Google Cloud Platform-Sicherheitsbulletins

Die folgenden Sicherheitsbulletins beziehen sich auf Google Cloud.

GCP-2020-009

Veröffentlicht: 15. 07. 2020

Beschreibung

Beschreibung	Schweregrad	Hinweise
Kürzlich wurde in Kubernetes eine Sicherheitslücke zur Rechteausweitung, CVE-2020-8559, ermittelt. Diese Sicherheitslücke ermöglicht es einem Angreifer, der bereits einen Knoten manipuliert hat, in jedem Pod im Cluster einen Befehl auszuführen. Der Angreifer kann dadurch mit dem bereits manipulierten Knoten andere Knoten manipulieren und potenziell Informationen lesen oder schädigende Aktionen ausführen. Damit ein Angreifer diese Sicherheitslücke nutzen kann, muss bereits ein Knoten im Cluster manipuliert worden sein. Diese Sicherheitslücke allein beeinträchtigt also noch keine Knoten in Ihrem Cluster. Eine Anleitung und weitere Informationen finden Sie unter: GKE-Sicherheitsbulletin GKE On-Prem-Sicherheitsbulletin GKE auf AWS-Sicherheitsbulletin	Mittel	CVE-2020-8559

Schweregrad

Hinweise

Kürzlich wurde in Kubernetes eine Sicherheitslücke zur Rechteausweitung, CVE-2020-8559, ermittelt. Diese Sicherheitslücke ermöglicht es einem Angreifer, der bereits einen Knoten manipuliert hat, in jedem Pod im Cluster einen Befehl auszuführen. Der Angreifer kann dadurch mit dem bereits manipulierten Knoten andere Knoten manipulieren und potenziell Informationen lesen oder schädigende Aktionen ausführen.

Damit ein Angreifer diese Sicherheitslücke nutzen kann, muss bereits ein Knoten im Cluster manipuliert worden sein. Diese Sicherheitslücke allein beeinträchtigt also noch keine Knoten in Ihrem Cluster.

Eine Anleitung und weitere Informationen finden Sie unter:

Mittel

CVE-2020-8559

GCP-2020-008

Veröffentlicht: 19. 06. 2020

Beschreibung

Beschreibung	Schweregrad	Hinweise
Beschreibung VMs, für die OS Login aktiviert ist, sind potenziell anfällig für Sicherheitslücken in Bezug auf die Rechteausweitung. Durch diese Sicherheitslücken bekommen Nutzer, die OS Login-Berechtigungen ohne Administratorzugriff erhalten haben, die Möglichkeit, zum Root-Zugriff in der VM zu eskalieren. Anleitungen und weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.	Hoch	CVE-2020-8903 CVE-2020-8907 CVE-2020-8933

Schweregrad

Hinweise

Beschreibung

VMs, für die OS Login aktiviert ist, sind potenziell anfällig für Sicherheitslücken in Bezug auf die Rechteausweitung. Durch diese Sicherheitslücken bekommen Nutzer, die OS Login-Berechtigungen ohne Administratorzugriff erhalten haben, die Möglichkeit, zum Root-Zugriff in der VM zu eskalieren.

Anleitungen und weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.

Hoch

GCP-2020-007

Veröffentlicht: 01. 06. 2020

Beschreibung

Beschreibung	Schweregrad	Hinweise
Serverseitige Anfragefälschung (Server Side Request Forgery, SSRF), CVE-2020-8555, wurde kürzlich in Kubernetes entdeckt und ermöglicht bestimmten autorisierten Nutzern, bis zu 500 Byte vertraulicher Informationen aus dem Hostnetzwerk der Steuerungsebene abzurufen. Die Google Kubernetes Engine-Steuerungsebene (GKE) verwendet Controller von Kubernetes und ist daher von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, die Steuerungsebene auf die neueste Patch-Version zu aktualisieren. Ein Knotenupgrade ist nicht erforderlich. Eine Anleitung und weitere Informationen finden Sie unter: GKE-Sicherheitsbulletin GKE On-Prem-Sicherheitsbulletin GKE auf AWS-Sicherheitsbulletin	Mittel	CVE-2020-8555

Schweregrad

Hinweise

Serverseitige Anfragefälschung (Server Side Request Forgery, SSRF), CVE-2020-8555, wurde kürzlich in Kubernetes entdeckt und ermöglicht bestimmten autorisierten Nutzern, bis zu 500 Byte vertraulicher Informationen aus dem Hostnetzwerk der Steuerungsebene abzurufen. Die Google Kubernetes Engine-Steuerungsebene (GKE) verwendet Controller von Kubernetes und ist daher von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, die Steuerungsebene auf die neueste Patch-Version zu aktualisieren. Ein Knotenupgrade ist nicht erforderlich.

Eine Anleitung und weitere Informationen finden Sie unter:

Mittel

CVE-2020-8555

GCP-2020-006

Veröffentlicht: 01. 06. 2020

Beschreibung

Beschreibung	Schweregrad	Hinweise
Kubernetes hat eine Sicherheitslücke entdeckt, die es einem berechtigten Container ermöglicht, Knoten-Traffic an einen anderen Container weiterzuleiten. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden. Alle GKE-Knoten (Google Kubernetes Engine) sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, ein Upgrade auf die neueste Patch-Version durchzuführen. Eine Anleitung und weitere Informationen finden Sie unter: GKE-Sicherheitsbulletin GKE On-Prem-Sicherheitsbulletin GKE auf AWS-Sicherheitsbulletin	Mittel	Kubernetes-Problem 91507

Schweregrad

Hinweise

Kubernetes hat eine Sicherheitslücke entdeckt, die es einem berechtigten Container ermöglicht, Knoten-Traffic an einen anderen Container weiterzuleiten. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden. Alle GKE-Knoten (Google Kubernetes Engine) sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, ein Upgrade auf die neueste Patch-Version durchzuführen.

Eine Anleitung und weitere Informationen finden Sie unter:

Mittel

Kubernetes-Problem 91507

GCP-2020-005

Veröffentlicht: 07. 05. 2020

Beschreibung

Sicherheitslücke	Schweregrad	CVE
Vor Kurzem wurde im Linux-Kernel eine Sicherheitslücke entdeckt, die unter CVE-2020-8835 beschrieben wird. Sie ermöglicht Container-Escape, Root-Berechtigungen auf dem Hostknoten zu erhalten. GKE-Ubuntu-Knoten (Google Kubernetes Engine) mit GKE 1.16 oder 1.17 sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, so bald wie möglich ein Upgrade auf die neueste Patchversion durchzuführen. Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.	Hoch	CVE-2020-8835

Sicherheitslücke

Schweregrad

CVE

Vor Kurzem wurde im Linux-Kernel eine Sicherheitslücke entdeckt, die unter CVE-2020-8835 beschrieben wird. Sie ermöglicht Container-Escape, Root-Berechtigungen auf dem Hostknoten zu erhalten.

GKE-Ubuntu-Knoten (Google Kubernetes Engine) mit GKE 1.16 oder 1.17 sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, so bald wie möglich ein Upgrade auf die neueste Patchversion durchzuführen.

Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.

Hoch

CVE-2020-8835

GCP-2020-004

Veröffentlicht: 31. 03. 2020 | Zuletzt aktualisiert: 31. 03. 2020

Beschreibung

Kubernetes hat die folgenden Sicherheitslücken bekanntgegeben:

Sicherheitslücke	Schweregrad	CVE
CVE-2019-11254 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft.	Mittel	CVE-2019-11254

Weitere Informationen und Anleitungen finden Sie im GKE On-Prem-Sicherheitsbulletin.

GCP-2020-003

Veröffentlicht: 31. 03. 2020 | Zuletzt aktualisiert: 31. 03. 2020

Beschreibung

Kubernetes hat die folgenden Sicherheitslücken bekanntgegeben:

Sicherheitslücke	Schweregrad	CVE
CVE-2019-11254 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft.	Mittel	CVE-2019-11254

Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.

GCP-2020-002

Veröffentlicht: 23. 03. 2020 | Zuletzt aktualisiert: 23. 03. 2020

Beschreibung

Kubernetes hat die folgenden Sicherheitslücken bekanntgegeben:

Sicherheitslücke	Schweregrad	CVE
CVE-2020-8551 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die das Kubelet betrifft.	Mittel	CVE-2020-8551
CVE-2020-8552 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft.	Mittel	CVE-2020-8552

Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.

GCP-2020-001

Veröffentlicht: 21. 01. 2020 | Zuletzt aktualisiert: 21. 01. 2020

Beschreibung

Microsoft hat die folgende Sicherheitslücke entdeckt:

Sicherheitslücke	Schweregrad	CVE
CVE-2020-0601 – Diese Sicherheitslücke wird auch als Windows Crypto API-Spoofing-Sicherheitslücke bezeichnet. Sie könnte dazu genutzt werden, bösartige ausführbare Dateien vertrauenswürdig zu machen oder dem Angreifer Man-in-the-Middle-Angriffe zu ermöglichen und vertrauliche Informationen über Nutzerverbindungen mit der betroffenen Software zu entschlüsseln.	NVD Base Score: 8,1 (hoch)	CVE-2020-0601

Weitere Informationen finden Sie in der Microsoft-Bekanntmachung.

Auswirkungen auf Google Cloud

Die Infrastruktur, in der Google Cloud und Google-Produkte gehostet werden, ist von dieser Sicherheitslücke nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.

Produkt	Auswirkungen
Compute Engine	CVE-2020-0601 Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich. Kunden, die virtuelle Compute Engine-Maschinen mit Windows Server verwenden, sollten dafür sorgen, dass ihre Instanzen den neuesten Windows-Patch haben oder Windows Server-Images verwenden, die seit dem 15. Januar 2020 bereitgestellt werden. Weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.
Google Kubernetes Engine	CVE-2020-0601 Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich. Kunden, die GKE mit Windows Server-Knoten verwenden, müssen sowohl die Knoten als auch die containerbasierten Arbeitslasten, die auf diesen Knoten ausgeführt werden, auf gepatchte Versionen aktualisieren, um diese Sicherheitslücke zu verringern. Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.
Managed Service for Microsoft Active Directory	CVE-2020-0601 Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich. Alle verwalteten Microsoft AD-Domains wurden automatisch mit dem gepatchten Image aktualisiert. Alle Kunden, die Microsoft Active Directory manuell ausführen und Managed Microsoft AD nicht verwenden, sollten dafür sorgen, dass ihre Instanzen den neuesten Windows-Patch haben oder Windows Server-Images verwenden, die seit dem 15. Januar 2020 bereitgestellt werden.
G Suite	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
App Engine-Standardumgebung	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Flexible App Engine-Umgebung	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Cloud Run	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Cloud Functions	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Cloud Composer	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Dataflow	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Dataproc	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Cloud SQL	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

GCP-2019-001

Veröffentlicht: 12. 11. 2019 | Zuletzt aktualisiert: 12. 11. 2019

Beschreibung

Die folgenden Sicherheitslücken wurden von Intel offengelegt:

Sicherheitslücke	Schweregrad	CVE
CVE-2019-11135 — Diese Sicherheitslücke mit der Bezeichnung TSX Async Abort (TAA) kann zur spekulativen Ausführung innerhalb einer TSX-Transaktion genutzt werden. Diese Sicherheitslücke bringt das Risiko mit sich, dass Daten Angriffen über dieselben mikroarchitektonischen Datenstrukturen ausgesetzt sind wie durch Microarchitectural Data Sampling (MDS).	Mittel	CVE-2019-11135
CVE-2018-12207 — Dies ist eine DoS-Sicherheitslücke (Denial of Service), die Host-VMs betrifft (nicht aber Gast-VMs). Das Problem ist als "Machine Check Error on Page Size Change" bekannt.	Mittel	CVE-2018-12207

Weitere Informationen finden Sie in den Sicherheitshinweisen von Intel:

Auswirkungen auf Google Cloud

Die Infrastruktur, in der die Google Cloud- und Google-Produkte gehostet werden, ist von diesen Sicherheitslücken nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.

Produkt	Auswirkungen
Compute Engine	CVE-2019-11135 Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich. N2-, C2- oder M2-Kunden, die auf virtuellen Maschinen von Compute Engine für ihre eigenen Dienste mit mehreren Mandanten nicht vertrauenswürdigen Code ausführen, sollten ihre VMs beenden und wieder starten, um zu gewährleisten, dass die neuesten Sicherheitsmaßnahmen vorliegen. Hinweis: Weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin. CVE-2018-12207 Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.
Google Kubernetes Engine	CVE-2019-11135 Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich. Wenn Sie Knotenpools mit N2-, M2- oder C2-Knoten verwenden und für diese Knoten in Ihren eigenen GKE-Clustern mit mehreren Mandanten nicht vertrauenswürdigen Code ausführen, sollten Sie Ihre Knoten neu starten. Wenn Sie alle Knoten in Ihrem Knotenpool neu starten möchten, müssen Sie den betroffenen Knotenpool aktualisieren. Hinweis: Sie können dieselbe GKE-Version für ein Upgrade Ihres Knotenpools angeben. Weitere Informationen finden Sie im GKE-Sicherheitsbulletin. CVE-2018-12207 Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.
App Engine-Standardumgebung	Es sind keine weiteren Maßnahmen erforderlich.
Flexible App Engine-Umgebung	CVE-2019-11135 Es sind keine weiteren Maßnahmen erforderlich. Kunden sollten sich die Best Practices von Intel bezüglich der Freigabe auf Anwendungsebene durchlesen. Diese kann innerhalb einer Flex-VM zwischen Hyperthreads auftreten. CVE-2018-12207 Es sind keine weiteren Maßnahmen erforderlich.
Cloud Run	Es sind keine weiteren Maßnahmen erforderlich.
Cloud Functions	Es sind keine weiteren Maßnahmen erforderlich.
Cloud Composer	Es sind keine weiteren Maßnahmen erforderlich.
Dataflow	CVE-2019-11135 Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich. Dataflow-Kunden, die mehrere von Dataflow verwaltete, nicht vertrauenswürdige Arbeitslasten auf N2-, C2- oder M2-VMs in Compute Engine ausführen und sich Sorgen um interne Angriffe von Gast-VMs machen, sollten alle aktuell ausgeführten Streamingpipelines neu starten. Optional können Batchpipelines beendet und neu ausgeführt werden. Für Pipelines, die nach dem heutigen Datum gestartet werden, sind keine Maßnahmen erforderlich. CVE-2018-12207 Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.
Dataproc	CVE-2019-11135 Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich. Cloud Dataproc-Kunden, die mehrere nicht vertrauenswürdige Arbeitslasten auf demselben Cloud Dataproc-Cluster ausführen, der auf N2-, C2- oder M2-VMs in Compute Engine ausgeführt wird, und sich Sorgen um interne Angriffe von Gast-VMs machen, sollten ihre Cluster neu bereitstellen. CVE-2018-12207 Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.
Cloud SQL	Es sind keine weiteren Maßnahmen erforderlich.