Die folgenden Sicherheitsbulletins beziehen sich auf Google Cloud-Produkte.
Verwenden Sie diesen XML-Feed, um Sicherheitsbulletins für diese Seite zu abonnieren.
GCP-2022-014
Veröffentlicht: 26.04.2022
Zuletzt aktualisiert: 12.05.2022
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung vom 12. Mai 2022: Die Anthos-Cluster auf AWS und Anthos on Azure-Versionen wurden aktualisiert. Eine Anleitung und weitere Informationen finden Sie unter: Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Containerausfall, eine Ausweitung der Berechtigungen auf dem Host oder beides durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu). Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch |
CVE-2022-1055 CVE-2022-27666 |
GCP-2022-013
Veröffentlicht: 11.04.2022
Aktualisiert: 22.04.2022
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke, CVE-2022-23648, entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten. Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Mittel | CVE-2022-23648 |
GCP-2022-012
Veröffentlicht: 07.04.2022
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können. Diese Sicherheitslücke betrifft folgende Produkte:
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2022-0847 |
GCP-2022-011
Veröffentlicht: 22.03.2022
Beschreibung
Beschreibung | Schweregrad |
---|---|
Es gibt eine fehlerhafte Konfiguration beim Gleichzeitigen Multi-Threading (SMT), auch als Hyper-Threading bezeichnet, auf GKE Sandbox-Images. Durch eine fehlerhafte Konfiguration werden Knoten möglicherweise für Nebenkanalangriffe wie Microarchitectural Data Sampling (MDS) ausgesetzt. Weitere Informationen finden Sie in der GKE Sandbox-Dokumentation. Wir raten davon ab, die folgenden betroffenen Versionen zu verwenden:
Eine Anleitung und weitere Informationen finden Sie im GKE-Sicherheitsbulletin. |
Mittel |
GCP-2022-010
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die folgende Istio CVE-Sicherheitslücke zeigt Anthos Service Mesh mit einer Sicherheitslücke, die aus der Ferne ausgenutzt werden kann:
Weitere Informationen und eine Anleitung finden Sie in diesem Sicherheitsbulletin: |
Hoch |
GCP-2022-009
Veröffentlicht: 01.03.2022Beschreibung
Beschreibung | Schweregrad |
---|---|
Einige unerwartete Pfade für den Zugriff auf die Knoten-VM in GKE Autopilot-Clustern wurden möglicherweise verwendet, um Berechtigungen im Cluster zu eskalieren. Diese Probleme wurden behoben und es sind keine weiteren Maßnahmen erforderlich. Die Fehlerkorrekturen beheben Probleme, die über unser Vulnerability Reward Program gemeldet wurden. Eine Anleitung und weitere Informationen finden Sie im GKE-Sicherheitsbulletin. |
Niedrig |
GCP-2022-008
Veröffentlicht: 23.02.2022
Zuletzt aktualisiert: 28.04.2022
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Update vom 28. April 2022: Wir haben Versionen von Anthos-Clustern auf VMware hinzugefügt, die diese Sicherheitslücken beheben. Weitere Informationen finden Sie in den Anthos-Clustern auf VMware. Das Envoy-Projekt hat vor Kurzem eine Reihe von Sicherheitslücken erkannt. Alle unten aufgeführten Probleme wurden in der Envoy-Version 1.21.1 behoben.
Was soll ich tun? Nutzer von Envoy, die ihre eigenen Envoys verwalten, sollten darauf achten, dass sie Version 1.21.1 von Envoy verwenden. Envoy-Nutzer, die ihre eigenen Envoys verwalten, erstellen die Binärprogramme aus einer Quelle wie GitHub und stellen sie bereit. Nutzer, die verwaltete Jira ausführen, müssen nichts weiter unternehmen. Die GCP stellt hierfür die Binärprogramme bereit. Für Cloud-Produkte wird Version 1.21.1 bereitgestellt. |
Hoch |
CVE-2022-23606 CVE-2022-21655 CVE-2021-43826 |
GCP-2022-007
Veröffentlicht: 22.02.2022Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die folgenden Hadoop- und Istio-CVEs bieten Anthos Service Mesh und Istio on GKE für Sicherheitslücken, die aus der Ferne ausgenutzt werden können:
Eine Anleitung und weitere Details finden Sie in den folgenden Sicherheitsbulletins: |
Hoch |
GCP-2022-006
Veröffentlicht: 14.02.2022Aktualisiert:15.05.2022
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Update vom 12. Mai 2022:Die GKE-, Anthos-Cluster auf VMware, Anthos-Cluster auf AWS und Anthos on Azure-Versionen wurden aktualisiert. Eine Anleitung und weitere Informationen finden Sie unter:
In der Funktion |
Niedrig |
Anleitungen und weitere Informationen: |
GCP-2022-005
Veröffentlicht: 11.02.2022Zuletzt aktualisiert: 15.02.2022
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Es wurde eine Sicherheitslücke, CVE-2021-43527, in einer beliebigen Binärdatei entdeckt, die auf die anfälligen Versionen von libnss3 in Versionen von NSS (Network Security Services) vor 3.73 oder 3.68.1 verweist. Anwendungen, die NSS für die Zertifikatsprüfung oder andere TLS-, X.509-, OCSP- oder CRL-Funktionen verwenden, können abhängig davon, wie NSS verwendet/konfiguriert wird, betroffen sein. Anleitungen und weitere Informationen: |
Mittel | CVE-2021-43527 |
GCP-2022-004
Veröffentlicht: 04.02.2022Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
In pkexec, einem Teil des Linux-Policy-Kits (polkit), wurde die Sicherheitslücke CVE-2021-4034 erkannt, die einem authentifizierten Nutzer die Ausführung eines Angriffs nach Rechteausweitung ermöglicht. PolicyKit wird im Allgemeinen nur auf Linux-Desktopsystemen verwendet, um Nicht-Root-Nutzer Aktionen wie das Neustarten des Systems, das Installieren von Paketen, das Neustarten von Diensten usw. gemäß einer Richtlinie zu ermöglichen. Anleitungen und weitere Informationen: |
– | CVE-2021-4034 |
GCP-2022-002
Veröffentlicht: 01.02.2022Aktualisiert: 25.02.2022
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung vom 25. Februar 2022: Die GKE-Versionen wurden aktualisiert. Eine Anleitung und weitere Informationen finden Sie unter: Aktualisierung vom 23. Februar 2022: Die GKE- und Anthos-Cluster auf VMware-Versionen wurden aktualisiert. Eine Anleitung und weitere Informationen finden Sie unter: Aktualisierung vom 04.02.2022: Das Roll-out-Startdatum für GKE-Patchversionen war am 2. Februar. Drei Sicherheitslücken, CVE-2021-4154, CVE-2021-22600 und CVE-2022-0185, wurden im Linux-Kernel erkannt, von der jede zu einem Container-Breakout, einer Rechteausweitung auf dem Host oder zu beidem führen kann. Diese Sicherheitslücken betreffen alle Knotenbetriebssysteme (COS und Ubuntu) in GKE, Anthos-Cluster auf VMware, Anthos-Cluster in AWS (aktuelle und vorherige Generation) und Anthos on Azure. Pods, die GKE Sandbox verwenden, sind nicht anfällig für diese Sicherheitslücken. Weitere Informationen finden Sie in den Versionshinweisen für COS. Anleitungen und weitere Informationen: |
Hoch |
GCP-2022-001
Veröffentlicht: 06.01.2022Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Im Parsing-Verfahren für Binärdaten wurde ein potenzielles Problem mit Denial-of-Service-Fehlern in Was soll ich tun? Achten Sie darauf, dass Sie die aktuellen Versionen der folgenden Softwarepakete verwenden:
Protobuf-Javalite-Nutzer (normalerweise Android) sind davon nicht betroffen. Welche Sicherheitslücken werden durch diesen Patch behoben? Dieser Patch dient zur Entschärfung der folgenden Sicherheitslücke: Eine Schwäche für die Implementierung beim Parsen von unbekannten Feldern in Java. Eine kleine schädliche Nutzlast (~ 800 KB) kann den Parser für mehrere Minuten beanspruchen. Dazu wird eine große Anzahl kurzlebiger Objekte erstellt, die zu häufigen, wiederholten automatischen Speicherbereinigungen führen. |
Hoch | CVE-2021-22569 |
GCP-2021-024
Veröffentlicht: 21.10.2021Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Im Kubernetes-Controller Ingress-nginx wurde das Sicherheitsproblem CVE-2021-25742 festgestellt. Benutzerdefinierte Snippets für Ingress-nginx ermöglichen das Abrufen von Tokens und Secrets für Ingress-nginx in allen Namespaces. Anleitungen und weitere Informationen: | – | CVE-2021-25742 |
GCP-2021-019
Veröffentlicht: 29.09.2021Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Es gibt ein bekanntes Problem, das Auftritt, wenn eine Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin. |
Niedrig |
GCP-2021-022
Veröffentlicht: 22.09.2021Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Im AIS-LDAP-Modul (Anthos Identity Service) von Anthos-Cluster auf VMware-Versionen 1.8 und 1.8.1 wurde eine Sicherheitslücke entdeckt, bei der ein Quellschlüssel zum Generieren von Schlüsseln vorhersehbar ist. Mit dieser Sicherheitslücke könnte ein authentifizierter Nutzer beliebige Anforderungen hinzufügen und Berechtigungen auf unbestimmte Zeit eskalieren. Anleitungen und weitere Informationen finden Sie im Anthos-Cluster auf VMware-Sicherheitsbulletin. |
Hoch |
GCP-2021-021
Veröffentlicht: 22.09.2021Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
In Kubernetes wurde die Sicherheitslücke CVE-2020-8561 erkannt, bei der bestimmte Webhooks erstellt werden können, um kube-apiserver-Anfragen an private Netzwerke dieses API-Servers weiterzuleiten. Anleitungen und weitere Informationen: |
Mittel | CVE-2020-8561 |
GCP-2021-023
Veröffentlicht: 21.09.2021Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Gemäß dem VMware-Sicherheitshinweis VMSA-2021-0020 hat VMware Berichte zu mehreren Sicherheitslücken in vCenter erhalten. VMware hat Aktualisierungen vorgenommen, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben. Wir haben die von VMware bereitgestellten Patches für den vSphere-Stack bereits gemäß dem VMware-Sicherheitshinweis auf Google Cloud VMware Engine angewendet. Mit diesem Update werden die in CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 und CVE-2021-22010 beschriebenen Sicherheitslücken behoben. Andere nicht kritische Sicherheitsprobleme werden im nächsten VMware-Stack-Upgrade behoben (siehe Vorabankündigung vom Juli). Weitere Details zur spezifischen Zeitachse des Upgrades werden bald bereitgestellt. Auswirkungen auf VMware EngineUnsere Untersuchungen haben ergeben, dass davon keine Kunden betroffen waren. Was soll ich tun?Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich. |
Kritisch |
GCP-2021-020
Veröffentlicht: 17.09.2021Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Bestimmte Google Cloud-Load-Balancer, die Weiterleitungen an einen für das Identity-Aware Proxy (IAP) aktivierten Back-End-Dienst vornehmen, können unter bestimmten Bedingungen von einer nicht vertrauenswürdige Partei missbraucht werden. Damit wurde ein über das Prämienprogramm für die Meldung von Sicherheitslücken gemeldetes Problem behoben. Die Bedingungen waren, dass die Server:
Darüber hinaus musste ein Nutzer in Ihrer Organisation auf einen speziell erstellten Link geklickt haben, der von einer nicht vertrauenswürdigen Partei gesendet wurde. Dieses Problem wurde behoben. IAP wurde am 17. September 2021 so aktualisiert, dass Cookies nur noch für autorisierte Hosts ausgegeben werden. Ein Host gilt als autorisiert, wenn er mit mindestens einem SAN (Subject Alternative Name) in einem der Zertifikate übereinstimmt, die auf Ihren Load-Balancern installiert sind. Was muss ich tun?
Einigen Ihrer Nutzer:innen wird möglicherweise beim Versuch, auf Anwendungen oder Dienste zuzugreifen, die Antwort „HTTP 401 – Unauthorized“ mit dem IAP-Fehlercode 52 angezeigt. Dieser Fehlercode bedeutet, dass der Client einen |
Hoch |
GCP-2021-018
Veröffentlicht: 15.09.2021Zuletzt aktualisiert: 20.09.2021
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Ein Sicherheitsproblem in Kubernetes (CVE-2021-25741) wurde festgestellt, bei dem Nutzer möglicherweise einen Container mit Unterpfad-Volume-Bereitstellungen erstellen können, um auf Dateien und Verzeichnisse außerhalb des Volumes, z. B. im Hostdateisystem, zuzugreifen. Anleitungen und weitere Informationen: |
Hoch | CVE-2021-25741 |
GCP-2021-017
Veröffentlicht: 01.09.2021Zuletzt aktualisiert:23.09.2021
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung vom 23. 09. 2021: Container, die in der GKE Sandbox ausgeführt werden, sind von dieser Sicherheitslücke für Angriffe aus dem Container nicht betroffen. Im Linux-Kernel wurden zwei Sicherheitslücken erkannt, CVE-2021-33909 und CVE-2021-33910, die zu einem Absturz des Betriebssystems oder einer Eskalation zum Root durch einen nicht privilegierten Nutzer führen können. Diese Sicherheitslücke betrifft alle GKE-Knotenbetriebssysteme (COS und Ubuntu). Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2021-33909, CVE-2021-33910 |
GCP-2021-016
Veröffentlicht: 24.08.2021Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Folgende Envoy- und Istio-CVEs machen Anthos Service Mesh und Istio on GKE für remote Angriffe verwundbar:
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch |
GCP-2021-015
Veröffentlicht: 13.07.2021Zuletzt aktualisiert: 15.07.2021
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Es wurde eine neue Sicherheitslücke (CVE-2021-22555) entdeckt, bei der ein böswilliger Akteur mit Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2021-22555 |
GCP-2021-014
Veröffentlicht: 05.07.2021Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Microsoft hat ein Sicherheitsbulletin CVE-2021-34527 zu einer Sicherheitslücke (Remote Code Execution, RCE) veröffentlicht, die Auswirkungen auf die Druckwarteschlange bei Windows-Servern hat. Das CERT Coordination Center (CERT/CC) hat einen Hinweis zu einer ähnlichen Sicherheitslücke mit dem Namen "PrintNightmare" veröffentlicht. Auch diese hat Auswirkungen auf Windows-Druckwarteschlangen – PrintNightmare, kritische Windows-Sicherheitslücke für Druckwarteschlange. Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin. |
Hoch | CVE-2021-34527 |
GCP-2021-012
Veröffentlicht: 24.06.2021Zuletzt aktualisiert: 09.07.2021
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Das Istio-Projekt hat vor Kurzem eine Sicherheitslücke gemeldet, über die auf in den Feldern "Gateway" und "DestinationRule credentialName" angegebenen Anmeldedaten von verschiedenen Namespaces aus zugegriffen werden kann. Produktspezifische Anleitungen und weitere Informationen finden Sie unter:
|
Hoch | CVE-2021-34824 |
GCP-2021-011
Veröffentlicht: 04.06.2021Zuletzt aktualisiert: 19.10.2021
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung 19.10.2021: Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:
Die Sicherheitscommunity hat kürzlich eine neue Sicherheitslücke (CVE-2021-30465) entdeckt, die in Da für die Ausnutzung dieser Sicherheitslücke das Erstellen von Pods erforderlich ist, haben wir den Schweregrad dieser Sicherheitslücke mit MITTEL bewertet. Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin. |
Mittel | CVE-2021-30465 |
GCP-2021-010
Veröffentlicht: 25.05.21Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Gemäß VMware-Sicherheitshinweis VMSA-2021-0010 wurden die Remote-Codeausführung und die Authentifizierung über die Sicherheitslücken im vSphere-Client (HTML5) privat an VMware gemeldet. VMware hat Aktualisierungen vorgenommen, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben. Wir haben die von VMware bereitgestellten Patches gemäß dem VMware-Sicherheitshinweis für den vSphere-Stack angewendet. Mit diesem Update werden Sicherheitslücken behoben, die in CVE-2021-21985 und CVE-2021-21986 beschrieben wurden. Die Image-Versionen, die in Ihrer privaten VMware Engine-Cloud ausgeführt werden, spiegeln derzeit keine Änderungen wider, die auf die angewendeten Patches hinweisen. Sie können sich darauf verlassen, dass entsprechende Patches installiert und Ihre Umgebung vor diesen Sicherheitslücken geschützt wird. Auswirkungen auf VMware EngineUnsere Untersuchungen haben ergeben, dass davon keine Kunden betroffen waren. Was soll ich tun?Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich. |
Kritisch |
GCP-2021-008
Veröffentlicht: 17.05.2021Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Istio enthält eine Sicherheitslücke, die aus der Ferne ausgenutzt werden kann, wenn ein externer Client auf unerwartete Dienste im Cluster zugreifen kann. Dabei werden Autorisierungsprüfungen umgangen, wenn ein Gateway mit der Routingkonfiguration Anleitungen und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin. |
Hoch |
CVE-2021-31921 |
GCP-2021-007
Veröffentlicht: 17.05.2021Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Istio enthält eine Sicherheitslücke, die aus der Ferne ausgenutzt werden kann. Dabei kann ein HTTP-Anfragepfad mit mehreren Schrägstrichen oder Escape-Zeichen ( Anleitungen und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin. |
Hoch |
CVE-2021-31920 |
GCP-2021-006
Veröffentlicht: 11.05.2021Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Das Istio-Projekt hat vor Kurzem eine neue Sicherheitslücke (CVE-2021-31920), die sich auf Istio auswirkt, offengelegt. Istio enthält eine Sicherheitslücke, die ausgenutzt werden kann, wenn sie per Remotezugriff ausgenutzt wird und bei einer HTTP-Anfrage mit mehreren Schrägstrichen oder Escape-Zeichen keine Istio-Autorisierungsrichtlinie umgehen kann, wenn pfadbasierte Autorisierungsregeln verwendet werden. Anleitungen und weitere Informationen: |
Hoch |
CVE-2021-31920 |
GCP-2021-005
Veröffentlicht: 11.05.2021Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Eine gemeldete Sicherheitslücke hat gezeigt, dass Envoy die maskierten Schrägstrich-Sequenzen Was soll ich tun?
Wenn Back-End-Server Welche Verhaltensänderungen wurden eingeführt?Die Optionen normalize_path und angrenzende Schrägstriche zusammenführen von Envoy wurden aktiviert, um andere gängige Sicherheitslücken im Zusammenhang mit der Verwechslung von Pfaden in Envoy-basierten Produkten zu beheben. |
Hoch |
CVE-2021-29492 |
GCP-2021-004
Veröffentlicht: 06.05.2021Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die Projekte von Envoy und Istio haben vor Kurzem neue Sicherheitslücken angekündigt (CVE-2021-28683, CVE-2021-28682 und CVE-2021-29258), die einen Angreifer zum Absturz von Envoy ermöglichen könnten. In Google Kubernetes Engine-Clustern wird Istio nicht standardmäßig ausgeführt und daher sind sie nicht anfällig. Wenn Istio in einem Cluster installiert und so konfiguriert ist, dass Dienste im Internet verfügbar sind, können diese Dienste anfällig für Denial-of-Service-Angriffe sein. Anthos auf Bare Metal- und Anthos-Cluster auf VMware verwenden standardmäßig Envoy für Ingress, sodass Ingress-Dienste anfällig für Denial of Service sind. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Mittel |
GCP-2021-003
Veröffentlicht: 19.04.2021Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Das Kubernetes-Projekt hat vor Kurzem eine neue Sicherheitslücke (CVE-2021-25735) bekanntgegeben. Damit können Knoten-Updates einen validierenden Zulassungs-Webhook umgehen.
In einem Szenario, in dem ein Angreifer ausreichende Berechtigungen hat und in dem ein validierender Zulassungs-Webhook implementiert ist, der alte Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Mittel |
GCP-2021-002
Veröffentlicht: 05.03.2021Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Im VMware-Sicherheitshinweis VMSA-2021-0002 hat VMware Berichte über mehrere Sicherheitslücken in VMware ESXi und vSphere Client (HTML5) erhalten. VMware hat Aktualisierungen vorgenommen, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben. Wir haben uns der offiziell dokumentierten Problemumgehung für den vSphere-Stack entsprechend dem VMware-Sicherheitshinweis bedient. Mit diesem Update werden Sicherheitslücken behoben, die in CVE-2021-21972, CVE-2021-21973 und CVE-2021-21974 beschrieben sind. Auswirkungen auf VMware EngineUnsere Untersuchungen haben ergeben, dass davon keine Kunden betroffen waren. Was soll ich tun?Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich. |
Kritisch |
GCP-2021-001
Veröffentlicht: 28.01.2021Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Im Linux-Dienstprogramm Die zugrunde liegende Infrastruktur, auf der Compute Engine ausgeführt wird, ist von dieser Sicherheitslücke nicht betroffen. Alle Cluster von Google Kubernetes Engine (GKE), Anthos-Cluster auf VMware, Anthos-Cluster in AWS und Anthos on Bare Metal sind von dieser Sicherheitslücke nicht betroffen. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
– | CVE-2021-3156 |
GCP-2020-015
Veröffentlicht: 27.12.2020Aktualisiert: 22.12.2020
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisiert: 22.12.2021: Für den folgenden GKE-Befehl sollte anstelle des Befehls gcloud container clusters update –no-enable-service-externalips Aktualisiert: 15.12.2021 für GKE ist jetzt folgende Korrektur verfügbar:
Weitere Informationen finden Sie unter Cluster härten. Das Kubernetes-Projekt entdeckte kürzlich eine neue Sicherheitslücke, CVE-2020-8554, die es einem Angreifer, der Berechtigungen erhalten hat, ermöglichen kann, einen Kubernetes-Dienst vom Typ LoadBalancer oder ClusterIP zu erstellen, um Netzwerkverkehr abzufangen, der von anderen Pods im Cluster stammt. Diese Sicherheitsanfälligkeit allein gibt einem Angreifer keine Berechtigung zum Erstellen eines Kubernetes-Dienstes. Alle Sicherheitslücken von Google Kubernetes Engine (GKE), Anthos-Clustern in VMware- und Anthos-Clustern in AWS-Clustern sind von dieser Sicherheitslücke betroffen. Was soll ich tun?Eine Anleitung und weitere Informationen finden Sie unter: |
Mittel |
CVE-2020-8554 |
GCP-2020-014
Veröffentlicht: 20.10.2020Zuletzt aktualisiert:20.10.2020
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Beim Kubernetes-Projekt wurden unlängst mehrere Probleme entdeckt, durch die es zur Offenlegung von Secret-Daten kommen kann, wenn Optionen für das ausführliche Logging aktiviert sind. Die Probleme sind:
Was soll ich tun?Aufgrund der Standardebenen für das ausführliche Logging von GKE sind keine weiteren Maßnahmen erforderlich. |
– |
Auswirkungen auf Google Cloud
Details zu den einzelnen Produkten sind unten aufgeführt.
Produkt |
Auswirkungen |
---|---|
Google Kubernetes Engine (GKE) ist nicht betroffen. |
|
GKE On-Prem ist davon nicht betroffen. |
|
GKE on AWS ist davon nicht betroffen. |
GCP-2020-013
Veröffentlicht: 29.09.2020Beschreibung
Microsoft hat die folgende Sicherheitslücke entdeckt:
Sicherheitslücke |
Schweregrad |
CVE |
---|---|---|
CVE-2020-1472: Durch eine Sicherheitslücke in Windows Server können Angreifer mit dem Netlogon Remote Protocol eine speziell entwickelte Anwendung auf einem Gerät im Netzwerk ausführen. |
NVD Base Score: 10 (Kritisch) |
Weitere Informationen finden Sie in der Microsoft-Bekanntmachung.
Auswirkungen auf Google Cloud
Die Infrastruktur, in der Google Cloud und Google-Produkte gehostet werden, ist von dieser Sicherheitslücke nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.
Produkt |
Auswirkungen |
---|---|
Compute Engine |
CVE-2020-1472 |
Google Kubernetes Engine |
CVE-2020-1472 |
Managed Service for Microsoft Active Directory |
CVE-2020-1472 |
Google Workspace |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
App Engine-Standardumgebung |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Flexible App Engine-Umgebung |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Run |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Functions |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Composer |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Dataflow |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Dataproc |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud SQL |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
GCP-2020-012
Veröffentlicht: 2020-09-14Aktualisiert: 2020-09-17
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Im Linux-Kernel wurde eine Sicherheitslücke entdeckt, die unter CVE-2020-14386 beschrieben ist. Damit kann Container-Escape Root-Berechtigungen für den Hostknoten erhalten. Alle GKE-Knoten sind betroffen. In GKE Sandbox ausgeführte Pods können diese Sicherheitslücke nicht nutzen. Anleitungen und weitere Informationen:
Welche Sicherheitslücke wird mit diesem Patch behoben? Der Patch entschärft die folgende Sicherheitslücke: Die Sicherheitslücke CVE-2020-1386 Dadurch können Container mit CAP_NET_RAW 1 bis 10 Byte des Kernel-Speichers schreiben, den Container möglicherweise meiden und Root-Berechtigungen auf dem Hostknoten erhalten. Der Schweregrad dieser Sicherheitslücke ist "Hoch". |
Hoch |
GCP-2020-011
Veröffentlicht: 24.07.2020Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Bei Kubernetes wurde vor Kurzem eine Sicherheitslücke im Netzwerk, CVE-2020-8558, entdeckt. Dienste kommunizieren manchmal über die lokale Loopback-Schnittstelle (127.0.0.1) mit anderen Anwendungen, die im gleichen Pod ausgeführt werden. Diese Sicherheitslücke ermöglicht einem Angreifer mit Zugriff auf das Netzwerk des Clusters, Traffic an die Loopback-Schnittstelle von angrenzenden Pods und Knoten zu senden. Dienste, die darauf angewiesen sind, dass die Loopback-Schnittstelle außerhalb ihres Pods nicht zugänglich ist, könnten ausgenutzt werden. Anleitungen und weitere Informationen: |
Niedrig (GKE- und Anthos-Cluster in AWS), |
GCP-2020-010
Veröffentlicht: 27.07.2020Beschreibung
Microsoft hat die folgende Sicherheitslücke entdeckt:
Sicherheitslücke |
Schweregrad |
CVE |
---|---|---|
CVE-2020-1350 – Windows-Server, die in einer DNS-Serverkapazität bereitgestellt werden, können zum Ausführen nicht vertrauenswürdiger Code über das lokale Systemkonto genutzt werden. |
NVD Base Score: 10.0 (Kritisch) |
Weitere Informationen finden Sie in der Microsoft-Bekanntmachung.
Auswirkungen auf Google Cloud
Die Infrastruktur, in der Google Cloud und Google-Produkte gehostet werden, ist von dieser Sicherheitslücke nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.
Produkt |
Auswirkungen |
---|---|
Compute Engine |
CVE-2020-1350 |
Google Kubernetes Engine |
CVE-2020-1350 |
Managed Service for Microsoft Active Directory |
CVE-2020-1350 |
Google Workspace |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
App Engine-Standardumgebung |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Flexible App Engine-Umgebung |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Run |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Functions |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Composer |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Dataflow |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Dataproc |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud SQL |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
GCP-2020-009
Veröffentlicht: 15.07.2020Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Vor Kurzem wurde in Kubernetes eine Sicherheitslücke zur Rechteausweitung, CVE-2020-8559, entdeckt. Diese Sicherheitslücke ermöglicht es einem Angreifer, der bereits einen Knoten manipuliert hat, in jedem Pod im Cluster einen Befehl auszuführen. Der Angreifer kann dadurch mit dem bereits manipulierten Knoten andere Knoten manipulieren und potenziell Informationen lesen oder destruktive Aktionen ausführen. Damit ein Angreifer diese Sicherheitslücke ausnutzen kann, muss bereits ein Knoten im Cluster manipuliert worden sein. Diese Sicherheitslücke allein beeinträchtigt also noch keine Knoten in Ihrem Cluster. Anleitungen und weitere Informationen: |
Mittel |
GCP-2020-008
Veröffentlicht: 19.06.2020Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
BeschreibungVMs, für die OS Login aktiviert ist, sind potenziell anfällig für Sicherheitslücken in Bezug auf die Rechteausweitung. Durch diese Sicherheitslücken bekommen Nutzer, die OS Login-Berechtigungen ohne Administratorzugriff erhalten haben, die Möglichkeit, zum Root-Zugriff in der VM zu eskalieren. Anleitungen und weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.
|
Hoch |
GCP-2020-007
Veröffentlicht: 01.06.2020Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Serverseitige Anfragefälschung (Server Side Request Forgery, SSRF), CVE-2020-8555, wurde kürzlich in Kubernetes entdeckt und ermöglicht bestimmten autorisierten Nutzern, bis zu 500 Byte vertraulicher Informationen aus dem Hostnetzwerk der Steuerungsebene abzurufen. Die Google Kubernetes Engine-Steuerungsebene (GKE) verwendet Controller von Kubernetes und ist daher von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, die Steuerungsebene auf die neueste Patch-Version zu aktualisieren. Ein Knotenupgrade ist nicht erforderlich. Anleitungen und weitere Informationen: |
Mittel |
GCP-2020-006
Veröffentlicht: 01.06.2020Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Kubernetes hat eine Sicherheitslücke entdeckt, die es einem berechtigten Container ermöglicht, Knoten-Traffic an einen anderen Container weiterzuleiten. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden. Alle GKE-Knoten (Google Kubernetes Engine) sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, ein Upgrade auf die neueste Patch-Version durchzuführen. Anleitungen und weitere Informationen: |
Mittel |
GCP-2020-005
Veröffentlicht: 07.05.2020Beschreibung
Sicherheitslücke |
Schweregrad |
CVE |
---|---|---|
Im Linux-Kernel wurde eine Sicherheitslücke festgestellt, die in CVE-2020-8835 beschrieben wurde. Sie ermöglicht es Container-Escape, Root-Berechtigungen auf dem Hostknoten zu erhalten. Google Kubernetes Engine-GKE-Ubuntu-Knoten mit GKE 1.16 oder 1.17 sind von dieser Sicherheitslücke betroffen. Wir empfehlen, so schnell wie möglich ein Upgrade auf die neueste Patchversion durchzuführen. Eine Anleitung und weitere Informationen finden Sie im GKE-Sicherheitsbulletin. |
Hoch |
GCP-2020-004
Veröffentlichung: 31.03.2020Zuletzt aktualisiert: 31.03.2020
Beschreibung
Kubernetes hat die folgenden Sicherheitslücken bekanntgegeben:
Sicherheitslücke |
Schweregrad |
CVE |
---|---|---|
CVE-2019-11254: Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft. |
Mittel |
Weitere Informationen und Anleitungen finden Sie im Anthos-Cluster auf VMware-Sicherheitsbulletin.
GCP-2020-003
Veröffentlichung: 31.03.2020Zuletzt aktualisiert:31.03.2020
Beschreibung
Kubernetes hat die folgenden Sicherheitslücken bekanntgegeben:
Sicherheitslücke |
Schweregrad |
CVE |
---|---|---|
CVE-2019-11254: Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft. |
Mittel |
Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.
GCP-2020-002
Veröffentlicht: 23.03.2020Zuletzt aktualisiert: 23.03.2020
Beschreibung
Kubernetes hat die folgenden Sicherheitslücken bekanntgegeben:
Sicherheitslücke |
Schweregrad |
CVE |
---|---|---|
CVE-2020-8551: Diese Sicherheitslücke von Denial of Service (DoS) wirkt sich auf die Kubelet aus. |
Mittel |
|
CVE-2020-8552: Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft. |
Mittel |
Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.
GCP-2020-001
Veröffentlicht: 21.01.2020Zuletzt aktualisiert: 21.01.2020
Beschreibung
Microsoft hat die folgende Sicherheitslücke entdeckt:
Sicherheitslücke |
Schweregrad |
CVE |
---|---|---|
CVE-2020-0601 – Diese Sicherheitslücke wird auch als Windows Crypto API-Spoofing-Sicherheitslücke bezeichnet. Sie könnte dazu genutzt werden, bösartige ausführbare Dateien vertrauenswürdig zu machen oder dem Angreifer Man-in-the-Middle-Angriffe zu ermöglichen und vertrauliche Informationen über Nutzerverbindungen mit der betroffenen Software zu entschlüsseln. |
NVD Base Score: 8,1 (hoch) |
Weitere Informationen finden Sie in der Microsoft-Bekanntmachung.
Auswirkungen auf Google Cloud
Die Infrastruktur, in der Google Cloud und Google-Produkte gehostet werden, ist von dieser Sicherheitslücke nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.
Produkt |
Auswirkungen |
---|---|
Compute Engine |
CVE-2020-0601 |
Google Kubernetes Engine |
CVE-2020-0601 |
Managed Service for Microsoft Active Directory |
CVE-2020-0601 |
Google Workspace |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
App Engine-Standardumgebung |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Flexible App Engine-Umgebung |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Run |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Functions |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Composer |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Dataflow |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Dataproc |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud SQL |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
GCP-2019-001
Veröffentlicht: 12.11.2019Zuletzt aktualisiert: 12.11.2019
Beschreibung
Die folgenden Sicherheitslücken wurden von Intel offengelegt:
Sicherheitslücke |
Schweregrad |
CVE |
---|---|---|
CVE-2019-11135 — Diese Sicherheitslücke mit der Bezeichnung TSX Async Abort (TAA) kann zur spekulativen Ausführung innerhalb einer TSX-Transaktion genutzt werden. Diese Sicherheitslücke bringt das Risiko mit sich, dass Daten Angriffen über dieselben mikroarchitektonischen Datenstrukturen ausgesetzt sind wie durch Microarchitectural Data Sampling (MDS). |
Mittel |
|
CVE-2018-12207 — Dies ist eine DoS-Sicherheitslücke (Denial of Service), die Host-VMs betrifft (nicht aber Gast-VMs). Das Problem ist als "Machine Check Error on Page Size Change" bekannt. |
Mittel |
Weitere Informationen finden Sie in den Sicherheitshinweisen von Intel:
Auswirkungen auf Google Cloud
Die Infrastruktur, in der die Google Cloud- und Google-Produkte gehostet werden, ist von diesen Sicherheitslücken nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.
Produkt |
Auswirkungen |
---|---|
Compute Engine |
CVE-2019-11135 CVE-2018-12207 |
Google Kubernetes Engine |
CVE-2019-11135 CVE-2018-12207 |
App Engine-Standardumgebung |
Es sind keine weiteren Maßnahmen erforderlich. |
Flexible App Engine-Umgebung |
CVE-2019-11135 CVE-2018-12207 |
Cloud Run |
Es sind keine weiteren Maßnahmen erforderlich. |
Cloud Functions |
Es sind keine weiteren Maßnahmen erforderlich. |
Cloud Composer |
Es sind keine weiteren Maßnahmen erforderlich. |
Dataflow |
CVE-2019-11135 CVE-2018-12207 |
Dataproc |
CVE-2019-11135 CVE-2018-12207 |
Cloud SQL |
Es sind keine weiteren Maßnahmen erforderlich. |