Boletines de seguridad

Los siguientes boletines de seguridad se relacionan con productos de Google Cloud.

Usa este feed XML para suscribirte a los boletines de seguridad de esta página. Suscribirse

GCP-2024-022

Fecha de publicación: 3/4/2024

Descripción

Descripción Gravedad Notas

Recientemente, se descubrió una vulnerabilidad de denegación del servicio (DoS) (CVE-2023-45288) en varias implementaciones del protocolo HTTP/2, incluido el servidor HTTP golang que utiliza Kubernetes. La vulnerabilidad podría provocar un DoS del plano de control de Google Kubernetes Engine (GKE).

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-45288

GCP-2024-021

Fecha de publicación: 3/4/2024

Descripción

Descripción Gravedad Notas

Compute Engine no se ve afectado por CVE-2024-3094, que afecta a las versiones 5.6.0 y 5.6.1 del paquete xz-utils en la biblioteca liblzma, y podría comprometer la utilidad OpenSSH.

Para obtener más detalles, consulta el boletín de seguridad de Compute Engine.

 Media CVE-2024-3094

GCP-2024-020

Fecha de publicación: 2/4/2024

Descripción

Descripción Gravedad Notas

Algunos investigadores descubrieron una vulnerabilidad (CVE-2023-48022) en Ray. Ray es una herramienta de código abierto de terceros para cargas de trabajo de IA. Debido a que Ray no requiere autenticación, los perpetradores pueden lograr la ejecución remota de código enviando trabajos a instancias expuestas públicamente. La vulnerabilidad fue disputada por Anyscale, el desarrollador de Ray. Ray mantiene sus funciones como una función prevista y principal del producto, y esa seguridad debe implementarse fuera de un clúster de Ray, ya que cualquier exposición involuntaria de la red del clúster de Ray podría llevar a un compromiso.

En función de la respuesta, esta CVE está disputada y es posible que no aparezca en los análisis de vulnerabilidades. En cualquier caso, se está aprovechando de forma activa en el entorno, por lo que los usuarios deben configurar su uso como se sugiere a continuación.

¿Qué debo hacer?

Sigue las prácticas recomendadas y los lineamientos de Ray, incluida la ejecución de código confiable en redes de confianza, para proteger tus cargas de trabajo de Ray. Deployment de ray.io en instancias de la nube de clientes se incluye en el modelo de responsabilidad compartida.

La seguridad de Google Kubernetes Engine (GKE) publicó un blog sobre el endurecimiento de Ray en GKE.

Para obtener más información sobre las formas de agregar autenticación y autorización a los servicios de Ray, consulta la documentación de Identity-Aware Proxy (IAP). Los usuarios de GKE pueden implementar IAP con esta guía o si reutilizan los módulos de Terraform vinculados en el blog.

Alta CVE-2023-48022

GCP-2024-018

Fecha de publicación: 12/03/2024

Última actualización: 4/4/2024

Descripción

Descripción Gravedad Notas

Actualización del 4/4/2024: Se corrigieron las versiones mínimas de los grupos de nodos de GKE Container-Optimized OS.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2024-1085

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2024-1085

GCP-2024-017

Fecha de publicación: 6/3/2024

Descripción

Descripción Gravedad Notas

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2023-3611

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-3611

GCP-2024-016

Fecha de publicación: 5/3/2024

Descripción Gravedad Notas

VMware divulgó varias vulnerabilidades en VMSA-2024-0006 que afectan a los componentes de ESXi implementados en entornos de clientes.

Impacto en la Atención al cliente de Cloud

Se actualizaron tus nubes privadas para abordar la vulnerabilidad de seguridad.

¿Qué debo hacer?

No es necesario que realices ninguna acción.

Crítica

GCP-2024-014

Fecha de publicación: 26/02/2024

Descripción

Descripción Gravedad Notas

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2023-3776

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-3776

GCP-2024-013

Fecha de publicación: 27/02/2024

Descripción

Descripción Gravedad Notas

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2023-3610

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-3610

GCP-2024-012

Fecha de publicación: 20/02/2024

Descripción

Descripción Gravedad Notas

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2024-0193

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2024-0193

GCP-2024-011

Fecha de publicación: 15/02/2024

Descripción

Descripción Gravedad Notas

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2023-6932

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-6932

GCP-2024-010

Fecha de publicación: 14/02/2024

Descripción

Descripción Gravedad Notas

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-6931

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-6931

GCP-2024-009

Fecha de publicación: 13/02/2024

Descripción

Descripción Gravedad Notas

El 13 de febrero de 2024, AMD divulgó dos vulnerabilidades que afectan a SEV-SNP en CPUs EPYC basadas en núcleos Zen de tercera generación, “Milan” y de cuarta generación, “Genoa”. Las vulnerabilidades permiten a los atacantes con privilegios acceder a datos inactivos de invitados o causar la pérdida de la integridad de los invitados.

Google aplicó correcciones a los recursos afectados, incluido Google Cloud, para garantizar la protección de los clientes. En este momento, no se encontró ninguna evidencia de explotación de vulnerabilidades ni se informó a Google.

¿Qué debo hacer?

Los clientes no deben realizar ninguna acción. Ya se aplicaron correcciones a la flota de servidores de Google para Google Cloud, incluido Compute Engine.

Para obtener más información, consulta la advertencia de seguridad de AMD AMD-SN-3007.

 Moderada

GCP-2024-008

Fecha de publicación: 12/02/2024

Descripción

Descripción Gravedad Notas

CVE-2023-5528 permite que un atacante cree Pods y volúmenes persistentes en los nodos de Windows de una manera que permita la elevación de privilegios de administrador en esos nodos.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-5528

GCP-2024-007

Fecha de publicación: 8/2/2024

Descripción

Descripción Gravedad Notas

Las siguientes CVE exponen Anthos Service Mesh a vulnerabilidades que se pueden aprovechar:

  • CVE-2024-23322: Envoy falla cuando está inactivo y el tiempo de espera de las solicitudes por intento ocurre dentro del intervalo de retirada.
  • CVE-2024-23323: Uso excesivo de CPU cuando el comparador de plantillas de URI se configura con una regex.
  • CVE-2024-23324: La autorización externa se puede omitir cuando el filtro del protocolo de proxy establece metadatos UTF-8 no válidos.
  • Envoy falla cuando se usa un tipo de dirección que no es compatible con el SO.
  • CVE-2024-23327: falla en el protocolo de proxy cuando el tipo de comando es LOCAL.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Anthos Service Mesh.

Alta

GCP-2024-006

Fecha de publicación: 5/2/2024

Descripción

Descripción Gravedad Notas

Cuando un proxy de administración de API de Apigee se conecta a un extremo de destino o a un servidor de destino, el proxy no realiza la validación del nombre de host para el certificado que presenta el extremo o el servidor de destino de forma predeterminada. Si la validación del nombre de host no está habilitada a través de una de las siguientes opciones, los proxies de Apigee que se conectan a un extremo o un servidor de destino pueden estar en riesgo de que un usuario autorizado reciba un ataque de intermediario. Para obtener más información, consulta Configura TLS del perímetro al backend (nube y nube privada).

Las implementaciones de proxies de Apigee en las siguientes plataformas de Apigee se ven afectadas:

  • Apigee Edge para la nube pública
  • Apigee Edge para la nube privada

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Apigee.

 Alta

GCP-2024-005

Fecha de publicación: 31/01/2024
Última actualización: 2/4/2024

Descripción

Descripción Gravedad Notas

Actualización del 02/04/2024: Se agregaron versiones de parches para GKE en Bare Metal.

Actualización del 6/3/2024: Se agregaron versiones de parches para GKE en VMware.

Actualización del 28/02/2024: Se agregaron versiones de parches para Ubuntu

Actualización del 15/02/2024: Se aclaró que las versiones de parche de Ubuntu 1.25 y 1.26 en la actualización del 14/02/2024 podrían causar nodos en mal estado.

Actualización del 14/02/2024: Se agregaron versiones de parche para Ubuntu

Actualización del 6/2/2024: Se agregaron versiones de parches para Container-Optimized OS.

Se detectó una vulnerabilidad de seguridad, CVE-2024-21626, en runc, en la que un usuario con permiso para crear Pods en los nodos de Container-Optimized OS y Ubuntu podría obtener acceso completo al nodo sistema de archivos.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2024-21626

GCP-2024-004

Fecha de publicación: 24/01/2024
Última actualización: 7/2/2024

Descripción

Descripción Gravedad Notas

Actualización del 07/02/2024: Se agregaron versiones de parche para Ubuntu.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-6817

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-6817

GCP-2024-003

Fecha de publicación: 19/01/2024
Última actualización: 26/01/2024

Descripción

Descripción Gravedad Notas

Actualización del 26/01/2024: Se aclaró la cantidad de clústeres afectados y las acciones que tomamos para mitigar el impacto. Para obtener más detalles, consulta el boletín de seguridad de GCP-2024-003.

Identificamos varios clústeres en los que los usuarios otorgaron privilegios de Kubernetes al grupo system:authenticated, lo que incluye a todos los usuarios con una Cuenta de Google. Estos tipos de vinculaciones no se recomiendan debido a que infringen el principio de privilegio mínimo y otorgan acceso a grupos muy grandes de usuarios. Consulta la guía ¿Qué debo hacer? para obtener instrucciones sobre cómo encontrar estos tipos de vinculaciones.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Media

GCP-2024-002

Fecha de publicación: 17/01/2024

Última actualización: 20/02/2024

Descripción

Descripción Gravedad Notas

Actualización del 20/02/2024: Se agregaron versiones de parches para GKE en VMware.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2023-6111

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-6111

GCP-2024-001

Fecha de publicación: 9/1/2024

Descripción

Descripción Gravedad Notas

Se descubrieron varias vulnerabilidades en el firmware TianoCore EDK II UEFI. Este firmware se usa en las VMs de Google Compute Engine. Si se aprovechan de forma inadecuada, las vulnerabilidades podrían permitir la omisión del inicio seguro, lo que proporcionaría mediciones falsas en el proceso de inicio seguro, incluso cuando se usa en las VM protegidas.

¿Qué debo hacer?

No es necesario que realices ninguna acción. Google aplicó un parche a esta vulnerabilidad en Compute Engine y todas las VMs están protegidas contra ella.

¿Qué vulnerabilidades trata este parche?

Este parche mitigó las siguientes vulnerabilidades:

  • CVE-2022-36763
  • CVE-2022-36764
  • CVE-2022-36765
 Media

GCP-2023-051

Fecha de publicación: 28/12/2023

Descripción

Descripción Gravedad Notas

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3609

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-3609

GCP-2023-050

Fecha de publicación: 27/12/2023

Descripción

Descripción Gravedad Notas

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3389

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-3389

GCP-2023-049

Fecha de publicación: 20/12/2023

Descripción

Descripción Gravedad Notas

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3090

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-3090

GCP-2023-048

Fecha de publicación: 15/12/2023

Última actualización: 21/12/2023

Descripción

Descripción Gravedad Notas

Actualización del 21/12/2023: Se aclaró que los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3390

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-3390

GCP-2023-047

Fecha de publicación: 14/12/2023

Descripción

Descripción Gravedad Notas

Un atacante que haya comprometido el contenedor de registro de Fluent Bit podría combinar ese acceso con los privilegios altos que requiere Anthos Service Mesh (en clústeres que lo habilitaron) para escalar los privilegios del clúster.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Media

GCP-2023-046

Fecha de publicación: 22/11/2023
Última actualización: 4/3/2024

Descripción

Descripción Gravedad Notas

Actualización del 04/03/2024: Se agregaron versiones de GKE para GKE en VMware.

Actualización del 22/01/2024: Se agregaron versiones de parche de Ubuntu

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-5717

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-5717

GCP-2023-045

Fecha de publicación: 20/11/2023

Última actualización: 21/12/2023

Descripción

Descripción Gravedad Notas

Actualización del 21/12/2023: Se aclaró que los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-5197

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-5197

GCP-2023-044

Fecha de publicación: 15/11/2023

Descripción

Descripción Gravedad Notas

El 14 de noviembre, AMD divulgó varias vulnerabilidades que afectan a varias CPUs del servidor de AMD. Específicamente, las vulnerabilidades afectan a las CPUs del servidor EPYC que aprovechan la generación 2 de núcleo zen “Roma”, la generación 3 “Milán” y la generación 4 “Genoa”.

Google aplicó correcciones a los recursos afectados, incluido Google Cloud, para garantizar la protección de los clientes. En este momento, no se encontró evidencia de explotación de vulnerabilidades ni se informó a Google.

¿Qué debo hacer?

Los clientes no deben realizar ninguna acción.

Ya se aplicaron correcciones a la flota de servidores de Google para Google Cloud, incluido Google Compute Engine.

¿Qué vulnerabilidades se abordan?

Este parche mitigó las siguientes vulnerabilidades:

  • CVE-2022-23820
  • CVE-2021-46774
  • CVE-2023-20533
  • CVE-2023-20519
  • CVE-2023-20592
  • CVE-2023-20566
  • CVE-2023-20521
  • CVE-2021-46766
  • CVE-2022-23830
  • CVE-2023-20526
  • CVE-2021-26345

Para obtener más información, consulta la advertencia de seguridad de AMD AMD-SN-3005: “AMD INVD Instruction Security Notification”, también publicado como CacheWarp, y AMD-SN-3002: “AMD-SN-3005: “AMD INVD Instruction Security Notification”.

 Moderada

GCP-2023-043

Fecha de publicación: 14/11/2023

Descripción

Descripción Gravedad Notas

Intel divulgó una vulnerabilidad de la CPU en algunos procesadores. A fin de garantizar la protección de los clientes, Google tomó medidas para mitigar su flota de servidores, incluidos Google Compute Engine para Google Cloud y los dispositivos ChromeOS.

Los detalles de la vulnerabilidad tienen las siguientes características:

  • CVE-2023-23583

¿Qué debo hacer?

Los clientes no deben realizar ninguna acción.

La mitigación que proporcionó Intel para los procesadores afectados se aplicó a la flota de servidores de Google, incluido Google Compute Engine para Google Cloud.

En este momento, Google Distributed Cloud Edge requiere una actualización del OEM. Google corregirá este producto una vez que la actualización esté disponible, y este boletín se actualizará según corresponda.

Los dispositivos ChromeOS con los procesadores afectados reciben la corrección automáticamente como parte de las versiones 119, 118 y 114 (LTS).

¿Qué vulnerabilidades se abordan?

CVE-2023-23583. Para obtener más información, consulta el Asesor de seguridad de Intel INTEL-SA-00950.

 Alta CVE-2023-23583

GCP-2023-042

Fecha de publicación: 13/11/2023
Última actualización: 15/11/2023

Descripción

Descripción Gravedad Notas

Actualización del 15/11/2023: Se aclaró que solo las versiones secundarias de la lista deben actualizarse a una versión con parche correspondiente para GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4147

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-4147

GCP-2023-041

Fecha de publicación: 8/11/2023

Última actualización: 21/11/2023, 5/12/2023

Descripción

Descripción Gravedad Notas

Actualización del 21/12/2023: Se aclaró que los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados.

Actualización del 5/12/2023: Se agregaron versiones adicionales de GKE para los grupos de nodos de Container-Optimized OS.

Actualización del 21/11/2023: Se aclaró que solo las versiones secundarias de la lista deben actualizarse a una versión con parche correspondiente para GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4004

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-4004

GCP-2023-040

Fecha de publicación: 6/11/2023

Actualización: 21/11/2023

Descripción

Descripción Gravedad Notas

Actualización del 21/12/2023: Se aclaró que los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados.

Actualización del 21/11/2023: Se aclaró que solo las versiones secundarias de la lista deben actualizarse a una versión con parche correspondiente para GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4921

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-4921

GCP-2023-039

Fecha de publicación: 6/11/2023

Última actualización: 21-11-2023, 16-11-2023

Descripción

Descripción Gravedad Notas

Actualización del 21/11/2023: Se aclaró que solo las versiones secundarias de la lista deben actualizarse a una versión con parche correspondiente para GKE.

Actualización del 16/11/2023: La vulnerabilidad asociada a este boletín de seguridad es CVE-2023-4622. CVE-2023-4623 se incluyó incorrectamente como vulnerabilidad en una versión anterior del boletín de seguridad.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4623

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-4622

GCP-2023-038

Fecha de publicación: 6/11/2023

Actualización: 21/11/2023

Descripción

Descripción Gravedad Notas

Actualización del 21/12/2023: Se aclaró que los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados.

Actualización del 21/11/2023: Se aclaró que solo las versiones secundarias de la lista deben actualizarse a una versión con parche correspondiente para GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4623

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-4623

GCP-2023-037

Fecha de publicación: 6/11/2023

Actualización: 21/11/2023

Descripción

Descripción Gravedad Notas

Actualización del 21/12/2023: Se aclaró que los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados.

Actualización del 21/11/2023: Se aclaró que solo las versiones secundarias de la lista deben actualizarse a una versión con parche correspondiente para GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4015

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-4015

GCP-2023-036

Publicado: 2023-10-30

Descripción

Descripción Gravedad Notas

Deep Learning VM Images es un conjunto de imágenes de máquina virtual ya preparadas con un framework de aprendizaje profundo que están listos para ejecutarse. Recientemente, se descubrió una vulnerabilidad de escritura fuera de los límites en la función `ReadHuffmanCodes()` de la biblioteca `libwebp`. Esto podría afectar las imágenes que usan esta biblioteca.

Google Cloud analiza continuamente sus imágenes publicadas de forma pública y actualiza los paquetes para garantizar que se incluyan las distribuciones de parche en las versiones más recientes disponibles para la adopción de los clientes. Se actualizaron las Deep Learning VM Images para garantizar que las imágenes de VM más recientes incluyan las distribuciones con parches. Los clientes que adoptan las imágenes de VM más recientes no se exponen a esta vulnerabilidad.

¿Qué debo hacer?

Los clientes de Google Cloud que usen imágenes de VMs publicadas deben asegurarse de adoptar las imágenes más recientes y que sus entornos estén actualizados, según el modelo de responsabilidad compartida.

Un atacante podría aprovechar CVE-2023-4863 para ejecutar código arbitrario. Esta vulnerabilidad se identificó en Google Chrome antes de la versión 116.0.5845.187 y en "libwebp" antes de la versión 1.3.2, y aparece bajo la categoría CVE-2023-4863.

 Alta CVE-2023-4863

GCP-2023-035

Fecha de publicación: 26/10/2023

Actualización: 21/11/2023

Descripción

Descripción Gravedad Notas

Actualización del 21/12/2023: Se aclaró que los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados.

Actualización del 21/11/2023: Se aclaró que solo las versiones secundarias de la lista deben actualizarse a una versión con parche correspondiente para GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-4206CVE-2023-4207, CVE-2023-4208, CVE-2023-4128

GCP-2023-034

Fecha de publicación: 25/10/2023

Última actualización: 27/10/2023

Descripción

Descripción Gravedad Notas

VMware divulgó varias vulnerabilidades en VMSA-2023-0023 que afectan a los componentes de vCenter implementados en entornos de clientes.

Impacto en la Atención al cliente de Cloud

  • La vulnerabilidad se puede aprovechar mediante el acceso a puertos específicos en vCenter Server. Estos puertos no están expuestos a la Internet pública.
  • Si los sistemas que no son de confianza no pueden acceder a los puertos de vCenter 2012/tcp, 2014/tcp y 2020/tcp, entonces no estás expuesto a esta vulnerabilidad.
  • Google ya bloqueó los puertos vulnerables en vCenter Server para evitar cualquier posible explotación de esta vulnerabilidad.
  • Además, Google se asegurará de que todas las implementaciones futuras de vCenter Server no estén expuestas a esta vulnerabilidad.
  • Al momento de la publicación del boletín, VMware no estaba al tanto de ninguna explotación “en el entorno”. Para obtener más información, consulta la documentación de VMware.

¿Qué debo hacer?

No es necesario que realices ninguna otra acción en este momento

 Crítica CVE-2023-34048,CVE-2023-34056

GCP-2023-033

Fecha de publicación: 24/10/2023

Actualización: 21/11/2023

Descripción

Descripción Gravedad Notas

Actualización del 21/12/2023: Se aclaró que los clústeres de GKE Autopilot en la configuración predeterminada no se verán afectados y las cargas de trabajo de GKE Sandbox no se verán afectadas.

Actualización del 21/11/2023: Se aclaró que solo las versiones secundarias de la lista deben actualizarse a una versión con parche correspondiente para GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3777

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-3777

GCP-2023-032

Publicado 13 de octubre 2023

Última actualización: 3 de noviembre de 2023

Descripción

Descripción Gravedad Notas

Actualización del 3 de noviembre de 2023: Se agregó un problema conocido de Apigee Edge para la nube privada.

Hace poco, se descubrió una vulnerabilidad de denegación del servicio (DoS) en varias implementaciones del protocolo HTTP/2 (CVE-2023-44487), incluido el servicio Ingress de Apigee (Anthos Service Mesh) que usan Apigee X y Apigee Hybrid. La vulnerabilidad podría generar un DoS en la funcionalidad de administración de API de Apigee.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Apigee.

Alta CVE-2023-44487

GCP-2023-031

Fecha de publicación: 10/10/2023

Descripción

Descripción Gravedad Notas

Un ataque de denegación del servicio puede afectar el plano de datos cuando se usa el protocolo HTTP/2. Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Anthos Service Mesh.

Alta CVE-2023-44487

GCP-2023-030

Fecha de publicación: 10/10/2023

Última actualización: 20/03/2024

Descripción

Descripción Gravedad Notas

Actualización del 20/03/2024: Se agregaron versiones de parches para GKE en AWS y GKE en Azure con los parches más recientes de CVE-2023-44487.

Actualización del 14/02/2024: Se agregaron versiones de parches para GKE en VMware.

Actualización del 9/11/2023: Se agregó CVE-2023-39325. Se actualizaron las versiones de GKE con los parches más recientes para CVE-2023-44487 y CVE-2023-39325.

Recientemente, se descubrió una vulnerabilidad de denegación del servicio (DoS) en varias implementaciones del protocolo HTTP/2 (CVE-2023-44487), incluido el servidor HTTP golang que utiliza Kubernetes. La vulnerabilidad podría provocar un DoS del plano de control de Google Kubernetes Engine (GKE). Los clústeres de GKE con redes autorizadas configuradas se protegen cuando limita el acceso a la red, pero se ven afectados todos los demás clústeres.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-44487, CVE-2023-39325

GCP-2023-029

Publicado 3 de octubre de 2023

Descripción

Descripción Gravedad Notas

TorchServe se usa para alojar modelos de aprendizaje automático de PyTorch para la predicción en línea. Vertex AI proporciona contenedores de entrega de modelos PyTorch compilados previamente que dependen de TorchServe. Recientemente, se descubrieron vulnerabilidades en TorchServe, lo que permitiría a un atacante tomar el control de una implementación de TorchServe si su API de administración de modelos está expuesta. Los clientes con modelos PyTorch implementados en la predicción en línea de Vertex AI no se ven afectados por estas vulnerabilidades, ya que Vertex AI no expone la API de administración de modelos de TorchServe. Los clientes que usan TorchServe fuera de Vertex AI deben tomar las precauciones necesarias para garantizar que sus implementaciones se configuren de manera segura.

¿Qué debo hacer?

Los clientes de Vertex AI con modelos implementados que usan los contenedores de entrega de PyTorch compilados previamente de Vertex AI no necesitan realizar ninguna acción para abordar las vulnerabilidades, ya que las implementaciones de Vertex AI no exponen el servidor de administración de TorchServe a Internet.

Los clientes que usan los contenedores de PyTorch compilados previamente en otros contextos, o una distribución personalizada o de terceros de TorchServe, deben hacer lo siguiente:

  • Asegúrate de que la API de administración de modelos de TorchServe no esté expuesta a Internet. La API de Model Management se puede restringir al acceso local solo si se garantiza que management_address esté vinculado a 127.0.0.1.
  • Usa la configuración allowed_urls para asegurarte de que los modelos se puedan cargar desde las fuentes previstas solamente.
  • Actualiza lo antes posible TorchServe a la versión 0.8.2, que incluye mitigaciones para este problema. Como medida preventiva, el 13 de octubre de 2023, Vertex AI lanzará contenedores fijos compilados previamente.

¿Qué vulnerabilidades se abordan?

La API de administración de TorchServe está vinculada a 0.0.0.0 de forma predeterminada en la mayoría de las imágenes de Docker de TorchServe, incluidas las que lanzó Vertex AI, por lo que es accesible para solicitudes externas. La dirección IP predeterminada para la API de administración se cambia a 127.0.0.1 en TorchServe 0.8.2, lo que mitiga este problema.

CVE-2023-43654 y CVE-2022-1471 permiten que un usuario con acceso a la API de Management cargue modelos de fuentes arbitrarias y ejecute código de manera remota. Las mitigaciones para ambos problemas se incluyen en TorchServe 0.8.2: se quita la ruta de ejecución de código remoto y se emite una advertencia si se usa el valor predeterminado para allowed_urls.

 Alta CVE-2023-43654, CVE-2022-1471

GCP-2023-028

Fecha de publicación: 19/09/2023

Descripción

Descripción Gravedad Notas

Los clientes pueden configurar Chronicle para transferir datos de buckets de Cloud Storage que son propiedad del cliente con un feed de transferencia. Hasta hace poco, Chronicle proporcionaba una cuenta de servicio compartida que los clientes usaban para otorgarle permiso al bucket. Existió una oportunidad en la que se podía configurar la instancia de Chronicle de un cliente para transferir datos desde el bucket de Cloud Storage de otro cliente. Después de realizar un análisis de impacto, no encontramos ninguna explotación actual ni previa de esta vulnerabilidad. La vulnerabilidad estaba presente en todas las versiones de Chronicle antes del 19 de septiembre de 2023.

¿Qué debo hacer?

A partir del 19 de septiembre de 2023, se actualizó Chronicle para abordar esta vulnerabilidad. Los clientes no deben realizar ninguna acción.

¿Qué vulnerabilidades se abordan?

Anteriormente, Chronicle proporcionaba una cuenta de servicio compartida que los clientes usaban para otorgarle permiso a un bucket. Debido a que diferentes clientes otorgaban permiso a la misma cuenta de servicio de Chronicle para su bucket, existía un vector de explotación que permitía que el feed de un cliente accediera al bucket de otro cliente cuando se creaba o modificaba un feed. Este vector de explotación requería conocer el URI del bucket. Ahora, durante la creación o modificación de feeds, Chronicle usa cuentas de servicio únicas para cada cliente.

 Alta

GCP-2023-027

Fecha de publicación: 11/09/2023
Descripción Gravedad Notas

Las actualizaciones de VMware vCenter Server abordan varias vulnerabilidades de corrupción de memoria (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896)

Impacto en la atención al cliente

VMware vCenter Server (vCenter Server) y VMware Cloud Foundation (Cloud Foundation).

¿Qué debo hacer?

Los clientes no se verán afectados y no es necesario realizar ninguna acción.

 Media

GCP-2023-026

Fecha de publicación: 6/9/2023

Descripción

Descripción Gravedad Notas

Se descubrieron tres vulnerabilidades (CVE-2023-3676, CVE-2023-3955 y CVE-2023-3893) en Kubernetes, en las que un usuario que puede crear Pods en nodos de Windows puede escalar a privilegios de administrador en esos nodos. Estas vulnerabilidades afectan las versiones de Windows de Kubelet y el proxy de CSI de Kubernetes.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-3676, CVE-2023-3955 y CVE-2023-3893

GCP-2023-025

Fecha de publicación: 8/8/2023
Descripción Gravedad Notas

Recientemente, Intel anunció que Intel Security Advisory INTEL-SA-00828 afecta a algunas de sus familias de procesadores. Te recomendamos que evalúes los riesgos en función de la recomendación.

Impacto en Google Cloud VMware Engine

Nuestra flota utiliza las familias de procesadores afectadas. En nuestra implementación, todo el servidor está dedicado a un cliente. Por lo tanto, nuestro modelo de implementación no agrega ningún riesgo adicional a tu evaluación de esta vulnerabilidad.

Estamos trabajando con nuestros socios para obtener los parches necesarios y los implementaremos con prioridad en toda la flota mediante el proceso de actualización estándar durante las próximas semanas.

¿Qué debo hacer?

No es necesario que realices ninguna acción. Estamos trabajando para actualizar todos los sistemas afectados.

 Alta

GCP-2023-024

Fecha de publicación: 8/8/2023

Última actualización: 10/08/2023

Descripción

Descripción Gravedad Notas

Actualización del 10/08/2023: Se agregó el número de versión de LTS de ChromeOS.

Intel divulgó una vulnerabilidad en determinados procesadores (CVE-2022-40982). Google tomó medidas para mitigar su flota de servidores, incluido Google Cloud, a fin de garantizar que los clientes estén protegidos.

Los detalles de la vulnerabilidad tienen las siguientes características:

  • CVE-2022-40982 (IPU de Intel 2023.3, "GDS" también conocido como "Disminución")

¿Qué debo hacer?

Los clientes no deben realizar ninguna acción.

Todos los parches disponibles ya se aplicaron a la flota de servidores de Google para Google Cloud, incluido Google Compute Engine.

En este momento, los siguientes productos requieren actualizaciones adicionales de los socios y proveedores.

  • Google Cloud VMware Engine
  • Google Distributed Cloud Hosted
  • Google Distributed Cloud Edge
  • Solución Bare Metal de Google Cloud
  • Núcleo de paquetes evolucionado

Google corregirá estos productos una vez que estén disponibles los parches y este boletín se actualizará según corresponda.

Los clientes de Chromebook de Google y ChromeOS Flex recibieron automáticamente las mitigaciones proporcionadas por Intel en estable (115), LTS (108), beta (116) y LTC (114). Los clientes de Chromebook y ChromeOS Flex que se fijaron en una versión anterior deberían considerar dejar de fijar y pasar a las versiones estables o de LTS para asegurarse de recibir esta y otras correcciones de vulnerabilidades.

¿Qué vulnerabilidades se abordan?

CVE-2022-40982: Para obtener más información, consulta el Asesor de seguridad de Intel INTEL-SA-00828.

Alta CVE-2022-40982

GCP-2023-023

Fecha de publicación: 8/8/2023

Descripción

Descripción Gravedad Notas

AMD divulgó una vulnerabilidad en determinados procesadores (CVE-2023-20569). Google tomó medidas para mitigar su flota de servidores, incluido Google Cloud, a fin de garantizar que los clientes estén protegidos.

Los detalles de la vulnerabilidad tienen las siguientes características:

  • CVE-2023-20569 (AMD SB-7005, también conocido como "Inception")

¿Qué debo hacer?

Los usuarios de VMs de Compute Engine deben considerar las mitigaciones proporcionadas por el SO si usan la ejecución de código no confiable dentro de las instancias. Recomendamos a los clientes que se comuniquen con sus proveedores de SO para obtener orientación más específica.

Ya se aplicaron correcciones a la flota de servidores de Google para Google Cloud, incluido Google Compute Engine.

¿Qué vulnerabilidades se abordan?

CVE-2023-20569: Para obtener más información, consulta AMD SB-7005.

Moderada CVE-2023-20569

GCP-2023-022

Fecha de publicación: 3/8/2023

Descripción

Descripción Gravedad Notas

Google identificó una vulnerabilidad en las implementaciones de C++ de gRPC antes de la versión 1.57. Esta era una vulnerabilidad de denegación del servicio en la implementación de C++ de gRPC. Esto se corrigió en las versiones 1.53.2, 1.54.3, 1.55.2, 1.56.2 y 1.57.

¿Qué debo hacer?

Asegúrate de estar usando las versiones más recientes de los siguientes paquetes de software:

  • Las versiones 1.53, 1.54, 1.55 y 1.56 de gRPC (C++, Python y Ruby) deben actualizarse a las siguientes versiones de parche:
    • 1.53.2
    • 1.54.3
    • 1.55.2
    • 1.56.2
  • Las versiones 1.52 y anteriores de gRPC (C++, Python y Ruby) deben actualizarse a una de las versiones de parche aprobadas. Por ejemplo, 1.53.2, 1.54.3, 1.53.4, etcétera.

¿Qué vulnerabilidades se abordan?

Con estos parches, se mitigan las siguientes vulnerabilidades:

  • Vulnerabilidad de denegación del servicio en implementaciones de C++ de gRPC: Las solicitudes creadas especialmente pueden provocar el término de la conexión entre un proxy y un backend.
Alta CVE-2023-33953

GCP-2023-021

Updated:2023-07-26

Published:2023-07-25

Descripción

Descripción Gravedad Notas

Las siguientes CVE exponen Anthos Service Mesh a vulnerabilidades que se pueden aprovechar:

  • CVE-2023-35941: Un cliente malicioso puede construir credenciales con validez permanente en algunas situaciones específicas. Por ejemplo, la combinación del host y la hora de vencimiento en la carga útil de HMAC siempre puede ser válida en la verificación de HMAC del filtro de OAuth2.
  • CVE-2023-35942: Los registradores de acceso de gRPC que usan el alcance global del objeto de escucha pueden causar una falla de uso después de la liberación cuando se desvía el objeto de escucha. Esto se puede activar mediante una actualización LDS con la misma configuración de registro de acceso de gRPC.
  • CVE-2023-35943: Si el encabezado origin se configura para quitarse con request_headers_to_remove: origin, el filtro de CORS segfault y envía una falla a Envoy.
  • CVE-2023-35944: Los atacantes pueden enviar solicitudes de esquemas mixtos para omitir las verificaciones de esquemas en Envoy. Por ejemplo, si se envía una solicitud con un esquema HTTP mixto al filtro OAuth2, fallará las verificaciones de coincidencia exacta para HTTP y se informará al extremo remoto que el esquema es HTTPS, lo que podría omitir las verificaciones de OAuth2 específicas de las solicitudes HTTP.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Anthos Service Mesh.

Alta

GCP-2023-020

Updated:2023-07-26

Fecha de publicación: 24/07/2023

Descripción

Descripción Gravedad Notas

AMD lanzó una actualización de microcódigo que aborda una vulnerabilidad de seguridad de hardware (CVE-2023-20593). Google aplicó las correcciones necesarias para esta vulnerabilidad en su flota de servidores, incluidos los servidores de Google Cloud Platform. Las pruebas indican que no hay impacto en el rendimiento de los sistemas.

¿Qué debo hacer?

Los clientes no deben realizar ninguna acción, dado que ya se aplicaron correcciones a la flota de servidores de Google para Google Cloud Platform.

¿Qué vulnerabilidades se abordan?

CVE-2023-20593 soluciona una vulnerabilidad en algunas CPU AMD. Puedes obtener más información aquí.

Alta CVE-2023-20593

GCP-2023-019

Published:2023-07-18

Descripción

Descripción Gravedad Notas

Se descubrió una vulnerabilidad nueva (CVE-2023-35945) en Envoy, en la que una respuesta diseñada de forma específica de un servicio ascendente no confiable puede provocar una denegación del servicio debido al agotamiento de la memoria. Esto se debe al códec HTTP/2 de Envoy, que puede filtrar un mapa de encabezados y estructuras de contabilidad cuando recibe RST_STREAM inmediatamente seguido de las tramas GOAWAY de un servidor upstream.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Anthos Service Mesh.

Alta CVE-2023-35945

GCP-2023-018

Fecha de publicación: 27/06/2023

Descripción

Descripción Gravedad Notas

Se descubrió una nueva vulnerabilidad (CVE-2023-2235) en el kernel de Linux que puede provocar una elevación de privilegios en el nodo. Los clústeres de Autopilot de GKE se ven afectados porque los nodos de Autopilot de GKE siempre usan imágenes de nodo de Container-Optimized OS. Los clústeres de GKE Standard con versiones 1.25 o posteriores que ejecutan imágenes de nodo de Container-Optimized OS se ven afectados.

Los clústeres de GKE no se ven afectados si solo ejecutan imágenes de nodo de Ubuntu, ejecutan versiones anteriores a la 1.25 o usan GKE Sandbox.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-2235

GCP-2023-017

Fecha de publicación: 26/06/2023

Última actualización: 11/07/2023

Descripción

Descripción Gravedad Notas

Actualización del 11/07/2023: Se actualizaron las nuevas versiones de GKE para incluir las versiones más recientes de Ubuntu con parches a CVE-2023-31436.

Se descubrió una nueva vulnerabilidad (CVE-2023-31436) en el kernel de Linux que puede provocar una elevación de privilegios en el nodo. Se ven afectados los clústeres de GKE, incluidos los de Autopilot. Los clústeres de GKE que usan GKE Sandbox no se ven afectados.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-31436

GCP-2023-016

Fecha de publicación: 26/06/2023

Descripción

Descripción Gravedad Notas

Se descubrieron una serie de vulnerabilidades en Envoy, que se usa en Anthos Service Mesh y que permiten que un atacante malicioso cause una denegación del servicio o una falla de Envoy. Se informaron por separado como GCP-2023-002.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491 y CVE-2023-27487

GCP-2023-015

Fecha de publicación: 20/06/2023

Descripción

Descripción Gravedad Notas

Se descubrió una nueva vulnerabilidad, CVE-2023-0468 en el kernel de Linux, que podría permitir que un usuario sin privilegios escale los privilegios a la raíz cuando io_poll_get_ownership sigue aumentando req->poll_refs en cada io_poll_wake y luego se desborda a 0, lo que generará un problema de req->file en el archivo struct dos veces. Se ven afectados los clústeres de GKE, incluidos los de Autopilot, con Container-Optimized OS y la versión 5.15 de kernel de Linux. Los clústeres de GKE que usan imágenes de Ubuntu o GKE Sandbox no se ven afectados.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Media CVE-CVE-2023-0468

GCP-2023-014

Última actualización: 11/08/2023
Fecha de publicación: 15/06/2023

Descripción

Descripción Gravedad Notas

Actualización del 11/08/2023: Se agregaron versiones de parches para GKE en VMware, GKE en AWS, GKE en Azure y Google Distributed Cloud Virtual for Bare Metal.

Se descubrieron dos problemas de seguridad nuevos en Kubernetes en los que los usuarios pueden iniciar contenedores que eluden las restricciones de políticas cuando se utilizan contenedores efímeros y ImagePolicyWebhook (CVE-2023-2727) o el complemento de admisión ServiceAccount (CVE-2023-2728).

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Media CVE-2023-2727 y CVE-2023-2728

GCP-2023-013

Fecha de publicación: 8/6/2023

Descripción

Descripción Gravedad Notas

Cuando habilitas la API de Cloud Build en un proyecto, Cloud Build crea de forma automática una cuenta de servicio predeterminada para ejecutar compilaciones en tu nombre. Esta cuenta de servicio de Cloud Build antes tenía el permiso de IAM logging.privateLogEntries.list, lo que permitía que las compilaciones tuvieran acceso a la lista de registros privados de forma predeterminada. Se revocó este permiso de la cuenta de servicio de Cloud Build para cumplir con el principio de seguridad de privilegio mínimo.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Cloud Build.

 Baja

GCP-2023-010

Fecha de publicación: 7/6/2023

Descripción

Descripción Gravedad Notas

Google identificó tres vulnerabilidades nuevas en la implementación de C++ de gRPC. Pronto se publicarán de forma pública como CVE-2023-1428, CVE-2023-32731 y CVE-2023-32732.

En abril, identificamos dos vulnerabilidades en las versiones 1.53 y 1.54. Una era una vulnerabilidad de denegación del servicio en la implementación de C++ de gRPC y la otra era una vulnerabilidad de robo de datos remoto. Estas vulnerabilidades se corrigieron en las versiones 1.53.1, 1.54.2 y posteriores.

En marzo, nuestros equipos internos descubrieron una vulnerabilidad de denegación del servicio en la implementación de C++ de gRPC mientras realizaban actividades de fuzzing de rutina. Se descubrió en la versión 1.52 de gRPC y se corrigió en las versiones 1.52.2 y 1.53.

¿Qué debo hacer?

Asegúrate de estar usando las versiones más recientes de los siguientes paquetes de software:

  • Las versiones 1.52, 1.53 y 1.54 de grpc (C++, Python y Ruby) deben actualizarse a las siguientes versiones de parche:
    • 1.52.2
    • 1.53.1
    • 1.54.2
  • Las versiones 1.51 y anteriores de grpc (C++, Python y Ruby) no se ven afectadas, por lo que los usuarios que tienen estas versiones no pueden realizar ninguna acción

¿Qué vulnerabilidades abordan estos parches?

Con estos parches, se mitigan las siguientes vulnerabilidades:

  • Las versiones 1.53.1, 1.54.2 y posteriores abordan las siguientes cuestiones: vulnerabilidad de denegación del servicio en la implementación de C++ de gRPC. Las solicitudes creadas especialmente pueden provocar el término de la conexión entre un proxy y un backend. Vulnerabilidad de robo de datos remoto: La desincronización en la tabla HPACK debido a los límites del tamaño del encabezado pueden provocar que los backends del proxy filtren datos del encabezado desde otros clientes conectados a un proxy.
  • Las versiones 1.52.2, 1.53 y posteriores abordan las siguientes vulnerabilidades: la vulnerabilidad de denegación del servicio en la implementación de C++ de gRPC. Analizar algunas solicitudes formuladas específicamente puede provocar que una falla afecte a un servidor.

Recomendamos actualizar a las versiones más recientes de los siguientes paquetes de software, como se indica más arriba.

 Alta (CVE-2023-1428, CVE-2023-32731) Media (CVE-2023-32732) CVE-2023-1428, CVE-2023-32731, CVE-023-32732

GCP-2023-009

Fecha de publicación: 6/6/2023

Descripción

Descripción Gravedad Notas

Se descubrió una nueva vulnerabilidad (CVE-2023-2878) en secret-store-csi-driver, en la que un atacante con acceso a los registros del controlador pudo observar tokens de cuentas de servicio.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Ninguna CVE-2023-2878

GCP-2023-008

Fecha de publicación: 5/6/2023

Descripción

Descripción Gravedad Notas

Se descubrió una nueva vulnerabilidad (CVE-2023-1872) en el kernel de Linux que puede conducir a una elevación de privilegios a la raíz en el nodo.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-1872

GCP-2023-007

Fecha de publicación: 2 de junio de 2023

Descripción

Descripción Gravedad Notas

Hace poco, se descubrió una vulnerabilidad en Cloud SQL para SQL Server que permitió que las cuentas de administrador de clientes crearan activadores en la base de datos tempdb y los usaran para obtener privilegios sysadmin en la instancia. Los privilegios de sysadmin le darían al atacante acceso a las bases de datos del sistema y acceso parcial a la máquina que ejecuta esa instancia de SQL Server.

Google Cloud resolvió el problema mediante el parche de vulnerabilidad de seguridad para el 1 de marzo de 2023. Google Cloud no encontró ninguna instancia cliente comprometida.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Cloud SQL.

 Alta

GCP-2023-005

Fecha de publicación: 18/05/2023

Última actualización: 6/6/2023

Descripción

Descripción Gravedad Notas

Actualización del 06/06/2023: Se actualizaron las nuevas versiones de GKE para incluir las versiones más recientes de Ubuntu que aplican parches a CVE-2023-1281 y CVE-2023-1829.

Se descubrieron dos nuevas vulnerabilidades (CVE-2023-1281, CVE-2023-1829) en el kernel de Linux que pueden conducir a una elevación de privilegios al nodo raíz.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-1281 CVE-2023-1829

GCP-2023-004

Fecha de publicación: 26/04/2023

Descripción

Descripción Gravedad Notas

Se descubrieron dos vulnerabilidades (CVE-2023-1017 y CVE-2023-1018) en el módulo de plataforma de confianza (TPM) 2.0.

Las vulnerabilidades podrían haber permitido que un atacante sofisticado aprovechara una lectura y escritura fuera de los límites de 2 bytes en ciertas VM de Compute Engine.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Compute Engine.

 Media

GCP-2023-003

Fecha de publicación: 11/04/2023

Última actualización: 21/12/2023

Descripción

Descripción Gravedad Notas

Actualización del 21/12/2023: Se aclaró que los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados.

Se han descubierto dos nuevas vulnerabilidades, CVE-2023-0240 y CVE-2023-23586 en el kernel de Linux, que podrían permitir que un usuario sin privilegios realice la escalación de privilegios.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-0240 y CVE-2023-23586

GCP-2023-002

Descripción

Descripción Gravedad Notas

Las siguientes CVE exponen Anthos Service Mesh a vulnerabilidades que se pueden aprovechar:

  • CVE-2023-27496: Si Envoy se ejecuta con el filtro OAuth habilitado expuesto, un actor malicioso podría crear una solicitud que provocaría una denegación del servicio mediante una falla en Envoy.
  • CVE-2023-27488: El atacante puede utilizar esta vulnerabilidad para eludir los controles de autenticación cuando se utiliza ext_authz.
  • CVE-2023-27493: La configuración de Envoy también debe incluir una opción para agregar encabezados de solicitud que se generaron con entradas de la solicitud, como el SAN del certificado de intercambio de tráfico.
  • CVE-2023-27492: Los atacantes pueden enviar grandes cuerpos de solicitudes para rutas que tienen el filtro Lua habilitado y activar fallas.
  • CVE-2023-27491: los atacantes pueden enviar solicitudes HTTP/2 o HTTP/3 diseñadas específicamente para activar errores de análisis en el servicio ascendente HTTP/1.
  • CVE-2023-27487: El encabezado `x-envoy-original-path` debe ser interno, pero Envoy no lo quita de la solicitud al comienzo del procesamiento de la solicitud cuando se envía desde un cliente que no es de confianza.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Anthos Service Mesh.

Alta

GCP-2023-001

Fecha de publicación: 1/3/2023

Descripción

Descripción Gravedad Notas

Actualización del 21/12/2023: Se aclaró que los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados.

Se descubrió una vulnerabilidad nueva (CVE-2022-4696) en el kernel de Linux que puede provocar una elevación de privilegios en el nodo.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2022-4696

GCP-2022-026

Fecha de publicación: 11/01/2023

Descripción

Descripción Gravedad Notas

Se descubrieron dos vulnerabilidades nuevas (CVE-2022-3786 y CVE-2022-3602) en OpenSSL 3.0.6 que pueden causar fallas.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Media

GCP-2022-025

Fecha de publicación: 21/12/2022
Última actualización: 19/01/2023, 21/12/2023

Descripción

Descripción Gravedad Notas

Actualización del 21/12/2023: Se aclaró que los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados.

Actualización del 19/01/2023: Se agregó información que indica que la versión de GKE 1.21.14-gke.14100 está disponible.

Se descubrieron dos vulnerabilidades nuevas (CVE-2022-3786 y CVE-2022-3602) en OpenSSL 3.0.6 que pueden causar fallas.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Media

GCP-2022-024

Fecha de publicación: 9/11/2022

Última actualización: 19/01/2023

Descripción

Descripción Gravedad Notas

Actualización del 19/01/2023: Se agregó información que indica que la versión de GKE 1.21.14-gke.14100 está disponible.

Actualización del 16/12/2022: Se agregaron versiones de parches para GKE y GKE en VMware.

Se descubrieron dos vulnerabilidades nuevas (CVE-2022-2585 y CVE-2022-2588) en el kernel de Linux que pueden provocar la ruptura de un contenedor completo hacia la raíz en el nodo.

Para obtener instrucciones y más detalles, consulta los siguientes vínculos:

Alta

GCP-2022-023

Fecha de publicación: 4/11/2022

Descripción

Descripción Gravedad Notas

Se descubrió una vulnerabilidad de seguridad, CVE-2022-39278, en Istio, que se usa en Anthos Service Mesh, y que permite que un atacante malicioso falle en el plano de control.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

Alta CVE-2022-39278

GCP-2022-022

Fecha de publicación: 28/10/2022

Última actualización: 14/12/2022

Descripción

Descripción Gravedad Notas

Actualización del 14/12/2022: Se agregaron versiones de parches para GKE y GKE en VMware.

Se descubrió una vulnerabilidad nueva, CVE-2022-20409, en el kernel de Linux que podría permitir que un usuario sin privilegios realice la escalación al privilegio de ejecución del sistema.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

Alta CVE-2022-20409

GCP-2022-021

Fecha de publicación: 27/10/2022

Última actualización: 19/01/2023

Descripción

Descripción Gravedad Notas

Actualización del 21/12/2023: Se aclaró que los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados.

Actualización del 19/01/2023: Se agregó información que indica que la versión de GKE 1.21.14-gke.14100 está disponible.

Actualización del 15/12/2022: Se actualizó la información que indica que la versión 1.21.14-gke.9400 de Google Kubernetes Engine está pendiente de lanzamiento y puede reemplazarse por un número de versión más alto.

Actualización del 22/11/2022: Se agregaron versiones de parches para GKE en VMware, GKE en AWS y GKE en Azure.

Se descubrió una nueva vulnerabilidad, CVE-2022-3176, en el kernel de Linux, que puede conducir a la elevación de privilegios local. Esta vulnerabilidad permite que un usuario sin privilegios logre un desglose completo de contenedores para tener permisos de administrador en el nodo.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

Alta CVE-2022-3176

GCP-2022-020

Fecha de publicación: 5/10/2022

Última actualización: 12/10/2022

Descripción

Descripción Gravedad Notas

El plano de control de Istio istiod es vulnerable a un error de procesamiento de solicitudes, lo que permite que un atacante malicioso envíe un mensaje especialmente diseñado, lo que hace que el plano de control falle cuando el webhook de validación de un clúster se expone de forma pública. Este extremo se entrega a través del puerto TLS 15017, pero no requiere ninguna autenticación por parte del atacante.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Anthos Service Mesh.

 Alta CVE-2022-39278

GCP-2022-019

Fecha de publicación: 22/09/2022

Descripción

Descripción Gravedad Notas

Una vulnerabilidad de análisis de mensajes y administración de memoria en las implementaciones de C++ y Python de ProtocolBuffer puede activar una falla de falta de memoria (OOM) cuando se procesa un mensaje diseñado especialmente. Esto podría provocar una denegación del servicio (DoS) en los servicios que usan las bibliotecas.

¿Qué debo hacer?

Asegúrate de estar usando las versiones más recientes de los siguientes paquetes de software:

  • protobuf-cpp (3.18.3, 3.19.5, 3.20.2 y 3.21.6)
  • protobuf-python (3.18.3, 3.19.5, 3.20.2, 4.21.6)

¿Qué vulnerabilidades trata este parche?

Este parche mitiga la siguiente vulnerabilidad:

Un mensaje pequeño construido especialmente que hace que el servicio en ejecución asigne grandes cantidades de RAM. El tamaño pequeño de la solicitud significa que es fácil aprovechar la vulnerabilidad y agotar los recursos. Los sistemas de C++ y Python que consumen protobufs no confiables serían vulnerables a ataques DoS si contengan un objeto MessageSet en su solicitud de RPC.

Media CVE-2022-1941

GCP-2022-018

Fecha de publicación: 1/8/2022

Última actualización: 14/09/2022

Descripción

Descripción Gravedad Notas

Actualización del 21/12/2023: Se aclaró que los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados.

Actualización del 14/9/2022: Se agregaron versiones de parches para GKE en VMware, GKE en AWS y GKE en Azure.

Se descubrió una vulnerabilidad nueva (CVE-2022-2327) en el kernel de Linux que puede provocar la elevación de privilegios local. Esta vulnerabilidad permite que un usuario sin privilegios logre un desglose completo de contenedores para tener permisos de administrador en el nodo.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

Alta CVE-2022-2327

GCP-2022-017

Fecha de publicación: 29/06/2022
Última actualización: 22/11/2022

Descripción

Descripción Gravedad Notas

Actualización del 22/11/2022: Estas vulnerabilidades no afectan a las cargas de trabajo que usan GKE Sandbox.

Actualización del 21/07/2022: Información adicional sobre GKE en VMware.

Se descubrió una vulnerabilidad nueva (CVE-2022-1786) en las versiones 5.10 y 5.11 del kernel de Linux. Esta vulnerabilidad permite que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo. Solo los clústeres que ejecutan Container-Optimized OS se ven afectados. Las versiones de GKE Ubuntu usan la versión 5.4 o 5.15 del kernel y no se ven afectadas.

Para obtener instrucciones y más detalles, consulta los siguientes vínculos:

 Alta CVE-2022-1786

GCP-2022-016

Fecha de publicación: 23/06/2022
Última actualización: 22/11/2022

Descripción

Descripción Gravedad Notas

Actualización del 22/11/2022: Los clústeres de Autopilot no se ven afectados por CVE-2022-29581, pero son vulnerables a CVE-2022-29582 y CVE-2022-1116.

En el kernel de Linux, se descubrieron tres nuevas vulnerabilidades de daños en la memoria (CVE-2022-29581, CVE-2022-29582 y CVE-2022-1116). Estas vulnerabilidades permiten que un usuario sin privilegios con acceso local al clúster logre un desglose completo del contenedor para tener permisos de administrador en el nodo. Se ven afectados todos los clústeres de Linux (Container-Optimized OS y Ubuntu).

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta

GCP-2022-015

Fecha de publicación: 9/6/2022
Última actualización: 10/06/2022

Descripción

Descripción Gravedad Notas

Actualización del 10-06-2022: Se actualizaron las versiones de Anthos Service Mesh. Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Anthos Service Mesh.

Las siguientes CVE de Istio y Envoy exponen Anthos Service Mesh y, también, Istio en GKE a vulnerabilidades que se pueden explotar de forma remota:

  • CVE-2022-31045: El plano de datos de Istio puede potencialmente acceder a la memoria de forma no segura cuando las extensiones Metadata Exchange y Stats están habilitadas.
  • CVE-2022-29225: los datos pueden exceder los límites de búfer intermedios si un atacante malicioso pasa una pequeña carga útil altamente comprimida (ataque de bomba de ZIP).
  • CVE-2021-29224: Posible desreferencia de puntero nulo en GrpcHealthCheckerImpl.
  • CVE-2021-29226: El filtro OAuth permite omisión trivial.
  • CVE-2022-29228: El filtro OAuth puede dañar la memoria (versiones anteriores) o activar ASSERT() (versiones posteriores).
  • CVE-2022-29227: Falla de los redireccionamientos internos para solicitudes con cuerpo o avances.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Anthos Service Mesh.

Crítica

GCP-2022-014

Fecha de publicación: 26/04/2022
Última actualización: 22/11/2022

Descripción

Descripción Gravedad Notas

Actualización del 22/11/2022: Los clústeres y las cargas de trabajo de GKE Autopilot que se ejecutan en GKE Sandbox no se ven afectados.

Actualización del 12/05/2022: Se actualizaron las versiones de GKE on AWS y GKE on Azure. Para obtener instrucciones y más detalles, consulta los siguientes vínculos:

Dos vulnerabilidades de seguridad: CVE-2022-1055 y CVE-2022-27666 se descubrieron en el kernel de Linux. Cada uno puede provocar que un atacante local pueda realizar un desglose de contenedores, elevación de privilegios en el host o ambos. Estas vulnerabilidades afectan a todos los sistemas operativos de los nodos de GKE (Container-Optimized OS y Ubuntu). Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Alta CVE-2022-1055
CVE-2022-27666

GCP-2022-013

Fecha de publicación: 11/04/2022
Última actualización: 22/04/2022

Descripción

Descripción Gravedad Notas

Se descubrió una vulnerabilidad de seguridad, CVE-2022-23648, en el control de containerd del recorrido de ruta en la especificación del volumen de imágenes de OCI. Los contenedores que se lanzan mediante la implementación de CRI de containerd con una configuración de imagen creada especialmente podrían obtener acceso completo de lectura a directorios y archivos arbitrarios en el host. Esta vulnerabilidad puede omitir cualquier aplicación basada en políticas en la configuración de contenedores (incluida una política de seguridad de Pods de Kubernetes).

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Media CVE-2022-23648

GCP-2022-012

Fecha de publicación: 7/04/2022
Última actualización: 22/11/2022

Descripción

Descripción Gravedad Notas

Actualización del 22/11/2022: Para los clústeres de GKE en ambos modos, Standard y Autopilot, las cargas de trabajo que usan GKE Sandbox no se ven afectadas.

Se descubrió una vulnerabilidad de seguridad, CVE-2022-0847, en la versión de kernel 5.8 de Linux y versiones posteriores que pueden aumentar los privilegios del contenedor a raíz. Esta vulnerabilidad afecta a los siguientes productos:

  • Versiones del grupo de nodos de GKE 1.22 y posteriores que usan imágenes de Container-Optimized OS (Container-Optimized OS 93 y posteriores)
  • GKE en VMware v1.10 para imágenes de Container-Optimized OS
  • GKE en AWS v1.21 y GKE on AWS (generación anterior) v1.19, v1.20, v1.21, que usan Ubuntu
  • Clústeres administrados de GKE en Azure v1.21 que usan Ubuntu

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Alta CVE-2022-0847

GCP-2022-011

Fecha de publicación: 22/03/2022
Última actualización: 11/08/2022

Descripción

Descripción Gravedad

Actualización del 11/08/2022: Se agregó más información sobre la configuración de subprocesos múltiples simultáneos (SMT). SMT estaba destinado a inhabilitarse, pero se habilitó en las versiones enumeradas.

Si habilitaste de forma manual SMT para un grupo de nodos de zona de pruebas, SMT permanecerá habilitado de forma manual a pesar de este problema.

Hay una configuración incorrecta con los multisubprocesos simultáneos (SMT) simultáneos, también conocido como hipersubprocesos, en imágenes de GKE Sandbox. La configuración incorrecta deja a los nodos potencialmente expuestos a ataques de canal lateral, como el muestreo de datos de microarquitectura (MDS) (para obtener más contexto, consulta la documentación de GKE Sandbox). No recomendamos usar las siguientes versiones afectadas:

  • 1.22.4-gke.1501
  • 1.22.6-gke.300
  • 1.23.2-gke.300
  • 1.23.3-gke.600

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de GKE.

 Media

GCP-2022-010

Descripción

Descripción Gravedad Notas

La siguiente CVE de Istio expone Anthos Service Mesh a una vulnerabilidad que se puede aprovechar de forma remota:

  • CVE-2022-24726: El plano de control de Istio, “istiod”, es vulnerable a un error de procesamiento de solicitudes, lo que permite a un atacante malicioso que envía un mensaje diseñado especialmente, lo que hace que el plano de control falle cuando el webhook de validación de un clúster se expone de forma pública. Este extremo se entrega a través del puerto TLS 15017, pero no requiere ninguna autenticación del atacante.

Para obtener instrucciones y más detalles, consulta el siguiente boletín de seguridad:

Alta

GCP-2022-009

Fecha de publicación: 1/3/2022

Descripción

Descripción Gravedad

Algunas rutas inesperadas para acceder a la VM del nodo en los clústeres de GKE Autopilot podrían haberse usado a fin de escalar privilegios en el clúster. Estos problemas se solucionaron y no se requiere ninguna otra acción. Las correcciones abordan problemas informados a través de nuestro Programa de recompensas por detección de vulnerabilidades.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de GKE.

 Baja

GCP-2022-008

Fecha de publicación: 23/02/2022
Última actualización: 28/04/2022

Descripción

Descripción Gravedad Notas

Actualización del 28/04/2022: Se agregaron versiones de GKE en VMware que corrigen estas vulnerabilidades. Para obtener más detalles, consulta el boletín de seguridad de GKE en VMware.

Hace poco, el proyecto Envoy descubrió un conjunto de vulnerabilidades. Todos los problemas que se indican a continuación se corrigieron en la versión 1.21.1 de Envoy.
  • CVE-2022-23606: Cuando se borra un clúster a través del Servicio de descubrimiento de clústeres (CDS), se desconectan todas las conexiones inactivas establecidas a los extremos de ese clúster. Se introdujo por error una recursividad en la versión 1.19 de Envoy para el procedimiento de desconectar conexiones inactivas que pueden provocar el agotamiento de la pila y la finalización anormal del proceso cuando un clúster tiene una gran cantidad de conexiones inactivas.
  • CVE-2022-21655: El código de redireccionamiento interno de Envoy supone que existe una entrada de ruta. Cuando se realiza un redireccionamiento interno a una ruta que tiene una entrada de respuesta directa y ninguna entrada de ruta, se desvía un puntero nulo y falla.
  • CVE-2021-43826: Cuando Envoy está configurado para usar tcp_proxy que usa túneles ascendentes (a través de HTTP) y la finalización de TLS descendente, Envoy fallará si el cliente descendente se desconecta durante el protocolo de enlace TLS mientras aún se establece la transmisión HTTP ascendente. La desconexión descendente puede ser iniciada por el cliente o el servidor. El cliente se puede desconectar por cualquier motivo. Es posible que el servidor se desconecte si, por ejemplo, no tiene algoritmos de cifrado TLS o versiones de protocolo TLS compatibles con el cliente. Es posible que también se pueda activar esta falla en otras opciones de configuración posteriores.
  • CVE-2021-43825: Enviar una respuesta generada de forma local debe detener el procesamiento posterior de los datos de solicitud o respuesta. Envoy realiza un seguimiento de la cantidad de datos de solicitudes y respuestas almacenados en búfer y anula la solicitud si esa cantidad supera el límite mediante el envío de respuestas 413 o 500. Sin embargo, cuando se envía una respuesta generada localmente debido a que el búfer interno desborda mientras la respuesta se procesa a través de la cadena de filtros, es posible que la operación no se anule correctamente y genere el acceso a un bloque de memoria liberado.
  • CVE-2021-43824: Envoy falla cuando se usa el filtro de JWT con una regla de coincidencia "safe_regex" y una solicitud especialmente elaborada, como "CONNECT host:port HTTP/1.1". Cuando se llega al filtro de JWT, una regla “safe_regex” debería evaluar la ruta de URL, pero que no hay ninguna aquí, y Envoy falla con fallas aleatorias.
  • CVE-2022-21654: Envoy permitiría incorrectamente la reanudación de la sesión de TLS después de volver a establecer la configuración de validación de mTLS. Si se permitía un certificado de cliente con la configuración anterior, pero no con la configuración nueva, el cliente podía reanudar la sesión TLS anterior, aunque la configuración actual debería inhabilitarla. Se ven afectados los cambios en los siguientes parámetros de configuración:
    • match_subject_alt_names
    • Cambios en la CRL
    • allow_expired_certificate
    • Trust_chain_verification
    • only_verify_leaf_cert_crl
  • CVE-2022-21657: Envoy no restringe el conjunto de certificados que acepta del intercambio de tráfico, ya sea como cliente o servidor TLS, a solo aquellos certificados que contengan la extensión longKeyUsage necesaria (id-kp-serverAuth e id-kp-clientAuth, respectivamente). Esto significa que un par puede presentar un certificado de correo electrónico (p.ej., id-kp-emailProtection), ya sea como un certificado de hoja o como una AC en la cadena, y será aceptado para TLS. Esto es particularmente perjudicial cuando se combina con CVE-2022-21656, ya que permite que una CA de PKI web que está diseñada solo para usarse con S/MIME y, por lo tanto, esté exenta de auditorías o supervisión, emita certificados TLS que Envoy aceptará.
  • CVE-2022-21656: La implementación del validador utilizada para implementar las rutinas de validación de certificados predeterminadas presenta un error de "confusión sobre tipos" cuando se procesa subjectAltNames. Este procesamiento permite, por ejemplo, que un rfc822Name o uniformResourceIndicator se autentique como un nombre de dominio. Esta confusión permite omitir nameConstraints, como las procesa la implementación subyacente de OpenSSL/BoringSSL, lo que expone la posibilidad de suplantación de servidores arbitrarios.
Para obtener instrucciones detalladas sobre productos específicos, consulta los siguientes boletines de seguridad:
¿Qué debo hacer?
Los usuarios de Envoy que administran sus propios Envoy deben asegurarse de usar la versión 1.21.1 de Envoy. Los usuarios de Envoy que administran sus propios Envoys compilan los objetos binarios a partir de una fuente como GitHub y los implementan.

Los usuarios que ejecutan Envoys administrados no deben realizar ninguna acción (Google Cloud proporciona los objetos binarios de Envoy), para los que los productos de Google Cloud cambiarán a la versión 1.21.1. 		Alta CVE-2022-23606
CVE-2022-21655
CVE-2021-43826
CVE-2021-43825
CVE-2021-43824,
CVE-2022-21654CVE-2022-21657CVE-2022-21656

GCP-2022-007

Fecha de publicación: 22/02/2022

Descripción

Descripción Gravedad Notas

Las siguientes CVE de Istio y Envoy exponen Anthos Service Mesh y, también, Istio en GKE a vulnerabilidades que se pueden explotar de forma remota:

  • CVE-2022-23635: Istio falla cuando se reciben solicitudes con un encabezado authorization diseñado especialmente.
  • CVE-2021-43824: Posible desreferencia de puntero nulo cuando se usa la coincidencia de safe_regex con el filtro JWT.
  • CVE-2021-43825: Se usa después de la liberación cuando los filtros de respuesta aumentan los datos de respuesta y el aumento de datos supera los límites de búfer descendentes.
  • CVE-2021-43826: Se usa después de la liberación cuando se tuneliza TCP a través de HTTP, si se desconecta de manera descendente durante el establecimiento de la conexión ascendente.
  • CVE-2022-21654: El manejo incorrecto de la configuración permite volver a usar la sesión de mTLS sin necesidad de realizar una nueva validación después de que se haya cambiado la configuración de validación.
  • CVE-2022-21655: Manejo incorrecto de redireccionamientos internos a rutas con una entrada de respuesta directa.
  • CVE-2022-23606: Agotamiento de pila cuando se borra un clúster mediante Cluster Discovery Service.

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Alta

GCP-2022-006

Fecha de publicación: 14/02/2022
Última actualización: 16/05/2022

Descripción

Descripción Gravedad Notas

Actualización del 16/05/2022: Se agregó la versión de GKE 1.19.16-gke.7800 o posterior a la lista de versiones que tienen código para corregir esta vulnerabilidad. Para obtener más detalles, consulta el boletín de seguridad de GKE.

Actualización del 12-05-2022: Se actualizaron las versiones de GKE, GKE en VMware, GKE en AWS y GKE en Azure. Para obtener instrucciones y más detalles, consulta los siguientes vínculos:

Se detectó una vulnerabilidad de seguridad, CVE-2022-0492, en la función cgroup_release_agent_write del kernel de Linux. El ataque usa espacios de nombres de usuarios sin privilegios y, en determinadas circunstancias, se puede aprovechar esta vulnerabilidad para la interrupción del contenedor.

 Baja

Para obtener instrucciones y más detalles, consulta los siguientes vínculos:

GCP-2022-005

Fecha de publicación: 11/02/2022
Última actualización: 15/02/2022

Descripción

Descripción Gravedad Notas

Se detectó una vulnerabilidad de seguridad, CVE-2021-43527, en cualquier objeto binario que se vincula con las versiones vulnerables de libnss3 que se encuentran en las versiones de NSS (Servicios de Seguridad de Red) anteriores a la versión 3.73 o 3.68.1. Las aplicaciones que usan NSS para validación de certificados u otra función de CRL, OCSP TLS o X.509 pueden verse afectadas, según cómo se use o configure NSS.

Para obtener instrucciones y más detalles, consulta los siguientes vínculos:

Media CVE-2021-43527

GCP-2022-004

Fecha de publicación: 4/2/2022

Descripción

Descripción Gravedad Notas

Se detectó una vulnerabilidad de seguridad, CVE-2021-4034, en pkexec, un componente del paquete del kit de políticas de Linux (polkit) que permite que un usuario autenticado realice un ataque de elevación de privilegios. Por lo general, PolicyKit solo se usa en sistemas de escritorio Linux para permitir que los usuarios no raíz realicen acciones, como reiniciar el sistema, instalar paquetes, reiniciar servicios, etc., según lo que estipule una política.

Para obtener instrucciones y más detalles, consulta los siguientes vínculos:

Ninguna CVE-2021-4034

GCP-2022-002

Fecha de publicación: 1/02/2022
Última actualización: 25/02/2022

Descripción

Descripción Gravedad Notas

Actualización del 25-02-2022: Se actualizaron las versiones de GKE. Para obtener instrucciones y más detalles, consulta los siguientes vínculos:

Actualización del 23/02/2022: Se actualizaron las versiones de GKE y GKE en VMware. Para obtener instrucciones y más detalles, consulta los siguientes vínculos:

Actualización del 04-02-2022: La fecha de inicio del lanzamiento de las versiones de parche de GKE fue el 2 de febrero.

Tres vulnerabilidades de seguridad, CVE-2021-4154, CVE-2021-22600 y CVE-2022-0185, se descubrieron en el kernel de Linux, cada una de las cuales puede generar una fuga del contenedor, la elevación de privilegios en el host o ambas. Estas vulnerabilidades afectan a todos los sistemas operativos de los nodos (COS y Ubuntu) en GKE, GKE en VMware, GKE en AWS (generación actual y anterior) y GKE en Azure. Los Pods que usan GKE Sandbox no son vulnerables a estas vulnerabilidades. Consulta las notas de la versión de COS para obtener más detalles.

Para obtener instrucciones y más detalles, consulta los siguientes vínculos:

Alta

GCP-2022-001

Fecha de publicación: 6/1/2022

Descripción

Descripción Gravedad Notas

Se descubrió un posible problema de denegación del servicio en protobuf-java en el procedimiento de análisis de datos binarios.

¿Qué debo hacer?

Asegúrate de estar usando las versiones más recientes de los siguientes paquetes de software:

  • protobuf-java (3.16.1, 3.18.2, 3.19.2)
  • protobuf-kotlin (3.18.2, 3.19.2)
  • google-protobuf [Gema de JRuby] (3.19.2)

Los usuarios de Protobuf "javalite" (por lo general, Android) no se ven afectados.

¿Qué vulnerabilidades trata este parche?

Este parche mitiga la siguiente vulnerabilidad:

Debilidad de implementación en cómo se analizan los campos desconocidos en Java. Una carga útil maliciosa pequeña (aprox. 800 KB) puede ocupar el analizador durante varios minutos, ya que crea una gran cantidad de objetos de corta duración que causan pausas frecuentes y repetidas de la recolección de elementos no utilizados.

 Alta CVE-2021-22569

GCP-2021-024

Fecha de publicación: 21/10/2021

Descripción

Descripción Gravedad Notas

Se descubrió un problema de seguridad en el controlador ingress-nginx de Kubernetes, CVE-2021-25742. Los fragmentos personalizados de Ingress-nginx permiten la recuperación de tokens y secretos de cuentas de servicio de ingress-nginx en todos los espacios de nombres.

Para obtener instrucciones y más detalles, consulta los siguientes vínculos:

Ninguna CVE-2021-25742

GCP-2021-019

Fecha de publicación: 29/09/2021

Descripción

Descripción Gravedad Notas

Hay un problema conocido en el que la actualización de un recurso BackendConfig con la API de v1beta1 quita una política de seguridad activa de Google Cloud Armor de su servicio.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de GKE.

 Baja

GCP-2021-022

Fecha de publicación: 22/09/2021

Descripción

Descripción Gravedad Notas

Se descubrió una vulnerabilidad en el módulo LDAP de GKE Enterprise Identity Service (AIS) de las versiones 1.8 y 1.8.1 de GKE en VMware en la que una clave de origen que se usa para generar claves es predecible. Con esta vulnerabilidad, un usuario autenticado podría agregar reclamaciones arbitrarias y escalar privilegios de forma indefinida.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de GKE en VMware.

 Alta

GCP-2021-021

Fecha de publicación: 22/09/2021

Descripción

Descripción Gravedad Notas

Se detectó una vulnerabilidad de seguridad, CVE-2020-8561, en Kubernetes, en la que se pueden realizar determinados webhooks para redireccionar las solicitudes kube-apisever a las redes privadas de ese servidor de la API.

Para obtener instrucciones y más detalles, consulta los siguientes vínculos:

Media CVE-2020-8561

GCP-2021-023

Fecha de publicación: 21/09/2021

Descripción

Descripción Gravedad Notas

De acuerdo con el aviso de seguridad de VMware VMSA-2021-0020, VMware recibió informes de varias vulnerabilidades en vCenter. VMware hizo actualizaciones disponibles para corregir estas vulnerabilidades en los productos afectados de VMware.

Ya aplicamos los parches que proporciona VMware para la pila de vSphere a Google Cloud VMware Engine según el asesoramiento de seguridad de VMware. Esta actualización aborda las vulnerabilidades de seguridad descritas en CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 y CVE-2021-22010. Se abordarán otros problemas de seguridad no críticos en la próxima actualización de la pila de VMware (según la notificación previa que se envió en julio, se proporcionarán más detalles pronto en el cronograma específico de la actualización).

El impacto de VMware Engine

Según nuestras investigaciones, no se descubrió que los clientes se vieran afectados.

¿Qué debo hacer?

Debido a que los clústeres de VMware Engine no se ven afectados por esta vulnerabilidad, no se requiere ninguna otra acción.

 Crítico

GCP-2021-020

Fecha de publicación: 17/09/2021

Descripción

Descripción Gravedad Notas

Es posible que algunos balanceadores de cargas de Google Cloud que enrutan a un servicio de backend habilitado de Identity-Aware Proxy (IAP) hayan sido vulnerables a un tercero no confiable en condiciones limitadas. Esto soluciona un problema informado a través de nuestro Programa de recompensas por detección de vulnerabilidades.

Las condiciones fueron que los servidores:
  • ¿eran balanceadores de cargas HTTP(S) y
  • Utilizó un backend predeterminado o uno que tenía una regla de asignación de host comodín (es decir, host="*")

Además, un usuario de tu organización debe haber hecho clic en un vínculo creado específicamente por un tercero que no es de confianza.

Este problema ya se resolvió. Desde el 17 de septiembre de 2021, IAP se actualizó para emitir cookies solo para los hosts autorizados. Un host se considera autorizado si coincide con al menos un nombre alternativo de sujeto (SAN) en uno de los certificados instalados en sus balanceadores de cargas.

Qué hacer

Algunos de tus usuarios pueden experimentar una respuesta HTTP 401 No autorizado con un código de error 52 de IAP cuando intentan acceder a las apps o los servicios. Este código de error significa que el cliente envió un encabezado Host que no coincide con ningún nombre alternativo de asunto asociado con los certificados SSL del balanceador de cargas. El administrador del balanceador de cargas debe actualizar el certificado SSL para asegurarse de que la lista de nombre alternativo del sujeto (SAN) contenga todos los nombres de host a través de los cuales los usuarios acceden a las aplicaciones o los servicios protegidos con IAP. Obtén más información sobre los códigos de error de IAP.

Alto

GCP-2021-018

Fecha de publicación: 15/09/2021
Última actualización: 20/09/2021

Descripción

Descripción Gravedad Notas

Se descubrió un problema de seguridad en Kubernetes, CVE-2021-25741, en el que el usuario puede crear un contenedor con activaciones de volumen de ruta secundaria para acceder a archivos y directorios fuera del volumen, incluido en el sistema de archivos del host.

Para obtener instrucciones y más detalles, consulta los siguientes vínculos:

Alta CVE-2021-25741

GCP-2021-017

Fecha de publicación: 1/09/2021
Última actualización: 23/09/2021

Descripción

Descripción Gravedad Notas

Actualización del 23/09/2021: Los contenedores que se ejecutan en GKE Sandbox no se ven afectados por esta vulnerabilidad de ataques que se originan en ellos.

Se descubrieron dos vulnerabilidades de seguridad, CVE-2021-33909 y CVE-2021-33910, en el kernel de Linux, que pueden provocar una falla del SO o una elevación a la raíz por parte de un usuario sin privilegios. Esta vulnerabilidad afecta a todos los sistemas operativos de los nodos de GKE (COS y Ubuntu).

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Alta CVE-2021-33909, CVE-2021-33910

GCP-2021-016

Fecha de publicación: 24/08/2021

Descripción

Descripción Gravedad Notas

Las siguientes CVE de Istio y Envoy exponen Anthos Service Mesh y, también, Istio en GKE a vulnerabilidades que se pueden explotar de forma remota:

  • CVE-2021-39156: Las solicitudes HTTP con un fragmento (una sección al final de un URI que comienza con un carácter #) en la ruta del URI podrían omitir las políticas de autorización basadas en rutas de URI de Istio.
  • CVE-2021-39155: Es posible que las solicitudes HTTP omitan una política de autorización de Istio cuando se usan reglas basadas en hosts o notHosts.
  • CVE-2021-32781: Afecta las extensiones decompressor, json-transcoder o grpc-web de Envoy o las extensiones de propiedad que modifican y aumentan el tamaño de los cuerpos de solicitud o respuesta. Modifica y aumenta el tamaño del cuerpo en la extensión de Envoy más allá del tamaño del búfer interno podría provocar que Envoy acceda a la memoria desasignada y finalice de forma anormal.
  • CVE-2021-32780: Un servicio ascendente no confiable podría hacer que Envoy finalice de forma anormal mediante el envío de la trama GOAWAY seguida de la trama SETTINGS con el parámetro SETTINGS_MAX_CONCURRENT_STREAMS establecido en 0. (No aplicable a Istio on GKE)
  • CVE-2021-32778: Un cliente de Envoy que abre y luego restablece una gran cantidad de solicitudes HTTP/2 podría generar un consumo excesivo de CPU. (No aplicable a Istio on GKE)
  • CVE-2021-32777: Las solicitudes HTTP con encabezados múltiples de valores pueden realizar una verificación incompleta de la política de autorización cuando se usa la extensión ext_authz.

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Alta

GCP-2021-015

Fecha de publicación: 13/07/2021
Última actualización: 15/07/2021

Descripción

Descripción Gravedad Notas

Se descubrió una vulnerabilidad de seguridad nueva, CVE-2021-22555, en la que un actor malicioso con privilegios de CAP_NET_ADMIN puede causar una interrupción del contenedor en la raíz del host. Esta vulnerabilidad afecta a todos los clústeres de GKE y a GKE on VMware que ejecuta Linux versión 2.6.19 o posterior.

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Alta CVE-2021-22555

GCP-2021-014

Fecha de publicación: 5/7/2021

Descripción

Descripción Gravedad Notas

Microsoft publicó un boletín de seguridad sobre una vulnerabilidad de ejecución de código remoto (RCE), CVE-2021-34527, que afecta la cola de impresión en los servidores de Windows. El CERT Coordination Center (CERT/CC) publicó una nota de actualización sobre una vulnerabilidad relacionada, denominada "PrintNightmare", que también afecta las colas de impresión de Windows: PrintNightmare, Critical Windows Print Spooler Vulnerability.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de GKE.

Alta CVE-2021-34527

GCP-2021-012

Fecha de publicación: 24/06/2021
Última actualización: 9/07/2021

Descripción

Descripción Gravedad Notas

Recientemente, el proyecto de Istio anunció una vulnerabilidad de seguridad en la que se puede acceder a las credenciales especificadas en los campos Gateway y DestinationRule credentialsName desde diferentes espacios de nombres.

Para obtener instrucciones específicas del producto y más detalles, consulta los siguientes artículos:

 Alta CVE-2021-34824

GCP-2021-011

Fecha de publicación: 4/6/2021
Última actualización: 19/10/2021

Descripción

Descripción Gravedad Notas

Actualización de 19/10/2021:

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Hace poco, la comunidad de seguridad divulgó una nueva vulnerabilidad de seguridad (CVE-2021-30465) que se encontró en runc y que tiene el potencial de permitir el acceso completo al sistema de archivos de un nodo.

En el caso de GKE, debido a que aprovechar esta vulnerabilidad requiere la capacidad de crear pods, calificamos la gravedad como MEDIA.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de GKE.

Media CVE-2021-30465

GCP-2021-010

Fecha de publicación: 25 de mayo de 2021

Descripción

Descripción Gravedad Notas

Según el aviso de seguridad de VMware VMSA-2021-0010, la ejecución remota de código y las vulnerabilidades de omisión de autenticación en el cliente de vSphere (HTML5) se informaron de forma privada a VMware. VMware hizo actualizaciones disponibles para corregir estas vulnerabilidades en los productos afectados de VMware.

Aplicamos los parches que proporciona VMware para la pila de vSphere según el asesoramiento de seguridad de VMware. Esta actualización aborda las vulnerabilidades de seguridad descritas en CVE-2021-21985 y CVE-2021-21986. Las versiones de imágenes que se ejecutan en la nube privada de VMware Engine no reflejan ningún cambio en este momento para indicar los parches que se aplicaron. Ten la certeza de que se instalaron los parches correspondientes y de que tu entorno está protegido contra estas vulnerabilidades.

El impacto de VMware Engine

Según nuestras investigaciones, no se descubrió que los clientes se vieran afectados.

¿Qué debo hacer?

Debido a que los clústeres de VMware Engine no se ven afectados por esta vulnerabilidad, no es necesario que realices ninguna otra acción.

 Crítico

GCP-2021-008

Fecha de publicación: 17/05/2021

Descripción

Descripción Gravedad Notas

Istio contiene una vulnerabilidad que se puede aprovechar de forma remota en la que un cliente externo puede acceder a servicios inesperados en el clúster y así omitir las verificaciones de autorización, cuando se configura una puerta de enlace con la configuración de enrutamiento AUTO_PASSTHROUGH.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Anthos Service Mesh.

Alta

 CVE-2021-31921

GCP-2021-007

Fecha de publicación: 17/05/2021

Descripción

Descripción Gravedad Notas

Istio contiene una vulnerabilidad que se puede aprovechar de forma remota en la que una ruta de solicitud HTTP con varias barras diagonales o caracteres de barra escapado (%2F o %5C) podría omitir una política de autorización de Istio cuando se usan reglas de autorización basadas en rutas.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Anthos Service Mesh.

Alta

 CVE-2021-31920

GCP-2021-006

Fecha de publicación: 11-05-2021

Descripción

Descripción Gravedad Notas

Recientemente, el proyecto de Istio disclosed una nueva vulnerabilidad de seguridad (CVE-2021-31920) que afecta a Istio.

Istio contiene una vulnerabilidad que se puede aprovechar de forma remota en la que una solicitud HTTP con varias barras diagonales o caracteres de barra escapado puede omitir la política de autorización de Istio cuando se usan reglas de autorización basadas en rutas.

Para obtener instrucciones y más detalles, consulta los siguientes vínculos:

Alto

 CVE-2021-31920

GCP-2021-005

Fecha de publicación: 11-05-2021

Descripción

Descripción Gravedad Notas

Una vulnerabilidad informada mostró que Envoy no decodifica las secuencias de barra escapadas %2F y %5C en las rutas de URL HTTP en las versiones 1.18.2 y anteriores de Envoy. Además, algunos productos basados en Envoy no habilitan los controles de normalización de rutas. Un atacante remoto puede crear una ruta con barras escapadas (por ejemplo, /something%2F..%2Fadmin,) para omitir el control de acceso (por ejemplo, un bloqueo en /admin). Luego, un servidor de backend podría decodificar secuencias de barra y normalizar la ruta para proporcionar acceso a un atacante más allá del alcance proporcionado por la política de control de acceso.

¿Qué debo hacer?

Si los servidores de backend tratan/ y %2F o \ y %5C de forma indistinta y se configura una coincidencia de ruta de URL, recomendamos que vuelvas a configurar el servidor de backend para tratar a \y %2F o \ y%5C indistintamente, si es posible.

¿Qué cambios de comportamiento se introdujeron?

Se habilitaron las opciones normalize_path y combinación de barras adyacentes de Envoy para abordar otras vulnerabilidades de confusión de rutas comunes en los productos basados en Envoy.

Alta

 CVE-2021-29492

GCP-2021-004

Fecha de publicación: 6 de mayo de 2021

Descripción

Descripción Gravedad Notas

Hace poco, los proyectos Envoy y de Istio anunciamos varias vulnerabilidades de seguridad nuevas (CVE-2021-28683, CVE-2021-28682 y CVE-2021-29258), que podrían permitir que un atacante falle con Envoy.

Los clústeres de Google Kubernetes Engine no ejecutan Istio de forma predeterminada y no son vulnerables. Si Istio se instaló en un clúster y se configuró para exponer servicios a Internet, esos servicios pueden ser vulnerables a la denegación del servicio.

Google Distributed Cloud Virtual for Bare Metal y GKE on VMware usan Envoy de forma predeterminada para Ingress, por lo que los servicios de Ingress pueden ser vulnerables a la denegación del servicio.

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Media

GCP-2021-003

Fecha de publicación: 19/04/2021

Descripción

Descripción Gravedad Notas

El proyecto de Kubernetes anunció recientemente una nueva vulnerabilidad de seguridad, CVE-2021-25735, que podría permitir que las actualizaciones del nodo omitan un webhook de admisión y validación.

En una situación en la que un atacante tiene privilegios suficientes y en la que se implementa un webhook de admisión y validación que usa propiedades del objeto Node antiguas (por ejemplo, campos en Node.NodeSpec), el atacante podría actualizar las propiedades de un nodo que podría provocar el compromiso del clúster. Ninguna de las políticas que aplican los controladores de admisión integrados de GKE y Kubernetes se ve afectada, pero recomendamos que los clientes verifiquen cualquier webhook de admisión adicional que hayan instalado.

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Media

CVE-2021-25735

GCP-2021-002

Publicada: 05-03-2021

Descripción

Descripción Gravedad Notas

Según el aviso de seguridad VMSA-2021-0002, VMware recibió informes de varias vulnerabilidades en VMware ESXi y el cliente de vSphere (HTML5). VMware hizo actualizaciones disponibles para corregir estas vulnerabilidades en los productos afectados de VMware.

Aplicamos las soluciones alternativas que se documentan de forma oficial para la pila de vSphere según el aviso de seguridad de VMware. Esta actualización aborda las vulnerabilidades de seguridad que se describen en CVE-2021-21972, CVE-2021-21973 y CVE-2021-21974.

El impacto de VMware Engine

Según nuestras investigaciones, no se descubrió que los clientes se vieran afectados.

¿Qué debo hacer?

Debido a que los clústeres de VMware Engine no se ven afectados por esta vulnerabilidad, no es necesario que realices ninguna otra acción.

 Crítico

GCP-2021-001

Fecha de publicación: 28/01/2021

Descripción

Descripción Gravedad Notas

Recientemente, se descubrió una vulnerabilidad en la utilidad sudo de Linux, descrita en CVE-2021-3156, que puede permitir a un atacante con acceso de shell local sin privilegios en un sistema con sudo instalado escalar sus privilegios a la raíz del sistema.

La infraestructura subyacente que ejecuta Compute Engine no se ve afectada por esta vulnerabilidad.

Todos los clústeres de Google Kubernetes Engine (GKE), GKE en VMware, GKE en AWS y Google Distributed Cloud Virtual for Bare Metal no se ven afectados por esta vulnerabilidad.

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Ninguna CVE-2021-3156

GCP-2020-015

Fecha de publicación: 7/12/2020
Última actualización: 22/12/2020

Descripción

Descripción Gravedad Notas

Actualización: 22/12/2021 El comando para GKE de la siguiente sección debe usar gcloud beta en lugar del comando gcloud. 


gcloud container clusters update –no-enable-service-externalips
Última actualización: 15/12/2021 Para GKE, ya está disponible la siguiente mitigación:
  1. A partir de la versión 1.21 de GKE, los servicios con ExternalIP se bloquean con un controlador de admisión DenyServiceExternalIPs que está habilitado de forma predeterminada para los clústeres nuevos.
  2. Los clientes que actualizan a la versión 1.21 de GKE pueden bloquear servicios con ExternalIPs mediante el siguiente comando: 
    
gcloud container clusters update –no-enable-service-externalips

Para obtener más información, consulta Endurece la seguridad de tu clúster.

El proyecto de Kubernetes descubrió recientemente una nueva vulnerabilidad de seguridad, CVE-2020-8554, que puede permitir que un atacante que haya obtenido permisos cree un servicio de Kubernetes de tipo LoadBalancer o ClusterIP para interceptar el tráfico de red que se origina desde otros Pods del clúster. Esta vulnerabilidad por sí sola no otorga permisos a un atacante para crear un servicio de Kubernetes.

Esta vulnerabilidad afecta a todos los clústeres de Google Kubernetes Engine (GKE), GKE en VMware y GKE en AWS.

¿Qué debo hacer?

Para obtener instrucciones y más detalles, consulta los siguientes documentos:

Media

 CVE-2020-8554

GCP-2020-014

Fecha de publicación: 20/10/2020
Última actualización: 20/10/2020

Descripción

Descripción Gravedad Notas

Hace poco, el proyecto de Kubernetes descubrió varios problemas que permiten la exposición de datos secretos cuando las opciones de registro detallado están habilitadas. Estos son los problemas:

  • CVE-2020-8563: Hay pérdidas de secretos en registros de kube-controller-manager del proveedor de vSphere.
  • CVE-2020-8564: Los secretos de archivos de configuración de Docker se filtran cuando el archivo es incorrecto y el nivel de registro >= 4.
  • CVE-2020-8565: Una corrección incompleta para CVE-2019-11250 en Kubernetes permite la pérdida de tokens en registros cuando logLevel >= 9. A este error lo encontró la seguridad de GKE.
  • CVE-2020-8566: Los adminSecrets de Ceph RBD se exponen en registros cuando loglevel >= 4.

¿Qué debo hacer?

No es necesario que realices ninguna otra acción debido a los niveles de registro detallado predeterminados de GKE.

Ninguna

Impacto en Google Cloud

Aquí encontrarás información detallada sobre cada producto.

Producto

Impacto

Google Kubernetes Engine (GKE)

Google Kubernetes Engine (GKE) no se ve afectado.

GKE On-Prem

GKE On-Prem no se ve afectado.

GKE en AWS

GKE en AWS no se ve afectado.

GCP-2020-013

Fecha de publicación: 29/09/2020

Descripción

Microsoft divulgó la siguiente vulnerabilidad:

Vulnerabilidad

Gravedad

CVE

CVE-2020-1472 — Una vulnerabilidad en Windows Server permite a los atacantes usar el protocolo remoto de Netlogon para ejecutar una aplicación creada especialmente en un dispositivo en la red.

Puntuación base de la NVD: 10 (crítica)

CVE-2020-1472

Para obtener más detalles, consulta la divulgación de Microsoft.

Impacto en Google Cloud

Esta vulnerabilidad no afecta a la infraestructura en la que se alojan los productos de Google y Google Cloud. Aquí encontrarás detalles adicionales sobre cada producto.

Producto

Impacto

Compute Engine

CVE-2020-1472

La mayoría de los clientes no debe realizar ninguna acción adicional.

Los clientes que usan máquinas virtuales de Compute Engine con Windows Server deben asegurarse de que sus instancias se hayan actualizado con el parche más reciente de Windows o usen imágenes de Windows Server publicadas después del 17 de agosto de 2020 (v20200813 o versiones posteriores).

Google Kubernetes Engine

CVE-2020-1472

La mayoría de los clientes no debe realizar ninguna acción adicional.

Cualquier cliente que aloje controladores de dominio en los nodos del Windows Server de GKE debe asegurarse de que los nodos y las cargas de trabajo en contenedores que se ejecutan en esos nodos tengan la imagen de nodo más reciente de Windows cuando esté disponible. En octubre se anunciará una versión nueva de imagen de nodo en las notas de la versión de GKE.

Servicio administrado para Microsoft Active Directory

CVE-2020-1472

La mayoría de los clientes no debe realizar ninguna acción adicional.

El parche de agosto que lanzó Microsoft y que incluye correcciones en el protocolo de NetLogon se aplicó a todos los controladores de dominio de Microsoft AD administrado. Este parche brinda funcionalidad para la protección contra posibles explotaciones. La aplicación de los parches en el momento oportuno es una de las principales ventajas de usar el servicio administrado para Microsoft Active Directory. Todos los clientes que ejecuten Microsoft Active Directory de forma manual (y no usen el servicio administrado de Google Cloud) deben asegurarse de que sus instancias tengan el parche más reciente de Windows o usen las imágenes de Windows Server.

Google Workspace

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Entorno estándar de App Engine

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Entorno flexible de App Engine

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Run

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Functions

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Composer

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Dataflow

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Dataproc

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud SQL

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

GCP-2020-012

Fecha de publicación: 14/09/2020
Última actualización: 17/09/2020

Descripción

Descripción Gravedad Notas

Hace poco, se descubrió una vulnerabilidad en el kernel de Linux, descrita en CVE-2020-14386, que puede permitir obtener privilegios raíz en el nodo host mediante el escape del contenedor.

Afecta a todos los nodos de GKE. Los Pods que se ejecutan en GKE Sandbox no pueden aprovechar esta vulnerabilidad.

Para obtener instrucciones y más detalles, consulta los siguientes vínculos:


¿Qué vulnerabilidad corrige este parche?

Con este parche, se mitiga la siguiente vulnerabilidad:

La vulnerabilidad CVE-2020-14386, que permite contenedores con CAP_NET_RAW
para escribir de 1 a 10 bytes de memoria de kernel y, también, escapar del contenedor y obtener privilegios raíz en el nodo host. Esta vulnerabilidad de seguridad tiene una calificación de gravedad alta.

Alta

CVE-2020-14386

GCP-2020-011

Fecha de publicación: 24/07/2020

Descripción

Descripción Gravedad Notas

Se detectó hace poco una vulnerabilidad en las herramientas de redes, CVE-2020-8558, en Kubernetes. A veces, los servicios se comunican con otras aplicaciones que se ejecutan dentro del mismo Pod mediante la interfaz de bucle invertido local (127.0.0.1). Esta vulnerabilidad permite que un atacante con acceso a la red del clúster envíe tráfico a la interfaz de bucle invertido de Pods y nodos adyacentes. Podrían aprovecharse los servicios que dependen de que no se pueda acceder a la interfaz de bucle invertido fuera del Pod.

Para obtener instrucciones y más detalles, consulta los siguientes vínculos:

Baja (GKE y GKE en AWS),
Media (GKE en VMware)

CVE-2020-8558

GCP-2020-010

Fecha de publicación: 27/07/2020

Descripción

Microsoft divulgó la siguiente vulnerabilidad:

Vulnerabilidad

Gravedad

CVE

CVE-2020-1350: Los servidores de Windows que entregan en una capacidad de servidor DNS se pueden aprovechar para ejecutar un código no confiable mediante la cuenta del sistema local.

Puntuación base de la NVD: 10.0 (crítica)

CVE-2020-1350

Para obtener más detalles, consulta la divulgación de Microsoft.

Impacto en Google Cloud

Esta vulnerabilidad no afecta a la infraestructura en la que se alojan los productos de Google y Google Cloud. Aquí encontrarás detalles adicionales sobre cada producto.

Producto

Impacto

Compute Engine

CVE-2020-1350

La mayoría de los clientes no debe realizar ninguna acción adicional.

Los clientes que usan máquinas virtuales de Compute Engine que ejecutan los servidores de Windows en una capacidad de servidor DNS deben asegurarse de que sus instancias tengan el último parche de Windows o usen imágenes de Windows Server proporcionadas desde el 14/7/2020.

Google Kubernetes Engine

CVE-2020-1350

La mayoría de los clientes no debe realizar ninguna acción adicional.

Los clientes que usan GKE con un nodo de Windows Server en una capacidad de servidor DNS deben actualizar de forma manual los nodos y las cargas de trabajo que se ejecutan en esos nodos a una versión de Windows Server que contenga la corrección.

Servicio administrado para Microsoft Active Directory

CVE-2020-1350

La mayoría de los clientes no debe realizar ninguna acción adicional.

Todos los dominios de Microsoft AD administrado se actualizaron automáticamente mediante la imagen con parches. Todos los clientes que ejecuten de forma manual Microsoft Active Directory (y no usen Microsoft AD administrado) deben asegurarse de que sus instancias tengan el parche más reciente de Windows o usar las imágenes de Windows Server que se proporcionan desde el 14 de julio de 2020.

Google Workspace

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Entorno estándar de App Engine

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Entorno flexible de App Engine

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Run

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Functions

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Composer

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Dataflow

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Dataproc

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud SQL

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

GCP-2020-009

Fecha de publicación: 15/07/2020

Descripción

Descripción Gravedad Notas

En la actualidad, se descubrió una vulnerabilidad de elevación de privilegios, CVE-2020-8559, en Kubernetes. Esta vulnerabilidad permite que un atacante que ya haya comprometido un nodo pueda ejecutar un comando en cualquier Pod del clúster. Por lo tanto, existe la posibilidad de que el atacante use el nodo ya comprometido para comprometer otros nodos y poder leer información o causar acciones destructivas.

Ten en cuenta que, para que un atacante pueda aprovechar esta vulnerabilidad, un nodo del clúster ya debe estar comprometido. Esta vulnerabilidad, por sí sola, no comprometerá ningún nodo del clúster.

Para obtener instrucciones y más detalles, consulta los siguientes vínculos:

Media

CVE-2020-8559

GCP-2020-008

Fecha de publicación: 19/06/2020

Descripción

Descripción Gravedad Notas

Descripción

Las VM que tienen el Acceso al SO habilitado pueden ser susceptibles a vulnerabilidades de elevación de privilegios. Estas vulnerabilidades le ofrece a los usuarios a los que se les otorgan permisos de Acceso al SO (pero no a acceso de administrador) la capacidad de escalar el acceso raíz en la VM.

Para obtener instrucciones y más detalles, consulta el Boletín de seguridad de Compute Engine.

 Alta

GCP-2020-007

Fecha de publicación: 1 de junio de 2020

Descripción

Descripción Gravedad Notas

Hace poco tiempo, se descubrió en Kubernetes una vulnerabilidad de falsificación de solicitudes del servidor (SSRF), CVE-2020-8555, que permitía a ciertos usuarios autorizados filtrar hasta 500 bytes de información sensible desde la red de host del plano de control. El plano de control de Google Kubernetes Engine (GKE) usa controladores de Kubernetes y, por lo tanto, se ve afectado por esta vulnerabilidad. Te recomendamos actualizar el plano de control a la versión más reciente del parche. No requiere actualizar los nodos.

Para obtener instrucciones y más detalles, consulta los siguientes vínculos:

Media

CVE-2020-8555

GCP-2020-006

Fecha de publicación: 1 de junio de 2020

Descripción

Descripción Gravedad Notas

Kubernetes divulgó una vulnerabilidad que permite que un contenedor con privilegios redireccione el tráfico de nodos a otro contenedor. Debido a este ataque, no se puede leer ni modificar el tráfico de TLS/SSH mutuo, como el que se establece entre el servidor de Kubelet y la API, o el tráfico de aplicaciones que usan mTLS. Todos los nodos de Google Kubernetes Engine (GKE) se ven afectados por esta vulnerabilidad. Te recomendamos que actualices a la última versión del parche.

Para obtener instrucciones y más detalles, consulta los siguientes vínculos:

Media

Problema 91507 de Kubernetes

GCP-2020-005

Fecha de publicación: 7/05/2020

Descripción

Vulnerabilidad

Gravedad

CVE

Hace poco, se descubrió una vulnerabilidad en el kernel de Linux, descrita en CVE-2020-8835, que permite obtener privilegios de administrador en el nodo host mediante un escape de contenedor.

Esta vulnerabilidad afecta a los nodos de Ubuntu de Google Kubernetes Engine (GKE) que ejecutan GKE 1.16 o 1.17, por lo que te recomendamos que actualices a la versión del parche más reciente lo antes posible.

Consulta el boletín de seguridad de GKE para obtener instrucciones y más detalles.

Alta

CVE-2020-8835

GCP-2020-004

Fecha de publicación: 31/03/2020
Última actualización: 31/03/2020

Descripción

Kubernetes divulgó las siguientes vulnerabilidades:

Vulnerabilidad

Gravedad

CVE

CVE-2019-11254: Esta es una vulnerabilidad de denegación del servicio (DoS) que afecta al servidor de la API.

Media

CVE-2019-11254

Consulta el boletín de seguridad de GKE en VMware para obtener instrucciones y más detalles.

GCP-2020-003

Fecha de publicación: 31/03/2020
Última actualización: 31/03/2020

Descripción

Kubernetes divulgó las siguientes vulnerabilidades:

Vulnerabilidad

Gravedad

CVE

CVE-2019-11254: Esta es una vulnerabilidad de denegación del servicio (DoS) que afecta al servidor de la API.

Media

CVE-2019-11254

Consulta el boletín de seguridad de GKE para obtener instrucciones y más detalles.

GCP-2020-002

Fecha de publicación: 23/03/2020
Última actualización: 23/03/2020

Descripción

Kubernetes divulgó las siguientes vulnerabilidades:

Vulnerabilidad

Gravedad

CVE

CVE-2020-8551: Esta es una vulnerabilidad de denegación del servicio (DoS) que afecta a kubelet.

Medio

CVE-2020-8551

CVE-2020-8552: Esta es una vulnerabilidad de denegación del servicio (DoS) que afecta al servidor de la API.

Medio

CVE-2020-8552

Consulta el boletín de seguridad de GKE para obtener instrucciones y más detalles.

GCP-2020-001

Fecha de publicación: 21/01/2020
Última actualización: 21/01/2020

Descripción

Microsoft divulgó la siguiente vulnerabilidad:

Vulnerabilidad

Gravedad

CVE

CVE-2020-0601: Esta vulnerabilidad también se conoce como la vulnerabilidad de falsificación de identidad de la CryptoAPI de Windows. Se puede aprovechar para que archivos ejecutables maliciosos parezcan confiables o para permitir que el atacante realice ataques de intermediario y desencripte información confidencial sobre las conexiones de usuarios al software afectado.

Puntuación base de la NVD: 8.1 (alta)

CVE-2020-0601

Para obtener más detalles, consulta la divulgación de Microsoft.

Impacto en Google Cloud

Esta vulnerabilidad no afecta a la infraestructura en la que se alojan los productos de Google y Google Cloud. Aquí encontrarás detalles adicionales sobre cada producto.

Producto

Impacto

Compute Engine

CVE-2020-0601

La mayoría de los clientes no debe realizar ninguna acción adicional.

Los clientes que usan máquinas virtuales de Compute Engine con Windows Server deben asegurarse de que sus instancias tengan el parche más reciente de Windows o usar las imágenes de Windows Server que se proporcionan desde el 15 de enero de 2020. Consulta el boletín de seguridad de Compute Engine para obtener más detalles.

Google Kubernetes Engine

CVE-2020-0601

La mayoría de los clientes no debe realizar ninguna acción adicional.

A fin de mitigar esta vulnerabilidad, los clientes que usan GKE con nodos de Windows Server deben actualizar los nodos y las cargas de trabajo en contenedores que se ejecutan en esos nodos a las versiones con parches. Consulta el boletín de seguridad de GKE para obtener instrucciones y más detalles.

Servicio administrado para Microsoft Active Directory

CVE-2020-0601

La mayoría de los clientes no debe realizar ninguna acción adicional.

Todos los dominios de Microsoft AD administrado se actualizaron automáticamente mediante la imagen con parches. Todos los clientes que ejecuten de forma manual Microsoft Active Directory (y no usen Microsoft AD administrado) deben asegurarse de que sus instancias tengan el parche más reciente de Windows o usar las imágenes de Windows Server que se proporcionan desde el 15 de enero de 2020.

Google Workspace

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Entorno estándar de App Engine

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Entorno flexible de App Engine

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Run

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Functions

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Composer

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Dataflow

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Dataproc

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud SQL

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

GCP-2019-001

Fecha de publicación: 12/11/2019
Última actualización: 12/11/2019

Descripción

Intel divulgó las siguientes vulnerabilidades:

Vulnerabilidad

Gravedad

CVE

CVE-2019-11135: Esta vulnerabilidad, conocida como anulación asíncrona de TSX (TAA), se puede usar para explotar la ejecución especulativa en una transacción TSX. Esta vulnerabilidad permite que se puedan exponer los datos mediante las mismas estructuras de datos de microarquitectura que presenta el muestreo de datos de microarquitectura (MDS).

Media

CVE-2019-11135

CVE-2018-12207: Es una vulnerabilidad de denegación del servicio (DoS) que afecta a los hosts de máquinas virtuales (no a las máquinas huésped). Este problema se conoce como “error de verificación de la máquina en el cambio de tamaño de la página”.

Media

CVE-2018-12207

Para obtener más información, consulta las siguientes divulgaciones de Intel:

Impacto en Google Cloud

La infraestructura en la que se alojan Google Cloud y los productos de Google está protegida contra estas vulnerabilidades. Aquí encontrarás detalles adicionales sobre cada producto.

Producto

Impacto

Compute Engine

CVE-2019-11135

La mayoría de los clientes no debe realizar ninguna acción adicional.

Los clientes de N2, C2 o M2 que ejecuten código no confiable en sus servicios multiusuarios alojados en máquinas virtuales de Compute Engine deben detener y, luego, iniciar sus VM para asegurarse de tener las mitigaciones de seguridad más recientes.

CVE-2018-12207

Los clientes no deben realizar ninguna acción adicional.

Google Kubernetes Engine

CVE-2019-11135

La mayoría de los clientes no debe realizar ninguna acción adicional.

Si usas grupos de nodos con nodos N2, M2 o C2 que ejecutan un código no confiable en sus clústeres de múltiples instancias de GKE, debes reiniciar los nodos. Si quieres reiniciar todos los nodos en un grupo, actualiza el grupo de nodos afectado.

CVE-2018-12207

Los clientes no deben realizar ninguna acción adicional.

Entorno estándar de App Engine

No se debe realizar ninguna acción adicional.

Entorno flexible de App Engine

CVE-2019-11135

No se debe realizar ninguna acción adicional.

Los clientes deben revisar las prácticas recomendadas de Intel, que se relacionan con el uso compartido a nivel de la aplicación que podría ocurrir entre subprocesos de Hyper‑Threading con una VM de Flex.

CVE-2018-12207

No se debe realizar ninguna acción adicional.

Cloud Run

No se debe realizar ninguna acción adicional.

Cloud Functions

No se debe realizar ninguna acción adicional.

Cloud Composer

No se debe realizar ninguna acción adicional.

Dataflow

CVE-2019-11135

La mayoría de los clientes no debe realizar ninguna acción adicional.

Los clientes de Dataflow que ejecutan varias cargas de trabajo no confiables en las VM N2, C2 o M2 de Compute Engine mediante Dataflow y teman recibir ataques en las máquinas huésped deberían considerar reiniciar cualquier canalización de transmisión que se ejecute actualmente. De forma opcional, las canalizaciones se pueden cancelar y volver a ejecutar por lotes. No requiere ninguna acción para las canalizaciones que se lancen después de hoy.

CVE-2018-12207

Los clientes no deben realizar ninguna acción adicional.

Dataproc

CVE-2019-11135

La mayoría de los clientes no debe realizar ninguna acción adicional.

Los clientes de Cloud Dataproc que ejecutan varias cargas de trabajo no confiables en el mismo clúster de Cloud Dataproc que se ejecuta en las VM N2, C2 o M2 de Compute Engine y teman recibir ataques en las máquinas huésped deberían volver a implementar sus clústeres.

CVE-2018-12207

Los clientes no deben realizar ninguna acción adicional.

Cloud SQL

No se debe realizar ninguna acción adicional.