Google Cloud Platform-Sicherheitsbulletins

Die folgenden Sicherheitsbulletins beziehen sich auf Google Cloud.

GCP-2020-009

Veröffentlicht: 15. 07. 2020

Beschreibung

Beschreibung Schweregrad Hinweise

Kürzlich wurde in Kubernetes eine Sicherheitslücke zur Rechteausweitung, CVE-2020-8559, ermittelt. Diese Sicherheitslücke ermöglicht es einem Angreifer, der bereits einen Knoten manipuliert hat, in jedem Pod im Cluster einen Befehl auszuführen. Der Angreifer kann dadurch mit dem bereits manipulierten Knoten andere Knoten manipulieren und potenziell Informationen lesen oder schädigende Aktionen ausführen.

Damit ein Angreifer diese Sicherheitslücke nutzen kann, muss bereits ein Knoten im Cluster manipuliert worden sein. Diese Sicherheitslücke allein beeinträchtigt also noch keine Knoten in Ihrem Cluster.

Eine Anleitung und weitere Informationen finden Sie unter:

Mittel

CVE-2020-8559

GCP-2020-008

Veröffentlicht: 19. 06. 2020

Beschreibung

Beschreibung Schweregrad Hinweise

Beschreibung

VMs, für die OS Login aktiviert ist, sind potenziell anfällig für Sicherheitslücken in Bezug auf die Rechteausweitung. Durch diese Sicherheitslücken bekommen Nutzer, die OS Login-Berechtigungen ohne Administratorzugriff erhalten haben, die Möglichkeit, zum Root-Zugriff in der VM zu eskalieren.

Anleitungen und weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.

Hoch

GCP-2020-007

Veröffentlicht: 01. 06. 2020

Beschreibung

Beschreibung Schweregrad Hinweise

Serverseitige Anfragefälschung (Server Side Request Forgery, SSRF), CVE-2020-8555, wurde kürzlich in Kubernetes entdeckt und ermöglicht bestimmten autorisierten Nutzern, bis zu 500 Byte vertraulicher Informationen aus dem Hostnetzwerk der Steuerungsebene abzurufen. Die Google Kubernetes Engine-Steuerungsebene (GKE) verwendet Controller von Kubernetes und ist daher von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, die Steuerungsebene auf die neueste Patch-Version zu aktualisieren. Ein Knotenupgrade ist nicht erforderlich.

Eine Anleitung und weitere Informationen finden Sie unter:

Mittel

CVE-2020-8555

GCP-2020-006

Veröffentlicht: 01. 06. 2020

Beschreibung

Beschreibung Schweregrad Hinweise

Kubernetes hat eine Sicherheitslücke entdeckt, die es einem berechtigten Container ermöglicht, Knoten-Traffic an einen anderen Container weiterzuleiten. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden. Alle GKE-Knoten (Google Kubernetes Engine) sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, ein Upgrade auf die neueste Patch-Version durchzuführen.

Eine Anleitung und weitere Informationen finden Sie unter:

Mittel

Kubernetes-Problem 91507

GCP-2020-005

Veröffentlicht: 07. 05. 2020

Beschreibung

Sicherheitslücke

Schweregrad

CVE

Vor Kurzem wurde im Linux-Kernel eine Sicherheitslücke entdeckt, die unter CVE-2020-8835 beschrieben wird. Sie ermöglicht Container-Escape, Root-Berechtigungen auf dem Hostknoten zu erhalten.

GKE-Ubuntu-Knoten (Google Kubernetes Engine) mit GKE 1.16 oder 1.17 sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, so bald wie möglich ein Upgrade auf die neueste Patchversion durchzuführen.

Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.

Hoch

CVE-2020-8835

GCP-2020-004

Veröffentlicht: 31. 03. 2020 | Zuletzt aktualisiert: 31. 03. 2020

Beschreibung

Kubernetes hat die folgenden Sicherheitslücken bekanntgegeben:

Sicherheitslücke

Schweregrad

CVE

CVE-2019-11254 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft.

Mittel

CVE-2019-11254

Weitere Informationen und Anleitungen finden Sie im GKE On-Prem-Sicherheitsbulletin.

GCP-2020-003

Veröffentlicht: 31. 03. 2020 | Zuletzt aktualisiert: 31. 03. 2020

Beschreibung

Kubernetes hat die folgenden Sicherheitslücken bekanntgegeben:

Sicherheitslücke

Schweregrad

CVE

CVE-2019-11254 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft.

Mittel

CVE-2019-11254

Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.

GCP-2020-002

Veröffentlicht: 23. 03. 2020 | Zuletzt aktualisiert: 23. 03. 2020

Beschreibung

Kubernetes hat die folgenden Sicherheitslücken bekanntgegeben:

Sicherheitslücke

Schweregrad

CVE

CVE-2020-8551 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die das Kubelet betrifft.

Mittel

CVE-2020-8551

CVE-2020-8552 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft.

Mittel

CVE-2020-8552

Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.

GCP-2020-001

Veröffentlicht: 21. 01. 2020 | Zuletzt aktualisiert: 21. 01. 2020

Beschreibung

Microsoft hat die folgende Sicherheitslücke entdeckt:

Sicherheitslücke

Schweregrad

CVE

CVE-2020-0601 – Diese Sicherheitslücke wird auch als Windows Crypto API-Spoofing-Sicherheitslücke bezeichnet. Sie könnte dazu genutzt werden, bösartige ausführbare Dateien vertrauenswürdig zu machen oder dem Angreifer Man-in-the-Middle-Angriffe zu ermöglichen und vertrauliche Informationen über Nutzerverbindungen mit der betroffenen Software zu entschlüsseln.

NVD Base Score: 8,1 (hoch)

CVE-2020-0601

Weitere Informationen finden Sie in der Microsoft-Bekanntmachung.

Auswirkungen auf Google Cloud

Die Infrastruktur, in der Google Cloud und Google-Produkte gehostet werden, ist von dieser Sicherheitslücke nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.

Produkt

Auswirkungen

Compute Engine

CVE-2020-0601

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die virtuelle Compute Engine-Maschinen mit Windows Server verwenden, sollten dafür sorgen, dass ihre Instanzen den neuesten Windows-Patch haben oder Windows Server-Images verwenden, die seit dem 15. Januar 2020 bereitgestellt werden. Weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.

Google Kubernetes Engine

CVE-2020-0601

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die GKE mit Windows Server-Knoten verwenden, müssen sowohl die Knoten als auch die containerbasierten Arbeitslasten, die auf diesen Knoten ausgeführt werden, auf gepatchte Versionen aktualisieren, um diese Sicherheitslücke zu verringern. Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.

Managed Service for Microsoft Active Directory

CVE-2020-0601

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Alle verwalteten Microsoft AD-Domains wurden automatisch mit dem gepatchten Image aktualisiert. Alle Kunden, die Microsoft Active Directory manuell ausführen und Managed Microsoft AD nicht verwenden, sollten dafür sorgen, dass ihre Instanzen den neuesten Windows-Patch haben oder Windows Server-Images verwenden, die seit dem 15. Januar 2020 bereitgestellt werden.

G Suite

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

App Engine-Standardumgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Flexible App Engine-Umgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Run

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Functions

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Composer

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataflow

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataproc

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud SQL

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

GCP-2019-001

Veröffentlicht: 12. 11. 2019 | Zuletzt aktualisiert: 12. 11. 2019

Beschreibung

Die folgenden Sicherheitslücken wurden von Intel offengelegt:

Sicherheitslücke

Schweregrad

CVE

CVE-2019-11135 — Diese Sicherheitslücke mit der Bezeichnung TSX Async Abort (TAA) kann zur spekulativen Ausführung innerhalb einer TSX-Transaktion genutzt werden. Diese Sicherheitslücke bringt das Risiko mit sich, dass Daten Angriffen über dieselben mikroarchitektonischen Datenstrukturen ausgesetzt sind wie durch Microarchitectural Data Sampling (MDS).

Mittel

CVE-2019-11135

CVE-2018-12207 — Dies ist eine DoS-Sicherheitslücke (Denial of Service), die Host-VMs betrifft (nicht aber Gast-VMs). Das Problem ist als "Machine Check Error on Page Size Change" bekannt.

Mittel

CVE-2018-12207

Weitere Informationen finden Sie in den Sicherheitshinweisen von Intel:

Auswirkungen auf Google Cloud

Die Infrastruktur, in der die Google Cloud- und Google-Produkte gehostet werden, ist von diesen Sicherheitslücken nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.

Produkt

Auswirkungen

Compute Engine

CVE-2019-11135

Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich.

N2-, C2- oder M2-Kunden, die auf virtuellen Maschinen von Compute Engine für ihre eigenen Dienste mit mehreren Mandanten nicht vertrauenswürdigen Code ausführen, sollten ihre VMs beenden und wieder starten, um zu gewährleisten, dass die neuesten Sicherheitsmaßnahmen vorliegen.

Google Kubernetes Engine

CVE-2019-11135

Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Wenn Sie Knotenpools mit N2-, M2- oder C2-Knoten verwenden und für diese Knoten in Ihren eigenen GKE-Clustern mit mehreren Mandanten nicht vertrauenswürdigen Code ausführen, sollten Sie Ihre Knoten neu starten. Wenn Sie alle Knoten in Ihrem Knotenpool neu starten möchten, müssen Sie den betroffenen Knotenpool aktualisieren.

CVE-2018-12207

Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.

App Engine-Standardumgebung

Es sind keine weiteren Maßnahmen erforderlich.

Flexible App Engine-Umgebung

CVE-2019-11135

Es sind keine weiteren Maßnahmen erforderlich.

Kunden sollten sich die Best Practices von Intel bezüglich der Freigabe auf Anwendungsebene durchlesen. Diese kann innerhalb einer Flex-VM zwischen Hyperthreads auftreten.

CVE-2018-12207

Es sind keine weiteren Maßnahmen erforderlich.

Cloud Run

Es sind keine weiteren Maßnahmen erforderlich.

Cloud Functions

Es sind keine weiteren Maßnahmen erforderlich.

Cloud Composer

Es sind keine weiteren Maßnahmen erforderlich.

Dataflow

CVE-2019-11135

Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Dataflow-Kunden, die mehrere von Dataflow verwaltete, nicht vertrauenswürdige Arbeitslasten auf N2-, C2- oder M2-VMs in Compute Engine ausführen und sich Sorgen um interne Angriffe von Gast-VMs machen, sollten alle aktuell ausgeführten Streamingpipelines neu starten. Optional können Batchpipelines beendet und neu ausgeführt werden. Für Pipelines, die nach dem heutigen Datum gestartet werden, sind keine Maßnahmen erforderlich.

CVE-2018-12207

Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.

Dataproc

CVE-2019-11135

Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Cloud Dataproc-Kunden, die mehrere nicht vertrauenswürdige Arbeitslasten auf demselben Cloud Dataproc-Cluster ausführen, der auf N2-, C2- oder M2-VMs in Compute Engine ausgeführt wird, und sich Sorgen um interne Angriffe von Gast-VMs machen, sollten ihre Cluster neu bereitstellen.

CVE-2018-12207

Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.

Cloud SQL

Es sind keine weiteren Maßnahmen erforderlich.