Sicherheitsbulletins

Die folgenden Sicherheitsbulletins beziehen sich auf Google Cloud-Produkte.

Verwenden Sie diesen XML-Feed, um Sicherheitsbulletins für diese Seite zu abonnieren. Abonnieren

GCP-2021-022

Veröffentlicht: 22.09.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Im LDAP-Modul von Anthos Identity Service (AIS) von Anthos-Clustern auf VMware-Versionen 1.8 und 1.8.1 wurde eine Sicherheitslücke entdeckt, bei der ein zur Generierung der Schlüssel verwendeter Startschlüssel vorhersehbar ist. Mit dieser Sicherheitslücke kann ein authentifizierter Nutzer beliebige Ansprüche hinzufügen und Berechtigungen für unbegrenzte Zeit eskalieren.

Eine Anleitung und weitere Informationen finden Sie im Sicherheitsbulletin für Anthos-Cluster auf VMware.

Hoch

GCP-2021-021

Veröffentlicht: 22.09.2021

Beschreibung

Beschreibung Schweregrad Hinweise

In Kubernetes wurde eine Sicherheitslücke, CVE-2020-8561, entdeckt. Dabei können bestimmte Webhooks erstellt werden, um kube-apiserver-Anfragen an private Netzwerke dieses API-Servers weiterzuleiten.

Eine Anleitung und weitere Informationen finden Sie unter:

Mittel CVE-2020-8561

GCP-2021-023

Veröffentlicht: 21.09.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Gemäß der VMware-Sicherheitswarnung VMSA-2021-0020 hat VMware Berichte zu mehreren Sicherheitslücken in vCenter erhalten. VMware hat Updates bereitgestellt, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben.

Wir haben die von VMware bereitgestellten Patches für den vSphere-Stack bereits gemäß der VMware-Sicherheitswarnung auf Google Cloud VMware Engine angewendet. Dieses Update behandelt die Sicherheitslücken, die in CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 und CVE-2021-22010 beschrieben werden. Andere nicht kritische Sicherheitsprobleme werden im nächsten VMware-Stack-Upgrade behandelt (wie im Juli angekündigt). Weitere Details werden im Zeitplan des Upgrades demnächst bekannt gegeben.

Auswirkungen auf VMware Engine

Unsere Untersuchungen haben ergeben, dass keine Kunden betroffen sind.

Was soll ich tun?

Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich.

Kritisch

GCP-2021-020

Veröffentlicht: 17.09.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Bestimmte Google Cloud-Load-Balancer, die an einen Back-End-Dienst mit aktiviertem Identity-Aware Proxy (IAP) weitergeleitet werden, sind unter bestimmten Umständen für eine nicht vertrauenswürdige Seite anfällig geworden. Dies ist ein Problem, das über unser Vulnerability Reward Program gemeldet wurde.

Die Server sahen Folgendes aus:
  • Waren die HTTP(S)-Load-Balancer und
  • Verwendet ein Standard-Back-End oder ein Back-End mit einer Platzhalter-Host-Zuordnungsregel (d. h. host="*")

Außerdem muss ein Nutzer in Ihrer Organisation auf einen Link geklickt haben, der von einem nicht vertrauenswürdigen Anbieter gesendet wurde.

Dieses Problem wurde inzwischen behoben. IAP wurde aktualisiert, um Cookies ab dem 17. September 2021 nur noch für autorisierte Hosts auszugeben. Ein Host gilt als autorisiert, wenn er mit mindestens einem SAN (Subject Alternative Name) in einem der Zertifikate übereinstimmt, die auf Ihren Load-Balancern installiert sind.

Was muss ich tun?

Einige Ihrer Nutzer erhalten möglicherweise beim Versuch, auf Apps oder Dienste zuzugreifen, die Antwort 4HTTP 401 Unauthorized“ mit dem IAP-Fehler 52. Dieser Fehlercode bedeutet, dass der Client einen Host-Header gesendet hat, der mit keinem der alternativen SSL-Namen übereinstimmt, die den SSL-Zertifikaten des Load-Balancers zugeordnet sind. Der Administrator des Load-Balancers muss das SSL-Zertifikat aktualisieren, damit die Liste SubjectSAN (Subject Alternative Name)“ alle Hostnamen enthält, über die Nutzer auf IAP-geschützte Anwendungen oder Dienste zugreifen. Weitere Informationen zu IAP-Fehlercodes

Hoch

GCP-2021-018

Veröffentlicht: 15.09.2021
Zuletzt aktualisiert: 20.19.2021

Beschreibung

Beschreibung Schweregrad Hinweise

In Kubernetes, CVE-2021-25741, wurde ein Sicherheitsproblem entdeckt. Hier kann ein Nutzer einen Container mit untergeordneten Pfadbereitstellungen erstellen, um auf Dateien und Verzeichnisse außerhalb des Volumes zuzugreifen, auch auf dem Host.{101 }.

Eine Anleitung und weitere Informationen finden Sie unter:

Hoch CVE-2021-25741

GCP-2021-017

Veröffentlicht: 01.09.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Im Linux-Kernel wurden die beiden Sicherheitslücken CVE-2021-33909 und CVE-2021-33910 gefunden, die zu einem Absturz des Betriebssystems oder zu einer Eskalation an einen Root durch einen nicht privilegierten Nutzer führen können. Diese Sicherheitslücke betrifft alle GKE-Knotenbetriebssysteme (COS und Ubuntu).

Weitere Informationen finden Sie in den folgenden Sicherheitsbulletins:

Hoch CVE-2021-33909, CVE-2021-33910

GCP-2021-016

Veröffentlicht: 24.08.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Die folgenden CVEs von Envoy und Istio stellen Anthos Service Mesh und Istio in GKE für per Remotezugriff ausnutzbare Sicherheitslücken bereit:

  • CVE-2021-39156: HTTP-Anfragen mit einem Fragment (einem Abschnitt am Ende eines URI, der mit einem #-Zeichen beginnt) im URI-Pfad könnten die pfadbasierten Autorisierungsrichtlinien von Istio umgehen.
  • CVE-2021-39155: HTTP-Anfragen können möglicherweise eine Istio-Autorisierungsrichtlinie umgehen, wenn Sie Regeln verwenden, die auf hosts oder notHosts basieren.
  • CVE-2021-32781: Wirkt sich auf die Erweiterungen decompressor, json-transcoder oder grpc-web von Envoy oder auf proprietäre Erweiterungen aus, die die Größe von Anfrage- oder Antworttextkörpern ändern und erhöhen. Das Ändern und Vergrößern des Textkörpers in einer Envoy-Erweiterung über den internen Puffer hinaus kann dazu führen, dass Envoy auf den Dealspeicher zugreift und ungewöhnlicherweise beendet wird.
  • CVE-2021-32780: Ein nicht vertrauenswürdiger Upstream-Dienst könnte dazu führen, dass Envoy nicht ordnungsgemäß beendet wird, indem der Frame GOAWAY gefolgt vom Frame SETTINGS mit dem Parameter SETTINGS_MAX_CONCURRENT_STREAMS auf 0 gesendet wird. (Gilt nicht für Istio in GKE)
  • CVE-2021-32778: Ein Envoy-Client, der eine große Anzahl von HTTP/2-Anfragen öffnet und dann zurücksetzt, kann zu einem übermäßigen CPU-Verbrauch führen. (Gilt nicht für Istio in GKE)
  • CVE-2021-32777: Bei HTTP-Anfragen mit mehreren Wert-Headern kann bei der Verwendung der Erweiterung ext_authz eine unvollständige Autorisierungsrichtlinie geprüft werden.

Weitere Informationen finden Sie in den folgenden Sicherheitsbulletins:

Hoch

GCP-2021-015

Veröffentlicht: 13.07.2021
Zuletzt aktualisiert: 15.07.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Es wurde eine neue Sicherheitslücke (CVE-2021-22555) entdeckt, bei der ein böswilliger Akteur mit CAP_NET_ADMIN-Berechtigungen potenziell eine Container-Aufschlüsselung zum Root auf dem Host verursachen kann. Diese Sicherheitslücke betrifft alle GKE-Cluster und Anthos-Cluster auf VMware unter Linux-Version 2.6.19 oder höher.

Weitere Informationen finden Sie in den folgenden Sicherheitsbulletins:

Hoch CVE-2021-22555

GCP-2021-014

Veröffentlicht: 05.07.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Microsoft hat ein Sicherheitsbulletin CVE-2021-34527 zu einer Sicherheitslücke (Remote Code Execution, RCE) veröffentlicht, die Auswirkungen auf die Druckwarteschlange bei Windows-Servern hat. Das CERT Coordination Center (CERT/CC) hat einen Hinweis zu einer ähnlichen Sicherheitslücke mit dem Namen "PrintNightmare" veröffentlicht. Auch diese hat Auswirkungen auf Windows-Druckwarteschlangen – PrintNightmare, kritische Windows-Sicherheitslücke für Druckwarteschlange.

Eine Anleitung und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Hoch CVE-2021-34527

GCP-2021-012

Veröffentlicht: 24.06.2021
Zuletzt aktualisiert: 09.07.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Das Istio-Projekt hat vor Kurzem eine Sicherheitslücke angekündigt, bei der die Anmeldedaten im Feld "Anmeldedaten" des Gateway- und Zielregels über verschiedene Namespaces aufgerufen werden können.

Eine produktspezifische Anleitung und weitere Informationen finden Sie unter:

Hoch CVE-2021-34824

GCP-2021-011

Veröffentlicht: 04.06.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Die Sicherheits-Community hat vor Kurzem eine neue Sicherheitslücke (CVE-2021-30465) festgestellt, die in runc gefunden wurde und den vollständigen Zugriff auf ein Knotendateisystem ermöglicht. aus.

Da GKE bei der Ausnutzung dieser Sicherheitslücke die Fähigkeit hat, Pods zu erstellen, haben wir bei MEDIUM den Schweregrad dieser Sicherheitslücke bewertet.

Eine Anleitung und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Mittel CVE-2021-30465

GCP-2021-010

Veröffentlicht: 25.05.21

Beschreibung

Beschreibung Schweregrad Hinweise

Gemäß VMware-Sicherheitshinweis VMSA-2021-0010 wurden die Remote-Codeausführung und die Authentifizierung über die Sicherheitslücken im vSphere-Client (HTML5) privat an VMware gemeldet. VMware hat Aktualisierungen vorgenommen, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben.

Wir haben die von VMware bereitgestellten Patches gemäß dem VMware-Sicherheitshinweis für den vSphere-Stack angewendet. Mit diesem Update werden Sicherheitslücken behoben, die in CVE-2021-21985 und CVE-2021-21986 beschrieben wurden. Die Image-Versionen, die in der privaten VMware Engine-Cloud ausgeführt werden, spiegeln derzeit keine Änderungen wider, die auf die angewendeten Patches hinweisen. Sie können sicher sein, dass entsprechende Patches installiert wurden und Ihre Umgebung vor diesen Sicherheitslücken geschützt ist.

Auswirkungen auf VMware Engine

Unsere Untersuchungen haben ergeben, dass davon keine Kunden betroffen waren.

Was soll ich tun?

Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich.

Kritisch

GCP-2021-008

Veröffentlicht: 17.05.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Istio enthält eine ausnutzbare Remote-Sicherheitslücke, wenn ein externer Client auf unerwartete Dienste im Cluster zugreifen kann. Dabei werden Autorisierungsprüfungen umgangen, wenn ein Gateway mit der Routingkonfiguration AUTO_PASSTHROUGH konfiguriert ist.

Eine Anleitung und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin.

Hoch

CVE-2021-31921

GCP-2021-007

Veröffentlicht: 17.05.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Istio enthält eine auswendig entfernte Sicherheitslücke, bei der ein HTTP-Anfragepfad mit mehreren Schrägstrichen oder maskierten Schrägstrichen (%2F oder %5C) möglicherweise eine Istio-Autorisierungsrichtlinie umgehen kann, wenn pfadbasierte Autorisierungsregeln gelten. verwendet werden.

Eine Anleitung und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin.

Hoch

CVE-2021-31920

GCP-2021-006

Veröffentlicht: 11.05.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Im Istio-Projekt wurde vor Kurzem eine neue Sicherheitslücke (CVE-2021-31920) bekannt gegeben, die Istio betrifft.

Istio enthält eine ausführbare Sicherheitslücke, die bei einer HTTP-Anfrage mit mehreren Schrägstrichen oder maskierten Schrägstrichen umgangen werden kann, wenn pfadbasierte Autorisierungsregeln verwendet werden.

Eine Anleitung und weitere Informationen finden Sie unter:

Hoch

CVE-2021–31920

GCP-2021-005

Veröffentlicht: 11.05.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Eine gemeldete Sicherheitslücke hat gezeigt, dass Envoy in HTTP-URL-Pfaden in Envoy-Versionen bis 1.18.2 keine Escape-Schrägstrich-Sequenzen %2F und %5C decodiert. Darüber hinaus unterstützen einige auf Envoy basierende Produkte keine Optionen der Pfadnormalisierung. Ein Remote-Angreifer kann einen Pfad mit Escape-Schrägstrichen (z. B. /something%2F..%2Fadmin,) erstellen, um die Zugriffssteuerung zu umgehen (z. B. einen Block in /admin). Ein Back-End-Server könnte dann Schrägstrich-Sequenzen decodieren und den Pfad normalisieren, um einem Angreifer Zugriff außerhalb des Bereichs zu ermöglichen, der durch die Zugriffssteuerungsrichtlinie bereitgestellt wird.

Was soll ich tun?

Wenn Back-End-Server Folgendes behandeln:/ und%2F oder\ und%5C austauschbar ist und ein URL-Pfad-Abgleich konfiguriert ist, empfehlen wir, den Back-End-Server so zu konfigurieren, dass er nicht behandelt wird,\ und%2F oder\ und%5C sofern dies möglich ist.

Welche Änderungen beim Verhalten wurden eingeführt?

Die Envoy-Optionen normalize_path und Zusammenführen von Schrägstrichen wurden aktiviert, um andere häufige Sicherheitslücken bei Pfaden in Envoy-basierten Produkten zu beheben.

Hoch

CVE-2021-29492

GCP-2021-004

Veröffentlicht: 06.05.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Die Envoy- und Istio-Projekte haben vor Kurzem mehrere neue Sicherheitslücken angekündigt (CVE-2021-28683, CVE-2021-28682). und CVE-2021-29258), die einen Angreifer zum Absturz von Envoy führen könnten.

Google Kubernetes Engine-Cluster führen Istio nicht standardmäßig aus und sind nicht anfällig. Wenn Istio in einem Cluster installiert und so konfiguriert ist, dass Dienste für das Internet verfügbar sind, sind diese Dienste möglicherweise für Denial of Service anfällig.

Anthos auf Bare Metal- und Anthos-Cluster auf VMware verwenden standardmäßig Envoy für Ingress, sodass Ingress-Dienste anfällig für Denial of Service sind.

Weitere Informationen finden Sie in den folgenden Sicherheitsbulletins:

Mittel

GCP-2021-003

Veröffentlicht: 19.04.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Das Kubernetes-Projekt hat vor Kurzem eine neue Sicherheitslücke (CVE-2021-25735) bekanntgegeben. Damit können Knoten-Updates einen validierenden Zulassungs-Webhook umgehen.

In einem Szenario, in dem ein Angreifer ausreichende Berechtigungen hat und in dem ein validierender Zulassungs-Webhook implementiert ist, der alte Node-Objektattribute wie z. B. Felder in Node.NodeSpec verwendet, kann der Angreifer Aktualisierungen von Attributen eines Knotens vornehmen. Dies führt eventuell zu einer Clustermanipulation. Keine der Richtlinien, die von GKE und von den integrierten Zulassungs-Controllern von Kubernetes erzwungen werden, sind davon betroffen. Wir empfehlen Kunden aber, alle zusätzlich installierten Zulassungs-Webhooks zu prüfen.

Weitere Informationen finden Sie in den folgenden Sicherheitsbulletins:

Mittel

CVE-2021-25735

GCP-2021-002

Veröffentlicht: 05.03.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Gemäß VMware-Sicherheitshinweis VMSA-2021-0002 hat VMware Berichte zu mehreren Sicherheitslücken in VMware ESXi und vSphere Client (HTML5) erhalten. VMware hat Updates bereitgestellt, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben.

Wir haben uns der offiziell dokumentierten Problemumgehung für den vSphere-Stack entsprechend dem VMware-Sicherheitshinweis bedient. Mit diesem Update werden Sicherheitslücken behoben, die in CVE-2021-21972, CVE-2021-21973 und CVE-2021-21974 beschrieben sind.

Auswirkungen auf VMware Engine

Unsere Untersuchungen haben ergeben, dass davon keine Kunden betroffen waren.

Was soll ich tun?

Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich.

Kritisch

GCP-2021-001

Veröffentlicht: 28.01.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Im Linux-Dienstprogramm sudo wurde eine Sicherheitslücke entdeckt, die in CVE-2021-3156 beschrieben wurde. Dies könnte einem Angreifer mit nicht privilegierten lokalen Shell-Zugriff auf einem System mit installiertem sudo ermöglichen, seine Berechtigungen auf das Root-System auszuweiten.

Die zugrunde liegende Infrastruktur, auf der Compute Engine ausgeführt wird, ist von dieser Sicherheitslücke nicht betroffen.

Von dieser Sicherheitslücke sind keine Google Kubernetes Engine-Cluster (GKE), Anthos-Cluster auf VMware-, Anthos-Clustern in AWS und Anthos auf Bare-Metal-Clustern betroffen.

Weitere Informationen finden Sie in den folgenden Sicherheitsbulletins:

CVE-2021-3156

GCP-2020-015

Veröffentlicht: 07.12.2020

Beschreibung

Beschreibung Schweregrad Hinweise

Das Kubernetes-Projekt entdeckte kürzlich eine neue Sicherheitslücke, CVE-2020-8554, die es einem Angreifer, der Berechtigungen erhalten hat, ermöglichen kann, einen Kubernetes-Dienst vom Typ LoadBalancer oder ClusterIP zu erstellen, um Netzwerkverkehr abzufangen, der von anderen Pods im Cluster stammt. Diese Sicherheitsanfälligkeit allein gibt einem Angreifer keine Berechtigung zum Erstellen eines Kubernetes-Dienstes.

Alle Sicherheitslücken von Google Kubernetes Engine (GKE), Anthos-Clustern in VMware- und Anthos-Clustern in AWS-Clustern sind von dieser Sicherheitslücke betroffen.

Was soll ich tun?

Eine Anleitung und weitere Informationen finden Sie unter:

Mittel

CVE-2020-8554

GCP-2020-014

Veröffentlicht: 20.10.2020
Zuletzt aktualisiert: 20.10.2020

Beschreibung

Beschreibung Schweregrad Hinweise

Beim Kubernetes-Projekt wurden unlängst mehrere Probleme entdeckt, durch die es zur Offenlegung von Secret-Daten kommen kann, wenn Optionen für das ausführliche Logging aktiviert sind. Die Probleme sind:

  • CVE-2020-8563: Schwachstellen bei Secrets in Logs für den kube-controller-manager des vSphere-Anbieters
  • CVE-2020-8564: Schwachstellen bei Docker-Konfigurations-Secrets, wenn die Datei fehlerhaft und loglevel >= 4 ist
  • CVE-2020-8565: Unvollständige Fehlerkorrektur für CVE-2019-11250 in Kubernetes ermöglicht Schwachstellen bei Tokens in Logs mit logLevel >= 9. Von GKE-Sicherheit erkannt.
  • CVE-2020-8566: adminSecrets von Ceph RBD in Logs mit loglevel >= 4 offengelegt

Was soll ich tun?

Aufgrund der Standardebenen für das ausführliche Logging von GKE sind keine weiteren Maßnahmen erforderlich.

Auswirkungen auf Google Cloud

Details zu den einzelnen Produkten sind unten aufgeführt.

Produkt

Auswirkungen

Google Kubernetes Engine (GKE)

Google Kubernetes Engine (GKE) ist nicht betroffen.

GKE On-Prem

GKE On-Prem ist nicht betroffen.

GKE on AWS

GKE on AWS ist nicht betroffen.

GCP-2020-013

Veröffentlicht: 29.09.2020

Beschreibung

Microsoft hat die folgende Sicherheitslücke entdeckt:

Sicherheitslücke

Schweregrad

CVE

CVE-2020-1472: Durch eine Sicherheitslücke in Windows Server können Angreifer mit dem Netlogon Remote Protocol eine speziell entwickelte Anwendung auf einem Gerät im Netzwerk ausführen.

NVD Base Score: 10 (Kritisch)

CVE-2020-1472

Weitere Informationen finden Sie in der Microsoft-Bekanntmachung.

Auswirkungen auf Google Cloud

Die Infrastruktur, in der Google Cloud und Google-Produkte gehostet werden, ist von dieser Sicherheitslücke nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.

Produkt

Auswirkungen

Compute Engine

CVE-2020-1472

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die virtuelle Compute Engine-Maschinen mit Windows Server verwenden, sollten darauf achten, dass auf ihre Instanzen der neueste Windows-Patch aufgespielt wurde oder sie nach dem 17.08.2020 veröffentlichte Windows Server-Images nutzen (Version 20200813 oder höher).

Google Kubernetes Engine

CVE-2020-1472

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die Domain-Controller in ihren GKE Windows Server-Knoten hosten, sollten sicherstellen, dass sowohl die Knoten als auch die Arbeitslasten in den Containern, die auf diesen Knoten ausgeführt werden, das neueste Windows-Knoten-Image haben, wenn es verfügbar ist. Eine neue Node-Image-Version wird im Oktober in den GKE-Versionshinweisen angekündigt.

Managed Service for Microsoft Active Directory

CVE-2020-1472

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Der von Microsoft veröffentlichte August-Patch, der Korrekturen an dem NetLogon-Protokoll enthält, wurde auf alle verwalteten Microsoft AD-Domaincontroller angewendet. Dieser Patch bietet Funktionen zum Schutz vor potenziellen Angriffen. Der rechtzeitige Einsatz von Patches ist einer der Hauptvorteile des Managed Service for Microsoft Active Directory. Kunden, die Microsoft Active Directory manuell ausführen (und nicht den verwalteten Google Cloud-Dienst verwenden) sollten darauf achten, dass ihre Instanzen den neuesten Windows-Patch aufgespielt haben oder Windows Server-Images verwenden.

Google Workspace

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

App Engine-Standardumgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Flexible App Engine-Umgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Run

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Functions

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Composer

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataflow

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataproc

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud SQL

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

GCP-2020-012

Veröffentlicht: 14.09.2020
Zuletzt aktualisiert: 17.09.2020

Beschreibung

Beschreibung Schweregrad Hinweise

Im Linux-Kernel wurde eine Sicherheitslücke entdeckt, die unter CVE-2020-14386 beschrieben ist. Damit kann Container-Escape Root-Berechtigungen für den Hostknoten erhalten.

Alle GKE-Knoten sind betroffen. In GKE Sandbox ausgeführte Pods können diese Sicherheitslücke nicht nutzen.

Eine Anleitung und weitere Informationen finden Sie unter:


Welche Sicherheitslücke wird mit diesem Patch behoben?

Der Patch entschärft die folgende Sicherheitslücke:

Die Sicherheitslücke CVE-2020-1386 Dadurch können Container mit CAP_NET_RAW
1 bis 10 Byte des Kernel-Speichers schreiben, den Container möglicherweise meiden und Root-Berechtigungen auf dem Hostknoten erhalten. Der Schweregrad dieser Sicherheitslücke ist "Hoch".

Hoch

CVE-2020-14386

GCP-2020-011

Veröffentlicht: 24.07.2020

Beschreibung

Beschreibung Schweregrad Hinweise

Bei Kubernetes wurde vor Kurzem eine Sicherheitslücke im Netzwerk, CVE-2020-8558, entdeckt. Dienste kommunizieren manchmal über die lokale Loopback-Schnittstelle (127.0.0.1) mit anderen Anwendungen, die im gleichen Pod ausgeführt werden. Diese Sicherheitslücke ermöglicht einem Angreifer mit Zugriff auf das Netzwerk des Clusters, Traffic an die Loopback-Schnittstelle von angrenzenden Pods und Knoten zu senden. Dienste, die darauf angewiesen sind, dass die Loopback-Schnittstelle außerhalb ihres Pods nicht zugänglich ist, könnten ausgenutzt werden.

Eine Anleitung und weitere Informationen finden Sie unter:

Niedrig (GKE- und Anthos-Cluster in AWS),
Mittel (Anthos-Cluster in VMware)

CVE-2020-8558

GCP-2020-010

Veröffentlicht: 27.07.2020

Beschreibung

Microsoft hat die folgende Sicherheitslücke entdeckt:

Sicherheitslücke

Schweregrad

CVE

CVE-2020-1350 – Windows-Server, die in einer DNS-Serverkapazität bereitgestellt werden, können zum Ausführen nicht vertrauenswürdiger Code über das lokale Systemkonto genutzt werden.

NVD Base Score: 10.0 (Kritisch)

CVE-2020-1350

Weitere Informationen finden Sie in der Microsoft-Bekanntmachung.

Auswirkungen auf Google Cloud

Die Infrastruktur, in der Google Cloud und Google-Produkte gehostet werden, ist von dieser Sicherheitslücke nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.

Produkt

Auswirkungen

Compute Engine

CVE-2020-1350

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die virtuelle Compute Engine-Maschinen verwenden, auf denen Windows Server in einer DNS-Serverkapazität ausgeführt wird, sollten darauf achten, dass ihre Instanzen über den neuesten Windows-Patch verfügen oder Windows Server-Images verwenden, die seit dem 14.07.2020 bereitgestellt werden.

Google Kubernetes Engine

CVE-2020-1350

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die GKE mit Windows Server-Knoten in einer DNS-Serverkapazität verwenden, müssen die Knoten und die containerisierten Arbeitslasten, die auf diesen Knoten ausgeführt werden, manuell auf eine Windows-Serverversion aktualisieren, die die Fehlerbehebung beinhaltet.

Managed Service for Microsoft Active Directory

CVE-2020-1350

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Alle verwalteten Microsoft AD-Domains wurden automatisch mit dem gepatchten Image aktualisiert. Alle Kunden, die Microsoft Active Directory manuell ausführen und Managed Microsoft AD nicht verwenden, sollten dafür sorgen, dass ihre Instanzen den neuesten Windows-Patch haben oder Windows Server-Images verwenden, die seit dem 14. Juli 2020 bereitgestellt werden.

Google Workspace

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

App Engine-Standardumgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Flexible App Engine-Umgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Run

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Functions

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Composer

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataflow

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataproc

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud SQL

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

GCP-2020-009

Veröffentlicht: 15.07.2020

Beschreibung

Beschreibung Schweregrad Hinweise

Vor Kurzem wurde in Kubernetes eine Sicherheitslücke zur Rechteausweitung, CVE-2020-8559, entdeckt. Diese Sicherheitslücke ermöglicht es einem Angreifer, der bereits einen Knoten manipuliert hat, in jedem Pod im Cluster einen Befehl auszuführen. Der Angreifer kann dadurch mit dem bereits manipulierten Knoten andere Knoten manipulieren und potenziell Informationen lesen oder destruktive Aktionen ausführen.

Damit ein Angreifer diese Sicherheitslücke ausnutzen kann, muss bereits ein Knoten im Cluster manipuliert worden sein. Diese Sicherheitslücke allein beeinträchtigt also noch keine Knoten in Ihrem Cluster.

Eine Anleitung und weitere Informationen finden Sie unter:

Mittel

CVE-2020-8559

GCP-2020-008

Veröffentlicht: 19.06.2020

Beschreibung

Beschreibung Schweregrad Hinweise

Beschreibung

VMs, für die OS Login aktiviert ist, sind potenziell anfällig für Sicherheitslücken in Bezug auf die Rechteausweitung. Durch diese Sicherheitslücken bekommen Nutzer, die OS Login-Berechtigungen ohne Administratorzugriff erhalten haben, die Möglichkeit, zum Root-Zugriff in der VM zu eskalieren.

Anleitungen und weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.

Hoch

GCP-2020-007

Veröffentlicht: 01.06.2020

Beschreibung

Beschreibung Schweregrad Hinweise

Serverseitige Anfragefälschung (Server Side Request Forgery, SSRF), CVE-2020-8555, wurde kürzlich in Kubernetes entdeckt und ermöglicht bestimmten autorisierten Nutzern, bis zu 500 Byte vertraulicher Informationen aus dem Hostnetzwerk der Steuerungsebene abzurufen. Die Google Kubernetes Engine-Steuerungsebene (GKE) verwendet Controller von Kubernetes und ist daher von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, die Steuerungsebene auf die neueste Patch-Version zu aktualisieren. Ein Knotenupgrade ist nicht erforderlich.

Eine Anleitung und weitere Informationen finden Sie unter:

Mittel

CVE-2020-8555

GCP-2020-006

Veröffentlicht: 01.06.2020

Beschreibung

Beschreibung Schweregrad Hinweise

Kubernetes hat eine Sicherheitslücke entdeckt, die es einem berechtigten Container ermöglicht, Knoten-Traffic an einen anderen Container weiterzuleiten. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden. Alle GKE-Knoten (Google Kubernetes Engine) sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, ein Upgrade auf die neueste Patch-Version durchzuführen.

Eine Anleitung und weitere Informationen finden Sie unter:

Mittel

Kubernetes-Problem 91507

GCP-2020-005

Veröffentlicht: 07.05.2020

Beschreibung

Sicherheitslücke

Schweregrad

CVE

Vor Kurzem wurde im Linux-Kernel eine Sicherheitslücke entdeckt, die unter CVE-2020-8835 beschrieben wird. Sie ermöglicht Container-Escape, Root-Berechtigungen auf dem Hostknoten zu erhalten.

GKE-Ubuntu-Knoten (Google Kubernetes Engine) mit GKE 1.16 oder 1.17 sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, so bald wie möglich ein Upgrade auf die neueste Patchversion durchzuführen.

Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.

Hoch

CVE-2020-8835

GCP-2020-004

Veröffentlicht: 31.03.2020
Aktualisiert: 31.03.2020

Beschreibung

Kubernetes hat die folgenden Sicherheitslücken bekanntgegeben:

Sicherheitslücke

Schweregrad

CVE

CVE-2019-11254 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft.

Mittel

CVE-2019-11254

Eine Anleitung und weitere Informationen finden Sie im Sicherheitscluster für Anthos-Cluster auf VMware.

GCP-2020-003

Veröffentlicht: 31.03.2020
Aktualisiert: 31.03.2020

Beschreibung

Kubernetes hat die folgenden Sicherheitslücken bekanntgegeben:

Sicherheitslücke

Schweregrad

CVE

CVE-2019-11254 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft.

Mittel

CVE-2019-11254

Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.

GCP-2020-002

Veröffentlicht: 23.03.2020
Zuletzt aktualisiert: 23.03.2020

Beschreibung

Kubernetes hat die folgenden Sicherheitslücken bekanntgegeben:

Sicherheitslücke

Schweregrad

CVE

CVE-2020-8551 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die das Kubelet betrifft.

Mittel

CVE-2020-8551

CVE-2020-8552 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft.

Mittel

CVE-2020-8552

Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.

GCP-2020-001

Veröffentlicht: 21.01.2020
Zuletzt aktualisiert: 21.01.2020

Beschreibung

Microsoft hat die folgende Sicherheitslücke entdeckt:

Sicherheitslücke

Schweregrad

CVE

CVE-2020-0601 – Diese Sicherheitslücke wird auch als Windows Crypto API-Spoofing-Sicherheitslücke bezeichnet. Sie könnte dazu genutzt werden, bösartige ausführbare Dateien vertrauenswürdig zu machen oder dem Angreifer Man-in-the-Middle-Angriffe zu ermöglichen und vertrauliche Informationen über Nutzerverbindungen mit der betroffenen Software zu entschlüsseln.

NVD Base Score: 8,1 (hoch)

CVE-2020-0601

Weitere Informationen finden Sie in der Microsoft-Bekanntmachung.

Auswirkungen auf Google Cloud

Die Infrastruktur, in der Google Cloud und Google-Produkte gehostet werden, ist von dieser Sicherheitslücke nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.

Produkt

Auswirkungen

Compute Engine

CVE-2020-0601

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die virtuelle Compute Engine-Maschinen mit Windows Server verwenden, sollten dafür sorgen, dass ihre Instanzen den neuesten Windows-Patch haben oder Windows Server-Images verwenden, die seit dem 15. Januar 2020 bereitgestellt werden. Weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.

Google Kubernetes Engine

CVE-2020-0601

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die GKE mit Windows Server-Knoten verwenden, müssen sowohl die Knoten als auch die containerbasierten Arbeitslasten, die auf diesen Knoten ausgeführt werden, auf gepatchte Versionen aktualisieren, um diese Sicherheitslücke zu verringern. Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.

Managed Service for Microsoft Active Directory

CVE-2020-0601

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Alle verwalteten Microsoft AD-Domains wurden automatisch mit dem gepatchten Image aktualisiert. Alle Kunden, die Microsoft Active Directory manuell ausführen und Managed Microsoft AD nicht verwenden, sollten dafür sorgen, dass ihre Instanzen den neuesten Windows-Patch haben oder Windows Server-Images verwenden, die seit dem 15. Januar 2020 bereitgestellt werden.

Google Workspace

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

App Engine-Standardumgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Flexible App Engine-Umgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Run

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Functions

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Composer

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataflow

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataproc

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud SQL

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

GCP-2019-001

Veröffentlicht: 12.11.2019
Zuletzt aktualisiert: 12.11.2019

Beschreibung

Die folgenden Sicherheitslücken wurden von Intel offengelegt:

Sicherheitslücke

Schweregrad

CVE

CVE-2019-11135 — Diese Sicherheitslücke mit der Bezeichnung TSX Async Abort (TAA) kann zur spekulativen Ausführung innerhalb einer TSX-Transaktion genutzt werden. Diese Sicherheitslücke bringt das Risiko mit sich, dass Daten Angriffen über dieselben mikroarchitektonischen Datenstrukturen ausgesetzt sind wie durch Microarchitectural Data Sampling (MDS).

Mittel

CVE-2019-11135

CVE-2018-12207 — Dies ist eine DoS-Sicherheitslücke (Denial of Service), die Host-VMs betrifft (nicht aber Gast-VMs). Das Problem ist als "Machine Check Error on Page Size Change" bekannt.

Mittel

CVE-2018-12207

Weitere Informationen finden Sie in den Sicherheitshinweisen von Intel:

Auswirkungen auf Google Cloud

Die Infrastruktur, in der die Google Cloud- und Google-Produkte gehostet werden, ist von diesen Sicherheitslücken nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.

Produkt

Auswirkungen

Compute Engine

CVE-2019-11135

Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich.

N2-, C2- oder M2-Kunden, die auf virtuellen Maschinen von Compute Engine für ihre eigenen Dienste mit mehreren Mandanten nicht vertrauenswürdigen Code ausführen, sollten ihre VMs beenden und wieder starten, um zu gewährleisten, dass die neuesten Sicherheitsmaßnahmen vorliegen.

CVE-2018-12207

Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.

Google Kubernetes Engine

CVE-2019-11135

Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Wenn Sie Knotenpools mit N2-, M2- oder C2-Knoten verwenden und für diese Knoten in Ihren eigenen GKE-Clustern mit mehreren Mandanten nicht vertrauenswürdigen Code ausführen, sollten Sie Ihre Knoten neu starten. Wenn Sie alle Knoten in Ihrem Knotenpool neu starten möchten, müssen Sie den betroffenen Knotenpool aktualisieren.

CVE-2018-12207

Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.

App Engine-Standardumgebung

Es sind keine weiteren Maßnahmen erforderlich.

Flexible App Engine-Umgebung

CVE-2019-11135

Es sind keine weiteren Maßnahmen erforderlich.

Kunden sollten sich die Best Practices von Intel bezüglich der Freigabe auf Anwendungsebene durchlesen. Diese kann innerhalb einer Flex-VM zwischen Hyperthreads auftreten.

CVE-2018-12207

Es sind keine weiteren Maßnahmen erforderlich.

Cloud Run

Es sind keine weiteren Maßnahmen erforderlich.

Cloud Functions

Es sind keine weiteren Maßnahmen erforderlich.

Cloud Composer

Es sind keine weiteren Maßnahmen erforderlich.

Dataflow

CVE-2019-11135

Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Dataflow-Kunden, die mehrere von Dataflow verwaltete, nicht vertrauenswürdige Arbeitslasten auf N2-, C2- oder M2-VMs in Compute Engine ausführen und sich Sorgen um interne Angriffe von Gast-VMs machen, sollten alle aktuell ausgeführten Streamingpipelines neu starten. Optional können Batchpipelines beendet und neu ausgeführt werden. Für Pipelines, die nach dem heutigen Datum gestartet werden, sind keine Maßnahmen erforderlich.

CVE-2018-12207

Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.

Dataproc

CVE-2019-11135

Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Cloud Dataproc-Kunden, die mehrere nicht vertrauenswürdige Arbeitslasten auf demselben Cloud Dataproc-Cluster ausführen, der auf N2-, C2- oder M2-VMs in Compute Engine ausgeführt wird, und sich Sorgen um interne Angriffe von Gast-VMs machen, sollten ihre Cluster neu bereitstellen.

CVE-2018-12207

Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.

Cloud SQL

Es sind keine weiteren Maßnahmen erforderlich.