Die folgenden Sicherheitsbulletins beziehen sich auf Google Cloud.
GCP-2020-015
Beschreibung
Veröffentlicht: 07-12-2020
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Das Kubernetes-Projekt entdeckte kürzlich eine neue Sicherheitslücke, CVE-2020-8554, die es einem Angreifer, der Berechtigungen erhalten hat, ermöglichen kann, einen Kubernetes-Dienst vom Typ LoadBalancer oder ClusterIP zu erstellen, um Netzwerkverkehr abzufangen, der von anderen Pods im Cluster stammt. Diese Sicherheitsanfälligkeit allein gibt einem Angreifer keine Berechtigung zum Erstellen eines Kubernetes-Dienstes. Alle Sicherheitslücken von Google Kubernetes Engine (GKE), Anthos-Clustern in VMware- und Anthos-Clustern in AWS-Clustern sind von dieser Sicherheitslücke betroffen. Was soll ich tun?Eine Anleitung und weitere Informationen finden Sie unter: |
Mittel |
CVE-2020-8554 |
GCP-2020-014
Beschreibung
Veröffentlicht: 20.10.2020
Zuletzt aktualisiert: 20.10.2020
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Beim Kubernetes-Projekt wurden unlängst mehrere Probleme entdeckt, durch die es zur Offenlegung von Secret-Daten kommen kann, wenn Optionen für das ausführliche Logging aktiviert sind. Die Probleme sind:
Was soll ich tun?Aufgrund der Standardebenen für das ausführliche Logging von GKE sind keine weiteren Maßnahmen erforderlich. |
– |
Auswirkungen auf Google Cloud
Details zu den einzelnen Produkten sind unten aufgeführt.
Produkt |
Auswirkungen |
---|---|
Google Kubernetes Engine (GKE) ist nicht betroffen. |
|
GKE On-Prem ist nicht betroffen. |
|
GKE on AWS ist nicht betroffen. |
GCP-2020-013
Veröffentlicht: 2020-09-29
Beschreibung
Microsoft hat die folgende Sicherheitslücke entdeckt:
Sicherheitslücke |
Schweregrad |
CVE |
---|---|---|
CVE-2020-1472: Durch eine Sicherheitslücke in Windows Server können Angreifer mit dem Netlogon Remote Protocol eine speziell entwickelte Anwendung auf einem Gerät im Netzwerk ausführen. |
NVD Base Score: 10 (Kritisch) |
Weitere Informationen finden Sie in der Microsoft-Bekanntmachung.
Auswirkungen auf Google Cloud
Die Infrastruktur, in der Google Cloud und Google-Produkte gehostet werden, ist von dieser Sicherheitslücke nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.
Produkt |
Auswirkungen |
---|---|
Compute Engine |
CVE-2020-1472 |
Google Kubernetes Engine |
CVE-2020-1472 |
Managed Service for Microsoft Active Directory |
CVE-2020-1472 |
Google Workspace |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
App Engine-Standardumgebung |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Flexible App Engine-Umgebung |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Run |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Functions |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Composer |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Dataflow |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Dataproc |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud SQL |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
GCP-2020-012
Veröffentlicht: 14.09.2019
Zuletzt aktualisiert: 17.09.2019
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Im Linux-Kernel wurde eine Sicherheitslücke entdeckt, die unter CVE-2020-14386 beschrieben ist. Damit kann Container-Escape Root-Berechtigungen für den Hostknoten erhalten. Alle GKE-Knoten sind betroffen. In GKE Sandbox ausgeführte Pods können diese Sicherheitslücke nicht nutzen. Eine Anleitung und weitere Informationen finden Sie unter:
Welche Sicherheitslücke wird mit diesem Patch behoben? Der Patch entschärft die folgende Sicherheitslücke: Die Sicherheitslücke CVE-2020-1386 Dadurch können Container mit CAP_NET_RAW 1 bis 10 Byte des Kernel-Speichers schreiben, den Container möglicherweise meiden und Root-Berechtigungen auf dem Hostknoten erhalten. Der Schweregrad dieser Sicherheitslücke ist "Hoch". |
Hoch |
GCP-2020-011
Veröffentlicht: 24.07.2020
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Bei Kubernetes wurde vor Kurzem eine Sicherheitslücke im Netzwerk, CVE-2020-8558, entdeckt. Dienste kommunizieren manchmal über die lokale Loopback-Schnittstelle (127.0.0.1) mit anderen Anwendungen, die im gleichen Pod ausgeführt werden. Diese Sicherheitslücke ermöglicht einem Angreifer mit Zugriff auf das Netzwerk des Clusters, Traffic an die Loopback-Schnittstelle von angrenzenden Pods und Knoten zu senden. Dienste, die darauf angewiesen sind, dass die Loopback-Schnittstelle außerhalb ihres Pods nicht zugänglich ist, könnten ausgenutzt werden. Eine Anleitung und weitere Informationen finden Sie unter: |
Niedrig (GKE- und Anthos-Cluster in AWS), |
GCP-2020-010
Veröffentlicht: 27.07.2020
Beschreibung
Microsoft hat die folgende Sicherheitslücke entdeckt:
Sicherheitslücke |
Schweregrad |
CVE |
---|---|---|
CVE-2020-1350 – Windows-Server, die in einer DNS-Serverkapazität bereitgestellt werden, können zum Ausführen nicht vertrauenswürdiger Code über das lokale Systemkonto genutzt werden. |
NVD Base Score: 10.0 (Kritisch) |
Weitere Informationen finden Sie in der Microsoft-Bekanntmachung.
Auswirkungen auf Google Cloud
Die Infrastruktur, in der Google Cloud und Google-Produkte gehostet werden, ist von dieser Sicherheitslücke nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.
Produkt |
Auswirkungen |
---|---|
Compute Engine |
CVE-2020-1350 |
Google Kubernetes Engine |
CVE-2020-1350 |
Managed Service for Microsoft Active Directory |
CVE-2020-1350 |
Google Workspace |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
App Engine-Standardumgebung |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Flexible App Engine-Umgebung |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Run |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Functions |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Composer |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Dataflow |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Dataproc |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud SQL |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
GCP-2020-009
Veröffentlicht: 15. 07. 2020
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Vor Kurzem wurde in Kubernetes eine Sicherheitslücke zur Rechteausweitung, CVE-2020-8559, entdeckt. Diese Sicherheitslücke ermöglicht es einem Angreifer, der bereits einen Knoten manipuliert hat, in jedem Pod im Cluster einen Befehl auszuführen. Der Angreifer kann dadurch mit dem bereits manipulierten Knoten andere Knoten manipulieren und potenziell Informationen lesen oder destruktive Aktionen ausführen. Damit ein Angreifer diese Sicherheitslücke ausnutzen kann, muss bereits ein Knoten im Cluster manipuliert worden sein. Diese Sicherheitslücke allein beeinträchtigt also noch keine Knoten in Ihrem Cluster. Eine Anleitung und weitere Informationen finden Sie unter: |
Mittel |
GCP-2020-008
Veröffentlicht: 19. 06. 2020
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
BeschreibungVMs, für die OS Login aktiviert ist, sind potenziell anfällig für Sicherheitslücken in Bezug auf die Rechteausweitung. Durch diese Sicherheitslücken bekommen Nutzer, die OS Login-Berechtigungen ohne Administratorzugriff erhalten haben, die Möglichkeit, zum Root-Zugriff in der VM zu eskalieren. Anleitungen und weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.
|
Hoch |
GCP-2020-007
Veröffentlicht: 01. 06. 2020
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Serverseitige Anfragefälschung (Server Side Request Forgery, SSRF), CVE-2020-8555, wurde kürzlich in Kubernetes entdeckt und ermöglicht bestimmten autorisierten Nutzern, bis zu 500 Byte vertraulicher Informationen aus dem Hostnetzwerk der Steuerungsebene abzurufen. Die Google Kubernetes Engine-Steuerungsebene (GKE) verwendet Controller von Kubernetes und ist daher von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, die Steuerungsebene auf die neueste Patch-Version zu aktualisieren. Ein Knotenupgrade ist nicht erforderlich. Eine Anleitung und weitere Informationen finden Sie unter: |
Mittel |
GCP-2020-006
Veröffentlicht: 01. 06. 2020
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Kubernetes hat eine Sicherheitslücke entdeckt, die es einem berechtigten Container ermöglicht, Knoten-Traffic an einen anderen Container weiterzuleiten. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden. Alle GKE-Knoten (Google Kubernetes Engine) sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, ein Upgrade auf die neueste Patch-Version durchzuführen. Eine Anleitung und weitere Informationen finden Sie unter: |
Mittel |
GCP-2020-005
Veröffentlicht: 07. 05. 2020
Beschreibung
Sicherheitslücke |
Schweregrad |
CVE |
---|---|---|
Vor Kurzem wurde im Linux-Kernel eine Sicherheitslücke entdeckt, die unter CVE-2020-8835 beschrieben wird. Sie ermöglicht Container-Escape, Root-Berechtigungen auf dem Hostknoten zu erhalten. GKE-Ubuntu-Knoten (Google Kubernetes Engine) mit GKE 1.16 oder 1.17 sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, so bald wie möglich ein Upgrade auf die neueste Patchversion durchzuführen. Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin. |
Hoch |
GCP-2020-004
Veröffentlicht: 31. 03. 2020 | Zuletzt aktualisiert: 31. 03. 2020
Beschreibung
Kubernetes hat die folgenden Sicherheitslücken bekanntgegeben:
Sicherheitslücke |
Schweregrad |
CVE |
---|---|---|
CVE-2019-11254 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft. |
Mittel |
Weitere Informationen und Anleitungen finden Sie im GKE On-Prem-Sicherheitsbulletin.
GCP-2020-003
Veröffentlicht: 31. 03. 2020 | Zuletzt aktualisiert: 31. 03. 2020
Beschreibung
Kubernetes hat die folgenden Sicherheitslücken bekanntgegeben:
Sicherheitslücke |
Schweregrad |
CVE |
---|---|---|
CVE-2019-11254 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft. |
Mittel |
Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.
GCP-2020-002
Veröffentlicht: 23. 03. 2020 | Zuletzt aktualisiert: 23. 03. 2020
Beschreibung
Kubernetes hat die folgenden Sicherheitslücken bekanntgegeben:
Sicherheitslücke |
Schweregrad |
CVE |
---|---|---|
CVE-2020-8551 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die das Kubelet betrifft. |
Mittel |
|
CVE-2020-8552 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft. |
Mittel |
Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.
GCP-2020-001
Veröffentlicht: 21. 01. 2020 | Zuletzt aktualisiert: 21. 01. 2020
Beschreibung
Microsoft hat die folgende Sicherheitslücke entdeckt:
Sicherheitslücke |
Schweregrad |
CVE |
---|---|---|
CVE-2020-0601 – Diese Sicherheitslücke wird auch als Windows Crypto API-Spoofing-Sicherheitslücke bezeichnet. Sie könnte dazu genutzt werden, bösartige ausführbare Dateien vertrauenswürdig zu machen oder dem Angreifer Man-in-the-Middle-Angriffe zu ermöglichen und vertrauliche Informationen über Nutzerverbindungen mit der betroffenen Software zu entschlüsseln. |
NVD Base Score: 8,1 (hoch) |
Weitere Informationen finden Sie in der Microsoft-Bekanntmachung.
Auswirkungen auf Google Cloud
Die Infrastruktur, in der Google Cloud und Google-Produkte gehostet werden, ist von dieser Sicherheitslücke nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.
Produkt |
Auswirkungen |
---|---|
Compute Engine |
CVE-2020-0601 |
Google Kubernetes Engine |
CVE-2020-0601 |
Managed Service for Microsoft Active Directory |
CVE-2020-0601 |
Google Workspace |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
App Engine-Standardumgebung |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Flexible App Engine-Umgebung |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Run |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Functions |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Composer |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Dataflow |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Dataproc |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud SQL |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
GCP-2019-001
Veröffentlicht: 12. 11. 2019 | Zuletzt aktualisiert: 12. 11. 2019
Beschreibung
Die folgenden Sicherheitslücken wurden von Intel offengelegt:
Sicherheitslücke |
Schweregrad |
CVE |
---|---|---|
CVE-2019-11135 — Diese Sicherheitslücke mit der Bezeichnung TSX Async Abort (TAA) kann zur spekulativen Ausführung innerhalb einer TSX-Transaktion genutzt werden. Diese Sicherheitslücke bringt das Risiko mit sich, dass Daten Angriffen über dieselben mikroarchitektonischen Datenstrukturen ausgesetzt sind wie durch Microarchitectural Data Sampling (MDS). |
Mittel |
|
CVE-2018-12207 — Dies ist eine DoS-Sicherheitslücke (Denial of Service), die Host-VMs betrifft (nicht aber Gast-VMs). Das Problem ist als "Machine Check Error on Page Size Change" bekannt. |
Mittel |
Weitere Informationen finden Sie in den Sicherheitshinweisen von Intel:
Auswirkungen auf Google Cloud
Die Infrastruktur, in der die Google Cloud- und Google-Produkte gehostet werden, ist von diesen Sicherheitslücken nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.
Produkt |
Auswirkungen |
---|---|
Compute Engine |
CVE-2019-11135 CVE-2018-12207 |
Google Kubernetes Engine |
CVE-2019-11135 CVE-2018-12207 |
App Engine-Standardumgebung |
Es sind keine weiteren Maßnahmen erforderlich. |
Flexible App Engine-Umgebung |
CVE-2019-11135 CVE-2018-12207 |
Cloud Run |
Es sind keine weiteren Maßnahmen erforderlich. |
Cloud Functions |
Es sind keine weiteren Maßnahmen erforderlich. |
Cloud Composer |
Es sind keine weiteren Maßnahmen erforderlich. |
Dataflow |
CVE-2019-11135 CVE-2018-12207 |
Dataproc |
CVE-2019-11135 CVE-2018-12207 |
Cloud SQL |
Es sind keine weiteren Maßnahmen erforderlich. |