Google Cloud Platform-Sicherheitsbulletins

Die folgenden Sicherheitsbulletins beziehen sich auf Google Cloud.

GCP-2020-015

Beschreibung

Veröffentlicht: 07-12-2020

Beschreibung	Schweregrad	Hinweise
Das Kubernetes-Projekt entdeckte kürzlich eine neue Sicherheitslücke, CVE-2020-8554, die es einem Angreifer, der Berechtigungen erhalten hat, ermöglichen kann, einen Kubernetes-Dienst vom Typ LoadBalancer oder ClusterIP zu erstellen, um Netzwerkverkehr abzufangen, der von anderen Pods im Cluster stammt. Diese Sicherheitsanfälligkeit allein gibt einem Angreifer keine Berechtigung zum Erstellen eines Kubernetes-Dienstes. Alle Sicherheitslücken von Google Kubernetes Engine (GKE), Anthos-Clustern in VMware- und Anthos-Clustern in AWS-Clustern sind von dieser Sicherheitslücke betroffen. Was soll ich tun? Eine Anleitung und weitere Informationen finden Sie unter: GKE-Sicherheitsbulletin Anthos-Cluster auf dem VMware-Sicherheitsbulletin Anthos-Cluster auf AWS-Sicherheitsbulletins	Mittel	CVE-2020-8554

Beschreibung

Schweregrad

Hinweise

Das Kubernetes-Projekt entdeckte kürzlich eine neue Sicherheitslücke, CVE-2020-8554, die es einem Angreifer, der Berechtigungen erhalten hat, ermöglichen kann, einen Kubernetes-Dienst vom Typ LoadBalancer oder ClusterIP zu erstellen, um Netzwerkverkehr abzufangen, der von anderen Pods im Cluster stammt. Diese Sicherheitsanfälligkeit allein gibt einem Angreifer keine Berechtigung zum Erstellen eines Kubernetes-Dienstes.

Alle Sicherheitslücken von Google Kubernetes Engine (GKE), Anthos-Clustern in VMware- und Anthos-Clustern in AWS-Clustern sind von dieser Sicherheitslücke betroffen.

Was soll ich tun?

Eine Anleitung und weitere Informationen finden Sie unter:

Mittel

CVE-2020-8554

GCP-2020-014

Beschreibung

Veröffentlicht: 20.10.2020
Zuletzt aktualisiert: 20.10.2020

Beschreibung	Schweregrad	Hinweise
Beim Kubernetes-Projekt wurden unlängst mehrere Probleme entdeckt, durch die es zur Offenlegung von Secret-Daten kommen kann, wenn Optionen für das ausführliche Logging aktiviert sind. Die Probleme sind: CVE-2020-8563: Schwachstellen bei Secrets in Logs für den kube-controller-manager des vSphere-Anbieters CVE-2020-8564: Schwachstellen bei Docker-Konfigurations-Secrets, wenn die Datei fehlerhaft und loglevel >= 4 ist CVE-2020-8565: Unvollständige Fehlerkorrektur für CVE-2019-11250 in Kubernetes ermöglicht Schwachstellen bei Tokens in Logs mit logLevel >= 9. Von GKE-Sicherheit erkannt. CVE-2020-8566: adminSecrets von Ceph RBD in Logs mit loglevel >= 4 offengelegt Was soll ich tun? Aufgrund der Standardebenen für das ausführliche Logging von GKE sind keine weiteren Maßnahmen erforderlich.	–	CVE-2020-8563 CVE-2020-8564 CVE-2020-8565 CVE-2020-8566

Beschreibung

Schweregrad

Hinweise

Beim Kubernetes-Projekt wurden unlängst mehrere Probleme entdeckt, durch die es zur Offenlegung von Secret-Daten kommen kann, wenn Optionen für das ausführliche Logging aktiviert sind. Die Probleme sind:

CVE-2020-8563: Schwachstellen bei Secrets in Logs für den kube-controller-manager des vSphere-Anbieters
CVE-2020-8564: Schwachstellen bei Docker-Konfigurations-Secrets, wenn die Datei fehlerhaft und loglevel >= 4 ist
CVE-2020-8565: Unvollständige Fehlerkorrektur für CVE-2019-11250 in Kubernetes ermöglicht Schwachstellen bei Tokens in Logs mit logLevel >= 9. Von GKE-Sicherheit erkannt.
CVE-2020-8566: adminSecrets von Ceph RBD in Logs mit loglevel >= 4 offengelegt

Was soll ich tun?

Aufgrund der Standardebenen für das ausführliche Logging von GKE sind keine weiteren Maßnahmen erforderlich.

–

Auswirkungen auf Google Cloud

Details zu den einzelnen Produkten sind unten aufgeführt.

Produkt	Auswirkungen
Google Kubernetes Engine (GKE)	Google Kubernetes Engine (GKE) ist nicht betroffen.
GKE On-Prem	GKE On-Prem ist nicht betroffen.
GKE on AWS	GKE on AWS ist nicht betroffen.

GCP-2020-013

Veröffentlicht: 2020-09-29

Beschreibung

Microsoft hat die folgende Sicherheitslücke entdeckt:

Sicherheitslücke	Schweregrad	CVE
CVE-2020-1472: Durch eine Sicherheitslücke in Windows Server können Angreifer mit dem Netlogon Remote Protocol eine speziell entwickelte Anwendung auf einem Gerät im Netzwerk ausführen.	NVD Base Score: 10 (Kritisch)	CVE-2020-1472

Weitere Informationen finden Sie in der Microsoft-Bekanntmachung.

Auswirkungen auf Google Cloud

Die Infrastruktur, in der Google Cloud und Google-Produkte gehostet werden, ist von dieser Sicherheitslücke nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.

Produkt	Auswirkungen
Compute Engine	CVE-2020-1472 Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich. Kunden, die virtuelle Compute Engine-Maschinen mit Windows Server verwenden, sollten darauf achten, dass auf ihre Instanzen der neueste Windows-Patch aufgespielt wurde oder sie nach dem 17.08.2020 veröffentlichte Windows Server-Images nutzen (Version 20200813 oder höher).
Google Kubernetes Engine	CVE-2020-1472 Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich. Kunden, die Domain-Controller in ihren GKE Windows Server-Knoten hosten, sollten sicherstellen, dass sowohl die Knoten als auch die Arbeitslasten in den Containern, die auf diesen Knoten ausgeführt werden, das neueste Windows-Knoten-Image haben, wenn es verfügbar ist. Eine neue Node-Image-Version wird im Oktober in den GKE-Versionshinweisen angekündigt.
Managed Service for Microsoft Active Directory	CVE-2020-1472 Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich. Der von Microsoft veröffentlichte August-Patch, der Korrekturen an dem NetLogon-Protokoll enthält, wurde auf alle verwalteten Microsoft AD-Domaincontroller angewendet. Dieser Patch bietet Funktionen zum Schutz vor potenziellen Angriffen. Der rechtzeitige Einsatz von Patches ist einer der Hauptvorteile des Managed Service for Microsoft Active Directory. Kunden, die Microsoft Active Directory manuell ausführen (und nicht den verwalteten Google Cloud-Dienst verwenden) sollten darauf achten, dass ihre Instanzen den neuesten Windows-Patch aufgespielt haben oder Windows Server-Images verwenden.
Google Workspace	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
App Engine-Standardumgebung	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Flexible App Engine-Umgebung	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Cloud Run	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Cloud Functions	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Cloud Composer	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Dataflow	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Dataproc	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Cloud SQL	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

GCP-2020-012

Veröffentlicht: 14.09.2019
Zuletzt aktualisiert: 17.09.2019

Beschreibung	Schweregrad	Hinweise
Im Linux-Kernel wurde eine Sicherheitslücke entdeckt, die unter CVE-2020-14386 beschrieben ist. Damit kann Container-Escape Root-Berechtigungen für den Hostknoten erhalten. Alle GKE-Knoten sind betroffen. In GKE Sandbox ausgeführte Pods können diese Sicherheitslücke nicht nutzen. Eine Anleitung und weitere Informationen finden Sie unter: GKE-Sicherheitsbulletin Anthos-Cluster auf dem VMware-Sicherheitsbulletin. Anthos-Cluster im AWS-Sicherheitsbulletin Welche Sicherheitslücke wird mit diesem Patch behoben? Der Patch entschärft die folgende Sicherheitslücke: Die Sicherheitslücke CVE-2020-1386 Dadurch können Container mit CAP_NET_RAW 1 bis 10 Byte des Kernel-Speichers schreiben, den Container möglicherweise meiden und Root-Berechtigungen auf dem Hostknoten erhalten. Der Schweregrad dieser Sicherheitslücke ist "Hoch".	Hoch	CVE-2020-14386

Beschreibung

Schweregrad

Hinweise

Im Linux-Kernel wurde eine Sicherheitslücke entdeckt, die unter CVE-2020-14386 beschrieben ist. Damit kann Container-Escape Root-Berechtigungen für den Hostknoten erhalten.

Alle GKE-Knoten sind betroffen. In GKE Sandbox ausgeführte Pods können diese Sicherheitslücke nicht nutzen.

Eine Anleitung und weitere Informationen finden Sie unter:

Welche Sicherheitslücke wird mit diesem Patch behoben?

Der Patch entschärft die folgende Sicherheitslücke:

Die Sicherheitslücke CVE-2020-1386 Dadurch können Container mit CAP_NET_RAW
1 bis 10 Byte des Kernel-Speichers schreiben, den Container möglicherweise meiden und Root-Berechtigungen auf dem Hostknoten erhalten. Der Schweregrad dieser Sicherheitslücke ist "Hoch".

Hoch

CVE-2020-14386

GCP-2020-011

Veröffentlicht: 24.07.2020

Beschreibung

Beschreibung	Schweregrad	Hinweise
Bei Kubernetes wurde vor Kurzem eine Sicherheitslücke im Netzwerk, CVE-2020-8558, entdeckt. Dienste kommunizieren manchmal über die lokale Loopback-Schnittstelle (127.0.0.1) mit anderen Anwendungen, die im gleichen Pod ausgeführt werden. Diese Sicherheitslücke ermöglicht einem Angreifer mit Zugriff auf das Netzwerk des Clusters, Traffic an die Loopback-Schnittstelle von angrenzenden Pods und Knoten zu senden. Dienste, die darauf angewiesen sind, dass die Loopback-Schnittstelle außerhalb ihres Pods nicht zugänglich ist, könnten ausgenutzt werden. Eine Anleitung und weitere Informationen finden Sie unter: GKE-Sicherheitsbulletin Anthos-Cluster auf dem VMware-Sicherheitsbulletin Anthos-Cluster auf AWS-Sicherheitsbulletins	Niedrig (GKE- und Anthos-Cluster in AWS), Mittel (Anthos-Cluster in VMware)	CVE-2020-8558

Schweregrad

Hinweise

Bei Kubernetes wurde vor Kurzem eine Sicherheitslücke im Netzwerk, CVE-2020-8558, entdeckt. Dienste kommunizieren manchmal über die lokale Loopback-Schnittstelle (127.0.0.1) mit anderen Anwendungen, die im gleichen Pod ausgeführt werden. Diese Sicherheitslücke ermöglicht einem Angreifer mit Zugriff auf das Netzwerk des Clusters, Traffic an die Loopback-Schnittstelle von angrenzenden Pods und Knoten zu senden. Dienste, die darauf angewiesen sind, dass die Loopback-Schnittstelle außerhalb ihres Pods nicht zugänglich ist, könnten ausgenutzt werden.

Eine Anleitung und weitere Informationen finden Sie unter:

Niedrig (GKE- und Anthos-Cluster in AWS),
Mittel (Anthos-Cluster in VMware)

CVE-2020-8558

GCP-2020-010

Veröffentlicht: 27.07.2020

Beschreibung

Microsoft hat die folgende Sicherheitslücke entdeckt:

Sicherheitslücke	Schweregrad	CVE
CVE-2020-1350 – Windows-Server, die in einer DNS-Serverkapazität bereitgestellt werden, können zum Ausführen nicht vertrauenswürdiger Code über das lokale Systemkonto genutzt werden.	NVD Base Score: 10.0 (Kritisch)	CVE-2020-1350

Weitere Informationen finden Sie in der Microsoft-Bekanntmachung.

Auswirkungen auf Google Cloud

Die Infrastruktur, in der Google Cloud und Google-Produkte gehostet werden, ist von dieser Sicherheitslücke nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.

Produkt	Auswirkungen
Compute Engine	CVE-2020-1350 Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich. Kunden, die virtuelle Compute Engine-Maschinen verwenden, auf denen Windows Server in einer DNS-Serverkapazität ausgeführt wird, sollten darauf achten, dass ihre Instanzen über den neuesten Windows-Patch verfügen oder Windows Server-Images verwenden, die seit dem 14.07.2020 bereitgestellt werden.
Google Kubernetes Engine	CVE-2020-1350 Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich. Kunden, die GKE mit Windows Server-Knoten in einer DNS-Serverkapazität verwenden, müssen die Knoten und die containerisierten Arbeitslasten, die auf diesen Knoten ausgeführt werden, manuell auf eine Windows-Serverversion aktualisieren, die die Fehlerbehebung beinhaltet.
Managed Service for Microsoft Active Directory	CVE-2020-1350 Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich. Alle verwalteten Microsoft AD-Domains wurden automatisch mit dem gepatchten Image aktualisiert. Alle Kunden, die Microsoft Active Directory manuell ausführen und Managed Microsoft AD nicht verwenden, sollten dafür sorgen, dass ihre Instanzen den neuesten Windows-Patch haben oder Windows Server-Images verwenden, die seit dem 14. Juli 2020 bereitgestellt werden.
Google Workspace	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
App Engine-Standardumgebung	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Flexible App Engine-Umgebung	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Cloud Run	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Cloud Functions	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Cloud Composer	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Dataflow	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Dataproc	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Cloud SQL	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

GCP-2020-009

Veröffentlicht: 15. 07. 2020

Beschreibung

Beschreibung	Schweregrad	Hinweise
Vor Kurzem wurde in Kubernetes eine Sicherheitslücke zur Rechteausweitung, CVE-2020-8559, entdeckt. Diese Sicherheitslücke ermöglicht es einem Angreifer, der bereits einen Knoten manipuliert hat, in jedem Pod im Cluster einen Befehl auszuführen. Der Angreifer kann dadurch mit dem bereits manipulierten Knoten andere Knoten manipulieren und potenziell Informationen lesen oder destruktive Aktionen ausführen. Damit ein Angreifer diese Sicherheitslücke ausnutzen kann, muss bereits ein Knoten im Cluster manipuliert worden sein. Diese Sicherheitslücke allein beeinträchtigt also noch keine Knoten in Ihrem Cluster. Eine Anleitung und weitere Informationen finden Sie unter: GKE-Sicherheitsbulletin Anthos-Cluster auf dem VMware-Sicherheitsbulletin Anthos-Cluster auf AWS-Sicherheitsbulletins	Mittel	CVE-2020-8559

Schweregrad

Hinweise

Vor Kurzem wurde in Kubernetes eine Sicherheitslücke zur Rechteausweitung, CVE-2020-8559, entdeckt. Diese Sicherheitslücke ermöglicht es einem Angreifer, der bereits einen Knoten manipuliert hat, in jedem Pod im Cluster einen Befehl auszuführen. Der Angreifer kann dadurch mit dem bereits manipulierten Knoten andere Knoten manipulieren und potenziell Informationen lesen oder destruktive Aktionen ausführen.

Damit ein Angreifer diese Sicherheitslücke ausnutzen kann, muss bereits ein Knoten im Cluster manipuliert worden sein. Diese Sicherheitslücke allein beeinträchtigt also noch keine Knoten in Ihrem Cluster.

Eine Anleitung und weitere Informationen finden Sie unter:

Mittel

CVE-2020-8559

GCP-2020-008

Veröffentlicht: 19. 06. 2020

Beschreibung

Beschreibung	Schweregrad	Hinweise
Beschreibung VMs, für die OS Login aktiviert ist, sind potenziell anfällig für Sicherheitslücken in Bezug auf die Rechteausweitung. Durch diese Sicherheitslücken bekommen Nutzer, die OS Login-Berechtigungen ohne Administratorzugriff erhalten haben, die Möglichkeit, zum Root-Zugriff in der VM zu eskalieren. Anleitungen und weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.	Hoch	CVE-2020-8903 CVE-2020-8907 CVE-2020-8933

Schweregrad

Hinweise

Beschreibung

VMs, für die OS Login aktiviert ist, sind potenziell anfällig für Sicherheitslücken in Bezug auf die Rechteausweitung. Durch diese Sicherheitslücken bekommen Nutzer, die OS Login-Berechtigungen ohne Administratorzugriff erhalten haben, die Möglichkeit, zum Root-Zugriff in der VM zu eskalieren.

Anleitungen und weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.

Hoch

GCP-2020-007

Veröffentlicht: 01. 06. 2020

Beschreibung

Beschreibung	Schweregrad	Hinweise
Serverseitige Anfragefälschung (Server Side Request Forgery, SSRF), CVE-2020-8555, wurde kürzlich in Kubernetes entdeckt und ermöglicht bestimmten autorisierten Nutzern, bis zu 500 Byte vertraulicher Informationen aus dem Hostnetzwerk der Steuerungsebene abzurufen. Die Google Kubernetes Engine-Steuerungsebene (GKE) verwendet Controller von Kubernetes und ist daher von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, die Steuerungsebene auf die neueste Patch-Version zu aktualisieren. Ein Knotenupgrade ist nicht erforderlich. Eine Anleitung und weitere Informationen finden Sie unter: GKE-Sicherheitsbulletin Anthos-Cluster auf dem VMware-Sicherheitsbulletin Anthos-Cluster auf AWS-Sicherheitsbulletins	Mittel	CVE-2020-8555

Schweregrad

Hinweise

Serverseitige Anfragefälschung (Server Side Request Forgery, SSRF), CVE-2020-8555, wurde kürzlich in Kubernetes entdeckt und ermöglicht bestimmten autorisierten Nutzern, bis zu 500 Byte vertraulicher Informationen aus dem Hostnetzwerk der Steuerungsebene abzurufen. Die Google Kubernetes Engine-Steuerungsebene (GKE) verwendet Controller von Kubernetes und ist daher von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, die Steuerungsebene auf die neueste Patch-Version zu aktualisieren. Ein Knotenupgrade ist nicht erforderlich.

Eine Anleitung und weitere Informationen finden Sie unter:

Mittel

CVE-2020-8555

GCP-2020-006

Veröffentlicht: 01. 06. 2020

Beschreibung

Beschreibung	Schweregrad	Hinweise
Kubernetes hat eine Sicherheitslücke entdeckt, die es einem berechtigten Container ermöglicht, Knoten-Traffic an einen anderen Container weiterzuleiten. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden. Alle GKE-Knoten (Google Kubernetes Engine) sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, ein Upgrade auf die neueste Patch-Version durchzuführen. Eine Anleitung und weitere Informationen finden Sie unter: GKE-Sicherheitsbulletin Anthos-Cluster auf dem VMware-Sicherheitsbulletin Anthos-Cluster auf AWS-Sicherheitsbulletins	Mittel	Kubernetes-Problem 91507

Schweregrad

Hinweise

Kubernetes hat eine Sicherheitslücke entdeckt, die es einem berechtigten Container ermöglicht, Knoten-Traffic an einen anderen Container weiterzuleiten. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden. Alle GKE-Knoten (Google Kubernetes Engine) sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, ein Upgrade auf die neueste Patch-Version durchzuführen.

Eine Anleitung und weitere Informationen finden Sie unter:

Mittel

Kubernetes-Problem 91507

GCP-2020-005

Veröffentlicht: 07. 05. 2020

Beschreibung

Sicherheitslücke	Schweregrad	CVE
Vor Kurzem wurde im Linux-Kernel eine Sicherheitslücke entdeckt, die unter CVE-2020-8835 beschrieben wird. Sie ermöglicht Container-Escape, Root-Berechtigungen auf dem Hostknoten zu erhalten. GKE-Ubuntu-Knoten (Google Kubernetes Engine) mit GKE 1.16 oder 1.17 sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, so bald wie möglich ein Upgrade auf die neueste Patchversion durchzuführen. Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.	Hoch	CVE-2020-8835

Sicherheitslücke

Schweregrad

CVE

Vor Kurzem wurde im Linux-Kernel eine Sicherheitslücke entdeckt, die unter CVE-2020-8835 beschrieben wird. Sie ermöglicht Container-Escape, Root-Berechtigungen auf dem Hostknoten zu erhalten.

GKE-Ubuntu-Knoten (Google Kubernetes Engine) mit GKE 1.16 oder 1.17 sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, so bald wie möglich ein Upgrade auf die neueste Patchversion durchzuführen.

Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.

Hoch

CVE-2020-8835

GCP-2020-004

Veröffentlicht: 31. 03. 2020 | Zuletzt aktualisiert: 31. 03. 2020

Beschreibung

Kubernetes hat die folgenden Sicherheitslücken bekanntgegeben:

Sicherheitslücke	Schweregrad	CVE
CVE-2019-11254 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft.	Mittel	CVE-2019-11254

Weitere Informationen und Anleitungen finden Sie im GKE On-Prem-Sicherheitsbulletin.

GCP-2020-003

Veröffentlicht: 31. 03. 2020 | Zuletzt aktualisiert: 31. 03. 2020

Beschreibung

Kubernetes hat die folgenden Sicherheitslücken bekanntgegeben:

Sicherheitslücke	Schweregrad	CVE
CVE-2019-11254 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft.	Mittel	CVE-2019-11254

Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.

GCP-2020-002

Veröffentlicht: 23. 03. 2020 | Zuletzt aktualisiert: 23. 03. 2020

Beschreibung

Kubernetes hat die folgenden Sicherheitslücken bekanntgegeben:

Sicherheitslücke	Schweregrad	CVE
CVE-2020-8551 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die das Kubelet betrifft.	Mittel	CVE-2020-8551
CVE-2020-8552 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft.	Mittel	CVE-2020-8552

Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.

GCP-2020-001

Veröffentlicht: 21. 01. 2020 | Zuletzt aktualisiert: 21. 01. 2020

Beschreibung

Microsoft hat die folgende Sicherheitslücke entdeckt:

Sicherheitslücke	Schweregrad	CVE
CVE-2020-0601 – Diese Sicherheitslücke wird auch als Windows Crypto API-Spoofing-Sicherheitslücke bezeichnet. Sie könnte dazu genutzt werden, bösartige ausführbare Dateien vertrauenswürdig zu machen oder dem Angreifer Man-in-the-Middle-Angriffe zu ermöglichen und vertrauliche Informationen über Nutzerverbindungen mit der betroffenen Software zu entschlüsseln.	NVD Base Score: 8,1 (hoch)	CVE-2020-0601

Weitere Informationen finden Sie in der Microsoft-Bekanntmachung.

Auswirkungen auf Google Cloud

Die Infrastruktur, in der Google Cloud und Google-Produkte gehostet werden, ist von dieser Sicherheitslücke nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.

Produkt	Auswirkungen
Compute Engine	CVE-2020-0601 Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich. Kunden, die virtuelle Compute Engine-Maschinen mit Windows Server verwenden, sollten dafür sorgen, dass ihre Instanzen den neuesten Windows-Patch haben oder Windows Server-Images verwenden, die seit dem 15. Januar 2020 bereitgestellt werden. Weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.
Google Kubernetes Engine	CVE-2020-0601 Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich. Kunden, die GKE mit Windows Server-Knoten verwenden, müssen sowohl die Knoten als auch die containerbasierten Arbeitslasten, die auf diesen Knoten ausgeführt werden, auf gepatchte Versionen aktualisieren, um diese Sicherheitslücke zu verringern. Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.
Managed Service for Microsoft Active Directory	CVE-2020-0601 Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich. Alle verwalteten Microsoft AD-Domains wurden automatisch mit dem gepatchten Image aktualisiert. Alle Kunden, die Microsoft Active Directory manuell ausführen und Managed Microsoft AD nicht verwenden, sollten dafür sorgen, dass ihre Instanzen den neuesten Windows-Patch haben oder Windows Server-Images verwenden, die seit dem 15. Januar 2020 bereitgestellt werden.
Google Workspace	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
App Engine-Standardumgebung	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Flexible App Engine-Umgebung	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Cloud Run	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Cloud Functions	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Cloud Composer	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Dataflow	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Dataproc	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Cloud SQL	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

GCP-2019-001

Veröffentlicht: 12. 11. 2019 | Zuletzt aktualisiert: 12. 11. 2019

Beschreibung

Die folgenden Sicherheitslücken wurden von Intel offengelegt:

Sicherheitslücke	Schweregrad	CVE
CVE-2019-11135 — Diese Sicherheitslücke mit der Bezeichnung TSX Async Abort (TAA) kann zur spekulativen Ausführung innerhalb einer TSX-Transaktion genutzt werden. Diese Sicherheitslücke bringt das Risiko mit sich, dass Daten Angriffen über dieselben mikroarchitektonischen Datenstrukturen ausgesetzt sind wie durch Microarchitectural Data Sampling (MDS).	Mittel	CVE-2019-11135
CVE-2018-12207 — Dies ist eine DoS-Sicherheitslücke (Denial of Service), die Host-VMs betrifft (nicht aber Gast-VMs). Das Problem ist als "Machine Check Error on Page Size Change" bekannt.	Mittel	CVE-2018-12207

Weitere Informationen finden Sie in den Sicherheitshinweisen von Intel:

Auswirkungen auf Google Cloud

Die Infrastruktur, in der die Google Cloud- und Google-Produkte gehostet werden, ist von diesen Sicherheitslücken nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.

Produkt	Auswirkungen
Compute Engine	CVE-2019-11135 Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich. N2-, C2- oder M2-Kunden, die auf virtuellen Maschinen von Compute Engine für ihre eigenen Dienste mit mehreren Mandanten nicht vertrauenswürdigen Code ausführen, sollten ihre VMs beenden und wieder starten, um zu gewährleisten, dass die neuesten Sicherheitsmaßnahmen vorliegen. Hinweis: Weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin. CVE-2018-12207 Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.
Google Kubernetes Engine	CVE-2019-11135 Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich. Wenn Sie Knotenpools mit N2-, M2- oder C2-Knoten verwenden und für diese Knoten in Ihren eigenen GKE-Clustern mit mehreren Mandanten nicht vertrauenswürdigen Code ausführen, sollten Sie Ihre Knoten neu starten. Wenn Sie alle Knoten in Ihrem Knotenpool neu starten möchten, müssen Sie den betroffenen Knotenpool aktualisieren. Hinweis: Sie können dieselbe GKE-Version für ein Upgrade Ihres Knotenpools angeben. Weitere Informationen finden Sie im GKE-Sicherheitsbulletin. CVE-2018-12207 Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.
App Engine-Standardumgebung	Es sind keine weiteren Maßnahmen erforderlich.
Flexible App Engine-Umgebung	CVE-2019-11135 Es sind keine weiteren Maßnahmen erforderlich. Kunden sollten sich die Best Practices von Intel bezüglich der Freigabe auf Anwendungsebene durchlesen. Diese kann innerhalb einer Flex-VM zwischen Hyperthreads auftreten. CVE-2018-12207 Es sind keine weiteren Maßnahmen erforderlich.
Cloud Run	Es sind keine weiteren Maßnahmen erforderlich.
Cloud Functions	Es sind keine weiteren Maßnahmen erforderlich.
Cloud Composer	Es sind keine weiteren Maßnahmen erforderlich.
Dataflow	CVE-2019-11135 Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich. Dataflow-Kunden, die mehrere von Dataflow verwaltete, nicht vertrauenswürdige Arbeitslasten auf N2-, C2- oder M2-VMs in Compute Engine ausführen und sich Sorgen um interne Angriffe von Gast-VMs machen, sollten alle aktuell ausgeführten Streamingpipelines neu starten. Optional können Batchpipelines beendet und neu ausgeführt werden. Für Pipelines, die nach dem heutigen Datum gestartet werden, sind keine Maßnahmen erforderlich. CVE-2018-12207 Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.
Dataproc	CVE-2019-11135 Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich. Cloud Dataproc-Kunden, die mehrere nicht vertrauenswürdige Arbeitslasten auf demselben Cloud Dataproc-Cluster ausführen, der auf N2-, C2- oder M2-VMs in Compute Engine ausgeführt wird, und sich Sorgen um interne Angriffe von Gast-VMs machen, sollten ihre Cluster neu bereitstellen. CVE-2018-12207 Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.
Cloud SQL	Es sind keine weiteren Maßnahmen erforderlich.