Os boletins de segurança a seguir são relacionados aos produtos do Google Cloud.
Use este feed XML para se inscrever nos boletins de segurança desta página.
GCP-2024-059
Publicado em: 16/10/2024
Descrição | Gravidade | Observações |
---|---|---|
De acordo com o aviso de segurança da VMware VMSA-2024-0021, uma vulnerabilidade de injeção de SQL autenticada no VMware HCX foi informada de maneira particular ao VMware. Aplicamos a mitigação aprovada pela VMware para resolver essa vulnerabilidade. Essa correção aborda uma vulnerabilidade de segurança descrita em CVE-2024-38814. As versões de imagem em execução na nuvem privada do VMware Engine não refletem nenhuma mudança no momento para indicar as alterações aplicadas. Mitigações apropriadas foram instaladas e seu ambiente está protegido contra essa vulnerabilidade. O que devo fazer?Recomendamos fazer upgrade para o VMware HCX versão 4.9.2. |
Alta |
GCP-2024-058
Publicado:16/10/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
As versões 1.1.0 a 1.2.2 do Migrate to Containers para Windows criaram
um O que devo fazer?As seguintes versões da CLI do Migrate to Containers para Windows foram atualizados com código para corrigir essa vulnerabilidade. Recomendamos que você faça upgrade manual do Migrate to Containers CLI para a seguinte versão ou mais recente:
Quais vulnerabilidades estão sendo resolvidas?A vulnerabilidade, CVE-2024-9858, permite que um invasor ganhe o acesso de administrador a máquinas Windows afetadas usando a usuário administrador criado pelo Migrate to Containers de software. |
Médio | CVE-2024-9858 |
GCP-2024-057
Publicado : 03/10/2024
Atualizado em: 15/10/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 15/10/2024: adicionamos versões de patch para o GDC (VMware). Atualização dos níveis de gravidade do GKE e GDC (VMware). As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Médio | CVE-2024-45016 |
GCP-2024-056
Publicado:27/09/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Uma cadeia de vulnerabilidades (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 e CVE-2024-47177) que poderia resultar na execução remota de código foi descoberta no sistema de impressão CUPS usado por algumas distribuições do Linux. Um invasor pode explorar essa vulnerabilidade se os serviços do CUPS estiverem escutando na porta UDP 631 e puderem se conectar a ela. Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Nenhum |
GCP-2024-055
Publicado em: 24/09/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Uma vulnerabilidade de contrabando de solicitação HTTP no Looker permitiu que um invasor não autorizado capturasse respostas HTTP destinadas a usuários legítimos. Há duas versões do Looker hospedadas por ele:
As instâncias do Looker hospedadas pelo cliente foram vulneráveis e precisam ser atualizadas para uma das versões abaixo. Essa vulnerabilidade foi corrigida em todas as versões com suporte do Looker hospedado pelo cliente, disponíveis na página de download do Looker. O que devo fazer?
Quais vulnerabilidades estão sendo resolvidas?A vulnerabilidade CVE-2024-8912 permite que um invasor envie cabeçalhos de solicitação HTTP criados para o Looker, possivelmente resultando na interceptação de respostas HTTP destinadas a outros usuários. Essas respostas podem conter informações sensíveis. Essa vulnerabilidade só pode ser explorada com determinadas configurações específicas. |
Médio | CVE-2024-8912 |
GCP-2024-054
Publicado: 23/09/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Foi descoberto um problema de segurança em clusters do Kubernetes com nós do
Windows em que o Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Médio | CVE-2024-5321 |
GCP-2024-053
Publicado:19/09/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Ao analisar campos desconhecidos nas bibliotecas Protobuf Java Full e Lite, uma mensagem criada maliciosamente pode causar um erro do StackOverflow e levar a uma falha do programa. O que fazer? Estamos trabalhando com afinco para resolver esse problema e lançamos uma mitigação que já está disponível. Recomendamos que você esteja usando as versões mais recentes dos seguintes pacotes de software:
Quais vulnerabilidades são corrigidas por esse patch? Essa vulnerabilidade é uma possível negação de serviço. Analisar grupos aninhados como campos desconhecidos com DiscardUnknownFieldsParser ou o analisador Java Protobuf Lite ou contra campos de mapa Protobuf cria recursões ilimitadas que podem ser abusadas por um invasor. |
Pontuação do CVSS4.0 8,7 Alta |
CVE-2024-7254 |
GCP-2024-052
Descrição
Descrição | Gravidade | Observações |
---|---|---|
As CVEs a seguir expõem o Cloud Service Mesh a vulnerabilidades exploráveis:
Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh. |
Média a alta |
GCP-2024-051
Publicado : 18/09/2024
Descrição | Gravidade | Observações |
---|---|---|
A VMware divulgou várias vulnerabilidades no VMSA-2024-0019 que afetam Componentes do vCenter implantados nos ambientes do cliente. Impacto no VMware Engine
O que devo fazer?Nenhuma outra ação é necessária no momento. |
Crítico |
GCP-2024-050
Publicado:04/09/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Uma nova vulnerabilidade de execução remota de código (CVE-2024-38063) foi descoberta no Windows. Um invasor poderia explorar remotamente essa vulnerabilidade enviando pacotes IPv6 especialmente elaborados para um host. Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Nenhum | CVE-2024-38063 |
GCP-2024-049
Publicado em: 21/08/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2024-36978 |
GCP-2024-048
Publicado em: 20/08/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2024-41009 |
GCP-2024-047
Publicado em: 19/08/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2024-39503 |
GCP-2024-046
Publicado em: 05-08-2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
A AMD notificou o Google sobre três novas campanhas (2 de risco médio e 1 de alto risco) vulnerabilidades de firmware que afetam o SEV-SNP no AMD EPYC 3rd (Milão) e de 4a geração (Genoa). O Google corrigiu os recursos afetados, incluindo o Google Cloud, para garantir a proteção dos clientes. Neste momento, nenhuma evidência de exploração foi encontrada ou relatada ao Google. O que fazer? Nenhuma ação do cliente é necessária. As correções já foram aplicadas à frota de servidores do Google. Para mais informações, consulte o aviso de segurança da AMD AMD-SN-3011. |
Médio a alto |
GCP-2024-045
Publicado : 17/07/2024
Atualizado em: 19/09/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 19/09/2024: foram adicionadas versões de patch para o software GDC para VMware. Atualização de 21/08/2024: adicionamos versões de patch para os pools de nós do Ubuntu no GKE. As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2024-26925 |
GCP-2024-044
Publicado em: 2024-07-16
Descrição
Descrição | Gravidade | Observações |
---|---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2024-36972 |
GCP-2024-043
Publicado : 16/07/2024
Atualizado em: 02/10/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 02/10/2024 : adicionamos versões de patch para pools de nós do Ubuntu no GKE. Atualização de 20/09/2024: foram adicionadas versões de patch para o software GDC para VMware. As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2024-26921 |
GCP-2024-042
Publicado : 15/07/2024
Atualizado:18/07/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 18 de julho de 2024: esclarecemos que os clusters do Autopilot na configuração padrão não são afetados. As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2024-26809 |
GCP-2024-041
Publicado : 08/07/2024
Atualizado:16/09/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 16/09/2024: foram adicionadas versões de patch para o software GDC para VMware. Atualização de 19/07/2024: adicionamos versões de patch para os pools de nós do Ubuntu no GKE. As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta |
GCP-2024-040
Publicado: 01/07/2024
Atualizado:16/07/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualizações de 16/07/2024: Alguns clientes do acesso VPC sem servidor podem ser afetados por uma vulnerabilidade no OpenSSH (CVE-2024-6387). Se a exploração for bem-sucedida, isso poderá permitir que um invasor remoto e não autenticado execute código arbitrário como raiz na máquina virtual de destino. A exploração é considerada difícil. Por exemplo, os clientes não conseguem acessar as VMs e as VMs não têm IPs públicos. Não estamos cientes de nenhuma exploração de tentativas. O que fazer? As implantações de acesso VPC sem servidor são atualizados pelo Google sempre que possível. No entanto, verifique se o O agente de serviço gerenciado pelo Google tem o papel necessário. Caso contrário, o conector de acesso VPC sem servidor ainda pode estar vulnerável. Recomendamos que você migre para a saída da VPC direta ou implante um novo conector e exclua o conector antigo para garantir que você tenha a atualização necessária com o corrigir. Atualização de 11/07/2024:adicionamos versões de patch para software GDC para VMware, GKE na AWS e GKE no Azure. Para mais detalhes, consulte os seguintes boletins na documentação do GKE:
Atualização de 10/07/2024:
Atualizações: 9 de julho de 2024: Alguns clientes do ambiente flexível do App Engine podem ser afetados uma vulnerabilidade no OpenSSH (CVE-2024-6387). Se a exploração for bem-sucedida, isso poderá permitir que um invasor remoto e não autenticado execute código arbitrário como raiz na máquina virtual de destino. O que fazer? O Google já atualizou as implantações no ambiente flexível automaticamente sempre que possível. No entanto, alguns clientes que desativaram o agente de serviço gerenciado pelo Google, ou fez alterações nas APIs do Google Cloud ou em outras configurações padrão, não pôde ser atualizada e ainda pode estar vulnerável. Implante uma nova versão do app para receber a atualização com a correção. As implantações atualizadas vão informar a versão ssh Quais vulnerabilidades estão sendo resolvidas? A vulnerabilidade CVE-2024-6387, que permite uma conexão que o invasor execute código arbitrário como raiz na máquina-alvo. Atualizações de 08/07/2024: Os clusters do Dataproc no Google Compute Engine em execução na versão 2.2 da imagem (todos os sistemas operacionais) e 2.1 (somente Debian) são afetados por uma vulnerabilidade no OpenSSH (CVE-2024-6387), que, em caso de exploração bem-sucedida, pode permitir que um invasor remoto não autenticado execute código arbitrário como root na máquina de destino. Versões 2.0 e 2.0 de imagem do Dataproc no Google Compute Engine 1.5, assim como as imagens do Dataproc versão 2.1 que não estão em execução no Debian não são afetados. Clusters do Dataproc com As autenticações ativadas não são afetadas. Dataproc sem servidor também não será afetado. O que fazer? Atualize seus clusters do Dataproc no Google Compute Engine para uma das seguintes versões:
Caso não seja possível atualizar os clusters do Dataproc para
uma das versões acima, recomendamos o uso da
ação disponível neste local:
Siga estas instruções sobre como especifique ações de inicialização do Dataproc. A ação de inicialização precisa ser executada em todos os nós (mestres e workers) para clusters preexistentes. Atualizações de 03/07/2024:
Atualizações de 02/07/2024:
Uma vulnerabilidade de execução remota de código, CVE-2024-6387 (em inglês) foi descoberto recentemente no OpenSSH. A vulnerabilidade explora uma disputa que podem ser usados para obter acesso a um shell remoto, permitindo que os atacantes obtenham acesso raiz. No momento da publicação, acreditamos que a exploração da vulnerabilidade seja difícil e leve várias horas por máquina a ser invadida. Não estamos cientes de tentativas de exploração. Para receber instruções e mais detalhes, consulte os seguintes boletins:
|
Crítico | CVE-2024-6387 |
GCP-2024-039
Publicado : 28/06/2024
Atualizado:25/09/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 25/09/2024 : adicionamos versões de patch para Software GDC para VMware. Atualização de 20/08/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE. As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2024-26923 |
GCP-2024-038
Publicado : 26/06/2024
Atualizado:17/09/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 17/09/2024: foram adicionadas versões de patch para o software GDC para VMware. Atualização de 06/08/2024:adicionamos versões de patch para pools de nós do Ubuntu no GKE. As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2024-26924 |
GCP-2024-037
Publicado : 18/06/2024
Descrição | Gravidade | Observações |
---|---|---|
A VMware divulgou várias vulnerabilidades na VMSA-2024-0012 que afetam os componentes do vCenter implantados nos ambientes dos clientes. Impacto no Google Cloud VMware Engine
O que devo fazer?Nenhuma outra ação é necessária no momento. |
Crítico |
GCP-2024-036
Publicado : 18/06/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2024-26584 |
GCP-2024-035
Publicado: 12/06/2024
Atualizado em: 18/07/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 18/07/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE e uma versão de patch para a versão 1.27 em pools de nós do Container-Optimized OS. As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2024-26584 |
GCP-2024-034
Publicado em: 11/06/2024
Atualizado em: 10/07/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 10/07/2024:adicionamos versões de patch para Nós do Container-Optimized OS executando as versões secundárias 1.26 e 1.27 e adicionamos versões de patch para os nós do Ubuntu. As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS:
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2024-26583 |
GCP-2024-033
Publicado: 10/06/2024
Atualizado:26/09/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 26/09/2024 : adicionamos versões de patch para Software GDC para VMware. As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS:
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2022-23222 |
GCP-2024-032
Publicado: 04/06/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
As CVEs a seguir expõem o Cloud Service Mesh a vulnerabilidades que podem ser exploradas:
Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh. |
Alta |
GCP-2024-031
Publicado: 24/05/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Uma nova vulnerabilidade (CVE-2024-4323) foi descoberta no Fluent Bit que pode resultar na execução remota do código. Fluent Bit versão 2.0.7 até a versão 3.0.3 serão afetadas. GKE, GKE no VMware, GKE na AWS, O GKE no Azure e o GKE em Bare Metal não usam uma mais vulnerável do Fluent Bit e não são afetadas. Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Nenhum | CVE-2024-4323 |
GCP-2024-030
Publicado : 15/05/2024
Atualizado:18/07/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 18/07/2024 : adicionamos versões de patch para Ubuntu. pools de nós no GKE As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2023-52620 |
GCP-2024-029
Publicado : 14/05/2024
Atualizado:19/08/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 19/08/2024:adicionamos versões de patch para pools de nós do Ubuntu no GKE. As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2024-26642 |
GCP-2024-028
Publicado: 13/05/2024
Atualizado:22/05/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 22/05/2024:adicionamos versões com patch a Ubuntu As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2024-26581 |
GCP-2024-027
Publicado : 08/05/2024
Atualizado:25/09/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 25/09/2024 : adicionamos versões de patch para Software GDC para VMware. Atualização de 15/05/2024: adicionamos versões de patch para pools de nós do GKE Ubuntu. Atualização de 09/05/2024:gravidade média corrigida para High e esclarecemos que o Autopilot do GKE clusters na configuração padrão não são afetados. As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2024-26808 |
GCP-2024-026
Publicado : 07/05/2024
Atualizado:06/08/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 06/08/2024: adicionamos versões de patch para pools de nós do Ubuntu no GKE. Atualização de 09/05/2024: corrigida a gravidade de média para alta. As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2024-26643 |
GCP-2024-025
Publicado: 26/04/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
O Looker corrigiu as vulnerabilidades relatadas por um pesquisador externo no Programa de recompensa para descobertas de vulnerabilidades (VRP, na sigla em inglês) do Google e da Alphabet, mas não encontrou evidências de exploração. Esses problemas já foram resolvidos, e nenhuma ação é necessária para os usuários de clientes hospedados no Looker (Google Cloud Core) e Looker (original). Recomendamos que as instâncias auto-hospedadas do Looker sejam atualizadas para a versão com suporte mais recente. O que fazer? Instâncias hospedadas pelo Looker: instâncias do Looker (Google Cloud Core) e do Looker (original) Nenhuma ação do cliente é necessária. Somente instâncias auto-hospedadas do Looker Se a instância do Looker for auto-hospeda, recomendamos fazer upgrade para uma das seguintes versões:
Como o problema foi corrigido? O Google desativou o acesso administrativo direto ao banco de dados interno do aplicativo Looker, removeu privilégios elevados que permitiam o acesso entre locatários e alternou as chaves secretas expostas. Além disso, corrigimos vulnerabilidades de travessia de caminhos que possivelmente expuseram credenciais de conta de serviço. Também estamos conduzindo uma análise completa do nosso código e dos nossos sistemas para identificar e resolver possíveis vulnerabilidades semelhantes. |
Crítico |
GCP-2024-024
Publicado: 25/04/2024
Atualizado em: 18/07/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 18/07/2024 : adicionamos versões de patch para Ubuntu. pools de nós no GKE As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2024-26585 |
GCP-2024-023
Publicado:24/04/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
As CVEs a seguir expõem o Cloud Service Mesh a vulnerabilidades exploráveis:
Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh. |
Alta |
GCP-2024-022
Publicado: 03/04/2024
Atualizado em: 17/07/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 17/07/2024:adicionamos versões de patch para o GKE no VMware. Atualização de 09/07/2024:foram adicionadas versões de patch para o GKE em Bare Metal. Atualização de 24/04/2024: adicionamos versões de patch para o GKE. Uma vulnerabilidade de negação de serviço (DoS) (CVE-2023-45288) foi descoberta recentemente em várias implementações do protocolo HTTP/2, incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Google Kubernetes Engine (GKE). Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2023-45288 |
GCP-2024-021
Publicado: 03/04/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
O Compute Engine não é afetado pela CVE-2024-3094, que afeta as versões 5.6.0 e 5.6.1 do pacote xz-utils na biblioteca liblzma e pode comprometer o utilitário OpenSSH. Para mais detalhes, consulte o boletim de segurança do Compute Engine. |
Médio | CVE-2024-3094 |
GCP-2024-020
Publicado : 02/04/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Os pesquisadores descobriram uma vulnerabilidade (CVE-2023-48022) no Ray. O Ray é uma ferramenta de código aberto de terceiros para cargas de trabalho de IA. Como o Ray não exige os agentes invasores podem conseguir a execução remota de códigos enviando jobs para instâncias expostas publicamente. O a vulnerabilidade disputou por Anyscale, desenvolvedor do Ray. O Ray mantém as funções como um recurso principal do produto e a segurança precisa ser implementada fora de um cluster do Ray, porque qualquer exposição de rede não intencional do cluster do Ray pode comprometer o sistema. Com base na resposta, esse CVE é contestado e pode não aparecer em verificações de vulnerabilidade. De qualquer forma, ele está sendo usado ativamente no mundo real, e os usuários precisam configurar o uso conforme sugerido abaixo. O que fazer? Siga o Ray melhor de código aberto e diretrizes, incluindo a execução de código redes confiáveis para proteger suas cargas de trabalho do Ray. Implantação da ray.io em instâncias de nuvem do cliente se enquadra no modelo de responsabilidade compartilhada. A segurança do Google Kubernetes Engine (GKE) publicou um blog sobre como proteger o Ray no GKE. Para mais informações sobre como adicionar autenticação e autorização aos serviços do Ray, consulte a documentação do Identity-Aware Proxy (IAP). Os usuários do GKE podem implementar o IAP depois orientação ou reaproveite os módulos do Terraform vinculados blog. |
Alta | CVE-2023-48022 |
GCP-2024-018
Publicado: 12/03/2024
Atualizado em: 04/04/2024, 06/05/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 06/05/2024: adicionamos versões de patch para os pools de nós do Ubuntu do GKE. Atualização de 04/04/2024:versões mínimas corrigidas para pools de nós do GKE Container-Optimized OS. As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2024-1085 |
GCP-2024-017
Publicado : 06/03/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2023-3611 |
GCP-2024-016
Publicado: 05/03/2024
Descrição | Gravidade | Observações |
---|---|---|
A VMware divulgou várias vulnerabilidades na VMSA-2024-0006 que afetam os componentes do ESXi implantados nos ambientes dos clientes. Impacto no Google Cloud VMware EngineSuas nuvens privadas foram atualizadas para resolver a vulnerabilidade de segurança. O que devo fazer?Você não precisa fazer nada. |
Crítico |
GCP-2024-014
Publicado: 26/02/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2023-3776 |
GCP-2024-013
Publicado : 27/02/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2023-3610 |
GCP-2024-012
Publicado: 20/02/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2024-0193 |
GCP-2024-011
Publicado: 15/02/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu:
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2023-6932 |
GCP-2024-010
Publicado : 14/02/2024
Atualizado:17/04/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 17/04/2024: adicionamos versões de patch para o GKE no VMware. As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2023-6931 |
GCP-2024-009
Publicado: 13/02/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Em 13 de fevereiro de 2024, a AMD divulgou duas vulnerabilidades que afetam o SEV-SNP em CPUs EPYC baseadas na terceira geração de "Milão" e a quarta geração, "Genoa", Núcleos Zen. As vulnerabilidades permitem que invasores privilegiados acessem dados desaturados dos hóspedes ou causem a perda da integridade deles. O Google corrigiu os recursos afetados, incluindo o Google Cloud, para garantir a proteção dos clientes. No momento, nenhuma evidência de exploração foram encontrados ou denunciados ao Google. O que fazer? Nenhuma ação do cliente é necessária. As correções já foram aplicadas à Frota de servidores do Google para o Google Cloud, incluindo o Compute Engine. Para mais informações, consulte o aviso de segurança da AMD AMD-SN-3007. |
Moderado |
GCP-2024-008
Publicado:12/02/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
O CVE-2023-5528 permite que um invasor crie pods e volumes persistentes em nós do Windows de uma maneira que permita a elevação de privilégios de administrador nesses nós. Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2023-5528 |
GCP-2024-007
Publicado: 08/02/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
As CVEs a seguir expõem o Cloud Service Mesh a vulnerabilidades que podem ser exploradas:
Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh. |
Alta |
GCP-2024-006
Publicado: 05/02/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Quando um proxy de gerenciamento de APIs da Apigee se conecta a um endpoint de destino ou a servidor de destino, o proxy não realiza a validação do nome do host para o certificado apresentado pelo endpoint ou servidor de destino por padrão. Se a validação do nome do host não estiver ativada usando uma das opções a seguir, os proxies da Apigee que se conectam a um endpoint ou servidor de destino poderão estar em risco de um ataque "man-in-the-middle" por um usuário autorizado. Para mais informações, consulte Como configurar o TLS da borda para o back-end (nuvem e nuvem privada). As implantações de proxy da Apigee nas seguintes plataformas da Apigee foram afetadas:
Para instruções e mais detalhes, consulte o boletim de segurança da Apigee. |
Alta |
GCP-2024-005
Publicado:31/01/2024
Atualizado:02/04/2024, 06/05/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 06/05/2024: adicionamos versões de patch para o GKE na AWS e no GKE no Azure. Atualização de 02/04/2024: adicionamos versões de patch para o GKE em Bare Metal. Atualização de 06/03/2024: adição de versões de patch para o GKE no VMware Atualização de 28/02/2024: versões de patch adicionadas para Ubuntu Atualização de 15/02/2024: esclarecemos que as versões de patch 1.25 e 1.26 do Ubuntu na atualização de 14/02/2024 podem causar nós inativos. Atualização de 14/02/2024: adição de versões de patch para o Ubuntu Atualização de 06/02/2024: foram adicionadas versões de patch para o Container-Optimized OS. Uma vulnerabilidade de segurança, CVE-2024-21626, foi descoberta em Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2024-21626 |
GCP-2024-004
Publicado : 24/01/2024
Atualizado:07/02/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 07/02/2024 : adicionamos versões de patch para o Ubuntu. As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2023-6817 |
GCP-2024-003
Publicado: 19/01/2024
Atualizado: 26/01/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 26/01/2024:esclarecemos o número de clusters afetados e as ações que que realizamos para ajudar a reduzir o impacto. Veja mais detalhes no boletim de segurança do GCP-2024-003. Identificamos vários clusters em que os usuários concederam privilégios do Kubernetes
ao grupo Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Médio |
GCP-2024-002
Publicado : 17/01/2024
Atualizado:20/02/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 20/02/2024:adicionamos versões de patch para o GKE no VMware. As vulnerabilidades a seguir foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS.
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2023-6111 |
GCP-2024-001
Publicado: 09/01/2024Descrição
Descrição | Gravidade | Observações |
---|---|---|
Várias vulnerabilidades foram descobertas no firmware UEFI do EDK II do TianoCore. Esse firmware é usado em VMs do Google Compute Engine. Se exploradas, as vulnerabilidades poderiam permitir um desvio da inicialização segura, forneceriam medidas falsas no processo de inicialização segura, incluindo quando usados em VMs protegidas. O que devo fazer?Você não precisa fazer nada. O Google corrigiu essa vulnerabilidade no Compute Engine, e todas as VMs estão protegidas contra ela. Quais vulnerabilidades são corrigidas por esse patch?O patch mitigou as seguintes vulnerabilidades:
|
Médio |
GCP-2023-051
Publicado em: 28/12/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2023-3609 |
GCP-2023-050
Publicado : 27/12/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
As vulnerabilidades a seguir foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2023-3389 |
GCP-2023-049
Publicado : 20/12/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
As vulnerabilidades a seguir foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2023-3090 |
GCP-2023-048
Publicado em: 15/12/2023
Atualizado:21/12/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 21/12/2023: esclarecemos que os clusters do Autopilot do GKE na configuração padrão não são afetados. As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2023-3390 |
GCP-2023-047
Publicado:14/12/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Um invasor que comprometeu o contêiner do Fluent Bit Logging poderia combinar esse acesso com os altos privilégios exigidos Cloud Service Mesh (em clusters que o ativaram) para escalonar no cluster. Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Médio |
GCP-2023-046
Publicado : 22/11/2023
Atualizado:04/03/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 4/3/2024: adicionamos versões do GKE para o GKE no VMware. Atualização de 22/01/2024: adição de versões de patch do Ubuntu. As vulnerabilidades a seguir foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2023-5717 |
GCP-2023-045
Publicado em: 20/11/2023
Atualizado:21/12/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 21/12/2023: esclarecemos que os clusters do Autopilot do GKE na configuração padrão não são afetados. As vulnerabilidades a seguir foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2023-5197 |
GCP-2023-044
Publicado:15/11/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Em 14 de novembro, a AMD divulgou várias vulnerabilidades que afetam vários CPUs do servidor AMD. Especificamente, as vulnerabilidades afetam as CPUs do servidor EPYC que usam o núcleo Zen de 2ª geração "Rome", 3ª geração "Milan" e 4ª geração "Genoa". O Google corrigiu os recursos afetados, incluindo o Google Cloud, para garantir a proteção dos clientes. No momento, nenhuma evidência de exploração foi encontrada ou relatada ao Google. O que fazer? Nenhuma ação do cliente é necessária. As correções já foram aplicadas à frota de servidores do Google Cloud, incluindo o Google Compute Engine. Quais vulnerabilidades estão sendo resolvidas? O patch mitigou as seguintes vulnerabilidades:
Para mais informações, consulte também o aviso de segurança da AMD AMD-SN-3005: "AMD INVD Instruction Security Aviso" (em inglês), publicado como CacheWarp e AMD-SN-3002: "AMD Server Server Vulnerabilities – novembro 2023". |
Moderado |
GCP-2023-043
Publicado:14/11/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
A Intel divulgou uma vulnerabilidade de CPU em alguns processadores. Para garantir a proteção dos clientes, o Google tomou medidas para reduzir a frota de servidores, incluindo o Google Compute Engine para Google Cloud e os dispositivos ChromeOS. Detalhes da vulnerabilidade:
O que fazer? Nenhuma ação do cliente é necessária. A mitigação fornecida pela Intel para os processadores afetados foi aplicada à frota de servidores do Google, incluindo o Google Compute Engine para Google Cloud. No momento, o Google Distributed Cloud Edge requer uma atualização do OEM. O Google vai corrigir esse produto assim que a atualização for disponibilizada, e este boletim será atualizado de acordo. Os dispositivos ChromeOS com os processadores afetados receberam a correção automática nas versões 119, 118 e 114 (LTS). Quais vulnerabilidades estão sendo resolvidas? CVE-2023-23583. Para mais detalhes, consulte a Intel Security Advisory INTEL-SA-00950 (em inglês). |
Alta | CVE-2023-23583 |
GCP-2023-042
Publicado : 13/11/2023
Atualizado:15/11/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 15/11/2023:esclarecemos que apenas os itens listados versões secundárias precisam fazer upgrade para uma versão com patch correspondente para no GKE. As vulnerabilidades a seguir foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2023-4147 |
GCP-2023-041
Publicado : 08/11/2023
Atualizado:21/11/2023, 05/12/2023, 21/12/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 21/12/2023:esclarecemos que o GKE os clusters do Autopilot na configuração padrão não são impactados. Atualização de 5/12/2023: foram adicionadas outras versões do GKE para pools de nós do Container-Optimized OS. Atualização de 21/11/2023:esclarecemos que apenas os itens listados versões secundárias precisam fazer upgrade para uma versão com patch correspondente para no GKE. As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2023-4004 |
GCP-2023-040
Publicado em: 06/11/2023
Atualizado:21/11/2023, 21/12/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 21/12/2023:esclarecemos que o GKE os clusters do Autopilot na configuração padrão não são impactados. Atualização de 21/11/2023: esclarecemos que apenas as versões secundárias listadas precisam ser atualizadas para uma versão corrigida correspondente do GKE. As vulnerabilidades a seguir foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2023-4921 |
GCP-2023-039
Publicado:06/11/2023
Atualizado em: 21/11/2023, 16/11/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 21/11/2023: esclarecemos que apenas as versões secundárias listadas precisam ser atualizadas para uma versão corrigida correspondente do GKE. Atualização de 16/11/2023: a vulnerabilidade associada a este boletim de segurança é a CVE-2023-4622. A CVE-2023-4623 foi listada incorretamente como a vulnerabilidade em uma versão anterior do boletim de segurança. As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2023-4622 |
GCP-2023-038
Publicado : 06/11/2023
Atualizado:21/11/2023, 21/12/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 21/12/2023:esclarecemos que o GKE os clusters do Autopilot na configuração padrão não são impactados. Atualização de 21/11/2023: esclarecemos que apenas as versões secundárias listadas precisam ser atualizadas para uma versão corrigida correspondente do GKE. As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2023-4623 |
GCP-2023-037
Publicado:06/11/2023
Atualizado:21/11/2023, 21/12/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 21/12/2023:esclarecemos que o GKE os clusters do Autopilot na configuração padrão não são impactados. Atualização de 21/11/2023: esclarecemos que apenas as versões secundárias listadas precisam ser atualizadas para uma versão corrigida correspondente do GKE. As vulnerabilidades a seguir foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2023-4015 |
GCP-2023-036
Publicado: 30/10/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
O Deep Learning VM Images é um conjunto de imagens de máquinas virtuais pré-empacotadas com um framework de aprendizado profundo pronto para ser executado. Recentemente, uma vulnerabilidade de gravação fora do limite foi descoberta na função "ReadHuffmanCodes()" da biblioteca "libwebp". Isso pode afetar as imagens que usam essa biblioteca. O Google Cloud verifica continuamente as imagens publicadas de maneira pública e atualiza os pacotes para garantir que as distribuições com patch sejam incluídas nas versões mais recentes disponíveis para a adoção pelo cliente. O Deep Learning VM Image foi atualizado para garantir que as imagens de VM mais recentes incluam as distribuições com patch. Os clientes que adotam as imagens de VM mais recentes não ficam expostos a essa vulnerabilidade. O que fazer? Os clientes do Google Cloud que usam imagens de VM publicadas precisam verificar se estão adotando as imagens mais recentes e se os ambientes estão atualizados de acordo com o modelo de responsabilidade compartilhada. A CVE-2023-4863 pode ser explorada por um invasor que queira executar códigos arbitrários. Essa vulnerabilidade foi identificada no Google Chrome antes da 116.0.5845.187 e em "libwebp" antes da 1.3.2 e está listada na CVE-2023-4863. |
Alta | CVE-2023-4863 |
GCP-2023-035
Publicado: 26/10/2023
Atualizado em: 21/11/2023, 21/12/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 21/12/2023:esclarecemos que o GKE os clusters do Autopilot na configuração padrão não são impactados. Atualização de 21/11/2023: esclarecemos que apenas as versões secundárias listadas precisam ser atualizadas para uma versão corrigida correspondente do GKE. As vulnerabilidades a seguir foram descobertas no kernel do Linux e podem levar a um escalonamento de privilégios nos nós do Container-Optimized OS e do Ubuntu.
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2023-4206CVE-2023-4207, CVE-2023-4208, CVE-2023-4128 (links em inglês) |
GCP-2023-034
Publicado em: 25/10/2023
Atualizado em: 27/10/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
A VMware divulgou várias vulnerabilidades na VMSA-2023-0023 que afetam os componentes do vCenter implantados nos ambientes dos clientes. Impacto do Cloud Customer Care
O que devo fazer?No momento, nenhuma outra ação é necessária. |
Crítico | CVE-2023-34048,CVE-2023-34056 |
GCP-2023-033
Publicado:24/10/2023
Atualizado:21/11/2023, 21/12/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 21/12/2023:esclarecemos que o GKE os clusters do Autopilot na configuração padrão não são e as cargas de trabalho do GKE Sandbox não serão afetadas. Atualização de 21/11/2023:esclarecemos que apenas os itens listados versões secundárias precisam fazer upgrade para uma versão com patch correspondente para no GKE. As seguintes vulnerabilidades foram descobertas no kernel do Linux que podem levar para um escalonamento de privilégios nos nós do Ubuntu e do Container-Optimized OS.
Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2023-3777 |
GCP-2023-032
Publicado: 2023-10-13
Atualizado em: 03/11/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 03/11/2023: foi adicionado um problema conhecido relacionado ao Apigee Edge para nuvem privada. Uma vulnerabilidade de negação de serviço (DoS) foi descoberta recentemente em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o serviço Apigee Ingress (Cloud Service Mesh) usado pelo Apigee X e Apigee híbrida. A vulnerabilidade pode levar a um DoS da funcionalidade de gerenciamento da API Apigee. Para instruções e mais detalhes, consulte a boletim de segurança da Apigee. |
Alta | CVE-2023-44487 |
GCP-2023-031
Publicado: 2023-10-10
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Um ataque de negação de serviço pode afetar o plano de dados quando com o protocolo HTTP/2. Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh. |
Alta | CVE-2023-44487 |
GCP-2023-030
Publicado: 2023-10-10
Atualizado em: 20/03/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 20/03/2024:adicionamos versões de patch a GKE na AWS e GKE no Azure com os patches mais recentes para CVE-2023-44487. Atualização de 14/02/2024: adicionamos versões de patch para o GKE no VMware. Atualização de 09/11/2023:foi adicionada a CVE-2023-39325. Atualizado Versões do GKE com os patches mais recentes para CVE-2023-44487 e CVE-2023-39325. Uma vulnerabilidade de negação de serviço (DoS) foi descoberta recentemente em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o servidor HTTP golang usado pelo Kubernetes. A vulnerabilidade pode levar a um DoS do plano de controle do Google Kubernetes Engine (GKE). Os clusters do GKE com redes autorizadas configuradas são protegidos pela limitação do acesso à rede, mas todos os outros clusters são afetados. Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2023-44487, CVE-2023-39325 |
GCP-2023-029
Publicado: 03/10/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
O TorchServe é usado para hospedar modelos de machine learning PyTorch para previsão on-line. A Vertex AI fornece contêineres pré-criados de exibição de modelos PyTorch que dependem do TorchServe. Recentemente, foram descobertas no TorchServe vulnerabilidades que permitiriam a um invasor assumir o controle de uma implantação do TorchServe se a API de gerenciamento de modelos for exposta. Os clientes com modelos PyTorch implantados na previsão on-line da Vertex AI não são afetados por essas vulnerabilidades, porque a Vertex AI não expõe a API de gerenciamento de modelos do TorchServe. Os clientes que usam o TorchServe fora da Vertex AI precisam tomar precauções para garantir que as implantações sejam configuradas com segurança. O que fazer? Os clientes da Vertex AI com modelos implantados usando contêineres de exibição pré-criados do PyTorch da Vertex AI não precisam fazer nada para resolver as vulnerabilidades, já que as implantações da Vertex AI não expõem o servidor de gerenciamento do TorchServe à Internet. Os clientes que usam os contêineres pré-criados do PyTorch em outros contextos ou que usam uma distribuição personalizada ou de terceiros do TorchServe devem fazer o seguinte:
Quais vulnerabilidades estão sendo resolvidas? A API de gerenciamento do TorchServe está vinculada a A CVE-2023-43654 e a CVE-2022-1471 permitem que um usuário com acesso à API de gerenciamento carregue modelos de fontes arbitrárias e execute código remotamente. As mitigações para esses dois problemas estão incluídas no TorchServe 0.8.2: o caminho de execução do código remoto é removido e um aviso é emitido se o valor padrão de |
Alta | CVE-2023-43654, CVE-2022-1471 |
GCP-2023-028
Publicado:19/09/2023
Atualizado : 29/05/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 29 de maio de 2024: os novos feeds não usam mais a
conta de serviço compartilhada, mas ela permanece ativa para feeds atuais para evitar
interrupções no serviço. As mudanças na fonte em feeds mais antigos são bloqueadas para evitar o uso indevido da conta de serviço compartilhada. Os clientes podem continuar usando
seus feeds antigos normalmente, desde que não alterem a origem.
Os clientes podem configurar as Operações de segurança do Google para ingerir dados de buckets do Cloud Storage usando um feed de ingestão. Até pouco tempo atrás, as Operações de segurança do Google forneciam uma conta de serviço compartilhada que os clientes usavam para conceder permissão ao bucket. Havia uma oportunidade para que a instância de Google Security Operations de um cliente pudesse ser configurada para ingerir dados do bucket do Cloud Storage de outro cliente. Após uma análise de impacto, não encontramos exploração atual ou anterior dessa vulnerabilidade. A vulnerabilidade estava presente em todas as versões do Google Security Operations antes de 19 de setembro de 2023. O que fazer? Desde 19 de setembro de 2023, as Operações de segurança do Google foram atualizadas para resolver essa vulnerabilidade. Nenhuma ação do cliente é necessária. Quais vulnerabilidades estão sendo resolvidas? Antes, as Operações de segurança do Google forneciam uma conta de serviço compartilhada que os clientes usavam para conceder permissão a um bucket. Como clientes diferentes concederam a mesma permissão da conta de serviço do Google Security Operations ao bucket, houve um vetor de exploração que permitia que o feed de um cliente acessasse o bucket de outro cliente quando um feed estava sendo criado ou modificado. Esse vetor de exploração exigia conhecimento do URI do bucket. Agora, durante a criação ou modificação de feeds, as Operações de segurança do Google usam contas de serviço exclusivas para cada cliente. |
Alta |
GCP-2023-027
Publicado: 2023-09-11Descrição | Gravidade | Observações |
---|---|---|
As atualizações do VMware vCenter Server lidam com várias vulnerabilidades de corrupção de memória (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896) Impacto no atendimento ao clienteVMware vCenter Server (vCenter Server) e VMware Cloud Foundation (Cloud Foundation). O que devo fazer?Os clientes não são afetados, e nenhuma ação é necessária. |
Meio |
GCP-2023-026
Publicado: 06/09/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Três vulnerabilidades (CVE-2023-3676, CVE-2023-3955 e CVE-2023-3893) foram descobertas no Kubernetes. Com elas, um usuário capaz de criar pods em nós do Windows pode escalonar para privilégios de administrador nesses nós. Essas vulnerabilidades afetam as versões para Windows do Kubelet e do proxy CSI do Kubernetes. Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2023-3676 (em inglês). CVE-2023-3955 (em inglês), CVE-2023-3893 |
GCP-2023-025
Publicado: 2023-08-08Descrição | Gravidade | Observações |
---|---|---|
A Intel anunciou recentemente o Intel Security Advisory INTEL-SA-00828 (link em inglês) que afeta algumas das famílias de processadores. Recomendamos que você avalie os riscos com base na orientação. Impacto no Google Cloud VMware EngineNossa frota usa as famílias de processadores afetados. Na nossa implantação, todo o servidor é dedicado a um cliente. Portanto, nosso modelo de implantação não adiciona nenhum risco à sua avaliação dessa vulnerabilidade. Estamos trabalhando com nossos parceiros para conseguir os patches necessários e vamos implantá-los com prioridade em toda a frota usando o processo de upgrade padrão nas próximas semanas. O que devo fazer?Você não precisa fazer nada. Estamos trabalhando para fazer upgrade de todos os sistemas afetados. |
Alta |
GCP-2023-024
Publicado:08/08/2023
Atualizado em: 10/08/2023 e 04/06/2024
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 04/06/2024: os produtos a seguir foram atualizados para corrigir essa vulnerabilidade:
Atualização de 10/08/2023: foi adicionado o número da versão do ChromeOS LTS. A Intel divulgou uma vulnerabilidade em processadores selecionados (CVE-2022-40982). O Google tomou medidas para mitigar a frota de servidores, incluindo o Google Cloud, para garantir a proteção dos clientes. Detalhes da vulnerabilidade:
O que fazer?
Nenhuma ação do cliente é necessária. Todos os patches disponíveis já foram aplicados ao servidor do Google do Google Cloud, incluindo o Google Compute Engine. No momento, os seguintes produtos exigem atualizações adicionais a partir de parceiros e fornecedores.
O Google vai corrigir esses produtos assim que os patches forem disponibilizados, e este boletim será atualizado de acordo. Os clientes do Google Chromebook e ChromeOS Flex receberam automaticamente as mitigações fornecidas pela Intel nos níveis Stable (115), LTS (108), Beta (116) e LTC (114). Clientes do Chromebook e ChromeOS Flex fixados a uma em uma versão mais antiga, recomendamos liberar e migrar para Stable ou LTS. para garantir que recebam essa e outras correções de vulnerabilidade. Quais vulnerabilidades estão sendo resolvidas? CVE-2022-40982: para mais informações, consulte Intel Security Advisory INTEL-SA-00828. |
Alta | CVE-2022-40982 |
GCP-2023-023
Publicado:08/08/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
A AMD divulgou uma vulnerabilidade em processadores selecionados (CVE-2023-20569). O Google tomou medidas para mitigar a frota de servidores, incluindo o Google Cloud, para garantir a proteção dos clientes. Detalhes da vulnerabilidade:
O que fazer?
Os usuários de VMs do Compute Engine devem considerar as mitigações fornecidas pelo SO se usando a execução de código não confiável dentro da instância. Recomendamos clientes para entrar em contato com os fornecedores do sistema operacional para receber orientações mais específicas. As correções já foram aplicadas à frota de servidores do Google Cloud, incluindo o Google Compute Engine. Quais vulnerabilidades estão sendo resolvidas? CVE-2023-20569: para mais informações, consulte AMD SB-7005. |
Moderado | CVE-2023-20569 |
GCP-2023-022
Publicado : 03/08/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
O Google identificou uma vulnerabilidade nas implementações do gRPC em C ++ nas versões anteriores à 1.57. Uma vulnerabilidade de negação de serviço foi encontrada na implementação do gRPC em C ++. Isso foi corrigido nas versões 1.53.2, 1.54.3, 1.55.2, 1.56.2 e 1.57. O que fazer? Confira se você está usando as versões mais recentes dos seguintes pacotes de software:
Quais vulnerabilidades estão sendo resolvidas? As correções minimizam as seguintes vulnerabilidades:
| Alta | CVE-2023-33953 |
GCP-2023-021
Atualizado: 2023-07-26
Published:2023-07-25
Descrição
Descrição | Gravidade | Observações |
---|---|---|
As CVEs a seguir expõem o Cloud Service Mesh a vulnerabilidades exploráveis:
Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh. |
Alta |
GCP-2023-020
Atualizado: 2023-07-26
Publicado: 24-07-2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
A AMD lançou uma atualização de microcódigo que aborda um problema de segurança do hardware (CVE-2023-20593). O Google aplicou as correções necessárias para essa vulnerabilidade à frota de servidores, incluindo servidores para o Google Cloud Platform. Os testes indicam que não há impacto no desempenho dos sistemas. O que fazer? Nenhuma ação do cliente é necessária, já que as correções já foram aplicadas à frota de servidores do Google Cloud Platform. Quais vulnerabilidades estão sendo resolvidas? A CVE-2023-20593 corrige uma vulnerabilidade em algumas CPUs AMD. Mais mais informações podem ser encontradas aqui. | Alta | CVE-2023-20593 |
GCP-2023-019
Published:2023-07-18
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Uma nova vulnerabilidade (CVE-2023-35945) foi descoberta no Envoy
em que uma resposta criada especificamente de um serviço upstream não confiável
pode causar uma negação de serviço por meio do esgotamento da memória. Isso é causado
pelo codec HTTP/2 do Envoy, que pode vazar um mapa de cabeçalho e registros.
estruturas após receber Para instruções e mais detalhes, consulte a Boletim de segurança do Cloud Service Mesh. | Alta | CVE-2023-35945 |
GCP-2023-018
Publicado:27/06/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Uma nova vulnerabilidade (CVE-2023-2235) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE Autopilot são afetados porque os nós do GKE Autopilot sempre usam imagens de nó do Container-Optimized OS. Os clusters do GKE Standard com versões 1.25 ou posteriores que executam imagens de nó do Container-Optimized OS são afetados. Os clusters do GKE não serão afetados se estiverem executando apenas imagens de nós do Ubuntu ou versões anteriores à 1.25 ou usarem o GKE Sandbox. Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2023-2235 |
GCP-2023-017
Publicado: 26/06/2023
Atualizado em: 11/07/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 11/07/2023:novas versões do GKE foram atualizadas para incluir as versões mais recentes do Ubuntu que corrigem CVE-2023-31436 Uma nova vulnerabilidade (CVE-2023-31436) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Os clusters do GKE, incluindo os clusters do Autopilot, foram afetados. Os clusters do GKE que usam o GKE Sandbox não são afetados. Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2023-31436 |
GCP-2023-016
Publicado:26/06/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Várias vulnerabilidades foram descobertas no Envoy, que é usado no Cloud Service Mesh que permitem que um invasor cause uma negação de serviço ou uma falha no Envoy. Elas foram relatadas separadamente como GCP-2023-002. Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487 |
GCP-2023-015
Publicado: 20/06/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Uma nova vulnerabilidade, CVE-2023-0468, foi descoberta no kernel do Linux que poderia permitir que um usuário sem privilégios aumentasse os privilégios para raiz quando io_poll_get_ownership continuasse aumentando req->poll_refs em cada io_poll_wake e depois transbordasse para 0, o que faria fput req->file duas vezes e causaria um problema de contagem de referência de arquivo de estrutura. Os clusters do GKE, incluindo os clusters do Autopilot, com o Container-Optimized OS que usam a versão 5.15 do kernel do Linux são afetados. Os clusters do GKE que usam imagens do Ubuntu ou o GKE Sandbox não são afetados. Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Médio | CVE-CVE-2023-0468 |
GCP-2023-014
Atualizado em: 11/08/2023
Publicado em: 15/06/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 11/08/2023 : adicionamos versões de patch para GKE no VMware, GKE na AWS, GKE no Azure e Google Distributed Cloud Virtual para Bare Metal. Foram descobertos dois novos problemas de segurança no Kubernetes em que os usuários podem iniciar contêineres que ignoram as restrições da política ao usar contêineres efêmeros e o ImagePolicyWebhook (CVE-2023-2727) ou o plug-in de admissão ServiceAccount (CVE-2023-2728). Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Médio | CVE-2023-2727, CVE-2023-2728 (links em inglês) |
GCP-2023-013
Publicado:08/06/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Quando você ativa a API Cloud Build em um projeto,
o Cloud Build cria automaticamente uma conta de serviço padrão
para executar builds em seu nome. Essa conta de serviço do Cloud Build
tinha anteriormente a permissão do IAM Para instruções e mais detalhes, consulte a Boletim de segurança do Cloud Build. |
Baixo |
GCP-2023-010
Publicado: 07/06/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
O Google identificou três novas vulnerabilidades na implementação do gRPC em C ++. Elas serão publicadas em breve publicamente como CVE-2023-1428, CVE-2023-32731 e CVE-2023-32732. Em abril, identificamos duas vulnerabilidades nas versões 1.53 e 1.54. A primeira era uma vulnerabilidade de negação de serviço que acontecia durante a implementação do gRPC em C ++, e a outra era relacionada à exfiltração de dados. Corrigimos esses problemas nas versões 1.53.1, 1.54.2 e posteriores. Em março, nossas equipes descobriram uma vulnerabilidade de negação de serviço durante a implementação do gRPC em C ++ ao executarem testes de fuzzing de rotina. O problema foi encontrado na versão 1.52 e foi corrigido nas versões 1.52.2 e 1.53. O que devo fazer?Confira se você está usando as versões mais recentes dos seguintes pacotes de software:
Quais vulnerabilidades serão corrigidas?As correções minimizam as seguintes vulnerabilidades:
Recomendamos que você faça upgrade para as versões mais recentes dos seguintes pacotes de software, conforme listado acima. |
Alta (CVE-2023-1428, CVE-2023-32731). Média (CVE-2023-32732) | CVE-2023-1428 (em inglês) CVE-2023-32731 (em inglês) CVE-023-32732 |
GCP-2023-009
Publicado:06/06/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Uma nova vulnerabilidade (CVE-2023-2878) foi encontrada no secret-store-csi-driver, em que um ator com acesso aos registros do driver podia observar tokens de conta de serviço. Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Nenhum | CVE-2023-2878 |
GCP-2023-008
Publicado:05/06/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Uma nova vulnerabilidade (CVE-2023-1872) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios para raiz no nó. Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2023-1872 |
GCP-2023-007
Publicado02-06-2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Recentemente, foi descoberta uma vulnerabilidade no Cloud SQL para SQL Server que
permitia que contas de administrador de clientes criassem gatilhos no
banco de dados O Google Cloud resolveu o problema corrigindo a vulnerabilidade de segurança até 1o de março de 2023. O Google Cloud não encontrou instâncias de cliente comprometidas. Para instruções e mais detalhes, consulte o boletim de segurança do Cloud SQL. |
Alta |
GCP-2023-005
Publicado:18/05/2023
Atualizado:06/06/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 06/06/2023:novas versões do GKE foram atualizadas para incluir as versões mais recentes do Ubuntu que corrigem a CVE-2023-1281 e a CVE-2023-1829. Duas novas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) foram descobertas no kernel do Linux, o que pode levar a um escalonamento de privilégios na raiz do nó. Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2023-1281 CVE-2023-1829 |
GCP-2023-004
Publicado: 26/04/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Duas vulnerabilidades (CVE-2023-1017, em inglês) e CVE-2023-1018). foram descobertas no módulo de plataforma confiável (TPM) 2.0. As vulnerabilidades poderiam permitir que um invasor sofisticado explorasse uma leitura/gravação fora dos limites de 2 bytes em determinadas VMs do Compute Engine. Para instruções e mais detalhes, consulte a Boletim de segurança do Compute Engine. |
Médio |
GCP-2023-003
Publicado:11/04/2023
Atualizado em: 21/12/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 21/12/2023: esclarecemos que os clusters do Autopilot do GKE na configuração padrão não são afetados. Duas novas vulnerabilidades, CVE-2023-0240 e CVE-2023-23586, foram descobertas no kernel do Linux que poderiam permitir que um usuário sem privilégios aumentasse os privilégios. Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2023-0240, CVE-2023-23586 (links em inglês) |
GCP-2023-002
Descrição
Descrição | Gravidade | Observações |
---|---|---|
As CVEs a seguir expõem o Cloud Service Mesh a vulnerabilidades exploráveis:
Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh: |
Alta |
GCP-2023-001
Publicado:01/03/2023, 21/12/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 21/12/2023: esclarecemos que os clusters do Autopilot do GKE na configuração padrão não são afetados. Uma nova vulnerabilidade (CVE-2022-4696) foi descoberta no kernel do Linux que pode levar a um escalonamento de privilégios no nó. Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2022-4696 |
GCP-2022-026
Publicado:11/01/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertos no OpenSSL v3.0.6 que possa causar uma falha. Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Médio |
GCP-2022-025
Publicado:21/12/2022
Atualizado:19/01/2023, 21/12/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 21/12/2023: esclarecemos que os clusters do Autopilot do GKE na configuração padrão não são afetados. Atualização de 19/01/2023: adicionado informações de que a versão 1.21.14-gke.14100 do GKE está disponível. Duas novas vulnerabilidades (CVE-2022-3786 e CVE-2022-3602) foram descobertos no OpenSSL v3.0.6 que possa causar uma falha. Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Médio |
GCP-2022-024
Publicado:09/11/2022
Atualizado:19/01/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 19/01/2023: adicionado informações de que a versão 1.21.14-gke.14100 do GKE está disponível. Atualização de 16/12/2022: adição de versões de patch para o GKE e o GKE no VMware. Duas novas vulnerabilidades (CVE-2022-2585 e CVE-2022-2588) foram descobertas no kernel do Linux que podem levar a uma divisão completa do contêiner para raiz do nó. Para instruções e mais detalhes, consulte: |
Alta |
GCP-2022-023
Publicado:04/11/2022
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Uma vulnerabilidade de segurança, CVE-2022-39278, foi descoberta no Istio, que é usado no Cloud Service Mesh, o que permite que um invasor ataque o plano de controle. Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2022-39278 |
GCP-2022-022
Publicado:28/10/2022
Atualizado:14/12/2022
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 14/12/2022: adicionamos versões de patch para o GKE e o GKE no VMware. Uma nova vulnerabilidade, CVE-2022-20409, foi descoberta no Linux do kernel que permite que um usuário sem privilégios encaminhe para o sistema privilégio de execução. Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2022-20409 |
GCP-2022-021
Publicado:27/10/2022
Atualizado:19/01/2023, 21/12/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 21/12/2023: esclarecemos que os clusters do Autopilot do GKE na configuração padrão não são afetados. Atualização de 19/01/2023:adicionamos informações que A versão 1.21.14-gke.14100 do GKE está disponível. Atualização de 15/12/2022:informações atualizadas que a versão A versão 1.21.14-gke.9400 do Google Kubernetes Engine está com o lançamento pendente e pode estar substituído por um número de versão superior. Atualização de 22/11/2022: foram adicionadas versões de patch para o GKE no VMware, o GKE na AWS e o GKE no Azure. Uma nova vulnerabilidade (CVE-2022-3176) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó. Para receber instruções e mais detalhes, consulte os seguintes boletins: |
Alta | CVE-2022-3176 |
GCP-2022-020
Publicado em: 05/10/2022
Atualizado:12/10/2022
Descrição
Descrição | Gravidade | Observações |
---|---|---|
O plano de controle do Istio Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh. |
Alta | CVE-2022-39278 |
GCP-2022-019
Publicado:22/09/2022
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Uma vulnerabilidade de análise de mensagens e gerenciamento de memória nas implementações do ProtocolBuffer em C++ e Python pode acionar uma falha de falta de memória (OOM) ao processar uma mensagem criada especialmente. Isso pode levar a uma negação de serviço (DoS) em serviços usando bibliotecas. O que devo fazer?Verifique se você está usando as versões mais recentes dos seguintes softwares pacotes:
Quais vulnerabilidades são corrigidas por esse patch?O patch reduz os riscos da seguinte vulnerabilidade:
uma pequena mensagem especialmente construída que faz com que o serviço em execução
para alocar grandes quantidades de RAM. O tamanho pequeno da solicitação significa
que é fácil aproveitar a vulnerabilidade e o esgotamento
do Google Cloud. Sistemas C++ e Python que consomem protobufs não confiáveis
ficam vulneráveis a ataques DoS se tivessem uma
|
Médio | CVE-2022-1941 |
GCP-2022-018
Publicado: 01/08/2022
Atualizado em: 14/09/2022, 21/12/2023
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 21/12/2023: esclarecemos que os clusters do Autopilot do GKE na configuração padrão não são afetados. Atualização de 14/09/2022:adicionamos versões com patch a GKE no VMware, GKE na AWS e GKE no Azure. Uma nova vulnerabilidade (CVE-2022-2327) foi descoberta no kernel do Linux que pode levar ao escalonamento de privilégios locais. Com essa vulnerabilidade, um usuário sem privilégios pode realizar uma invasão de contêiner completa com acesso root no nó. Para receber instruções e mais detalhes, consulte os seguintes boletins: | Alta | CVE-2022-2327 |
GCP-2022-017
Publicado:29/06/2022
Atualizado:22/11/2022
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 22/11/2022:as cargas de trabalho que usam o GKE Sandbox não são afetadas por essas vulnerabilidades. Atualização de 21/07/2022:mais informações sobre o GKE no VMware. Uma nova vulnerabilidade (CVE-2022-1786) foi descoberta na versão 5.10 e 5.11 do kernel do Linux. Essa vulnerabilidade permite que um usuário sem privilégios com acesso local ao cluster consiga um detalhamento completo do contêiner com acesso root no nó. Apenas os clusters que executam o Container-Optimized OS são afetados. As versões do GKE Ubuntu usam a versão 5.4 ou 5.15 do kernel e não são afetadas. Para instruções e mais detalhes, consulte: |
Alta | CVE-2022-1786 |
GCP-2022-016
Publicado:23/06/2022
Atualizado:22/11/2022
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 22/11/2022:os clusters do Autopilot não são afetados pela CVE-2022-29581, mas estão vulneráveis à CVE-2022-29582 e à CVE-2022-1116. Três novas vulnerabilidades de corrupção de memória (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) foram descobertas em kernel do Linux. Essas vulnerabilidades permitem que um usuário sem privilégios acesso local ao cluster para realizar uma fuga completa do contêiner para o acesso raiz no nó. Todos os clusters do Linux (Container-Optimized OS e Ubuntu) são afetados. Para instruções e mais detalhes, consulte os seguintes boletins: |
Alta |
GCP
Publicado:09/06/2022
Atualizado:10/06/2022
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 10/06/2022: as versões do Cloud Service Mesh foram atualizadas. Para instruções e mais detalhes, consulte a Boletim de segurança do Cloud Service Mesh. As seguintes CVEs do Envoy e do Istio expõem o Cloud Service Mesh e o Istio no GKE para serem explorados remotamente por vulnerabilidades:
Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh. |
Crítico |
GCP-2022-014
Publicado:26/04/2022
Atualizado:22/11/2022
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 22/11/2022:clusters e cargas de trabalho do Autopilot em execução no O GKE Sandbox não é afetado. Atualização de 12/05/2022:o GKE na AWS e As versões do GKE no Azure foram atualizadas. Para instruções e mais detalhes, consulte:
Duas vulnerabilidades de segurança, CVE-2022-1055 e CVE-2022-27666, foram descobertas no kernel do Linux. Cada um deles pode fazer com que um invasor local realize uma análise de contêineres, um escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais dos nós do GKE (Container-Optimized OS e Ubuntu). Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança: |
Alta |
CVE-2022-1055 CVE-2022-27666 |
GCP-2022-013
Publicado: 11/04/2022
Atualizado: 22/04/2022
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Uma vulnerabilidade de segurança, CVE-2022-23648, foi descoberta no processamento de Path Traversal de contêineres na especificação do volume de imagem OCI. Os contêineres lançados pela implementação da CRI em contêiner com uma configuração de imagem especialmente criada podem obter acesso completo de leitura para arquivos e diretórios arbitrários no host. Essa vulnerabilidade pode ignorar qualquer aplicação baseada em políticas na configuração do contêiner (incluindo uma política de segurança de pods do Kubernetes). Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança: |
Médio | CVE-2022-23648 |
GCP-2022-012
Publicado em: 07/04/2022
Atualizado em: 22/11/2022
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 22/11/2022: as cargas de trabalho que usam o GKE Sandbox não são afetadas nos clusters do GKE nos dois modos, Standard e Autopilot. Uma vulnerabilidade de segurança, CVE-2022-0847, foi descoberta na versão 5.8 e posterior do kernel do Linux. É possível escalonar privilégios de contêiner na raiz. Essa vulnerabilidade afeta os seguintes produtos:
Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança: |
Alta | CVE-2022-0847 |
GCP-2022-011
Publicado:22/03/2022
Atualizado : 11/08/2022
Descrição
Descrição | Gravidade |
---|---|
Atualização de 11/08/2022: mais informações foram adicionadas sobre a configuração de várias linhas de execução simultâneas (SMT, na sigla em inglês). O objetivo da SMT era ser desativado, mas ativado nas versões listadas. Se você ativou a SMT manualmente para um pool de nós no modo sandbox, a SMT permanecerá ativada manualmente, apesar desse problema. Há uma configuração incorreta com várias linhas de execução simultâneas (SMT, na sigla em inglês), também conhecida como Hyper-threading, nas imagens do GKE Sandbox. A configuração incorreta deixa os nós potencialmente expostos a ataques de canal lateral, como amostragem de dados de microarquitetura (MDS, na sigla em inglês). Para mais contexto, consulte a documentação do GKE Sandbox. Não recomendamos o uso das seguintes versões afetadas:
Para instruções e mais detalhes, consulte o boletim de segurança do GKE. |
Médio |
GCP-2022-010
Descrição
Descrição | Gravidade | Observações |
---|---|---|
O CVE do Istio a seguir expõe o Cloud Service Mesh a uma vulnerabilidade que pode ser explorada remotamente:
Para instruções e mais detalhes, consulte o seguinte boletim de segurança: |
Alta |
GCP-2022-009
Publicado:01/03/2022Descrição
Descrição | Gravidade |
---|---|
Alguns caminhos inesperados para acessar a VM do nó em clusters do Autopilot GKE podem ter sido usados para escalonar privilégios no cluster. Esses problemas foram corrigidos e nenhuma outra ação é necessária. As correções resolvem problemas reportados pelo nosso Programa de recompensa para descobertas de vulnerabilidades. Para instruções e mais detalhes, consulte o boletim de segurança do GKE. |
Baixo |
GCP-2022-008
Publicado:23/02/2022
Atualizado : 28/04/2022
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 28/04/2022: adicionamos versões do GKE no VMware que corrigem essas vulnerabilidades. Para mais detalhes, consulte a Boletim de segurança do GKE no VMware. O projeto Envoy descobriu recentemente um conjunto de vulnerabilidades. Todos os problemas listados abaixo foram corrigidos na versão 1.21.1 do Envoy.
O que devo fazer? Os usuários do Envoy que gerenciam os próprios Envoys precisam garantir que estão usando a versão 1.21.1 do Envoy. Os usuários do Envoy que gerenciam seus próprios Envoy criam os binários a partir de uma fonte como o GitHub e os implantam. Os usuários que executam o Envoys gerenciados não precisam fazer nada. O Google Cloud fornece os binários do Envoy. Para isso, os produtos do Google Cloud vão mudar para a versão 1.21.1. |
Alta |
CVE-2022-23606 CVE-2022-21655 CVE-2021-43826 CVE-2021-43825 CVE-2021-43824 CVE-2022-21654 CVE-2022-21657 CVE-2022-21656 |
GCP-2022-007
Publicado:22/02/2022Descrição
Descrição | Gravidade | Observações |
---|---|---|
As seguintes CVEs do Envoy e do Istio expõem o Cloud Service Mesh e o Istio no GKE para serem explorados remotamente por vulnerabilidades:
Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança: |
Alta |
GCP-2022-006
Publicado: 14/02/2022Atualizado: 16/05/2022
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 16/05/2022:adicionamos a versão 1.19.16-gke.7800 ou mais recente do GKE à lista de versões que têm código para corrigir essa vulnerabilidade. Para mais detalhes, consulte o boletim de segurança do GKE. Atualização de 12/05/2022:o GKE, GKE no VMware, GKE na AWS e As versões do GKE no Azure foram atualizadas. Para instruções e mais detalhes, consulte:
Uma vulnerabilidade de segurança, CVE-2022-0492,
foi descoberta na função |
Baixo |
Para instruções e mais detalhes, consulte: |
GCP-2022-005
Publicado:11/02/2022Atualizado : 15/02/2022
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Uma vulnerabilidade de segurança, CVE-2021-43527, foi descoberta em qualquer binário que vincule às versões vulneráveis do libnss3 encontradas nas versões NSS (Serviços de segurança de rede) anteriores à 3.73 ou 3.68.1. Aplicativos que usam NSS para validação de certificados ou outro recurso TLS, X.509, OCSP ou CRL podem ser afetados, dependendo de como o NSS é usado/configurado. Para instruções e mais detalhes, consulte: |
Médio | CVE-2021-43527 |
GCP-2022-004
Publicado:04/02/2022Descrição
Descrição | Gravidade | Observações |
---|---|---|
Uma vulnerabilidade de segurança, CVE-2021-4034, foi descoberta no pkexec, parte do pacote do kit de políticas do Linux (polkit) que permite que um usuário autenticado execute um ataque de escalonamento de privilégios. O PolicyKit geralmente é usado apenas em sistemas Linux para computadores, permitindo que usuários não raiz realizem ações como reiniciar o sistema, instalar pacotes, reiniciar serviços etc., conforme regido por uma política. Para instruções e mais detalhes, consulte: |
Nenhum | CVE-2021-4034 |
GCP-2022-002
Publicado:01/02/2022Atualizado:25/02/2022
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 25/02/2022:o GKE de rede foram atualizadas. Para instruções e mais detalhes, consulte: Atualização de 23/02/2022: as versões do GKE e do GKE no VMware foram atualizadas. Para instruções e mais detalhes, consulte: Atualização de 04/02/2022: a data de início do lançamento das versões de patch do GKE foi 2 de fevereiro. Três vulnerabilidades de segurança, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185. foram descobertas no kernel do Linux. Cada uma delas pode levar a uma falha de contêiner, escalonamento de privilégios no host ou ambos. Essas vulnerabilidades afetam todos os sistemas operacionais de nós (COS e Ubuntu) no GKE, GKE no VMware, GKE na AWS (geração atual e anterior) e GKE no Azure. Os pods que usam o GKE Sandbox não são vulneráveis a essas vulnerabilidades. Para mais detalhes, consulte as Notas de lançamento da imagem COS. Para instruções e mais detalhes, consulte: |
Alta |
GCP-2022-001
Publicado:06/01/2022Descrição
Descrição | Gravidade | Observações |
---|---|---|
Um possível problema de negação de serviço em O que fazer? Confira se você está usando as versões mais recentes dos seguintes pacotes de software:
Protobuf "javalite" os usuários (geralmente Android) não são afetados. Quais vulnerabilidades serão corrigidas? O patch reduz os riscos da seguinte vulnerabilidade: Uma fraqueza de implementação na forma como campos desconhecidos são analisados em Java. Um payload malicioso pequeno (~800 KB) pode ocupar o analisador por vários minutos criando um grande número de objetos de curta duração que causam pausas de coleta de lixo frequentes e repetidas. |
Alta | CVE-2021-22569 |
GCP-2021-024
Publicado em: 21/10/2021Descrição
Descrição | Gravidade | Observações |
---|---|---|
Um problema de segurança foi encontrado no controlador ingress-nginx do Kubernetes, CVE-2021-25742 (em inglês). Os snippets personalizados do ingress-nginx permitem a recuperação de tokens e secrets da conta de serviço no ingress-nginx em todos os namespaces. Para instruções e mais detalhes, consulte: | Nenhum | CVE-2021-25742 |
GCP-2021-019
Publicado em: 29/09/2021Descrição
Descrição | Gravidade | Observações |
---|---|---|
Há um problema conhecido em que a atualização de um recurso Para ver instruções e mais detalhes, consulte o boletim de segurança do GKE. |
Baixa |
GCP-2021-022
Publicado em: 22/09/2021Descrição
Descrição | Gravidade | Observações |
---|---|---|
Uma vulnerabilidade foi descoberta no serviço de identidade do GKE Enterprise (AIS) do GKE no VMware versões 1.8 e 1.8.1, em que um de seed usada para gerar chaves é previsível. Com essa vulnerabilidade, um usuário autenticado pode adicionar declarações arbitrárias e escalonar privilégios indefinidamente. Para instruções e mais detalhes, consulte a página do GKE no VMware boletim de segurança da nuvem. |
Alta |
GCP-2021-021
Publicado em: 22/09/2021Descrição
Descrição | Gravidade | Observações |
---|---|---|
Uma vulnerabilidade de segurança, CVE-2020-8561, foi descoberta no Kubernetes. Nela, é possível fazer determinados webhooks para redirecionar solicitações kube-apiserver para redes privadas desse servidor de API. Para instruções e mais detalhes, consulte: |
Médio | CVE-2020-8561 |
GCP-2021-023
Publicado: 21-09-2021Descrição
Descrição | Gravidade | Observações |
---|---|---|
De acordo com o alerta de segurança do VMware VMSA-2021-0020, o VMware recebeu relatórios de várias vulnerabilidades no vCenter. O VMware disponibilizou atualizações para corrigir essas vulnerabilidades nos produtos do VMware afetados. Já aplicamos os patches fornecidos pelo VMware à pilha do vSphere no Google Cloud VMware Engine, de acordo com os alertas de segurança do VMware. Essa atualização aborda as vulnerabilidades de segurança descritas em CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 e CVE-2021-22010. Outros problemas de segurança não críticos serão abordados no próximo upgrade da pilha do VMware (de acordo com o aviso com antecedência enviado em julho. Mais detalhes serão fornecidos em breve no cronograma específico do upgrade). Impacto no VMware EngineCom base em nossas investigações, nenhum cliente foi afetado. O que fazer?Como os clusters do VMware Engine não são afetados por essa vulnerabilidade, nenhuma outra ação é necessária. |
Crítica |
GCP-2021-020
Publicado em: 17/09/2021Descrição
Descrição | Gravidade | Observações |
---|---|---|
Alguns balanceadores de carga do Google Cloud com roteamento para um Serviço de back-end com o Identity-Aware Proxy (IAP) podem ter sido vulneráveis a uma parte não confiável em condições limitadas. Elas corrigem um problema informado no Programa de recompensa para descobertas de vulnerabilidades. As condições eram as seguintes: os servidores:
Além disso, um usuário na sua organização precisa ter clicado em um link criado especificamente por uma parte não confiável. Esse problema já foi resolvido. O IAP foi atualizado para emitir cookies somente a hosts autorizados a partir de 17 de setembro de 2021. Um host é considerado autorizado se corresponder a pelo menos um nome alternativo do requerente (SAN, na sigla em inglês) em um dos certificados instalados nos balanceadores de carga. O que fazer
Alguns usuários podem receber uma resposta "HTTP 401 Unauthorized" com um código de erro 52 do IAP ao tentar acessar apps ou serviços. Esse código de erro significa que o cliente enviou um cabeçalho |
Alta |
GCP-2021-018
Publicação: 15/09/2021Atualizado em: 20/09/2021
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Foi descoberto recentemente um problema de segurança no Kubernetes, CVE-2021-25741, em que um usuário pode criar um contêiner com montagens de volume de subcaminho para acessar arquivos e diretórios fora do volume, incluindo no sistema de arquivos do host. Para instruções e mais detalhes, consulte: |
Alta | CVE-2021-25741 |
GCP-2021-017
Publicação: 01/09/2021Atualizado em: 23/09/2021
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 23/09/2021: contêineres em execução no GKE Sandbox não são afetados por essa vulnerabilidade em ataques originados no contêiner. Duas vulnerabilidades de segurança, CVE-2021-33909 e CVE-2021-33910, foram descobertas no kernel do Linux que podem levar a uma falha no SO ou um escalonamento para a raiz por um usuário sem privilégios. Essa vulnerabilidade afeta todos os sistemas operacionais dos nós do GKE (COS e Ubuntu). Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança: |
Alta | CVE-2021-33909, CVE-2021-33910 |
GCP-2021-016
Publicado em: 24/08/2021Descrição
Descrição | Gravidade | Observações |
---|---|---|
As seguintes CVEs do Envoy e do Istio expõem o Cloud Service Mesh e o Istio no GKE para serem explorados remotamente por vulnerabilidades:
Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança: |
Alta |
GCP-2021-015
Publicação: 13/07/2021Atualizado em: 15/07/2021
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Foi descoberta uma nova vulnerabilidade de segurança, a CVE-2021-22555 (em inglês), em que um ator mal-intencionado com privilégios Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança: |
Alta | CVE-2021-22555 |
GCP-2021-014
Publicado em: 05/07/2021Descrição
Descrição | Gravidade | Observações |
---|---|---|
A Microsoft publicou um boletim de segurança sobre uma vulnerabilidade de execução remota de código (RCE, na sigla em inglês), CVE-2021-34527, que afeta o spooler de impressão nos servidores do Windows. O CERT Coordination Center (CERT/CC) publicou uma nota de atualização sobre uma vulnerabilidade relacionada, chamada de "Printnightmare", que também afeta os spoolers de impressão do Windows. Vulnerabilidade do Spooler de impressão crítica do Windows Para instruções e mais detalhes, consulte o boletim de segurança do GKE. |
Alta | CVE-2021-34527 |
GCP-2021-012
Publicação: 24/06/2021Atualizado em: 09/07/2021
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Recentemente, o projeto Istio anunciou uma vulnerabilidade de segurança em que as credenciais especificadas no campo Gateway e no DestinationRule credentialName podem ser acessadas de diferentes namespaces. Para ver instruções específicas do produto e mais detalhes, consulte:
|
Alta | CVE-2021-34824 |
GCP-2021-011
Publicação: 04/06/2021Atualizado em: 19/10/2021
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 19/10/2021: Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança:
A comunidade de segurança divulgou recentemente uma nova vulnerabilidade de segurança, a
CVE-2021-30465,
encontrada no Para o GKE, como a exploração dessa vulnerabilidade requer a capacidade de criar pods, classificamos a gravidade dessa vulnerabilidade como "MÉDIA". Para instruções e mais detalhes, consulte o boletim de segurança do GKE. |
Médio | CVE-2021-30465 |
GCP-2021-010
Publicado em: 25/05/2021Descrição
Descrição | Gravidade | Observações |
---|---|---|
De acordo com o aviso de segurança da VMware VMSA-2021-0010, a execução remota de código e as vulnerabilidades de desvio de autenticação no vSphere Client (HTML5) foram relatadas de modo privado à VMware. A VMware disponibilizou atualizações para corrigir essas vulnerabilidades nos produtos da VMware afetados. Aplicamos os patches fornecidos pela VMware na pilha vSphere de acordo com o aviso de segurança da VMware. Essa atualização aborda as vulnerabilidades de segurança descritas na CVE-2021-21985 e na CVE-2021-21986. As versões de imagem em execução na nuvem particular do VMware Engine não refletem nenhuma alteração no momento para indicar os patches aplicados. Não se preocupe, pois os patches adequados foram instalados e seu ambiente está protegido contra essas vulnerabilidades. Impacto no VMware EngineCom base nas nossas investigações, nenhum cliente foi afetado. O que fazer?Como os clusters do VMware Engine não são afetados por essa vulnerabilidade, nenhuma outra ação é necessária. |
Crítica |
GCP-2021-008
Publicado em: 17/05/2021Descrição
Descrição | Gravidade | Observações |
---|---|---|
O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que um cliente externo pode acessar
serviços inesperados no cluster, ignorando as verificações de autorização, quando um gateway está
configurado com a configuração de roteamento Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh. |
Alta |
CVE-2021-31921 |
GCP-2021-007
Publicado em: 17/05/2021Descrição
Descrição | Gravidade | Observações |
---|---|---|
O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que um caminho de solicitação HTTP com várias
barras ou caracteres de barra de escape ( Para instruções e mais detalhes, consulte o boletim de segurança do Cloud Service Mesh. |
Alta |
CVE-2021-31920 (em inglês) |
GCP-2021-006
Publicado em: 11/05/2021Descrição
Descrição | Gravidade | Observações |
---|---|---|
Recentemente, o projeto Istio divulgou uma nova vulnerabilidade de segurança (CVE-2021-31920) que afeta o Istio. O Istio tem uma vulnerabilidade que pode ser explorada remotamente, em que uma solicitação HTTP com várias barras ou caracteres de barra de escape pode ignorar a política de autorização do Istio quando regras de autorização com base em caminho forem usadas. Para instruções e mais detalhes, consulte: |
Alta |
CVE-2021-31920 |
GCP-2021-005
Publicado em: 11/05/2021Descrição
Descrição | Gravidade | Observações |
---|---|---|
Uma vulnerabilidade reportada mostrou que o Envoy não decodifica sequências
de barras com escape O que fazer?
Se os servidores de back-end tratarem Quais mudanças comportamentais foram introduzidas?As opções normalize_path e merge barras adjacentes do Envoy foram ativadas para resolver outras vulnerabilidades comuns de confusão de caminho em produtos baseados no Envoy. |
Alta |
CVE-2021-29492 |
GCP-2021-004
Publicado: 06/05/2021Descrição
Descrição | Gravidade | Observações |
---|---|---|
Os projetos do Envoy e do Istio recentemente anunciaram várias novas vulnerabilidades de segurança (CVE-2021-28683, CVE-2021-28682 e CVE-2021-29258), que permitem que um invasor derrube o Envoy. Os clusters do Google Kubernetes Engine não executam o Istio por padrão e não são vulneráveis. Se o Istio tiver sido instalado em um cluster e configurado para expor serviços à Internet, esses serviços poderão ficar vulneráveis a ataques de negação de serviço. O Google Distributed Cloud Virtual para Bare Metal e o GKE no VMware usam o Envoy padrão para Entrada, portanto, os serviços Entrada podem ser vulneráveis à negação de serviço. Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança: |
Médio |
GCP-2021-003
Publicado em: 19/04/2021Descrição
Descrição | Gravidade | Observações |
---|---|---|
O projeto do Kubernetes anunciou recentemente uma nova vulnerabilidade de segurança, CVE-2021-25735, que pode permitir que as atualizações de nó ignorem uma validação do webhook de admissão.
Em um cenário em que um invasor tem privilégios
suficientes e em que uma validação do webhook de admissão foi implementado que
usa propriedades de objetos Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança: |
Médio |
GCP-2021-002
Publicado: 05-03-2021Descrição
Descrição | Gravidade | Observações |
---|---|---|
De acordo com o aviso de segurança da VMware VMSA-2021-0002, a VMware recebeu relatórios de várias vulnerabilidades na VMware ESXi e no vSphere Client (HTML5). A VMware disponibilizou atualizações para corrigir essas vulnerabilidades nos produtos da VMware afetados. Aplicamos as soluções documentadas oficialmente da pilha do vSphere de acordo com o aviso de segurança da VMware. Essa atualização aborda as vulnerabilidades de segurança descritas na CVE-2021-21972, CVE-2021-21973 e CVE-2021-21974. Impacto no VMware EngineCom base nas nossas investigações, nenhum cliente foi afetado. O que devo fazer?Como os clusters do VMware Engine não são afetados por essa vulnerabilidade, nenhuma outra ação é necessária. |
Crítica |
GCP-2021-001
Publicado em: 28/01/2021Descrição
Descrição | Gravidade | Observações |
---|---|---|
Uma vulnerabilidade foi descoberta recentemente no utilitário A infraestrutura subjacente que executa o Compute Engine não é afetada por essa vulnerabilidade. Google Kubernetes Engine (GKE), GKE no VMware, GKE na AWS, e do Google Distributed Cloud Virtual para clusters Bare Metal não são afetados por essa vulnerabilidade. Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança: |
Nenhum | CVE-2021-3156 |
GCP-2020-015
Publicado:07/12/2020Atualizado:22/12/2020
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Atualizado em: 22/12/2021 O comando para GKE
na seção a seguir devem usar
gcloud container clusters update –no-enable-service-externalips Atualizado em 15/12/2021 No GKE, a mitigação a seguir foi aplicada disponíveis:
Para mais informações, consulte Como aumentar a segurança do cluster. O projeto Kubernetes descobriu recentemente uma nova vulnerabilidade de segurança, CVE-2020-8554, que pode permitir que um invasor que tenha permissões para criar um serviço do Kubernetes do tipo LoadBalancer ou ClusterIP intercepte o tráfego de rede proveniente de outros pods no cluster. Essa vulnerabilidade em si não concede permissões a um invasor para criar um serviço do Kubernetes. Todos os serviços do Google Kubernetes Engine (GKE), do GKE no VMware e Os clusters do GKE na AWS são afetados por essa vulnerabilidade. O que devo fazer?Para instruções e mais detalhes, consulte: |
Médio |
CVE-2020-8554 |
GCP-2020-014
Publicação: 20/10/2020Atualizado em: 20/10/2020
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Recentemente, foram descobertos vários problemas do Kubernetes que permitem a exposição de dados secretos quando as opções de registro detalhado estão ativadas. Os problemas são os seguintes:
O que fazer?Nenhuma outra ação é necessária devido aos níveis de registro detalhado padrão do GKE. |
Nenhum |
Impacto no Google Cloud
Veja detalhes por produto abaixo.
Produto |
Impacto |
---|---|
O Google Kubernetes Engine (GKE) não foi afetado. |
|
O GKE On-Prem não é afetado. |
|
O GKE na AWS não é afetado. |
GCP-2020-013
Publicado em: 29/09/2020Descrição
A Microsoft divulgou a seguinte vulnerabilidade:
Vulnerabilidade |
Gravidade |
CVE |
---|---|---|
CVE-2020-1472— Uma vulnerabilidade no Windows Server permite que invasores usem o protocolo remoto Netlogon para executar um aplicativo especialmente desenvolvido em um dispositivo na rede. |
Pontuação base do NVD: 10 (crítico) |
Para mais informações, consulte a divulgação da Microsoft.
Impacto no Google Cloud
A infraestrutura que hospeda os produtos do Google Cloud e do Google não é afetada por essa vulnerabilidade. Veja abaixo mais detalhes de acordo com o produto.
Produto |
Impacto |
---|---|
Compute Engine |
CVE-2020-1472 |
Google Kubernetes Engine |
CVE-2020-1472 |
Serviço gerenciado para o Microsoft Active Directory |
CVE-2020-1472 |
Google Workspace |
Nenhuma ação do cliente é necessária. Este serviço não é afetado por esta vulnerabilidade. |
Ambiente padrão do App Engine |
Nenhuma ação do cliente é necessária. Este serviço não é afetado por esta vulnerabilidade. |
Ambiente flexível do App Engine |
Nenhuma ação do cliente é necessária. Este serviço não é afetado por esta vulnerabilidade. |
Cloud Run |
Nenhuma ação do cliente é necessária. Este serviço não é afetado por esta vulnerabilidade. |
Funções do Cloud Run |
Nenhuma ação do cliente é necessária. Este serviço não é afetado por esta vulnerabilidade. |
Cloud Composer |
Nenhuma ação do cliente é necessária. Este serviço não é afetado por esta vulnerabilidade. |
Dataflow |
Nenhuma ação do cliente é necessária. Este serviço não é afetado por esta vulnerabilidade. |
Dataproc |
Nenhuma ação do cliente é necessária. Este serviço não é afetado por esta vulnerabilidade. |
Cloud SQL |
Nenhuma ação do cliente é necessária. Este serviço não é afetado por esta vulnerabilidade. |
GCP-2020-012
Publicação: 14/09/2020Atualizado em: 17/09/2020
Descrição
Descrição | Gravidade | Observações |
---|---|---|
Uma vulnerabilidade foi descoberta recentemente no kernel do Linux, descrita em CVE-2020-14386, que pode permitir que os escapes de contêineres recebam privilégios raiz no nó host. Essa vulnerabilidade afeta todos os nós do GKE. Os pods em execução no GKE Sandbox não são afetados por essa vulnerabilidade. Para instruções e mais detalhes, consulte:
Qual vulnerabilidade é corrigida por esse patch? O patch reduz a seguinte vulnerabilidade: A vulnerabilidade CVE-2020-14386, que permite que contêineres com CAP_NET_RAW gravem de 1 a 10 bytes de memória do kernel e possivelmente escapem o contêiner e recebam privilégios raiz no nó host. Isso é classificado como uma vulnerabilidade de alto nível de gravidade. |
Alta |
GCP-2020-011
Publicação: 24/07/2020Descrição
Descrição | Gravidade | Observações |
---|---|---|
Uma vulnerabilidade de rede, CVE-2020-8558, foi descoberta recentemente no Kubernetes. Às vezes, os serviços se comunicam com outros aplicativos em execução no mesmo pod usando a interface de loopback local (127.0.0.1). Essa vulnerabilidade permite que um invasor com acesso à rede do cluster envie tráfego para a interface de loopback de pods e nós adjacentes. Os serviços que dependem da interface de loopback e não são acessados fora do pod podem ser explorados. Para instruções e mais detalhes, consulte: |
Baixa (GKE e GKE na AWS), |
CVE-2020-8558 (em inglês) |
GCP-2020-010
Publicação: 27/07/2020Descrição
A Microsoft divulgou a seguinte vulnerabilidade:
Vulnerabilidade |
Gravidade |
CVE |
---|---|---|
CVE-2020-1350: os Windows Servers que atendem em uma capacidade de servidor DNS podem ser explorados para executar códigos não confiáveis pela conta do sistema local. |
Pontuação base do NVD: 10.0 (crítico) |
Para mais informações, consulte a divulgação da Microsoft.
Impacto no Google Cloud
A infraestrutura que hospeda os produtos do Google Cloud e do Google não é afetada por essa vulnerabilidade. Veja abaixo mais detalhes de acordo com o produto.
Produto |
Impacto |
---|---|
Compute Engine |
CVE-2020-1350 |
Google Kubernetes Engine |
CVE-2020-1350 |
Serviço gerenciado para o Microsoft Active Directory |
CVE-2020-1350 |
Google Workspace |
Nenhuma ação do cliente é necessária. Este serviço não é afetado por esta vulnerabilidade. |
Ambiente padrão do App Engine |
Nenhuma ação do cliente é necessária. Este serviço não é afetado por esta vulnerabilidade. |
Ambiente flexível do App Engine |
Nenhuma ação do cliente é necessária. Este serviço não é afetado por esta vulnerabilidade. |
Cloud Run |
Nenhuma ação do cliente é necessária. Este serviço não é afetado por esta vulnerabilidade. |
Funções do Cloud Run |
Nenhuma ação do cliente é necessária. Este serviço não é afetado por esta vulnerabilidade. |
Cloud Composer |
Nenhuma ação do cliente é necessária. Este serviço não é afetado por esta vulnerabilidade. |
Dataflow |
Nenhuma ação do cliente é necessária. Este serviço não é afetado por esta vulnerabilidade. |
Dataproc |
Nenhuma ação do cliente é necessária. Este serviço não é afetado por esta vulnerabilidade. |
Cloud SQL |
Nenhuma ação do cliente é necessária. Este serviço não é afetado por esta vulnerabilidade. |
GCP-2020-009
Publicado: 15/07/2020Descrição
Descrição | Gravidade | Observações |
---|---|---|
Uma vulnerabilidade de escalonamento de privilégios, CVE-2020-8559, foi descoberta recentemente no Kubernetes. Essa vulnerabilidade permite que um invasor que já tenha comprometido um nó execute um comando em qualquer pod do cluster. Dessa forma, o invasor pode usar o nó já afetado para comprometer outros nós e, possivelmente, ler informações ou causar ações destrutivas. Para que um invasor explore essa vulnerabilidade, é preciso que um nó do cluster já tenha sido comprometido. Essa vulnerabilidade, por si só, não comprometerá os nós do cluster. Para instruções e mais detalhes, consulte: |
Médio |
CVE-2020-8559 (em inglês) |
GCP-2020-008
Publicação: 19/06/2020Descrição
Descrição | Gravidade | Notas |
---|---|---|
DescriçãoAs VMs que têm o login do SO ativado podem ser suscetíveis a vulnerabilidades de escalonamento de privilégios. Com essas vulnerabilidades, os usuários que têm permissões de login do SO sem acesso de administrador podem encaminhar para o acesso raiz na VM. Para instruções e mais detalhes, consulte o boletim de segurança do Compute Engine.
|
Alta |
GCP-2020-007
Publicação: 01/06/2020Descrição
Descrição | Gravidade | Observações |
---|---|---|
A vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) CVE-2020-8555 foi descoberta recentemente no Kubernetes. Ela permite que determinados usuários autorizados vazem até 500 bytes de informações confidenciais da rede do host do plano de controle. O plano de controle do Google Kubernetes Engine (GKE, na sigla em inglês) usa controladores do Kubernetes e, portanto, é afetado por essa vulnerabilidade. Recomendamos que você atualize o plano de controle para a versão mais recente do patch. Não é necessário fazer upgrade do nó. Para instruções e mais detalhes, consulte: |
Médio |
GCP-2020-006
Publicação: 01/06/2020Descrição
Descrição | Gravidade | Observações |
---|---|---|
O Kubernetes divulgou uma vulnerabilidade que permite que um contêiner com privilégios redirecione o tráfego do nó para outro contêiner. O tráfego TLS/SSH mútuo, como entre o kubelet e o servidor da API, e o tráfego de aplicativos que usam mTLS não podem ser lidos ou modificados por esse ataque. Todos os nós do Google Kubernetes Engine (GKE) são afetados por essa vulnerabilidade. Recomendamos que você faça o upgrade para a versão mais recente do patch. Para instruções e mais detalhes, consulte: |
Médio |
GCP-2020-005
Publicação: 07/05/2020Descrição
Vulnerabilidade |
Gravidade |
CVE |
---|---|---|
Uma vulnerabilidade foi recentemente descoberta no kernel do Linux, descrita em CVE-2020-8835 (em inglês), permitindo que o escape de contêiner receba privilégios de raiz no nó do host. Os nós do Ubuntu do GKE que executam o GKE 1.16 ou 1.17 são afetados por essa vulnerabilidade. Recomendamos que você faça o upgrade para a versão mais recente do patch o mais rápido possível. Consulte o boletim de segurança do GKE para instruções e mais detalhes. |
Alta |
GCP-2020-004
Publicação: 31/03/2020Atualizado em: 31/03/2020
Descrição
O Kubernetes divulgou as seguintes vulnerabilidades:
Vulnerabilidade |
Gravidade |
CVE |
---|---|---|
CVE-2019-11254 — é uma vulnerabilidade de negação de serviço (DoS) que afeta o servidor da API. |
Médio |
Consulte o boletim de segurança do GKE no VMware para instruções e mais detalhes.
GCP-2020-003
Publicação: 31/03/2020Atualizado em: 31/03/2020
Descrição
O Kubernetes divulgou as seguintes vulnerabilidades:
Vulnerabilidade |
Gravidade |
CVE |
---|---|---|
CVE-2019-11254 — é uma vulnerabilidade de negação de serviço (DoS) que afeta o servidor da API. |
Médio |
Consulte o boletim de segurança do GKE para instruções e mais detalhes.
GCP-2020-002
Publicação: 23/03/2020Atualizado em: 23/03/2020
Descrição
O Kubernetes divulgou as seguintes vulnerabilidades:
Vulnerabilidade |
Gravidade |
CVE |
---|---|---|
CVE-2020-8551 — é uma vulnerabilidade de negação de serviço (DoS) que afeta o kubelet. |
Médio |
|
CVE-2020-8552 — é uma vulnerabilidade de negação de serviço (DoS) que afeta o servidor de API. |
Médio |
Consulte o boletim de segurança do GKE para instruções e mais detalhes.
GCP-2020-001
Publicação: 21/01/2020Atualizado em: 21/01/2020
Descrição
A Microsoft divulgou a seguinte vulnerabilidade:
Vulnerabilidade |
Gravidade |
CVE |
---|---|---|
CVE-2020-0601 — é uma vulnerabilidade também é conhecida como a vulnerabilidade de spoofing da API Windows Crypto. Ela pode ser explorada para fazer executáveis maliciosos parecerem confiáveis ou permitir que o invasor realize ataques "man-in-the-middle" e descriptografe informações confidenciais nas conexões do usuário com o software afetado. |
Pontuação base do NVD: 8,1 (alta) |
Para mais informações, consulte a divulgação da Microsoft.
Impacto no Google Cloud
A infraestrutura que hospeda os produtos do Google Cloud e do Google não é afetada por essa vulnerabilidade. Veja abaixo mais detalhes de acordo com o produto.
Produto |
Impacto |
---|---|
Compute Engine |
CVE-2020-0601 |
Google Kubernetes Engine |
CVE-2020-0601 |
Serviço gerenciado para o Microsoft Active Directory |
CVE-2020-0601 |
Google Workspace |
Nenhuma ação do cliente é necessária. Este serviço não é afetado por esta vulnerabilidade. |
Ambiente padrão do App Engine |
Nenhuma ação do cliente é necessária. Este serviço não é afetado por esta vulnerabilidade. |
Ambiente flexível do App Engine |
Nenhuma ação do cliente é necessária. Este serviço não é afetado por esta vulnerabilidade. |
Cloud Run |
Nenhuma ação do cliente é necessária. Este serviço não é afetado por esta vulnerabilidade. |
Funções do Cloud Run |
Nenhuma ação do cliente é necessária. Este serviço não é afetado por esta vulnerabilidade. |
Cloud Composer |
Nenhuma ação do cliente é necessária. Este serviço não é afetado por esta vulnerabilidade. |
Dataflow |
Nenhuma ação do cliente é necessária. Este serviço não é afetado por esta vulnerabilidade. |
Dataproc |
Nenhuma ação do cliente é necessária. Este serviço não é afetado por esta vulnerabilidade. |
Cloud SQL |
Nenhuma ação do cliente é necessária. Este serviço não é afetado por esta vulnerabilidade. |
GCP 2019-001
Publicação: 12/11/2019Atualizado em: 12/11/2019
Descrição
A Intel divulgou as seguintes vulnerabilidades:
Vulnerabilidade |
Gravidade |
CVE |
---|---|---|
CVE-2019-11135 — Essa vulnerabilidade, chamada TSX Async Abort (TAA, na sigla em inglês), pode ser usada para explorar a execução especulativa em uma transação do TSX. Essa vulnerabilidade permite que os dados sejam possivelmente expostos por meio das mesmas estruturas de dados de microarquitetura expostas pela amostragem de dados de microarquitetura (MDS, na sigla em inglês). |
Médio |
|
CVE-2018-12207 — essa é uma vulnerabilidade de negação de serviço (DoS) que afeta hosts (não convidados) de máquinas virtuais. Esse problema é conhecido como "Erro de verificação da máquina na alteração de tamanho da página". |
Médio |
Para mais informações, consulte as divulgações da Intel:
Impacto no Google Cloud
A infraestrutura que hospeda os produtos do Google Cloud e do Google é protegida contra essas vulnerabilidades. Abaixo, são listados mais detalhes de acordo com o produto.
Produto |
Impacto |
---|---|
Compute Engine |
CVE-2019-11135 CVE-2018-12207 |
Google Kubernetes Engine |
CVE-2019-11135 CVE-2018-12207 |
Ambiente padrão do App Engine |
Nenhuma outra ação é necessária. |
Ambiente flexível do App Engine |
CVE-2019-11135 CVE-2018-12207 |
Cloud Run |
Nenhuma outra ação é necessária. |
Funções do Cloud Run |
Nenhuma outra ação é necessária. |
Cloud Composer |
Nenhuma outra ação é necessária. |
Dataflow |
CVE-2019-11135 CVE-2018-12207 |
Dataproc |
CVE-2019-11135 CVE-2018-12207 |
Cloud SQL |
Nenhuma outra ação é necessária. |