microsoft AD gérés. Ce correctif fournit des fonctionnalités pour se protéger contre une exploitation potentielle. L'application des correctifs en temps opportun est l'un des principaux avantages de l'utilisation du service géré pour Microsoft Active Directory. Tous les clients qui exécutent manuellement Microsoft Active Directory (et n'utilisent pas le service géré de Google Cloud) doivent s'assurer que leurs instances disposent du dernier correctif Windows ou utiliser des images Windows Server.

Google Workspace

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Environnement standard App Engine

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Environnement flexible App Engine

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Cloud Run

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Fonctions Cloud Run

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Cloud Composer

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Dataflow

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Dataproc

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Cloud SQL

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

GCP-2020-012

Date de publication : 14-09-2020
Dernière mise à jour : 17-09-2020

Description

Description Gravité Remarques

Une faille a été récemment découverte dans le noyau Linux, décrite dans CVE-2020-14386, qui permet de s'échapper d'un conteneur pour obtenir un accès root sur le nœud hôte.

Tous les nœuds GKE sont affectés. Les pods exécutés dans GKE Sandbox ne peuvent pas exploiter cette faille.

Pour en savoir plus et obtenir des instructions, consultez les pages suivantes :


Quelle faille ce correctif permet-il de résoudre ?

Ce correctif réduit les risques liés à la faille suivante :

La faille CVE-2020-14386, qui permet aux conteneurs avec CAP_NET_RAW
d'écrire de 1 à 10 octets de mémoire du noyau, d'échapper le conteneur et d'obtenir des privilèges racine sur le nœud hôte. La gravité de cette faille est évaluée comme élevée.

Élevé

CVE-2020-14386

GCP-2020-011

Date de publication : 24-07-2020

Description

Description Gravité Remarques

Une faille réseau, CVE-2020-8558, a été récemment détectée dans Kubernetes. Les services communiquent parfois avec d'autres applications s'exécutant dans le même pod à l'aide de l'interface de rebouclage local (127.0.0.1). Cette faille permet à un pirate informatique ayant accès au réseau du cluster d'envoyer du trafic à l'interface de rebouclage des pods et nœuds adjacents. Les services reposant sur l'interface de rebouclage et non accessibles en dehors de leur pod peuvent être exploités.

Pour en savoir plus et obtenir des instructions, consultez les pages suivantes :

Faible (GKE et GKE sur AWS),
Moyenne (GKE sur VMware)

CVE-2020-8558

GCP-2020-010

Date de publication : 27-07-2020

Description

Microsoft a divulgué la faille suivante :

Faille

Gravité

CVE

CVE-2020-1350 : les serveurs Windows qui diffusent avec une capacité de serveur DNS peuvent être exploités par le compte système local pour exécuter du code non approuvé.

Score de base NVD : 10,0 (critique)

CVE-2020-1350

Pour en savoir plus, consultez la divulgation de Microsoft.

Impact sur Google Cloud

L'infrastructure hébergeant les produits Google Cloud et Google n'est pas affectée par cette faille. Des informations complémentaires pour chaque produit sont répertoriées ci-dessous.

Produit

Impact

Compute Engine

CVE-2020-1350

Pour la plupart des clients, aucune action n'est requise.

Les clients qui utilisent des machines virtuelles Compute Engine exécutant Windows Server avec une capacité de serveur DNS doivent s'assurer que leurs instances disposent du dernier correctif Windows ou utiliser les images Windows Server fournies depuis le 14/07/2020.

Google Kubernetes Engine

CVE-2020-1350

Pour la plupart des clients, aucune action n'est requise.

Les clients qui utilisent GKE avec un nœud Windows Server et une capacité de serveur DNS doivent mettre à jour manuellement les nœuds et les charges de travail conteneurisées s'exécutant sur ces nœuds vers une version de serveur Windows contenant le correctif.

Service géré pour Microsoft Active Directory

CVE-2020-1350

Pour la plupart des clients, aucune action n'est requise.

Tous les domaines Microsoft AD gérés ont été automatiquement mis à jour avec l'image corrigée. Tous les clients qui exécutent manuellement Microsoft Active Directory (et n'utilisent pas de domaine Microsoft AD géré) doivent s'assurer que leurs instances disposent du dernier correctif Windows ou utiliser les images Windows Server fournies depuis le 14/07/2020.

Google Workspace

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Environnement standard App Engine

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Environnement flexible App Engine

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Cloud Run

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Fonctions Cloud Run

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Cloud Composer

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Dataflow

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Dataproc

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Cloud SQL

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

GCP-2020-009

Date de publication : 2020-07-15

Description

Description Gravité Remarques

Une faille d'élévation des privilèges, CVE-2020-8559, a été récemment détectée dans Kubernetes. Cette faille permet à un pirate informatique ayant déjà compromis un nœud d'exécuter une commande dans n'importe quel pod du cluster. Le pirate peut ainsi utiliser le nœud déjà compromis pour en compromettre d'autres et potentiellement lire des informations, ou provoquer des actions de destruction.

Notez que pour qu'un pirate informatique puisse exploiter cette faille, un nœud de votre cluster doit déjà avoir été compromis. Cette faille, en elle-même, ne compromettra pas les nœuds de votre cluster.

Pour en savoir plus et obtenir des instructions, consultez les pages suivantes :

Moyen

CVE-2020-8559

GCP-2020-008

Date de publication : 19-06-2020

Description

Description Gravité Remarques

Description

Les VM pour lesquelles OS Login est activé peuvent être exposées aux failles d'élévation des privilèges. Ces failles permettent aux utilisateurs disposant d'autorisations OS Login (mais pas d'un accès administrateur) de remonter jusqu'à l'accès racine dans la VM.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Compute Engine.

 Élevé

GCP-2020-007

Date de publication : 01-06-2020

Description

Description Gravité Remarques

La faille SSRF (Server Side Request Forgery) CVE-2020-8555 a été détectée dans Kubernetes. Elle permet à certains utilisateurs autorisés de divulguer jusqu'à 500 octets d'informations sensibles à partir du réseau hôte du plan de contrôle. Le plan de contrôle de Google Kubernetes Engine (GKE) utilise des contrôleurs de Kubernetes et est donc affecté par cette faille. Nous vous recommandons de mettre à niveau le plan de contrôle vers la dernière version du correctif. Aucune mise à niveau de nœud n'est requise.

Pour en savoir plus et obtenir des instructions, consultez les pages suivantes :

Moyen

CVE-2020-8555

GCP-2020-006

Date de publication : 01-06-2020

Description

Description Gravité Remarques

Kubernetes a divulgué une faille qui permet à un conteneur privilégié de rediriger le trafic de nœuds vers un autre conteneur. Le trafic TLS/SSH mutuel (entre le kubelet et le serveur d'API, ou en provenance d'applications via le protocole mTLS) ne peut pas être lu ni modifié par cette attaque. Tous les nœuds Google Kubernetes Engine (GKE) sont affectés par cette faille. Par conséquent, nous vous recommandons de procéder à la mise à niveau vers la dernière version du correctif.

Pour en savoir plus et obtenir des instructions, consultez les pages suivantes :

Moyen

Problème Kubernetes 91507

GCP-2020-005

Date de publication : 07-05-2020

Description

Faille

Gravité

CVE

La faille CVE-2020-8835 a été récemment découverte dans le noyau Linux. Elle permet de "s'échapper d'un conteneur" pour obtenir un accès root (racine) sur le nœud hôte.

Les nœuds Ubuntu Google Kubernetes Engine (GKE) exécutant GKE 1.16 ou 1.17 sont affectés par cette faille. Par conséquent, nous vous recommandons de procéder à la mise à niveau vers la dernière version du correctif dès que possible.

Veuillez consulter le bulletin de sécurité de GKE pour en savoir plus et obtenir des instructions.

Élevé

CVE-2020-8835

GCP-2020-004

Date de publication : 31-03-2020
Dernière mise à jour : 31-03-2020

Description

Kubernetes a divulgué les failles suivantes :

Faille

Gravité

CVE

CVE-2019-11254 : faille de déni de service (DoS) affectant le serveur d'API.

Moyen

CVE-2019-11254

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité de GKE sur VMware.

GCP-2020-003

Date de publication : 31-03-2020
Dernière mise à jour : 31-03-2020

Description

Kubernetes a divulgué les failles suivantes :

Faille

Gravité

CVE

CVE-2019-11254 : faille de déni de service (DoS) affectant le serveur d'API.

Moyen

CVE-2019-11254

Consultez le bulletin de sécurité de GKE pour en savoir plus et obtenir des instructions.

GCP-2020-002

Date de publication : 23-03-2020
Dernière mise à jour : 23-03-2020

Description

Kubernetes a divulgué les failles suivantes :

Faille

Gravité

CVE

CVE-2020-8551 : faille de déni de service (DoS) affectant le kubelet.

Moyen

CVE-2020-8551

CVE-2020-8552 : faille de déni de service (DoS) affectant le serveur d'API.

Moyen

CVE-2020-8552

Consultez le bulletin de sécurité de GKE pour en savoir plus et obtenir des instructions.

GCP-2020-001

Date de publication : 21-01-2020
Dernière mise à jour : 21-01-2020

Description

Microsoft a divulgué la faille suivante :

Faille

Gravité

CVE

CVE-2020-0601 (aussi appelée faille de spoofing de l'API Windows Crypto) : un pirate peut l'exploiter pour faire en sorte que ses fichiers exécutables malveillants soient considérés comme fiables ou encore pour procéder à des attaques MITM ("man in the middle") afin de déchiffrer des informations confidentielles diffusées lors de la connexion des utilisateurs au logiciel affecté.

Score de base NVD : 8,1 (élevé)

CVE-2020-0601

Pour en savoir plus, consultez la divulgation de Microsoft.

Impact sur Google Cloud

L'infrastructure hébergeant les produits Google Cloud et Google n'est pas affectée par cette faille. Des informations complémentaires pour chaque produit sont répertoriées ci-dessous.

Produit

Impact

Compute Engine

CVE-2020-0601

Pour la plupart des clients, aucune action n'est requise.

Les clients qui utilisent les machines virtuelles Compute Engine exécutant Windows Server doivent s'assurer que leurs instances disposent du dernier correctif Windows ou utiliser les images Windows Server fournies depuis le 15/01/2020. Pour en savoir plus, consultez le bulletin de sécurité de Compute Engine.

Google Kubernetes Engine

CVE-2020-0601

Pour la plupart des clients, aucune action n'est requise.

Les clients qui utilisent GKE avec des nœuds Windows Server doivent mettre à jour à la fois les nœuds et les charges de travail en conteneur exécutées sur ceux-ci, en installant les versions corrigées pour réduire les risques liés à cette faille. Veuillez consulter le bulletin de sécurité de GKE pour en savoir plus et obtenir des instructions.

Service géré pour Microsoft Active Directory

CVE-2020-0601

Pour la plupart des clients, aucune action n'est requise.

Tous les domaines Microsoft AD gérés ont été automatiquement mis à jour avec l'image corrigée. Tous les clients qui exécutent manuellement Microsoft Active Directory (et n'utilisent pas de domaine Microsoft AD géré) doivent s'assurer que leurs instances disposent du dernier correctif Windows ou utiliser les images Windows Server fournies depuis le 15/01/2020.

Google Workspace

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Environnement standard App Engine

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Environnement flexible App Engine

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Cloud Run

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Fonctions Cloud Run

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Cloud Composer

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Dataflow

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Dataproc

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Cloud SQL

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

GCP-2019-001

Date de publication : 12-11-2019
Dernière mise à jour : 12-11-2019

Description

Intel a divulgué les failles suivantes :

Faille

Gravité

CVE

CVE-2019-11135 — Cette faille s'intitule "TSX Asynchronous Abort" (abandon asynchrone de TSX). Elle peut être exploitée à des fins d'exécution spéculative au sein d'une transaction TSX. En raison de l'exposition de structures de données permise par l'échantillonnage de données microarchitectural, cette faille présente un risque de divulgation des données.

Moyen

CVE-2019-11135

CVE-2018-12207 — Faille de déni de service (DoS) qui concerne les hôtes de machines virtuelles et non les invités. Cette faille s'intitule "Machine Check Error on Page Size Change" (erreur de vérification machine lors du changement de format de page).

Moyen

CVE-2018-12207

Pour en savoir plus, consultez les divulgations d'Intel :

Impact sur Google Cloud

L'infrastructure d'hébergement des produits Google Cloud et Google est invulnérable à ces failles. Des informations complémentaires pour chaque produit sont répertoriées ci-dessous.

Produit

Impact

Compute Engine

CVE-2019-11135

Pour la majorité des clients, aucune autre action n'est requise.

Il est recommandé aux clients des types de machine N2, C2 ou M2 qui exécutent du code non approuvé dans leurs propres services mutualisés et au sein de machines virtuelles Compute Engine d'arrêter, puis de redémarrer leurs VM pour s'assurer qu'elles prennent en compte les dernières mesures d'atténuation des risques liés à la sécurité.

CVE-2018-12207

Pour tous les clients, aucune autre action n'est requise.

Google Kubernetes Engine

CVE-2019-11135

Pour la majorité des clients, aucune autre action n'est requise.

Vous devez redémarrer vos nœuds si vous utilisez des pools de nœuds N2, M2 ou C2 qui exécutent du code non approuvé dans vos propres clusters GKE mutualisés. Si vous souhaitez redémarrer l'ensemble des nœuds de votre pool de nœuds, vous devez mettre à niveau ce dernier.

CVE-2018-12207

Pour tous les clients, aucune autre action n'est requise.

Environnement standard App Engine

Aucune autre action n'est requise.

Environnement flexible App Engine

CVE-2019-11135

Aucune autre action n'est requise.

Nous recommandons aux clients de consulter les bonnes pratiques Intel concernant le partage au niveau de l'application. Celui-ci peut se produire entre hyperthreads reliés au sein d'une VM Flex.

CVE-2018-12207

Aucune autre action n'est requise.

Cloud Run

Aucune autre action n'est requise.

Fonctions Cloud Run

Aucune autre action n'est requise.

Cloud Composer

Aucune autre action n'est requise.

Dataflow

CVE-2019-11135

Pour la majorité des clients, aucune autre action n'est requise.

Il est recommandé aux clients Dataflow qui exécutent plusieurs charges de travail non approuvées sur des VM Compute Engine de type N2, C2 ou M2 gérés par DataFlow et qui craignent les attaques d'invités internes de redémarrer tous les pipelines de streaming en cours d'exécution. Si vous le souhaitez, vous pouvez annuler l'exécution des pipelines par lots, puis les relancer. Aucune action n'est requise concernant les pipelines que vous lancez ultérieurement.

CVE-2018-12207

Pour tous les clients, aucune autre action n'est requise.

Dataproc

CVE-2019-11135

Pour la majorité des clients, aucune autre action n'est requise.

Les clients Cloud Dataproc qui gèrent plusieurs charges de travail non approuvées dans un même cluster Cloud Dataproc s'exécutant sur des VM Compute Engine de type N2, C2 ou M2 et qui craignent les attaques d'invités internes doivent redéployer leurs clusters.

CVE-2018-12207

Pour tous les clients, aucune autre action n'est requise.

Cloud SQL

Aucune autre action n'est requise.