以下安全公告与 Google Cloud 产品相关。
GCP-2024-060
发布日期:2024 年 10 月 17 日
说明 | 严重程度 | 备注 |
---|---|---|
根据 VMware 安全建议 VMSA-2024-0020,我们已负责任地向 VMware 报告了 VMware NSX 中的多个漏洞。 在您的 VMware Engine 环境中运行的 NSX-T 版本不受 CVE-2024-38815、CVE-2024-38818 或 CVE-2024-38817 的影响。 该怎么做?由于 VMware Engine 集群不受此漏洞的影响,因此无需采取进一步行动。 |
中 |
GCP-2024-059
发布日期 :2024-10-16
说明 | 严重程度 | 备注 |
---|---|---|
根据 VMware 安全建议 VMSA-2024-0021,VMware HCX 中存在一个经身份验证的 SQL 注入漏洞,该漏洞已私下报告给 VMware。 我们已应用 VMware 批准的缓解措施来解决此漏洞。此修复解决了 CVE-2024-38814 中所述的安全漏洞。目前,VMware Engine 私有云中运行的映像版本不显示任何指示所应用更改的更改。您安装了适当的缓解措施,可保护环境免受此漏洞的影响。 该怎么做?我们建议升级到 VMware HCX 4.9.2 版。 |
高 |
GCP-2024-058
发布日期:2024 年 10 月 16 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
已创建 Migrate to Containers for Windows 1.1.0 至 1.2.2 版
具有管理员权限的本地 该怎么做?以下版本的 Migrate to Containers CLI for Windows 已更新为修复此漏洞的代码。 我们建议您手动将 Migrate to Containers CLI 升级到以下版本或更高版本:
解决了哪些漏洞?CVE-2024-9858 这一漏洞可让攻击者 通过本地控制台访问受影响的 Windows 机器的管理员访问权限, 由 Migrate to Containers 创建的管理员用户, 软件开发应用。 |
中 | CVE-2024-9858 |
GCP-2024-057
发布日期 :2024-10-03
更新日期:2024 年 10 月 15 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2024 年 10 月 15 日更新:添加了 GDC (VMware) 的补丁版本。更新了 GKE 和 GDC (VMware) 严重级别。 在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的权限提升:
如需了解相关说明和更多详细信息,请参阅以下公告: |
中 | CVE-2024-45016 |
GCP-2024-056
发布日期:2024 年 9 月 27 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
在某些 Linux 发行版使用的 CUPS 打印系统中发现了一个可能导致远程代码执行的漏洞链 (CVE-2024-47076、CVE-2024-47175、CVE-2024-47176、CVE-2024-47177)。如果 CUPS 服务正在监听 UDP 端口 631 且可以连接到该端口,攻击者便可以利用此漏洞。 如需了解相关说明和更多详细信息,请参阅以下公告: |
无 |
GCP-2024-055
发布日期:2024 年 9 月 24 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
Looker 中有一个 HTTP 请求走私漏洞,该漏洞可让未经授权的攻击者捕获发往合法用户的 HTTP 响应。 Looker 托管的两个 Looker 版本:
我们发现客户托管的 Looker 实例存在漏洞,必须将其升级到以下某个版本。 所有受支持的客户托管的 Looker 版本(可在 Looker 下载页面上找到)已修复此漏洞。 该怎么做?
解决了哪些漏洞?该漏洞 (CVE-2024-8912) 会允许攻击者向 Looker 发送经过伪造的 HTTP 请求标头,这可能会导致拦截其他用户的 HTTP 响应。 这些回答可能包含敏感信息。 只有在特定配置下,此漏洞才可被利用。 |
中 | CVE-2024-8912 |
GCP-2024-054
发布日期:2024 年 9 月 23 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
在包含 Windows 节点的 Kubernetes 集群中发现了一个安全问题, 如需了解相关说明和更多详细信息,请参阅以下公告: |
中 | CVE-2024-5321 |
GCP-2024-053
发布日期:2024 年 9 月 19 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
在解析 Protobuf Java Full 和 Lite 库中的未知字段时,恶意构造的消息可能会导致 StackOverflow 错误并导致程序崩溃。 该怎么做? 我们一直在努力解决这一问题,并且已经发布了一个现今可用的缓解措施。我们建议您使用以下软件包的最新版本:
该补丁程序解决了哪些漏洞? 此漏洞可能会导致拒绝服务。 使用 DiscardUnknownFieldsParser 或 Java Protobuf Lite 解析器将嵌套组解析为未知字段,或者针对 Protobuf 映射字段解析,会创建无限递归,攻击者可能会滥用这些递归。 |
CVSS4.0 评分 8.7 高 |
CVE-2024-7254 |
GCP-2024-052
说明
说明 | 严重程度 | 备注 |
---|---|---|
以下 CVE 导致 Cloud Service Mesh 存在可利用的漏洞:
如需了解相关说明和更多详情,请参阅 Cloud Service Mesh 安全公告。 |
中到高 |
GCP-2024-051
发布日期 :2024-09-18
说明 | 严重程度 | 备注 |
---|---|---|
VMware 披露了 VMSA-2024-0019 中的多个漏洞,这些漏洞 客户环境中部署的 vCenter 组件。 VMware Engine 影响
该怎么做?目前您无需采取进一步行动。 |
严重 |
GCP-2024-050
发布日期:2024 年 9 月 4 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
我们在 Windows 中发现了一个新的远程代码执行漏洞 (CVE-2024-38063)。攻击者可以向主机发送特制的 IPv6 数据包,以远程利用此漏洞。 如需了解相关说明和更多详细信息,请参阅以下公告: |
无 | CVE-2024-38063 |
GCP-2024-049
发布日期:2024 年 8 月 21 日
更新日期:2024 年 10 月 21 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2024 年 10 月 21 日更新:添加了 GDC (VMware) 的补丁版本并更新了严重程度。 在 Linux 内核中发现了以下漏洞, 提升到 Container-Optimized OS 和 Ubuntu 节点上的提权:
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2024-36978 |
GCP-2024-048
发布日期 :2024 年 8 月 20 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
在 Linux 内核中发现了以下漏洞, 提权:
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2024-41009 |
GCP-2024-047
发布日期:2024 年 8 月 19 日
更新日期:2024 年 10 月 21 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2024 年 10 月 21 日更新:添加了 GDC (VMware) 的补丁版本并更新了严重程度。 在 Linux 内核中发现了以下漏洞, 提权:
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2024-39503 |
GCP-2024-046
发布日期 :2024-08-05
说明
说明 | 严重程度 | 备注 |
---|---|---|
AMD 已通知 Google 3 个新的固件漏洞(2 个中风险漏洞,1 个高风险漏洞),这些漏洞会影响 AMD EPYC 第 3 代 (Milan) 和第 4 代 (Genoa) CPU 中的 SEV-SNP。 Google 已对受影响的资产(包括 Google Cloud)应用了修复程序,以确保客户受到保护。目前 未发现任何漏洞利用证据,也未向 Google 报告。 该怎么做? 客户无需采取任何行动。我们已将修复程序应用于 Google 服务器机群。 如需了解详情,请参阅 AMD 安全建议 AMD-SN-3011。 |
中 - 高 |
GCP-2024-045
发布日期 :2024-07-17
更新日期:2024 年 9 月 19 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2024 年 9 月 19 日更新 :添加了针对 适用于 VMware 的 GDC 软件。 2024 年 8 月 21 日更新:添加了 GKE 上的 Ubuntu 节点池的补丁版本。 在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的权限提升:
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2024-26925 |
GCP-2024-044
发布日期 :2024-07-16
更新日期:2024 年 10 月 21 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2024 年 10 月 21 日更新:添加了 GDC (VMware) 的补丁版本并更新了严重程度。 在 Linux 内核中发现了以下漏洞, 提升到 Container-Optimized OS 和 Ubuntu 节点上的提权:
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2024-36972 |
GCP-2024-043
发布日期 :2024-07-16
更新日期:2024 年 10 月 2 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2024 年 10 月 2 日更新:添加了 GKE 上的 Ubuntu 节点池的补丁版本。 2024 年 9 月 20 日更新: 添加了针对 适用于 VMware 的 GDC 软件。 在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的权限提升:
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2024-26921 |
GCP-2024-042
发布日期:2024 年 7 月 15 日
更新日期:2024 年 7 月 18 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2024 年 7 月 18 日更新:阐明了 Autopilot 默认配置中的集群不会受到影响。 在 Linux 内核中发现了以下漏洞, 提权:
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2024-26809 |
GCP-2024-041
发布日期 :2024-07-08
更新日期:2024 年 9 月 16 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2024 年 9 月 16 日更新:添加了适用于 VMware 的 GDC 软件的补丁版本。 2024 年 7 月 19 日更新 :添加了 Ubuntu 的补丁版本 GKE 上的节点池 在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的权限提升:
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 |
GCP-2024-040
发布日期:2024 年 7 月 1 日
更新日期:2024 年 7 月 16 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2024 年 7 月 16 日更新: 部分无服务器 VPC 访问通道客户可能会受到 OpenSSH 中的漏洞 (CVE-2024-6387)。如果成功利用此漏洞,未通过身份验证的远程攻击者就能以 root 权限对目标虚拟机执行任意代码。“利用”现为 并不容易。例如,客户无法访问这些虚拟机 虚拟机没有公共 IP我们未发现任何利用 错误。 该怎么做? Google 已尽可能自动更新无服务器 VPC 访问通道部署。不过,您应验证 Google 代管式服务代理具有所需角色。 否则,您的无服务器 VPC 访问通道连接器可能仍 易受攻击我们建议您迁移到直接 VPC 出站流量,或部署新的连接器并删除旧连接器,以确保您拥有包含修复程序的所需更新。 2024 年 7 月 11 日更新:添加了针对 适用于 VMware、GKE on AWS 和 GKE on Azure。如需了解详情,请参阅 GKE 文档中的以下公告: 2024 年 7 月 10 日更新:
2024 年 7 月 9 日更新: 部分 App Engine 柔性环境客户可能会受到 OpenSSH 中的漏洞 (CVE-2024-6387)。如果成功利用此漏洞,未通过身份验证的远程攻击者就能以 root 权限对目标虚拟机执行任意代码。 该怎么做? Google 已尽可能自动更新灵活环境部署。不过,有些客户停用了 Google 管理的服务代理,或者更改了 Google Cloud API 或其他默认配置,因此无法更新,并且可能仍然存在漏洞。您应部署应用的新版本,以获取包含修复程序的更新。 请注意,更新后的部署将报告 SSH 版本 解决了哪些漏洞? 漏洞 CVE-2024-6387,可以允许未经身份验证的远程 攻击者可以在目标机器上以 root 身份执行任意代码。 2024 年 7 月 8 日更新: Google Compute Engine 上的 Dataproc 集群 映像版本 2.2(所有操作系统)和 2.1(仅限 Debian) 受 OpenSSH 漏洞 (CVE-2024-6387) 影响, 如果成功利用该漏洞,就可能允许未经身份验证的远程攻击者 在目标机器上以 root 身份执行任意代码。 在 Google Compute Engine 上运行的 Dataproc 映像版本 2.0 和 1.5,以及未在 Debian 上运行的 Dataproc 映像版本 2.1 均不受影响。具有个人的 Dataproc 集群 已启用身份验证不受影响。Dataproc Serverless 也不受影响。 该怎么做? 请将 Google Compute Engine 上的 Dataproc 集群更新到以下版本之一:
如果您无法将 Dataproc 集群更新为
上述版本之一,我们建议使用
可执行的操作:
请按照以下说明操作 指定 Dataproc 的初始化操作。请注意, 初始化操作必须在每个节点上运行 (主实例和工作器)。 2024 年 7 月 3 日更新:
2024 年 7 月 2 日更新:
远程代码执行漏洞 CVE-2024-6387、 是近期在 OpenSSH 中发现的此漏洞利用了竞态条件 可以用来获取对远程 shell 的访问权限,使攻击者能够获得 root 访问权限。 截至本文发布之时,我们认为利用该漏洞十分困难,攻击每台设备需要花费数小时的时间。我们没有发现任何利用该漏洞发起的攻击。 如需了解相关说明和更多详细信息,请参阅以下公告: |
严重 | CVE-2024-6387 |
GCP-2024-039
发布日期:2024 年 6 月 28 日
更新日期:2024 年 9 月 25 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2024 年 9 月 25 日更新 :添加了针对 适用于 VMware 的 GDC 软件。 2024 年 8 月 20 日更新:添加了 GKE 上的 Ubuntu 节点池的补丁版本。 在 Linux 内核中发现了以下漏洞, 提权:
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2024-26923 |
GCP-2024-038
发布日期 :2024 年 6 月 26 日
更新日期:2024 年 9 月 17 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2024 年 9 月 17 日更新:添加了适用于 VMware 的 GDC 软件的补丁版本。 2024 年 8 月 6 日更新:添加了 GKE 上的 Ubuntu 节点池的补丁版本。 在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的权限提升:
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2024-26924 |
GCP-2024-037
发布日期 :2024-06-18
说明 | 严重程度 | 备注 |
---|---|---|
VMware 在 VMSA-2024-0012 中披露了多个影响客户环境中部署的 vCenter 组件的漏洞。 对 Google Cloud VMware Engine 的影响
该怎么做?目前您无需采取进一步行动。 |
严重 |
GCP-2024-036
发布日期:2024 年 6 月 18 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
在 Linux 内核中发现了以下漏洞, 提权:
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2024-26584 |
GCP-2024-035
发布日期:2024 年 6 月 12 日
更新日期:2024 年 7 月 18 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2024-07-18 更新 :添加了 Ubuntu 的补丁版本 GKE 上的节点池并为其添加补丁版本 1.27(对于 Container-Optimized OS 节点池)。 在 Linux 内核中发现了以下漏洞, 提权:
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2024-26584 |
GCP-2024-034
发布日期 :2024-06-11
更新日期:2024 年 7 月 10 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2024 年 7 月 10 日更新:添加了针对 运行次要版本 1.26 和 1.27 的 Container-Optimized OS 节点 并为 Ubuntu 节点添加了补丁版本。 在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 节点上的权限提升:
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2024-26583 |
GCP-2024-033
发布日期:2024 年 6 月 10 日
更新日期:2024 年 9 月 26 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2024 年 9 月 26 日更新 :添加了针对 适用于 VMware 的 GDC 软件。 在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 节点上的权限提升:
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2022-23222 |
GCP-2024-032
发布日期:2024 年 6 月 4 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
以下 CVE 会让 Cloud Service Mesh 面临可利用的漏洞:
如需了解相关说明和更多详情,请参阅 Cloud Service Mesh 安全公告。 |
高 |
GCP-2024-031
发布日期:2024 年 5 月 24 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
在 Fluent Bit 中发现了一个新漏洞 (CVE-2024-4323),该漏洞可能会导致远程代码执行。Fluent Bit 版本 2.0.7 到 3.0.3 会受此问题影响。 GKE、GKE on VMware、GKE on AWS、GKE on Azure 和 GKE on Bare Metal 不使用易受攻击的 Fluent Bit 版本,因此不受影响。 如需了解相关说明和更多详细信息,请参阅以下公告: |
无 | CVE-2024-4323 |
GCP-2024-030
发布日期:2024 年 5 月 15 日
更新日期:2024 年 7 月 18 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2024 年 7 月 18 日更新:添加了 GKE 上的 Ubuntu 节点池的补丁版本 在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的权限提升:
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2023-52620 |
GCP-2024-029
发布日期:2024 年 5 月 14 日
更新日期:2024 年 8 月 19 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2024 年 8 月 19 日更新:添加了 GKE 上的 Ubuntu 节点池的补丁版本。 在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的权限提升:
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2024-26642 |
GCP-2024-028
发布日期:2024 年 5 月 13 日
更新日期:2024 年 5 月 22 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2024 年 5 月 22 日更新:添加了 Ubuntu 的补丁版本 在 Linux 内核中发现了以下漏洞, 提权:
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2024-26581 |
GCP-2024-027
发布日期 :2024-05-08
更新日期:2024 年 9 月 25 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2024 年 9 月 25 日更新:添加了适用于 VMware 的 GDC 软件的补丁版本。 2024 年 5 月 15 日更新:添加了 GKE Ubuntu 节点池的补丁版本。 2024 年 5 月 9 日更新:将严重程度从“中”更正为“高”,并澄清默认配置中的 GKE Autopilot 集群不受影响。 在 Linux 内核中发现了以下漏洞, 提权:
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2024-26808 |
GCP-2024-026
发布日期:2024 年 5 月 7 日
更新日期:2024 年 8 月 6 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2024 年 8 月 6 日更新:添加了 GKE 上的 Ubuntu 节点池的补丁版本。 2024 年 5 月 9 日更新:将严重程度从中等更正为高。 在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的权限提升:
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2024-26643 |
GCP-2024-025
发布日期:2024 年 4 月 26 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
Looker 已修复外部研究人员通过 Google 和 Alphabet 漏洞奖励计划 (VRP) 计划报告的漏洞,但未发现任何利用证据。这些问题现已解决,Looker (Google Cloud Core) 和 Looker(原始版本)上由 Looker 托管的客户不需要用户执行任何操作。建议将自托管的 Looker 实例更新到受支持的最新版本。 该怎么做? Looker 托管的实例:Looker (Google Cloud Core) 和 Looker(原始版本)实例 客户无需采取任何行动。 仅限自托管 Looker 实例 如果您的 Looker 实例是自托管的,我们建议您将 Looker 实例升级到以下某个版本:
如何修正此问题? Google 停用了对 Looker 应用中的内部数据库的直接管理员访问权限,移除了启用跨租户访问权限的提升权限,并轮替了已泄露的 Secret。此外,我们还修补了可能会泄露服务账号凭据的路径遍历漏洞。我们还在对自己的代码和系统进行全面审核,以找出并解决任何类似的潜在漏洞。 |
严重 |
GCP-2024-024
发布日期:2024 年 4 月 25 日
更新日期:2024 年 7 月 18 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2024 年 7 月 18 日更新:添加了 GKE 上的 Ubuntu 节点池的补丁版本 在 Linux 内核中发现了以下漏洞, 提权:
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2024-26585 |
GCP-2024-023
发布日期:2024 年 4 月 24 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
以下 CVE 导致 Cloud Service Mesh 存在可利用的漏洞:
如需了解相关说明和更多详情,请参阅 Cloud Service Mesh 安全公告。 |
高 |
GCP-2024-022
发布日期:2024 年 4 月 3 日
更新日期:2024 年 7 月 17 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2024 年 7 月 17 日更新:添加了 GKE on VMware 的补丁版本 2024 年 7 月 9 日更新:添加了 GKE on Bare Metal 的补丁版本 2024 年 4 月 24 日更新:添加了 GKE 的补丁版本。 最近在 HTTP/2 协议的多种实现(包括 Kubernetes 使用的 golang HTTP 服务器)中发现了一个拒绝服务攻击 (DoS) 漏洞 (CVE-2023-45288)。该漏洞可能会导致 Google Kubernetes Engine (GKE) 控制平面遭受 DoS 攻击。 如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2023-45288 |
GCP-2024-021
发布日期 :2024-04-03
说明
说明 | 严重程度 | 备注 |
---|---|---|
Compute Engine 不受 CVE-2024-3094、 这会影响 liblzma 库,可能会导致 OpenSSH 实用程序遭到入侵。 如需了解详情,请参阅 Compute Engine 安全公告。 |
中 | CVE-2024-3094 |
GCP-2024-020
发布日期:2024 年 4 月 2 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
研究人员在 Ray 中发现了一个漏洞 (CVE-2023-48022)。Ray 是一款适用于 AI 工作负载的第三方开源工具。由于 Ray 无需身份验证,因此威胁行为者可以通过向公开公开的实例提交作业来实现远程代码执行。通过 已经 有争议 Ray 的开发者 Anyscale 所推出的。Ray 认为其函数是预期的核心产品功能,而安全性必须在 Ray 集群之外实现,因为 Ray 集群的任何意外网络公开都可能会导致数据泄露。 根据回复,此 CVE 存在争议,可能不会显示在漏洞扫描工具中。无论如何,攻击者正在积极利用该漏洞,因此用户应按照以下建议配置其使用方式。 该怎么做? 关注 Ray 最佳 做法和指南,包括在 来保护您的 Ray 工作负载。在客户云实例中部署 ray.io 属于共担责任模型。 Google Kubernetes Engine (GKE) 安全团队发布了一篇博文,介绍了如何在 GKE 上强化 Ray。 如需详细了解如何向 Ray 服务添加身份验证和授权,请参阅 Identity-Aware Proxy (IAP) 文档。GKE 用户可以 IAP 后续操作 指南 或者将 博客。 |
高 | CVE-2023-48022 |
GCP-2024-018
发布日期:2024 年 3 月 12 日
更新日期:2024 年 4 月 4 日、2024 年 5 月 6 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2024 年 5 月 6 日更新:添加了 GKE Ubuntu 节点池的补丁版本。 2024 年 4 月 4 日更新:更正了 GKE Container-Optimized OS 节点池的最低版本。 在 Linux 内核中发现了以下漏洞, 提权:
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2024-1085 |
GCP-2024-017
发布日期:2024 年 3 月 6 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
在 Linux 内核中发现了以下漏洞, 提权:
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2023-3611 |
GCP-2024-016
发布日期:2024 年 3 月 5 日
说明 | 严重程度 | 备注 |
---|---|---|
VMware 在 VMSA-2024-0006 中披露了多个影响客户环境中部署的 ESXi 组件的漏洞。 对 Google Cloud VMware Engine 的影响您的私有云已更新,以解决安全漏洞。 该怎么做?您无需执行任何操作。 |
严重 |
GCP-2024-014
发布日期:2024 年 2 月 26 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
在 Linux 内核中发现了以下漏洞, 提权:
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2023-3776 |
GCP-2024-013
发布日期:2024 年 2 月 27 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的权限提升:
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2023-3610 |
GCP-2024-012
发布日期:2024 年 2 月 20 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的权限提升:
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2024-0193 |
GCP-2024-011
发布日期:2024 年 2 月 15 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的权限提升:
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2023-6932 |
GCP-2024-010
发布日期 :2024 年 2 月 14 日
更新日期:2024 年 4 月 17 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2024 年 4 月 17 日更新:添加了 GKE on VMware 的补丁版本。 在 Linux 内核中发现了以下漏洞, 提升 Container-Optimized OS 和 Ubuntu 节点的权限。
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2023-6931 |
GCP-2024-009
发布日期:2024 年 2 月 13 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2024 年 2 月 13 日,AMD 披露了两个影响 SEV-SNP 的漏洞 采用基于第三代“Milan”的 EPYC CPU以及第四代“Genoa” 禅意核心。这些漏洞可让特权攻击者访问过时的 来自访客的数据,也会导致访客完整性丢失。 Google 已对受影响的资产(包括 Google Cloud)应用了修复程序,以确保客户受到保护。目前,我们尚未发现任何漏洞被利用的迹象,也未收到任何向 Google 报告的此类情况。 该怎么做? 客户无需采取任何行动。已对 适用于 Google Cloud(包括 Compute Engine)的 Google 服务器舰队。 如需了解详情,请参阅 AMD 安全公告 AMD-SN-3007。 |
中 |
GCP-2024-008
发布日期:2024 年 2 月 12 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
CVE-2023-5528 允许攻击者在 Windows 节点上创建 Pod 和永久性卷,从而在这些节点上实现管理员权限提升。 如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2023-5528 |
GCP-2024-007
发布日期:2024 年 2 月 8 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
以下 CVE 会让 Cloud Service Mesh 面临可利用的漏洞:
如需了解相关说明和更多详情,请参阅 Cloud Service Mesh 安全公告。 |
高 |
GCP-2024-006
发布日期:2024 年 2 月 5 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
当 Apigee API Management 代理连接到目标端点或 目标服务器,则代理不会对 目标端点或目标服务器默认提供的证书。 如果未使用以下选项之一启用主机名验证,则连接到目标端点或目标服务器的 Apigee 代理可能会面临已获授权的用户发起中间人攻击的风险。如需更多信息 请参阅从边缘配置 TLS 到后端(云和私有云)。 以下 Apigee 平台上的 Apigee 代理部署会受到影响:
如需了解相关说明和更多详情,请参阅 Apigee 安全公告。 |
高 |
GCP-2024-005
发布日期:2024 年 1 月 31 日
更新日期:2024 年 4 月 2 日、2024 年 5 月 6 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2024 年 5 月 6 日更新:添加了 GKE on AWS 和 GKE on Azure 的补丁版本。 2024 年 4 月 2 日更新:添加了 GKE on Bare Metal 的补丁版本 2024 年 3 月 6 日更新:添加了 GKE on VMware 的补丁版本 2024 年 2 月 28 日更新:添加了 Ubuntu 的补丁版本 2024 年 2 月 15 日更新:阐明了 2024 年 2 月 14 日更新中的 1.25 和 1.26 Ubuntu 补丁版本可能会导致节点不健康。 2024 年 2 月 14 日更新:添加了 Ubuntu 的补丁版本 2024 年 2 月 6 日更新:添加了 Container-Optimized OS 的补丁版本。 在 如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2024-21626 |
GCP-2024-004
发布日期:2024 年 1 月 24 日
更新日期:2024 年 2 月 7 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2024 年 2 月 7 日更新:添加了 Ubuntu 的补丁版本。 在 Linux 内核中发现了以下漏洞, 提升 Container-Optimized OS 和 Ubuntu 节点的权限。
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2023-6817 |
GCP-2024-003
发布日期:2024 年 1 月 19 日
更新日期:2024 年 1 月 26 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2024 年 1 月 26 日更新:阐明了受影响集群的数量以及 来减轻影响 如需了解详情,请参阅 GCP-2024-003 安全公告。 我们已经确定了若干集群,其中用户已向 如需了解相关说明和更多详细信息,请参阅以下公告: |
中 |
GCP-2024-002
发布日期 :2024-01-17
更新日期:2024 年 2 月 20 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2024 年 2 月 20 日更新:添加了 GKE on VMware 的补丁版本。 在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 节点上的权限提升。
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2023-6111 |
GCP-2024-001
发布日期:2024 年 1 月 9 日说明
说明 | 严重程度 | 备注 |
---|---|---|
我们在 TianoCore EDK II UEFI 固件中发现了多个漏洞。此固件用于 Google Compute Engine 虚拟机。如果 这些漏洞可让系统绕过安全启动 会导致安全启动过程中出现错误的测量结果,包括 。 该怎么做?无需进行任何操作。Google 已修补 Compute Engine 中的此漏洞,所有虚拟机都已受到保护。 该补丁解决了哪些漏洞?该补丁缓解了以下漏洞:
|
中 |
GCP-2023-051
发布日期 :2023 年 12 月 28 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
在 Linux 内核中发现了以下漏洞, 提升 Container-Optimized OS 和 Ubuntu 节点的权限。
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2023-3609 |
GCP-2023-050
发布日期 :2023 年 12 月 27 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的权限提升。
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2023-3389 |
GCP-2023-049
发布日期:2023-12-20
说明
说明 | 严重程度 | 备注 |
---|---|---|
在 Linux 内核中发现了以下漏洞, 提升 Container-Optimized OS 和 Ubuntu 节点的权限。
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2023-3090 |
GCP-2023-048
发布日期:2023-12-15
更新日期:2023 年 12 月 21 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2023 年 12 月 21 日更新:澄清默认配置中的 GKE Autopilot 集群不受影响。 在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的权限提升。
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2023-3390 |
GCP-2023-047
发布日期:2023 年 12 月 14 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
攻击者已破坏 Fluent Bit 日志记录容器 可以将这种访问权限与管理员所需的高权限结合起来, Cloud Service Mesh(在已启用此网格的集群上)进行上报 权限 如需了解相关说明和更多详细信息,请参阅以下公告: |
中 |
GCP-2023-046
发布日期 :2023 年 11 月 22 日
更新日期:2024 年 3 月 4 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2024 年 3 月 4 日更新 :添加了适用于 GKE on VMware 的 GKE 版本。 2024 年 1 月 22 日更新:添加了 Ubuntu 补丁版本 在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的权限提升。
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2023-5717 |
GCP-2023-045
发布日期:2023 年 11 月 20 日
更新日期:2023 年 12 月 21 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2023 年 12 月 21 日更新:澄清默认配置中的 GKE Autopilot 集群不受影响。 在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的权限提升。
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2023-5197 |
GCP-2023-044
发布日期:2023 年 11 月 15 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
11 月 14 日,AMD 披露了多个漏洞,这些漏洞会影响 AMD 服务器 CPU。具体而言,这些漏洞会影响 EPYC 服务器 CPU 利用第二代 Zen Core 第二代“Rome”第 3 代“Milan”和第 4 代“Genoa”。 Google 已对受影响的资产(包括 Google Cloud)应用了修复程序,以确保客户受到保护。目前,我们尚未发现任何漏洞被利用的迹象,也未收到任何向 Google 报告的此类情况。 该怎么做? 客户无需采取任何行动。 修复程序已应用于 Google 的 Google 服务器群 包括 Google Compute Engine。 解决了哪些漏洞? 该补丁缓解了以下漏洞:
如需了解详情,请参阅 AMD 的安全公告 AMD-SN-3005:“AMD INVD 指令安全通知”(也发布为 CacheWarp)和 AMD-SN-3002:“AMD 服务器漏洞 - 2023 年 11 月”。 |
中 |
GCP-2023-043
发布日期:2023 年 11 月 14 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
Intel 披露了部分处理器存在的 CPU 漏洞。Google 已采取措施来缓解其服务器机群(包括 Google Cloud 专用 Google Compute Engine)和 ChromeOS 设备的风险,以确保客户受到保护。 漏洞详情:
该怎么做? 客户无需采取任何行动。 Intel 针对受影响处理器提供的缓解措施已应用到 Google 服务器群,包括 Google Compute Engine for Google Cloud。 目前,Google Distributed Cloud Edge 需要 OEM 进行更新。更新发布后,Google 会对此产品进行修复,并相应地更新此公告。 搭载受影响处理器的 ChromeOS 设备在 119、118 和 114 (LTS) 版本中自动收到了修复程序。 解决了哪些漏洞? CVE-2023-23583。如需了解详情,请参阅 Intel 安全建议 INTEL-SA-00950。 |
高 | CVE-2023-23583 |
GCP-2023-042
发布日期:2023 年 11 月 13 日
更新日期:2023 年 11 月 15 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2023 年 11 月 15 日更新:明确指出只有列出的次要版本需要升级到 GKE 的相应修补版本。 在 Linux 内核中发现了以下漏洞, 提升 Container-Optimized OS 和 Ubuntu 节点的权限。
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2023-4147 |
GCP-2023-041
发布日期 :2023-11-08
更新日期:2023 年 11 月 21 日、2023 年 12 月 5 日、2023 年 12 月 21 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2023 年 12 月 21 日更新:阐明 GKE 默认配置中的 Autopilot 集群不会 。 2023 年 12 月 5 日更新:为 Container-Optimized OS 节点池添加了其他 GKE 版本。 2023 年 11 月 21 日更新:说明只有列出的次要版本需要升级到 GKE 的相应补丁版本。 在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的权限提升。
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2023-4004 |
GCP-2023-040
发布日期:2023 年 11 月 6 日
更新日期:2023 年 11 月 21 日、2023 年 12 月 21 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2023 年 12 月 21 日更新:阐明 GKE 默认配置中的 Autopilot 集群不会 。 2023 年 11 月 21 日更新:明确指出只有 需要将次要版本升级到 GKE 在 Linux 内核中发现了以下漏洞, 提升 Container-Optimized OS 和 Ubuntu 节点的权限。
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2023-4921 |
GCP-2023-039
发布日期:2023 年 11 月 6 日
更新日期:2023-11-21、2023-11-16
说明
说明 | 严重程度 | 备注 |
---|---|---|
2023 年 11 月 21 日更新:说明只有列出的次要版本需要升级到 GKE 的相应补丁版本。 2023 年 11 月 16 日更新:与此安全公告关联的漏洞为 CVE-2023-4622。在先前版本的安全公告中,CVE-2023-4623 错误地列为漏洞。 在 Linux 内核中发现了以下漏洞, 提升 Container-Optimized OS 和 Ubuntu 节点的权限。
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2023-4622 |
GCP-2023-038
发布日期 :2023-11-06
更新日期:2023 年 11 月 21 日、2023 年 12 月 21 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2023 年 12 月 21 日更新:阐明 GKE 默认配置中的 Autopilot 集群不会 。 2023 年 11 月 21 日更新:明确指出只有 需要将次要版本升级到 GKE 在 Linux 内核中发现了以下漏洞, 提升 Container-Optimized OS 和 Ubuntu 节点的权限。
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2023-4623 |
GCP-2023-037
发布日期:2023 年 11 月 6 日
更新日期:2023 年 11 月 21 日、2023 年 12 月 21 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2023 年 12 月 21 日更新:阐明 GKE 默认配置中的 Autopilot 集群不会 。 2023 年 11 月 21 日更新:明确指出只有 需要将次要版本升级到 GKE 在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的权限提升。
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2023-4015 |
GCP-2023-036
发布时间:2023-10-30
说明
说明 | 严重程度 | 备注 |
---|---|---|
Deep Learning VM Image 是一组预先打包的虚拟机映像,具有深度学习框架,可立即运行。最近,在“libwebp”库的“ReadHuffmanCodes()”函数中发现了越界写入漏洞。这可能会影响使用此库的映像。 Google Cloud 会持续扫描其公开发布的映像并更新软件包,以确保修补后的发行版包含在可供客户使用的最新版本中。Deep Learning VM Image 已更新,可确保最新的虚拟机映像包含修补后的发行版。采用最新虚拟机映像的客户不会受到此漏洞的影响。 该怎么做? 使用已发布的虚拟机映像的 Google Cloud 客户应确保其采用最新的映像,并确保其环境已根据责任共担模型完全更新到最新版本。 CVE-2023-4863 可能会被攻击者用来执行任意代码。116.0.5845.187 之前的 Google Chrome 以及 1.3.2 之前的“libwebp”中发现了此漏洞,它列于 CVE-2023-4863 下。 |
高 | CVE-2023-4863 |
GCP-2023-035
发布日期:2023 年 10 月 26 日
更新日期:2023-11-21、2023-12-21
说明
说明 | 严重程度 | 备注 |
---|---|---|
2023 年 12 月 21 日更新:阐明 GKE 默认配置中的 Autopilot 集群不会 。 2023 年 11 月 21 日更新:明确指出只有 需要将次要版本升级到 GKE 在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的权限提升。
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2023-4206CVE-2023-4207、CVE-2023-4208、CVE-2023-4128 |
GCP-2023-034
发布日期:2023-10-25
更新日期:2023-10-27
说明
说明 | 严重程度 | Notes |
---|---|---|
VMware 在 VMSA-2023-0023 中披露了多个影响客户环境中部署的 vCenter 组件的漏洞。 Cloud Customer Care 的影响
该怎么做?目前不需要采取进一步的措施。 |
严重 | CVE-2023-34048,CVE-2023-34056 |
GCP-2023-033
发布日期:2023 年 10 月 24 日
更新日期:2023 年 11 月 21 日、2023 年 12 月 21 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2023 年 12 月 21 日更新:澄清默认配置中的 GKE Autopilot 集群不受影响,并且 GKE Sandbox 工作负载不受影响。 2023 年 11 月 21 日更新:说明只有列出的次要版本需要升级到 GKE 的相应补丁版本。 在 Linux 内核中发现了以下漏洞,这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的权限提升。
如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2023-3777 |
GCP-2023-032
发布日期:2023-10-13
更新日期:2023-11-03
说明
说明 | 严重程度 | 备注 |
---|---|---|
2023 年 11 月 3 日更新:添加了 Apigee Edge for Private Cloud 的已知问题。 最近在 Google Cloud 中发现了 HTTP/2 协议的多种实现方式 (CVE-2023-44487)、 包括 Apigee Ingress (Cloud Service Mesh) 服务, Apigee X 和 Apigee Hybrid。该漏洞可能会导致 Apigee API 管理功能遭受 DoS 攻击。 如需了解相关说明和更多详情,请参阅 Apigee 安全公告。 |
高 | CVE-2023-44487 |
GCP-2023-031
发布日期:2023-10-10
说明
说明 | 严重程度 | 备注 |
---|---|---|
使用 HTTP/2 协议时,拒绝服务攻击可能会影响数据平面。有关说明和更多详情,请参阅 Cloud Service Mesh 安全公告。 |
高 | CVE-2023-44487 |
GCP-2023-030
发布日期:2023-10-10
更新日期:2024 年 3 月 20 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2024 年 3 月 20 日更新:添加了 GKE on AWS 和 GKE on Azure 的补丁版本,其中包含针对 CVE-2023-44487 的最新补丁。 2024 年 2 月 14 日更新:添加了 GKE on VMware 的补丁版本。 2023 年 11 月 9 日更新:添加了 CVE-2023-39325。更新了 GKE 版本,添加了针对 CVE-2023-44487 和 CVE-2023-39325 的最新补丁。 最近在 HTTP/2 协议 (CVE-2023-44487) 的多种实现(包括 Kubernetes 使用的 golang HTTP 服务器)中发现了一个拒绝服务攻击 (DoS) 漏洞。该漏洞可能会导致 Google Kubernetes Engine (GKE) 控制平面遭受 DoS 攻击。配置了授权网络的 GKE 集群会通过限制网络访问权限加以保护,但所有其他集群都会受到影响。 如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2023-44487、 CVE-2023-39325 |
GCP-2023-029
发布日期:2023-10-03
说明
说明 | 严重程度 | 备注 |
---|---|---|
TorchServe 用于托管 PyTorch 机器学习模型以进行在线预测。Vertex AI 提供依赖于 TorchServe 的预构建 PyTorch 模型部署容器。最近在 TorchServe 中发现了漏洞,如果其模型管理 API 公开,攻击者可以利用这些漏洞控制 TorchServe 部署。将 PyTorch 模型部署到 Vertex AI 在线预测的客户不受这些漏洞的影响,因为 Vertex AI 不会公开 TorchServe 的模型管理 API。在 Vertex AI 之外使用 TorchServe 的客户应采取预防措施来确保其部署得到安全设置。 该怎么做? 使用 Vertex AI 的预构建 PyTorch 服务容器并采用已部署模型的 Vertex AI 客户不需要执行任何操作来修复漏洞,因为 Vertex AI 的部署不会向互联网公开 TorchServe 的管理服务器。 在其他环境中使用预构建 PyTorch 容器或者使用定制或第三方分发 TorchServe 的客户应执行以下操作:
解决了哪些漏洞? 在大多数 TorchServe Docker 映像中(包括由 Vertex AI 发布的映像),TorchServe 的管理 API 都是默认绑定到 CVE-2023-43654 和 CVE-2022-1471 允许有权访问管理 API 的用户从任意来源加载模型并远程执行代码。TorchServe 0.8.2 中添加了这两个问题的缓解措施:移除远程代码执行路径;如果使用 |
高 | CVE-2023-43654, CVE-2022-1471 |
GCP-2023-028
发布日期:2023 年 9 月 19 日
更新日期:2024 年 5 月 29 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2024 年 5 月 29 日更新:新 Feed 不再使用共享服务账号,但现有 Feed 仍会使用该账号,以免服务中断。系统会阻止对旧 Feed 中来源所做的更改,以防止滥用共享服务账号。只要不更改来源,客户就可以继续照常使用旧 Feed。
客户可以将 Google Security Operations 配置为使用注入 Feed 从客户拥有的 Cloud Storage 存储分区中注入数据。直到最近,Google 安全运营团队提供的共享服务账号一直是客户用来向存储桶授予权限的工具。这时,客户的 Google Security Operations 实例可配置为从另一客户的 Cloud Storage 存储桶中注入数据。在执行影响分析后,我们发现目前或之前未发现此漏洞遭到利用。2023 年 9 月 19 日之前的所有版本的 Google Security Operations 中都存在此漏洞。 该怎么做? 自 2023 年 9 月 19 日起,Google Security Operations 已更新,以解决此漏洞。客户无需采取任何行动。 解决了哪些漏洞? 以前,Google 安全运营团队提供的共享服务账号供客户授予对存储桶的权限。由于不同的客户向同一 Google 安全运营服务账号授予了对其存储桶的权限,因此存在一个利用途径,允许在创建或修改 Feed 时,一个客户的 Feed 访问另一个客户的存储桶。此利用途径要求知道存储桶 URI。现在,在创建或修改 Feed 时,Google Security Operations 会为每个客户使用唯一的服务账号。 |
高 |
GCP-2023-027
发布日期: 2023-09-11说明 | 严重程度 | 备注 |
---|---|---|
VMware vCenter Server 更新解决了多个内存损坏漏洞(CVE-2023-20892、CVE-2023-20893、CVE-2023-20894、CVE-2023-20895、CVE-2023-20896) Customer Care 带来的影响VMware vCenter Server (vCenter Server) 和 VMware Cloud Foundation (Cloud Foundation)。 该怎么做?客户不会受到影响,无需执行任何操作。 |
中 |
GCP-2023-026
发布日期:2023 年 9 月 6 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
在 Kubernetes 中发现了三个漏洞(CVE-2023-3676、CVE-2023-3955、CVE-2023-3893),利用这些漏洞,可以在 Windows 节点上创建 Pod 的用户也许能够升级到这些节点上的管理员权限。以下漏洞会影响 Windows 版本的 Kubelet 和 Kubernetes CSI 代理。 如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2023-3676、 CVE-2023-3955、 CVE-2023-3893 |
GCP-2023-025
发布日期: 2023-08-08说明 | 严重程度 | 备注 |
---|---|---|
Intel 最近宣布了 Intel Security Advisory INTEL-SA-00828,这会影响部分处理器系列。我们鼓励您根据建议评估风险。 对 Google Cloud VMware Engine 的影响我们的舰队会使用受影响的处理器系列。在我们的部署中,整个服务器专用于一个客户。因此,我们的部署模型不会对此漏洞的评估增添任何风险。 我们正在与合作伙伴合作,以获取必要的补丁,还将在未来几周内使用标准升级流程在整个舰队中优先部署这些补丁。 该怎么做?您无需执行任何操作,我们正在努力升级所有受影响的系统。 |
高 |
GCP-2023-024
发布日期:2023 年 8 月 8 日
更新日期:2023 年 8 月 10 日、2024 年 6 月 4 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2024 年 6 月 4 日更新:以下缺失的商品现已更新,以修复此漏洞:
2023 年 8 月 10 日更新:添加了 ChromeOS LTS 版本号。 Intel 披露了部分处理器存在的漏洞 (CVE-2022-40982)。 Google 已采取措施来缓解其服务器机群(包括 Google Cloud)中存在的问题,以确保客户受到保护。 漏洞详情:
该怎么做?
客户无需采取任何行动。 所有可用补丁已应用于 Google Cloud 的 Google 服务器机群,包括 Google Compute Engine。 目前,以下产品需要合作伙伴和供应商进行额外更新。
这些补丁发布后,Google 会对这些产品进行修复,并相应地更新此公告。 Google Chromebook 和 ChromeOS Flex 客户在稳定版 (115)、LTS 版 (108)、Beta 版 (116) 和 LTC 版 (114) 中自动收到了 Intel 提供的缓解措施。Chromebook 和 ChromeOS Flex 客户被固定到 较低版本应考虑取消固定并移至稳定版或 LTS 以确保能够获得此漏洞和其他漏洞修复。 解决了哪些漏洞? CVE-2022-40982 - 如需了解详情,请参阅 Intel Security Advisory INTEL-SA-00828。 |
高 | CVE-2022-40982 |
GCP-2023-023
发布日期:2023 年 8 月 8 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
AMD 披露了部分处理器存在的漏洞 (CVE-2023-20569)。 Google 已采取措施来缓解其服务器机群(包括 Google Cloud)中存在的问题,以确保客户受到保护。 漏洞详情:
该怎么做?
如果 Compute Engine 虚拟机用户使用实例内不受信任的代码执行,则应考虑使用操作系统提供的缓解措施。我们建议客户 与操作系统供应商联系以获取更具体的指导。 修复程序已应用于 Google 的 Google 服务器群 包括 Google Compute Engine。 解决了哪些漏洞? CVE-2023-20569 - 如需了解详情,请参阅 AMD SB-7005。 |
中 | CVE-2023-20569 |
GCP-2023-022
发布日期:2023 年 8 月 3 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
Google 在 gRPC C++ 1.57 版之前的多版实现代码中发现了一个漏洞。拒绝服务攻击漏洞。这些漏洞已在 1.53.2、1.54.3、1.55.2、1.56.2 和 1.57 版本中得到修复。 该怎么做? 确保您使用的是以下软件包的最新版本:
解决了哪些漏洞? 这些补丁解决了以下漏洞:
| 高 | CVE-2023-33953 |
GCP-2023-021
更新日期:2023-07-26
Published:2023-07-25
说明
说明 | 严重程度 | 备注 |
---|---|---|
以下 CVE 会导致 Cloud Service Mesh 遭到可利用的漏洞攻击:
有关说明和更多详情,请参阅 Cloud Service Mesh 安全公告。 |
高 |
GCP-2023-020
更新日期:2023-07-26
发布日期:2023 年 7 月 24 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
AMD 发布了微码更新,以解决硬件安全漏洞 (CVE-2023-20593)。Google 已经执行了必要的修复, 服务器群(包括 Google Cloud Platform测试表明,此更改不会影响系统性能。 该怎么做? 客户无需执行任何操作,因为 Google 已将修复程序应用于 Google Cloud Platform 的 Google 服务器机群。 解决了哪些漏洞? CVE-2023-20593 解决了某些 AMD CPU 中的漏洞。更多 信息,请点击此处。 | 高 | CVE-2023-20593 |
GCP
Published:2023-07-18
说明
说明 | 严重程度 | 备注 |
---|---|---|
Envoy 中发现了一个新漏洞 (CVE-2023-35945)
其中,来自不受信任的上游服务、特制的响应
可能因内存耗尽而导致拒绝服务攻击。造成此问题的原因是 Envoy 的 HTTP/2 编解码器在从上行服务器收到 有关说明和更多详情,请参阅 Cloud Service Mesh 安全公告。 | 高 | CVE-2023-35945 |
GCP-2023-018
发布日期:2023 年 6 月 27 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
在 Linux 内核中发现了一个新漏洞 (CVE-2023-2235),此漏洞可能会导致节点上的权限提升。GKE Autopilot 集群会受到影响,因为 GKE Autopilot 节点始终使用 Container-Optimized OS 节点映像。运行 Container-Optimized OS 节点映像的 1.25 版或更高版本的 GKE Standard 集群会受到影响。 如果 GKE 集群仅运行 Ubuntu 节点映像、运行 1.25 之前的版本或使用 GKE Sandbox,则不会受到影响。 如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2023-2235 |
GCP-2023-017
发布日期:2023 年 6 月 26 日
更新日期:2023 年 7 月 11 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2023 年 7 月 11 日更新:新版 GKE 现已更新,纳入了 CVE-2023-31436。 在 Linux 内核中发现了一个新漏洞 (CVE-2023-31436),此漏洞可能会导致节点上的权限提升。GKE 集群(包括 Autopilot 集群)会受到影响。使用 GKE Sandbox 的 GKE 集群不受影响。 如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2023-31436 |
GCP-2023-016
发布日期:2023 年 6 月 26 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
在 Envoy 中发现了许多漏洞, 在 Cloud Service Mesh 中允许恶意攻击者发起拒绝事件 或导致 Envoy 崩溃。这些漏洞单独报告为 GCP-2023-002。 如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2023-27496、 CVE-2023-27488、 CVE-2023-27493、 CVE-2023-27492、 CVE-2023-27491、 CVE-2023-27487 |
GCP-2023-015
发布日期:2023 年 6 月 20 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
在 Linux 内核中发现了一个新漏洞 CVE-2023-0468,当 io_poll_get_ownership 在每个 io_poll_wake 上不断增加 req->poll_refs 并溢出到 0 时,该漏洞会允许无特权的用户将特权提升到 root 权限,然后溢出到 0,这会导致 fput req->file 两次并导致结构体文件 refcount 问题。使用 Linux 内核版本 5.15 的 Container-Optimized OS 的 GKE 集群(包括 Autopilot 集群)会受到影响。使用 Ubuntu 映像或使用 GKE Sandbox 的 GKE 集群不受影响。 如需了解相关说明和更多详细信息,请参阅以下公告: |
中 | CVE-CVE-2023-0468 |
GCP-2023-014
更新日期:2023 年 8 月 11 日
发布日期:2023 年 6 月 15 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2023 年 8 月 11 日更新: 添加了 GKE on VMware、GKE on AWS、GKE on Azure 和 Google Distributed Cloud Virtual for Bare Metal 的补丁版本。 在 Kubernetes 中发现了两个新的安全问题:使用临时容器以及 ImagePolicyWebhook (CVE-2023-2727) 或 ServiceAccount 准入插件 (CVE-2023-2728) 时,用户可能能够启动绕过政策限制的容器。 如需了解相关说明和更多详细信息,请参阅以下公告: |
中 | CVE-2023-2727、CVE-2023-2728 |
GCP-2023-013
发布日期:2023 年 6 月 8 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
在项目中启用 Cloud Build API 后,Cloud Build 会自动创建一个默认服务账号来代表您执行 build。此 Cloud Build 服务
账号之前具有 有关说明和更多详情,请参阅 Cloud Build 安全公告。 |
低 |
GCP-2023-010
发布日期:2023 年 6 月 7 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
Google 在 gRPC C++ 实现中发现了三个新漏洞。这些漏洞很快将以 CVE-2023-1428、CVE-2023-32731 和 CVE-2023-32732 的形式公开发布。 4 月,我们在 1.53 和 1.54 版本中发现了两个漏洞。其中一个是 gRPC C++ 实现代码中存在的拒绝服务攻击漏洞,另一个是远程数据渗漏漏洞。这些漏洞已在 1.53.1、1.54.2 和更高版本中得到修复。 之前在 3 月份,我们的内部团队在执行常规模糊测试活动时,在 gRPC 的 C++ 实现代码中发现了一个拒绝服务攻击漏洞。该漏洞在 gRPC 1.52 版本中发现,并在 1.52.2 和 1.53 版本中得到修复。 该怎么做?确保您使用的是以下软件包的最新版本:
这些补丁修复了哪些漏洞?这些补丁解决了以下漏洞:
我们建议您升级到上面列出的以下软件包的最新版本。 |
高(CVE-2023-1428、CVE-2023-32731)。中等 (CVE-2023-32732) | CVE-2023-1428、 CVE-2023-32731、 CVE-023-32732 |
GCP-2023-009
发布日期:2023 年 6 月 6 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
在 secrets-store-csi-driver 中发现了一个新漏洞 (CVE-2023-2878),有权访问驱动程序日志的行为体可以看到服务账号令牌。 如需了解相关说明和更多详细信息,请参阅以下公告: |
无 | CVE-2023-2878 |
GCP-2023-008
发布日期:2023 年 6 月 5 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
在 Linux 内核中发现了一个新漏洞 (CVE-2023-1872),此漏洞可能会导致节点上的权限提升为 root。 如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2023-1872 |
GCP-2023-007
发布日期:2023-06-02
说明
说明 | 严重程度 | 备注 |
---|---|---|
最近在 Cloud SQL for SQL Server 中发现了一个漏洞,
允许客户管理员账号在
Google Cloud 在 2023 年 3 月 1 日之前修复了安全漏洞,从而解决了此问题。Google Cloud 未发现任何已破解的客户实例。 有关说明和更多详情,请参阅 Cloud SQL 安全公告。 |
高 |
GCP-2023-005
发布日期:2023 年 5 月 18 日
更新日期:2023 年 6 月 6 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2023-06-06 更新:新的 GKE 版本已更新,添加了补丁 CVE-2023-1281 和 CVE-2023-1829 的最新 Ubuntu 版本。 在 Linux 内核中发现了两个新漏洞(CVE-2023-1281、CVE-2023-1829),这些漏洞可能会导致节点上的权限提升为 root。 如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2023-1281 CVE-2023-1829 |
GCP-2023-004
发布日期:2023 年 4 月 26 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
两个漏洞 (CVE-2023-1017) 和 CVE-2023-1018) 在可信平台模块 (TPM) 2.0 中发现。 技术精湛的攻击者可以利用这些漏洞 利用某些 Compute Engine 上的 2 字节出界读/写攻击 虚拟机 有关说明和更多详情,请参阅 Compute Engine 安全公告。 |
中 |
GCP-2023-003
发布日期:2023 年 4 月 11 日
更新日期:2023 年 12 月 21 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2023 年 12 月 21 日更新:澄清默认配置中的 GKE Autopilot 集群不受影响。 在 Linux 内核中发现了两个新漏洞:CVE-2023-0240 和 CVE-2023-23586,这些漏洞可让无特权的用户提升权限。 如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2023-0240、CVE-2023-23586 |
GCP-2023-002
说明
说明 | 严重程度 | 备注 |
---|---|---|
以下 CVE 会让 Cloud Service Mesh 面临可利用的漏洞:
如需了解相关说明和更多详情,请参阅 Cloud Service Mesh 安全公告。 |
高 |
GCP-2023-001
发布日期:2023 年 3 月 1 日、2023 年 12 月 21 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2023 年 12 月 21 日更新:澄清默认配置中的 GKE Autopilot 集群不受影响。 在 Linux 内核中发现了一个新漏洞 (CVE-2022-4696),该漏洞可能会导致 提升节点的权限 如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2022-4696 |
GCP-2022-026
发布日期:2023 年 1 月 11 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
在 OpenSSL 版本 3.0.6 中发现了两个可能导致崩溃的新漏洞(CVE-2022-3786 和 CVE-2022-3602)。 如需了解相关说明和更多详细信息,请参阅以下公告: |
中 |
GCP-2022-025
发布日期:2022-12-21
更新日期:2023-01-19、2023-12-21
说明
说明 | 严重程度 | 备注 |
---|---|---|
2023 年 12 月 21 日更新:阐明 GKE 默认配置中的 Autopilot 集群不会 。 2023 年 1 月 19 日更新:添加了 GKE 1.21.14-gke.14100 版已发布的相关信息。 在 OpenSSL 版本 3.0.6 中发现了两个可能导致崩溃的新漏洞(CVE-2022-3786 和 CVE-2022-3602)。 如需了解相关说明和更多详细信息,请参阅以下公告: |
中 |
GCP-2022-024
发布日期:2022 年 11 月 9 日
更新日期:2023 年 1 月 19 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2023 年 1 月 19 日更新:添加了 GKE 1.21.14-gke.14100 版本可用。 2022 年 12 月 16 日更新:添加了适用于 GKE 和 GKE on VMware 的补丁版本。 Linux 内核中发现了两个新漏洞(CVE-2022-2585 和 CVE-2022-2588),这些漏洞可能会导致容器被完全破解到节点上。 如需了解相关说明和更多详情,请参阅以下安全公告: |
高 |
GCP-2022-023
发布日期:2022 年 11 月 4 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
在 Cloud Service Mesh 中使用的 Istio 中发现了一个安全漏洞 CVE-2022-39278,它允许恶意攻击者使控制平面崩溃。 如需了解相关说明和更多详情,请参阅以下公告: |
高 | CVE-2022-39278 |
GCP-2022-022
发布日期:2022 年 10 月 28 日
更新日期:2022 年 12 月 14 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2022 年 12 月 14 日更新:添加了 GKE 和 GKE on VMware 的补丁版本。 在 Linux 中发现了一个新漏洞 CVE-2022-20409 可让非特权用户上报到系统的内核 执行权限 如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2022-20409 |
GCP-2022-021
发布日期:2022 年 10 月 27 日
更新日期:2023 年 1 月 19 日、2023 年 12 月 21 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2023 年 12 月 21 日更新:阐明 GKE 默认配置中的 Autopilot 集群不会 。 2023 年 1 月 19 日更新:添加了 GKE 1.21.14-gke.14100 版已发布的相关信息。 2022 年 12 月 15 日更新:更新了关于 Google Kubernetes Engine 1.21.14-gke.9400 版正在等待发布并可能会被更高的版本号取代的信息。 2022 年 11 月 22 日更新:添加了 GKE on VMware、GKE on AWS 和 GKE on Azure 的补丁版本。 我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-3176),该漏洞可能会导致本地权限提升。此漏洞允许无特权的用户实现完全的容器逃逸,从而获得节点的 root 权限。 如需了解相关说明和更多详细信息,请参阅以下公告: |
高 | CVE-2022-3176 |
GCP-2022-020
发布日期:2022 年 10 月 5 日
更新日期:2022 年 10 月 12 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
Istio 控制平面 如需了解相关说明和更多详情,请参阅 Cloud Service Mesh 安全公告。 |
高 | CVE-2022-39278 |
GCP-2022-019
发布日期:2022 年 9 月 22 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
ProtocolBuffer 的 C++ 和 Python 实现中存在消息解析和内存管理漏洞,在处理专门制作的消息时,可能会触发内存不足 (OOM) 故障。这个 可能会导致使用 库。 该怎么做?确保您使用的是以下软件的最新版本 软件包:
该补丁解决了哪些漏洞?该补丁程序解决了以下漏洞:
一种特殊构造的小消息,会导致正在运行的服务分配大量 RAM。请求大小较小,这意味着攻击者可以轻松利用该漏洞并耗尽资源。使用不受信任的 protobuf 的 C++ 和 Python 系统
如果它们包含
|
中 | CVE-2022-1941 |
GCP-2022-018
发布日期:2022 年 8 月 1 日
更新日期:2022 年 9 月 14 日、2023 年 12 月 21 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2023 年 12 月 21 日更新:阐明 GKE 默认配置中的 Autopilot 集群不会 。 2022 年 9 月 14 日更新:添加了 GKE on VMware、GKE on AWS 和 GKE on Azure 的补丁版本。 我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-2327),该漏洞可能会导致本地权限升级。此漏洞允许无特权的用户实现完全的容器逃逸,从而获得节点的 root 权限。 如需了解相关说明和更多详情,请参阅以下公告: | 高 | CVE-2022-2327 |
GCP-2022-017
发布日期:2022 年 6 月 29 日
更新日期:2022 年 11 月 22 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2022 年 11 月 22 日更新:使用 GKE Sandbox 的工作负载不受这些漏洞的影响。 2022 年 7 月 21 日更新:有关 GKE on VMware 的其他信息。 在 Linux 内核版本 5.10 和 5.11 中发现了一个新漏洞 (CVE-2022-1786)。此漏洞允许具有集群本地访问权限的非特权用户实现完全的容器逃逸 (container breakout),从而获得节点的 root 权限。只有运行 Container-Optimized OS 的集群会受到影响。GKE Ubuntu 版本使用内核版本 5.4 或 5.15,并且不受影响。 如需了解相关说明和更多详情,请参阅以下安全公告: |
高 | CVE-2022-1786 |
GCP-2022-016
发布日期:2022 年 6 月 23 日
更新日期:2022 年 11 月 22 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2022 年 11 月 22 日更新:Autopilot 集群不受 CVE-2022-29581 影响,但容易受到 CVE-2022-29582 和 CVE-2022-1116 的影响。 在 Linux 内核中发现了三个新的内存损坏漏洞(CVE-2022-29581、CVE-2022-29582、CVE-2022-1116)。这些漏洞可让无特权的用户 对集群进行本地访问以实现对根容器的全面划分 节点上所有 Linux 集群(Container-Optimized OS 和 Ubuntu)都会受到影响。 如需了解相关说明和更多详情,请参阅以下公告: |
高 |
GCP-2022-015
发布日期:2022 年 6 月 9 日
更新日期:2022 年 6 月 10 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2022 年 6 月 10 日更新:Cloud Service Mesh 版本 已更新。有关说明和更多详情,请参阅 Cloud Service Mesh 安全公告。 以下 Envoy 和 Istio CVE 导致 GKE 上的 Cloud Service Mesh 和 Istio 遭到可远程利用的漏洞攻击:
如需了解相关说明和更多详情,请参阅 Cloud Service Mesh 安全公告。 |
严重 |
GCP-2022-014
发布日期:2022 年 4 月 26 日
更新日期:2022 年 11 月 22 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2022 年 11 月 22 日更新:GKE Autopilot 集群和工作负载 GKE Sandbox 不受影响。 2022 年 5 月 12 日更新:GKE on AWS 和 GKE on Azure 版本已更新。如需了解相关说明和更多详情,请参阅以下安全公告: 在 Linux 内核中发现了两个安全漏洞:CVE-2022-1055 和 CVE-2022-27666。每个漏洞都可能导致本地攻击者能够对容器执行容器入侵和/或权限提升。这些漏洞会影响所有 GKE 节点操作系统(Container-Optimized OS 和 Ubuntu)。如需了解相关说明和更多详细信息,请参阅以下安全公告: |
高 |
CVE-2022-1055 CVE-2022-27666 |
GCP-2022-013
发布日期:2022 年 4 月 11 日
更新日期:2022 年 4 月 22 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
在 OCI 映像卷规范中,containerd 在处理路径遍历时发现了安全漏洞 CVE-2022-23648。通过具有精心设计的映像配置通过 containerd 的 CRI 实现启动的容器可以获得对主机上任意文件和目录的完全读取权限。此漏洞可能会绕过对容器设置(包括 Kubernetes Pod 安全政策)执行的任何基于政策的违规处置。 如需了解相关说明和更多详细信息,请参阅以下安全公告: |
中 | CVE-2022-23648 |
GCP-2022-012
发布日期:2022 年 4 月 7 日
更新日期:2022 年 11 月 22 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2022 年 11 月 22 日更新:对于 Standard 和 Autopilot 两种模式下的 GKE 集群,使用 GKE Sandbox 的工作负载不受影响。 我们已在 Linux 内核 5.8 版及更高版本中发现安全漏洞 CVE-2022-0847,此漏洞可能会将容器权限升级为 root。此漏洞会影响以下产品:
如需了解相关说明和更多详细信息,请参阅以下安全公告: |
高 | CVE-2022-0847 |
GCP-2022-011
发布日期:2022 年 3 月 22 日
更新日期:2022 年 8 月 11 日
说明
说明 | 严重程度 |
---|---|
2022 年 8 月 11 日更新:增加了有关并发多线程 (SMT) 配置的更多信息。在下面列出的版本中,SMT 本应停用,但却被启用。 如果您为沙盒化节点池手动启用 SMT,则尽管存在此问题,SMT 仍将保持手动启用状态。 GKE Sandbox 映像上的并发多线程 (SMT)(也称为超线程)配置错误。配置错误可能会使节点面临微通道数据抽样 (MDS) 等边信道攻击(如需更多背景信息,请参阅 GKE Sandbox 文档)。我们不建议您使用以下受影响的版本:
如需了解相关说明和更多详情,请参阅 GKE 安全公告。 |
中 |
GCP-2022-010
说明
说明 | 严重程度 | 备注 |
---|---|---|
以下 Istio CVE 将 Cloud Service Mesh 公开给远程 可利用的漏洞:
如需了解相关说明和更多详细信息,请参阅以下安全公告: |
高 |
GCP-2022-009
发布日期:2022 年 3 月 1 日说明
说明 | 严重程度 |
---|---|
用于访问 GKE Autopilot 集群上的节点虚拟机的一些意外路径可能已被用来提升集群中的权限。这些问题已得到解决,无需采取进一步措施。这些修复解决了通过漏洞奖励计划报告的问题。 如需了解相关说明和更多详情,请参阅 GKE 安全公告 |
低 |
GCP-2022-008
发布日期:2022 年 2 月 23 日
更新日期:2022 年 4 月 28 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2022 年 4 月 28 日更新 :添加了用于修复这些问题的 GKE on VMware 版本 漏洞有关详情,请参阅 GKE on VMware 安全公告。 Envoy 项目最近发现了一组漏洞。下面列出的所有问题已在 Envoy 版本 1.21.1 中修复。
我该怎么做? 管理他们自己的 Envoy 的 Envoy 用户应确保自己使用的是 Envoy 1.21.1 版。管理自己的 Envoy 用户通过 GitHub 等来源构建并部署二进制文件。 运行代管式 Envoy 的用户无需执行任何操作(Google Cloud 提供 Envoy 二进制文件),Google Cloud 产品将改用 1.21.1 版。 |
高 |
CVE-2022-23606 CVE-2022-21655 CVE-2021-43826 CVE-2021-43825 CVE-2021-43824 CVE-2022-21654 CVE-2022-21657 CVE-2022-21656 |
GCP-2022-007
发布日期:2022 年 2 月 22 日说明
说明 | 严重程度 | 备注 |
---|---|---|
以下 Envoy 和 Istio CVE 会公开 Cloud Service Mesh 使用 Istio on GKE 实现可远程利用的漏洞:
如需了解相关说明和更多详细信息,请参阅以下安全公告: |
高 |
GCP-2022-006
发布日期:2022 年 2 月 14 日更新日期:2022 年 5 月 16 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2022 年 5 月 16 日更新:将 GKE 1.19.16-gke.7800 版或更高版本添加到包含修复此漏洞的代码的版本列表中。如需了解详情,请参阅 GKE 安全公告。 2022 年 5 月 12 日更新:GKE、GKE on VMware、GKE on AWS 和 GKE on Azure 的版本已更新。如需了解相关说明和更多详情,请参阅以下安全公告: 在 Linux 内核的 |
低 |
如需了解相关说明和更多详情,请参阅以下安全公告: |
GCP-2022-005
发布日期:2022 年 2 月 11 日更新日期:2022 年 2 月 15 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
在与低于 3.73 或 3.68.1 的 NSS(网络安全服务)版本中找到的 libnss3 易受攻击版本相关联的任何二进制文件中,找到了安全漏洞 CVE-2021-43527。使用 NSS 进行证书验证或其他 TLS、X.509、OCSP 或 CRL 功能的应用可能会受到影响,具体取决于 NSS 的使用/配置方式。 如需了解相关说明和更多详情,请参阅以下安全公告: |
中 | CVE-2021-43527 |
GCP-2022-004
发布日期:2022 年 2 月 4 日说明
说明 | 严重程度 | 备注 |
---|---|---|
在 pkexec 中发现了一个安全漏洞 CVE-2021-4034,该漏洞是 Linux 政策套件软件包 (pokit) 的一部分,它会允许经过身份验证的用户执行提升权限攻击。该政策套件通常仅在 Linux 桌面系统上使用,以允许非 root 用户执行受政策约束的操作,例如重新启动系统、安装软件包、重启服务等。 如需了解相关说明和更多详情,请参阅以下安全公告: |
无 | CVE-2021-4034 |
GCP-2022-002
发布日期:2022 年 2 月 1 日更新日期:2022 年 2 月 25 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2022 年 2 月 25 日更新:GKE 个版本已更新。如需了解相关说明和更多详情,请参阅以下安全公告: 2022 年 2 月 23 日更新:GKE 和 GKE on VMware 版本已更新。对于 说明和更多详细信息,请参阅: 2022 年 2 月 4 日更新:GKE 补丁程序版本的发布开始日期为 2 月 2 日。 已在 Linux 内核中发现三个安全漏洞:CVE-2021-4154、CVE-2021-22600 和 CVE-2022-0185,其中每个都可能导致容器入侵和/或在主机上发生权限提升。这些漏洞会影响 GKE、GKE on VMware、GKE on AWS(当前和上一代)和 GKE on Azure 上的所有节点操作系统(COS 和 Ubuntu)。使用 GKE Sandbox 的 Pod 不受这些漏洞的影响。请参阅 COS 版本说明了解详情。 如需了解相关说明和更多详情,请参阅以下安全公告: |
高 |
GCP-2022-001
发布日期:2022-01-06说明
说明 | 严重程度 | 备注 |
---|---|---|
解析二进制数据的过程中发现了 该怎么做? 确保您使用的是以下软件包的最新版本:
Protobuf“javalite”用户(通常是 Android)不受影响。 该补丁程序解决了哪些漏洞? 该补丁程序解决了以下漏洞: 在 Java 中解析未知字段的方式的实现漏洞。通过创建大量导致频繁且重复的垃圾回收暂停的短期对象,小型(约 800 KB)恶意载荷可能会占用解析器几分钟的时间。 |
高 | CVE-2021-22569 |
GCP-2021-024
发布时间:2021-10-21说明
说明 | 严重程度 | 备注 |
---|---|---|
在 Kubernetes ingress-nginx 控制器中发现了安全问题 (CVE-2021-25742)。Ingress-nginx 自定义代码段允许检索所有命名空间中的 ingress-nginx 服务账号令牌和 Secret。 如需了解相关说明和更多详情,请参阅以下安全公告: | 无 | CVE-2021-25742 |
GCP-2021-019
发布日期:2021-09-29说明
说明 | 严重程度 | 备注 |
---|---|---|
存在一个已知问题,即使用 如需了解相关说明和更多详情,请参阅 GKE 安全公告。 |
低 |
GCP-2021-022
发布日期:2021-09-22说明
说明 | 严重程度 | 备注 |
---|---|---|
在 GKE on VMware 版本 1.8 和 1.8.1 的 GKE Enterprise Identity Service (AIS) LDAP 模块中发现了一个漏洞,在该漏洞中,用于生成密钥的种子密钥是可预测的。利用此漏洞,经过身份验证的用户可以无限期地添加任意声明和提升权限。 如需了解相关说明和更多详情,请参阅 GKE on VMware 安全公告。 |
高 |
GCP-2021-021
发布日期:2021-09-22说明
说明 | 严重程度 | 备注 |
---|---|---|
在 Kubernetes 中发现了一个安全漏洞 CVE-2020-8561,某些网络钩子可以将 kube-apiserver 请求重定向到该 API 服务器的专用网络。 如需了解相关说明和更多详情,请参阅以下安全公告: |
中 | CVE-2020-8561 |
GCP-2021-023
已发布:2021-09-21说明
说明 | 严重程度 | 备注 |
---|---|---|
根据 VMware 安全建议 VMSA-2021-0020,VMware 接收到了 vCenter 中多个漏洞的报告。VMware 已推出更新,以在受影响的 VMware 产品中修复这些漏洞。 我们已按照 VMware 安全建议,将 VMware 针对 vSphere 堆栈提供的补丁程序应用于 Google Cloud VMware Engine。此更新解决了 CVE-2021-22005、CVE-2021-22006、CVE-2021-22007、CVE-2021-22008 和 CVE-2021-22010 中所述的安全漏洞。其他非关键安全问题将在即将进行的 VMware 堆栈升级中解决(根据 7 月份发送的提前通知,我们将尽快提供升级的具体时间)。 VMware Engine 影响根据我们的调查,没有客户受到影响。 该怎么做?由于 VMware Engine 集群不受此漏洞的影响,因此无需采取进一步行动。 |
严重 |
GCP-2021-020
发布日期:2021-09-17说明
说明 | 严重程度 | 备注 |
---|---|---|
在限定条件下,某些路由到启用了 Identity-Aware Proxy (IAP) 的后端服务的 Google Cloud 负载均衡器可能容易受到不可信方的攻击。此举措可解决用户通过我们的漏洞奖励计划报告的一个问题。 这些条件是,服务器:
此外,组织中的某个用户必须点击了不可信方发送的专门链接。 此问题现已得到解决。自 2021 年 9 月 17 日起,更新后的 IAP 仅会为获得授权的主机签发 Cookie。如果主机至少与负载均衡器上安装的其中一个证书中的一个主题备用名称 (SAN) 匹配,则该主机会被视为已获得授权。 您需要采取的措施
您的部分用户在尝试访问应用或服务时,可能会遇到带有 IAP 错误代码 52 的 HTTP 401 Unauthorized 响应。此错误代码表示客户端发送的 |
高 |
GCP-2021-018
发布日期:2021-09-15更新日期:2021-09-20
说明
说明 | 严重程度 | 备注 |
---|---|---|
在 Kubernetes 中发现了一个安全问题 (CVE-2021-25741),导致用户可以创建具有子路径卷挂载的容器来访问卷外部的文件和目录,包括主机文件系统。 如需了解相关说明和更多详情,请参阅以下安全公告: |
高 | CVE-2021-25741 |
GCP-2021-017
发布日期:2021-09-01更新日期:2021-09-23
说明
说明 | 严重程度 | 备注 |
---|---|---|
2021-09-23 更新:对于源自 GKE Sandbox 中运行的容器的攻击,这些容器不受此漏洞影响。 在 Linux 内核中发现了两个安全漏洞 CVE-2021-33909 和 CVE-2021-33910,可能会导致操作系统崩溃或由无特权用户升级为 root 用户。此漏洞会影响所有 GKE 节点操作系统(COS 和 Ubuntu)。 如需了解相关说明和更多详细信息,请参阅以下安全公告: |
高 | CVE-2021-33909, CVE-2021-33910 |
GCP-2021-016
发布日期:2021-08-24说明
说明 | 严重程度 | 备注 |
---|---|---|
以下 Envoy 和 Istio CVE 导致 GKE 上的 Cloud Service Mesh 和 Istio 遭到可远程利用的漏洞攻击:
如需了解相关说明和更多详细信息,请参阅以下安全公告: |
高 |
GCP-2021-015
发布日期:2021 年 7 月 13 日更新日期:2021 年 7 月 15 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
发现了新的安全漏洞 CVE-2021-22555,即具有 如需了解相关说明和更多详细信息,请参阅以下安全公告: |
高 | CVE-2021-22555 |
GCP-2021-014
发布日期: 2021-07-05说明
说明 | 严重程度 | 备注 |
---|---|---|
Microsoft 发布了有关远程代码执行 (RCE) 漏洞的安全公告 CVE-2021-34527,该漏洞会影响 Windows 服务器的打印假脱机程序。CERT 协调中心 (CERT/CC) 发布了一个相关漏洞的更新说明,该补丁程序名为“PrintNightmare”,也影响 Windows 打印后台处理程序 - PrintNightmare, Critical Windows Print Spooler Vulnerability 如需了解相关说明和更多详情,请参阅 GKE 安全公告。 |
高 | CVE-2021-34527 |
GCP-2021-012
发布日期:2021 年 6 月 24 日更新日期:2021 年 7 月 9 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
Istio 项目最近宣布存在一个安全漏洞,用户可通过不同的命名空间访问网关和 DestinationRule credentialName 字段中指定的凭据。 如需了解具体产品的说明和更多详情,请参阅:
|
高 | CVE-2021-34824 |
GCP-2021-011
发布日期:2021 年 6 月 4 日更新日期:2021 年 10 月 19 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2021 年 10 月 19 日更新: 如需了解相关说明和更多详细信息,请参阅以下安全公告: 安全社区近期披露了在 对于 GKE,由于利用此漏洞需要具备创建 Pod 的能力,因此我们将此漏洞的严重性评级为中等。 如需了解相关说明和更多详情,请参阅 GKE 安全公告。 |
中 | CVE-2021-30465 |
GCP-2021-010
发布日期:2021-05-25说明
说明 | 严重程度 | 备注 |
---|---|---|
根据 VMware 安全建议 VMSA-2021-0010,VMware 接收到关于 vSphere 客户端 (HTML5) 中的远程代码执行和身份验证绕过漏洞的非公开报告。VMware 已推出更新,以在受影响的 VMware 产品中修复这些漏洞。 我们根据 VMware 安全建议应用了 VMware 针对 vSphere 堆栈提供的补丁程序。此更新解决了 CVE-2021-21985 和 CVE-2021-21986 中所述的安全漏洞。目前,VMware Engine 私有云中运行的映像版本不显示任何指示所应用的补丁程序的更改。请放心,相应的补丁程序已经安装,您的环境将不会受到这些漏洞的影响。 VMware Engine 影响根据我们的调查,没有客户受到影响。 该怎么做?由于 VMware Engine 集群不受此漏洞的影响,因此无需采取进一步行动。 |
严重 |
GCP-2021-008
发布日期:2021-05-17说明
说明 | 严重程度 | 备注 |
---|---|---|
如果网关配置了 如需了解相关说明和更多详情,请参阅 Cloud Service Mesh 安全公告。 |
高 |
CVE-2021-31921 |
GCP-2021-007
发布日期:2021-05-17说明
说明 | 严重程度 | 备注 |
---|---|---|
Istio 包含一个可远程利用的漏洞,在使用基于路径的授权规则时,如果 HTTP 请求包含多个斜杠或转义的斜杠字符( 如需了解相关说明和更多详情,请参阅 Cloud Service Mesh 安全公告。 |
高 |
CVE-2021-31920 |
GCP-2021-006
发布日期:2021-05-11说明
说明 | 严重程度 | 备注 |
---|---|---|
Istio 项目最近披露了影响 Istio 的新的安全漏洞 (CVE-2021-31920)。 Istio 包含一个可远程利用的漏洞,在使用基于路径的授权规则时,如果 HTTP 请求包含多个斜杠或转义的斜杠字符,该请求可以绕过 Istio 授权政策。 如需了解相关说明和更多详情,请参阅以下安全公告: |
高 |
CVE-2021-31920 |
GCP-2021-005
发布日期:2021-05-11说明
说明 | 严重程度 | 备注 |
---|---|---|
报告的漏洞表明,在 Envoy 版本 1.18.2 及更早版本中,Envoy 不会对 HTTP 网址路径中转义的斜杠序列 该怎么做?
如果后端服务器以可互换方式处理 引入了哪些行为更改?启用 Envoy 的 normalize_path 和合并相邻斜杠选项,以处理基于 Envoy 的产品中的其他常见路径混淆漏洞。 |
高 |
CVE-2021-29492 |
GCP-2021-004
发布日期:2021-05-06说明
说明 | 严重程度 | 备注 |
---|---|---|
Envoy 和 Istio 项目最近宣布了几个新的安全漏洞(CVE-2021-28683、CVE-2021-28682 和 CVE-2021-29258),它们可能会使得攻击者击溃 Envoy。 默认情况下,Google Kubernetes Engine 集群不会运行 Istio,不受此漏洞影响。如果 Istio 已安装在集群中并配置为在互联网上公开服务,这些服务可能容易受到拒绝服务攻击。 Google Distributed Cloud Virtual for Bare Metal 和 GKE on VMware 使用 Envoy 因此 Ingress 服务可能容易受到拒绝 服务。 如需了解相关说明和更多详细信息,请参阅以下安全公告: |
中 |
GCP-2021-003
发布日期: 2021-04-19说明
说明 | 严重程度 | 备注 |
---|---|---|
Kubernetes 项目最近公布了新的安全漏洞 CVE-2021-25735,该安全漏洞会导致节点更新绕过验证准入网络钩子。
如果攻击者拥有足够的权限,并且验证准入网络钩子使用旧的 如需了解相关说明和更多详细信息,请参阅以下安全公告: |
中 |
GCP-2021-002
发布日期:2021-03-05说明
说明 | 严重程度 | 备注 |
---|---|---|
根据 VMware 安全建议 VMSA-2021-0002,VMware 接收到了 VMware ESXi 和 vSphere Client (HTML5) 中存在多个漏洞的报告。VMware 已推出更新,以在受影响的 VMware 产品中修复这些漏洞。 我们根据 VMware 安全公告对 vSphere 堆栈应用了官方记录的解决方法。此更新解决了 CVE-2021-21972、CVE-2021-21973 和 CVE-2021-21974 中所述的安全漏洞。 VMware Engine 影响根据我们的调查,没有客户受到影响。 该怎么做?由于 VMware Engine 集群不受此漏洞的影响,因此无需采取进一步行动。 |
严重 |
GCP-2021-001
发布日期:2021-01-28说明
说明 | 严重程度 | 备注 |
---|---|---|
近期在 Linux 实用程序 运行 Compute Engine 的底层基础架构不受此漏洞的影响。 所有 Google Kubernetes Engine (GKE)、GKE on VMware、GKE on AWS 和 Google Distributed Cloud Virtual for Bare Metal 集群不受此漏洞的影响。 如需了解相关说明和更多详细信息,请参阅以下安全公告: |
无 | CVE-2021-3156 |
GCP-2020-015
发布日期:2020-12-07更新日期:2020-12-22
说明
说明 | 严重程度 | 备注 |
---|---|---|
更新日期:2021-12-22:下一部分中的 GKE 命令应使用 gcloud container clusters update –no-enable-service-externalips 更新日期:2021 年 12 月 15 日 对于 GKE,以下缓解措施现已发布:
如需了解详情,请参阅强化集群的安全性。 Kubernetes 项目最近发现新的安全漏洞 CVE-2020-8554,它可能允许已获得创建 LoadBalancer 或 ClusterIP 类型 Kubernetes 服务的权限的攻击者拦截来自集群中其他 pod 的网络流量。此漏洞本身不会给予攻击者创建 Kubernetes 服务的权限。 所有 Google Kubernetes Engine (GKE)、GKE on VMware 和 GKE on AWS 集群都会受到此漏洞的影响。 该怎么做?如需了解相关说明和更多详情,请参阅以下安全公告: |
中 |
CVE-2020-8554 |
GCP-2020-014
发布日期:2020-10-20更新日期:2020-10-20
说明
说明 | 严重程度 | 备注 |
---|---|---|
Kubernetes 项目最近发现了多个问题,这些问题导致在启用详细日志记录选项时 Secret 数据泄露。这些问题包括:
该怎么做?由于 GKE 的默认详细日志记录级别,无需执行任何进一步操作。 |
无 |
对 Google Cloud 的影响
下面列出了与各种产品有关的详细信息。
产品 |
影响 |
---|---|
Google Kubernetes Engine (GKE) 不受影响。 |
|
GKE On-Prem 不受影响。 |
|
GKE on AWS 不受影响。 |
GCP-2020-013
发布日期:2020-09-29说明
Microsoft 披露了以下漏洞:
漏洞 |
严重程度 |
CVE |
---|---|---|
CVE-2020-1472 — 通过 Windows Server 中的漏洞,攻击者可以利用 Netlogon 远程协议在网络上的设备上运行特别设计的应用。 |
NVD 基准值:10(严重) |
如需了解详情,请参阅 Microsoft 披露信息。
对 Google Cloud 的影响
托管 Google Cloud 和 Google 产品的基础架构不受此漏洞的影响。下面列出了与各种产品有关的更多详情。
产品 |
影响 |
---|---|
Compute Engine |
CVE-2020-1472 |
Google Kubernetes Engine |
CVE-2020-1472 |
Managed Service for Microsoft Active Directory |
CVE-2020-1472 |
Google Workspace |
客户无需采取任何操作。 这项服务不受此漏洞的影响。 |
App Engine 标准环境 |
客户无需采取任何操作。 这项服务不受此漏洞的影响。 |
App Engine 柔性环境 |
客户无需采取任何操作。 这项服务不受此漏洞的影响。 |
Cloud Run |
客户无需采取任何操作。 这项服务不受此漏洞的影响。 |
Cloud Run 函数 |
客户无需采取任何操作。 这项服务不受此漏洞的影响。 |
Cloud Composer |
客户无需采取任何操作。 这项服务不受此漏洞的影响。 |
Dataflow |
客户无需采取任何操作。 这项服务不受此漏洞的影响。 |
Dataproc |
客户无需采取任何操作。 这项服务不受此漏洞的影响。 |
Cloud SQL |
客户无需采取任何操作。 这项服务不受此漏洞的影响。 |
GCP-2020-012
发布日期:2020-09-14更新日期:2020-09-17
说明
说明 | 严重程度 | 备注 |
---|---|---|
近期在 Linux 内核中发现了一个漏洞(如 CVE-2020-14386 中所述),该漏洞可能会使容器逃逸,从而获取对主机节点的 root 权限。 所有 GKE 节点都会受到影响。在 GKE Sandbox 中运行的 Pod 无法利用此漏洞。 如需了解相关说明和更多详情,请参阅以下安全公告: 该补丁程序解决了哪一漏洞? 该补丁程序缓解了以下漏洞: 漏洞 CVE-2020-14386, 其允许具有 CAP_NET_RAW 的容器 写入 1 到 10 个字节的内核内存,并且可能会对容器进行转义并获取主机节点的根权限。此漏洞的严重级别评级为“高”。 |
高 |
GCP-2020-011
发布日期:2020-07-24说明
说明 | 严重程度 | 备注 |
---|---|---|
最近在 Kubernetes 中发现了一个网络漏洞 CVE-2020-8558。服务有时会使用本地环回接口 (127.0.0.1) 与同一 pod 中运行的其他应用通信。利用此漏洞,有权访问集群网络的攻击者能够将流量发送到相邻 pod 和节点的环回接口。依赖于无法在其 pod 之外访问的环回接口的服务可能会被利用。 如需了解相关说明和更多详情,请参阅以下安全公告: |
低(GKE 和 GKE on AWS)、 |
GCP-2020-010
发布日期:2020-07-27说明
Microsoft 披露了以下漏洞:
漏洞 |
严重程度 |
CVE |
---|---|---|
CVE-2020-1350 - 本地系统账号可以利用配置为 DNS 服务器的 Windows 服务器来运行不受信任的代码。 |
NVD 基本得分:10.0(严重) |
如需了解详情,请参阅 Microsoft 披露信息。
对 Google Cloud 的影响
托管 Google Cloud 和 Google 产品的基础架构不受此漏洞的影响。下面列出了与各种产品有关的更多详情。
产品 |
影响 |
---|---|
Compute Engine |
CVE-2020-1350 |
Google Kubernetes Engine |
CVE-2020-1350 |
Managed Service for Microsoft Active Directory |
CVE-2020-1350 |
Google Workspace |
客户无需采取任何操作。 这项服务不受此漏洞的影响。 |
App Engine 标准环境 |
客户无需采取任何操作。 这项服务不受此漏洞的影响。 |
App Engine 柔性环境 |
客户无需采取任何操作。 这项服务不受此漏洞的影响。 |
Cloud Run |
客户无需采取任何操作。 这项服务不受此漏洞的影响。 |
Cloud Run 函数 |
客户无需采取任何操作。 这项服务不受此漏洞的影响。 |
Cloud Composer |
客户无需采取任何操作。 这项服务不受此漏洞的影响。 |
Dataflow |
客户无需采取任何操作。 这项服务不受此漏洞的影响。 |
Dataproc |
客户无需采取任何操作。 这项服务不受此漏洞的影响。 |
Cloud SQL |
客户无需采取任何操作。 这项服务不受此漏洞的影响。 |
GCP-2020-009
发布日期:2020-07-15说明
说明 | 严重程度 | 备注 |
---|---|---|
最近在 Kubernetes 中发现了一个提权漏洞 CVE-2020-8559。利用此漏洞,已破解节点的攻击者能够在集群中的任何 pod 中执行命令。因此,攻击者可以使用已被破解的节点来破解其他节点并且可能读取信息,或者导致破坏性操作。 请注意,集群中的某个节点必须已被破解,攻击者才能利用此漏洞。此漏洞本身不会破解集群中的任何节点。 如需了解相关说明和更多详情,请参阅以下安全公告: |
中 |
GCP-2020-008
发布日期:2020-06-19说明
说明 | 严重程度 | 备注 |
---|---|---|
说明启用了 OS Login 的虚拟机可能易于出现提权漏洞。这些漏洞可让被授予 OS Login 权限(但未获得管理员访问权限)的用户提权为虚拟机中的根访问权限。 如需了解相关说明和更多详情,请参阅 Compute Engine 安全公告。
|
高 |
GCP-2020-007
发布日期:2020-06-01说明
说明 | 严重程度 | 备注 |
---|---|---|
技术人员最近在 Kubernetes 中发现了服务器端请求伪造 (SSRF) 漏洞 CVE-2020-8555,该漏洞允许某些授权用户从控制层面主机网络泄露高达 500 字节的敏感信息。Google Kubernetes Engine (GKE) 控制层面会使用 Kubernetes 中的控制器,因此会受到此漏洞的影响。我们建议您将控制层面升级到最新的补丁程序版本。节点不需要升级。 如需了解相关说明和更多详情,请参阅以下安全公告: |
中 |
GCP-2020-006
发布日期:2020-06-01说明
说明 | 严重程度 | 备注 |
---|---|---|
Kubernetes 披露了一个漏洞,该漏洞允许特权容器将节点流量重定向至其他容器。此攻击无法读取或修改双向 TLS/SSH 流量(例如 kubelet 与 API 服务器之间)或来自使用 mTLS 的应用的流量。所有 Google Kubernetes Engine (GKE) 节点均受此漏洞影响,我们建议您升级到最新的补丁程序版本。 如需了解相关说明和更多详情,请参阅以下安全公告: |
中 |
GCP-2020-005
发布日期:2020-05-07说明
漏洞 |
严重程度 |
CVE |
---|---|---|
近期在 Linux 内核中发现了一个漏洞(如 CVE-2020-8835 中所述),该漏洞允许容器逃逸,从而获得主机节点上的 root 权限。 运行 GKE 1.16 或 1.17 的 Google Kubernetes Engine (GKE) Ubuntu 节点受此漏洞影响,我们建议您尽快升级到最新的补丁程序版本。 如需了解相关说明和更多详情,请参阅 GKE 安全公告。 |
高 |
GCP-2020-004
发布日期:2020-03-31更新日期:2020-03-31
说明
Kubernetes 披露了以下漏洞:
漏洞 |
严重程度 |
CVE |
---|---|---|
CVE-2019-11254 - 这是一种影响 API 服务器的拒绝服务 (DoS) 攻击漏洞。 |
中 |
如需了解相关说明和更多详情,请参阅 GKE on VMware 安全公告。
GCP-2020-003
发布日期:2020-03-31更新日期:2020-03-31
说明
Kubernetes 披露了以下漏洞:
漏洞 |
严重程度 |
CVE |
---|---|---|
CVE-2019-11254 - 这是一种影响 API 服务器的拒绝服务 (DoS) 攻击漏洞。 |
中 |
如需了解相关说明和更多详情,请参阅 GKE 安全公告。
GCP-2020-002
发布日期:2020-03-23更新日期:2020-03-23
说明
Kubernetes 披露了以下漏洞:
漏洞 |
严重程度 |
CVE |
---|---|---|
CVE-2020-8551 - 这是一种影响 kubelet 的拒绝服务 (DoS) 攻击漏洞。 |
中 |
|
CVE-2020-8552 - 这是一种影响 API 服务器的拒绝服务 (DoS) 攻击漏洞。 |
中 |
如需了解相关说明和更多详情,请参阅 GKE 安全公告。
GCP-2020-001
发布日期:2020-01-21更新日期:2020-01-21
说明
Microsoft 披露了以下漏洞:
漏洞 |
严重程度 |
CVE |
---|---|---|
CVE-2020-0601 - 此漏洞又称为 Windows Crypto API 仿冒漏洞。攻击者可以利用此漏洞将恶意可执行程序伪装成受信任的程序,或者发动中间人攻击并解密与受影响软件的用户连接相关的机密信息。 |
NVD 基本得分:8.1(高) |
如需了解详情,请参阅 Microsoft 披露信息。
对 Google Cloud 的影响
托管 Google Cloud 和 Google 产品的基础架构不受此漏洞的影响。下面列出了与各种产品有关的更多详情。
产品 |
影响 |
---|---|
Compute Engine |
CVE-2020-0601 |
Google Kubernetes Engine |
CVE-2020-0601 |
Managed Service for Microsoft Active Directory |
CVE-2020-0601 |
Google Workspace |
客户无需采取任何操作。 这项服务不受此漏洞的影响。 |
App Engine 标准环境 |
客户无需采取任何操作。 这项服务不受此漏洞的影响。 |
App Engine 柔性环境 |
客户无需采取任何操作。 这项服务不受此漏洞的影响。 |
Cloud Run |
客户无需采取任何操作。 这项服务不受此漏洞的影响。 |
Cloud Run 函数 |
客户无需采取任何操作。 这项服务不受此漏洞的影响。 |
Cloud Composer |
客户无需采取任何操作。 这项服务不受此漏洞的影响。 |
Dataflow |
客户无需采取任何操作。 这项服务不受此漏洞的影响。 |
Dataproc |
客户无需采取任何操作。 这项服务不受此漏洞的影响。 |
Cloud SQL |
客户无需采取任何操作。 这项服务不受此漏洞的影响。 |
GCP-2019-001
发布日期:2019-11-12更新日期:2019-11-12
说明
Intel 披露了以下漏洞:
漏洞 |
严重程度 |
CVE |
---|---|---|
CVE-2019-11135 - 此漏洞名为 TSX 异步中止 (TAA),可能会被用来在 TSX 事务中发起预测执行攻击。此漏洞可能允许通过微架构数据抽样 (MDS) 所暴露的同一微架构数据结构泄露数据。 |
中 |
|
CVE-2018-12207 - 这是一种拒绝服务攻击 (DoS) 漏洞,会影响虚拟机主机(而非客机)。此问题被称为“页面大小更改时的机器检查错误”。 |
中 |
详情请参阅 Intel 披露信息:
对 Google Cloud 的影响
托管 Google Cloud 及 Google 产品的基础架构受到保护,可以抵御这些漏洞的威胁。下面列出了与各种产品有关的更多详情。
产品 |
影响 |
---|---|
Compute Engine |
CVE-2019-11135 CVE-2018-12207 |
Google Kubernetes Engine |
CVE-2019-11135 CVE-2018-12207 |
App Engine 标准环境 |
无需执行任何额外操作。 |
App Engine 柔性环境 |
CVE-2019-11135 CVE-2018-12207 |
Cloud Run |
无需执行任何额外操作。 |
Cloud Run 函数 |
无需执行任何额外操作。 |
Cloud Composer |
无需执行任何额外操作。 |
Dataflow |
CVE-2019-11135 CVE-2018-12207 |
Dataproc |
CVE-2019-11135 CVE-2018-12207 |
Cloud SQL |
无需执行任何额外操作。 |