Sicherheitsbulletins

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Die folgenden Sicherheitsbulletins beziehen sich auf Google Cloud-Produkte.

Verwenden Sie diesen XML-Feed, um Sicherheitsbulletins für diese Seite zu abonnieren. Abonnieren

GCP-2022-018

Veröffentlicht: 01.08.2022

Letzte Aktualisierung: 14.09.2022

Beschreibung

Beschreibung Schweregrad Hinweise

Update vom 14.09.2022:Patchversionen für Anthos-Cluster auf VMware, Anthos-Cluster in AWS und Anthos auf Azure wurden hinzugefügt.


Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2327) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Aufzählungspunkten:

Hoch CVE-2022-2327

GCP-2022-017

Veröffentlicht: 29.06.2022

Beschreibung

Beschreibung Schweregrad Hinweise

Aktualisierung vom 21. Juli 2022:zusätzliche Informationen zu Anthos-Clustern auf VMware.


Eine neue Sicherheitslücke (CVE-2022-1786) wurde in den Linux-Kernel-Versionen 5.10 und 5.11 entdeckt. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Es sind nur Cluster betroffen, in denen Container-Optimized OS ausgeführt wird. GKE-Ubuntu-Versionen verwenden entweder Version 5.4 oder 5.15 des Kernels und sind nicht betroffen.

Eine Anleitung und weitere Informationen finden Sie hier:

Hoch CVE-2022-1786

GCP-2022-016

Veröffentlicht: 23.06.2022

Zuletzt aktualisiert: 29.07.2022

Beschreibung

Beschreibung Schweregrad Hinweise

Im Linux-Kernel wurden drei neue Sicherheitslücken (Memory-2022-29581, CVE-2022-29582, CVE-2022-1116) gefunden. Mit diesen Sicherheitslücken kann ein privilegierter Nutzer mit lokalem Zugriff auf den Cluster einen vollständigen Container-Breakout auf dem Root-Knoten erreichen. Alle Linux-Cluster (Container-Optimized OS und Ubuntu) sind betroffen.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Aufzählungspunkten:

Hoch

GCP-2022-015

Veröffentlicht: 09.06.2022
Zuletzt aktualisiert: 10.06.2022

Beschreibung

Beschreibung Schweregrad Hinweise

Update vom 10.06.2022:Die Anthos Service Mesh-Versionen wurden aktualisiert. Eine Anleitung und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin.


Folgende Envoy- und Istio-CVEs machen Anthos Service Mesh und Istio on GKE für remote Angriffe verwundbar:

  • CVE-2022-31045: Die Istio-Datenebene kann potenziell unsicher auf den Arbeitsspeicher zugreifen, wenn die Erweiterungen „Metadata Exchange“ und „Statistik“ aktiviert sind.
  • CVE-2022-29225: Die Daten können Zwischenspeichergrenzen übersteigen, wenn ein böswilliger Angreifer eine kleine, stark komprimierte Nutzlast (Zip-Bombenangriff) übergibt.
  • CVE-2021-29224: Mögliche Deaktivierung der Nullzeiger in GRPCHealthCheckerImpl.
  • CVE-2021-29226: Der OAuth-Filter ermöglicht eine einfache Umgehung.
  • CVE-2022-29228: Der OAuth-Filter kann den Arbeitsspeicher beschädigen (frühere Versionen) oder ein ASSERT() (spätere Versionen) auslösen.
  • CVE-2022-29227: Interne Weiterleitungen stürzen bei Anfragen mit Text oder Trailern ab.

Eine Anleitung und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin.

Kritisch

GCP-2022-014

Veröffentlicht: 26.04.2022
Zuletzt aktualisiert: 12.05.2022

Beschreibung

Beschreibung Schweregrad Hinweise

Aktualisierung vom 12.05.2022:Die Anthos-Cluster in AWS und Anthos on Azure wurden aktualisiert. Eine Anleitung und weitere Informationen findest du hier:

Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Containerausfall, eine Ausweitung der Berechtigungen auf dem Host oder beides durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu). Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch CVE-2022-1055
CVE-2022-27666,

GCP-2022-013

Veröffentlicht: 11.04.2022
Zuletzt aktualisiert: 22.04.2022

Beschreibung

Beschreibung Schweregrad Hinweise

Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke, CVE-2022-23648, entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten. Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Mittel CVE-2022-23648.

GCP-2022-012

Veröffentlicht: 07.04.2022

Beschreibung

Beschreibung Schweregrad Hinweise

Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können. Diese Sicherheitslücke betrifft folgende Produkte:

  • GKE-Knotenpoolversionen 1.22 und höher, die Container-Optimized OS-Images verwenden (Container-Optimized OS 93 und höher)
  • Anthos-Cluster auf VMware v1.10 für Container-Optimized OS-Images
  • Anthos-Cluster in AWS v1.21 und Anthos-Cluster in AWS (vorherige Generation) v1.19, v1.20, v1.21, die Ubuntu verwenden
  • Verwaltete Anthos-Cluster in Azure v1.21 mit Ubuntu

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch CVE-2022-0847

GCP-2022-011

Veröffentlicht: 22.03.2022
Zuletzt aktualisiert: 11.08.2022

Beschreibung

Beschreibung Schweregrad

Update vom 11.08.2022:Es wurden weitere Informationen zur Konfiguration „Simultaneous Multi-Threading (SMT)“ hinzugefügt. SMT sollte deaktiviert werden, wurde jedoch für die aufgeführten Versionen aktiviert.

Wenn Sie SMT manuell für einen Knotenpool in einer Sandbox aktiviert haben, bleibt SMT trotz dieses Problems manuell aktiviert.


Es gibt eine fehlerhafte Konfiguration beim Gleichzeitigen Multi-Threading (SMT), auch als Hyper-Threading bezeichnet, auf GKE Sandbox-Images. Durch eine fehlerhafte Konfiguration werden Knoten möglicherweise für Nebenkanalangriffe wie Microarchitectural Data Sampling (MDS) ausgesetzt. Weitere Informationen finden Sie in der GKE Sandbox-Dokumentation. Wir raten davon ab, die folgenden betroffenen Versionen zu verwenden:

  • 1.22.4-gke.1501
  • 1.22.6-gke.300
  • 1.23.2-gke.300
  • 1.23.3-gke.600

Eine Anleitung und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Mittel

GCP-2022-010

Beschreibung

Beschreibung Schweregrad Hinweise

Durch das folgende Istio-CVE-Sicherheitslücken ist Anthos Service Mesh für eine remote ausnutzbare Sicherheitslücke zugänglich:

  • CVE-2022-24726: Die Istio-Steuerungsebene „ Istiod“ ist anfällig für einen Fehler bei der Anfrageverarbeitung, sodass ein böswilliger Angreifer, der eine speziell erstellte Nachricht abstürzt, abstürzt, wenn der validierende Webhook für einen Cluster öffentlich verfügbar gemacht wird. Dieser Endpunkt wird über TLS-Port 15017 bereitgestellt, erfordert jedoch keine Authentifizierung des Angreifers.

Eine Anleitung und weitere Informationen finden Sie im folgenden Sicherheitsbulletin:

Hoch

GCP-2022-009

Veröffentlicht: 01.03.2022

Beschreibung

Beschreibung Schweregrad

Einige unerwartete Pfade für den Zugriff auf die Knoten-VM in GKE Autopilot-Clustern wurden möglicherweise verwendet, um Berechtigungen im Cluster zu eskalieren. Diese Probleme wurden behoben und es sind keine weiteren Maßnahmen erforderlich. Die Fehlerkorrekturen beheben Probleme, die über unser Vulnerability Reward Program gemeldet wurden.

Eine Anleitung und weitere Informationen finden Sie im GKE-Sicherheitsbulletin

Niedrig

GCP-2022-008

Veröffentlicht: 23.02.2022
Zuletzt aktualisiert: 28.04.2022

Beschreibung

Beschreibung Schweregrad Hinweise

Aktualisierung vom 28. April 2022: Versionen von Anthos-Clustern auf VMware, die diese Sicherheitslücken beheben, wurden hinzugefügt. Weitere Informationen finden Sie im Sicherheitsbulletin zu Anthos-Clustern auf VMware.


Das Envoy-Projekt hat vor Kurzem eine Reihe von Sicherheitslücken entdeckt. Alle unten aufgeführten Probleme wurden in der Envoy-Version 1.21.1 behoben.
  • CVE-2022-23606: Wenn ein Cluster über den Cluster Discovery Service (CDS) gelöscht wird, werden alle inaktiven Verbindungen zu Endpunkten in diesem Cluster getrennt. In Envoy Version 1.19 wurde fälschlicherweise eine Wiederholung zum Verfahren zum Trennen inaktiver Verbindungen eingeführt, die zu einer Überlastung des Stacks und einer ungewöhnlichen Prozessbeendigung führen können, wenn ein Cluster eine große Anzahl inaktiver Verbindungen hat.
  • CVE-2022-21655: Der interne Weiterleitungscode von Envoy geht davon aus, dass ein Routeneintrag vorhanden ist. Wenn eine interne Weiterleitung an eine Route mit einem direkten Antworteintrag und ohne Routeneintrag erfolgt, führt dies zum Dereferenzieren eines Nullzeigers und zum Absturz.
  • CVE-2021-43826: Wenn Envoy für die Verwendung von tcp_proxy konfiguriert ist, das Upstream-Tunneling (über HTTP) und die nachgeschaltete TLS-Beendigung verwendet, stürzt abstürzt, wenn der Downstream-Client während des TLS-Handshakes die Verbindung trennt, während der vorgelagerte HTTP-Stream noch eingerichtet wird. Die nachgelagerte Verbindung kann entweder vom Client oder vom Server initiiert werden. Der Client kann die Verbindung jederzeit trennen. Die Verbindung zum Server kann getrennt werden, wenn er beispielsweise keine TLS-Chiffren oder TLS-Protokollversionen hat, die mit dem Client kompatibel sind. Dieser Absturz kann auch in anderen nachgelagerten Konfigurationen ausgelöst werden.
  • CVE-2021-43825: Wenn eine lokal generierte Antwort gesendet wird, muss die weitere Verarbeitung von Anfrage- oder Antwortdaten beendet werden. Envoy verfolgt die Menge der zwischengespeicherten Anfrage- und Antwortdaten und bricht die Anfrage ab, wenn die Menge der zwischengespeicherten Daten das Limit durch Senden von 413 oder 500 Antworten überschreitet. Wenn jedoch eine lokal generierte Antwort gesendet wird, weil der interne Zwischenspeicher überläuft, während die Antwort von der Filterkette verarbeitet wird, wird der Vorgang möglicherweise nicht abgebrochen und kann zum Zugriff auf einen frei gewordenen Arbeitsspeicherblock führen.
  • CVE-2021-43824: Envoy stürzt ab, wenn der JWT-Filter mit einer Übereinstimmungsregel und einer speziell erstellten Anfrage wie "connect host:port HTTP/1.1" verwendet wird. Beim Erreichen des JWT-Filters sollte eine URL-Regel den URL-Pfad evaluieren, aber es gibt hier keinen, und Envoy stürzt mit Segmentierungen ab.
  • CVE-2022-21654: Envoy würde die Wiederaufnahme von TLS-Sitzungen fälschlicherweise zulassen, nachdem die mTLS-Validierungseinstellungen neu konfiguriert wurden. Wenn ein Clientzertifikat mit der alten Konfiguration zugelassen wurde, aber mit der neuen Konfiguration nicht zulässig ist, kann der Client die vorherige TLS-Sitzung fortsetzen, obwohl die aktuelle Konfiguration es nicht zulassen sollte. Folgende Änderungen an den Einstellungen sind davon betroffen:
    • Name_der_Alten_Übereinstimmung
    • Änderungen der Zertifikatssperrliste
    • Allow_expired_certificate
    • Trust_chain_verification
    • only_verify_leaf_cert_crl (nur auf Englisch verfügbar)
  • CVE-2022-21657: Envoy beschränkt den Satz von Zertifikaten, die er vom Peer entweder als TLS-Client oder TLS-Server akzeptiert, nicht nur auf die Zertifikate, die den erforderlichen erweiterten Schlüsselverwendung enthalten (id-kp-serverAuth bzw. id-kp-clientAuth). Das bedeutet, dass ein Peer ein E-Mail-Zertifikat (z.B. id-kp-emailProtection) entweder als Blattzertifikat oder als CA in der Kette präsentieren kann und für TLS akzeptiert wird. In Kombination mit CVE-2022-21656 ist dies besonders schlecht, denn es ermöglicht einer Web-PKI-CA, die nur für die Verwendung mit S/MIME vorgesehen und damit von der Prüfung oder Elternaufsicht ausgenommen ist, TLS-Zertifikate auszustellen, die von Envoy akzeptiert werden.
  • CVE-2022-21656: Die Validierungsimplementierung, die zur Implementierung der standardmäßigen Validierungsroutinen für Zertifikate verwendet wird, weist bei der Verarbeitung von subjectAltNames einen Fehler vom Typ "Verwirrung" auf. Durch diese Verarbeitung können beispielsweise ein rfc822Name oder uniformResourceIndicator als Domainname authentifiziert werden. Diese Verwirrung ermöglicht die Umgehung von nameRestricts, die von der zugrunde liegenden OpenSSL-/BoringSSL-Implementierung verarbeitet werden, sodass die Möglichkeit besteht, die Identität beliebiger Server zu stehlen.
Ausführliche Anleitungen für bestimmte Produkte finden Sie in den folgenden Sicherheitsbulletins:
Was sollte ich tun?
Envoy-Nutzer, die ihre eigenen Envoy verwalten, sollten darauf achten, dass sie die Envoy-Version 1.21.1 verwenden. Die Nutzer, die ihre eigenen Envoy verwalten, erstellen die Binärdateien aus einer Quelle wie GitHub und stellen sie bereit.

Es müssen keine Aktionen von Nutzern ausgeführt werden, die verwaltete Envoy-Versionen ausführen (GCP stellt die Binärdateien von Envoy zur Verfügung), für die Cloud-Produkte auf 1.21.1 umgestellt werden.
Hoch CVE-2022-23606
CVE-2022-21655
CVE-2021-43826
CVE-2021-43825
CVE-2021-43824
CVE-2022{/216522155226522662266,29622,125,126,126,12,13,13,13,13,13,12,5, 21, 55, 51, 56, 58, 14}

GCP-2022-007

Veröffentlicht: 22.02.2022

Beschreibung

Beschreibung Schweregrad Hinweise

Die folgenden Envoy- und Istio-CVEs stellen Anthos Service Mesh und Istio on GKE für ausnutzungsfähige Sicherheitslücken bereit:

  • CVE-2022-23635: Istiod stürzt beim Empfang von Anfragen mit einem speziell erstellten authorization-Header ab.
  • CVE-2021-43824: Mögliche Deaktivierung der Nullzeiger bei Verwendung des safe_regex-Abgleichs mit dem JWT-Filter
  • CVE-2021-43825: „Nach der kostenlosen Nutzung“, wenn Antwortfilter die Antwortdaten erhöhen und erhöhte Daten die nachgelagerten Pufferlimits überschreiten.
  • CVE-2021-43826: Danach kostenlos beim Tunneling von TCP über HTTP, wenn nachgelagerte Verbindungen während des Upstream-Verbindungsvorgangs getrennt werden.
  • CVE-2022-21654: Bei falscher Konfiguration kann die mTLS-Sitzung wiederverwendet werden, ohne dass die Validierungseinstellungen geändert wurden.
  • CVE-2022-21655: Falsche Handhabung interner Weiterleitungen zu Routen mit einem Direct-Response-Eintrag.
  • CVE-2022-23606: Stack-Erschöpfung, wenn ein Cluster über Cluster Discovery Service gelöscht wird.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Sicherheitsbulletins:

Hoch

GCP-2022-006

Veröffentlicht: 14.02.2022
Zuletzt aktualisiert: 16.05.2022

Beschreibung

Beschreibung Schweregrad Hinweise

Update vom 16.05.2022: Der Liste der Versionen mit Code zur Behebung dieser Sicherheitslücke wurde die GKE-Version 1.19.16-gke.7800 oder höher hinzugefügt. Weitere Informationen finden Sie im GKE-Sicherheitsbulletin.


Update vom 12.05.2022:Die GKE-, Anthos-Cluster auf VMware-, Anthos-Cluster in AWS- und Anthos on Azure-Versionen wurden aktualisiert. Eine Anleitung und weitere Informationen findest du hier:


In der Funktion cgroup_release_agent_write des Linux-Kernels wurde eine Sicherheitslücke, CVE-2022-0492, entdeckt. Der Angriff verwendet nicht privilegierte Nutzer-Namespaces und unter bestimmten Umständen kann diese Sicherheitslücke für Container-Breakouts ausgenutzt werden.

Niedrig

Eine Anleitung und weitere Informationen finden Sie hier:

GCP-2022-005

Veröffentlicht: 11.02.2022
Zuletzt aktualisiert: 15.02.2022

Beschreibung

Beschreibung Schweregrad Hinweise

Es wurde eine Sicherheitslücke, CVE-2021-43527, in einer beliebigen Binärdatei entdeckt, die auf die anfälligen Versionen von libnss3 in Versionen von NSS (Network Security Services) vor 3.73 oder 3.68.1 verweist. Anwendungen, die NSS für die Zertifikatsprüfung oder andere TLS-, X.509-, OCSP- oder CRL-Funktionen verwenden, können abhängig davon, wie NSS verwendet/konfiguriert wird, betroffen sein.

Eine Anleitung und weitere Informationen finden Sie hier:

Mittel CVE-2021-43527

GCP-2022-004

Veröffentlicht: 04.02.2022

Beschreibung

Beschreibung Schweregrad Hinweise

In pkexec, einem Teil des Linux-Policy-Kits (polkit), wurde die Sicherheitslücke CVE-2021-4034 erkannt, die einem authentifizierten Nutzer die Ausführung eines Angriffs nach Rechteausweitung ermöglicht. PolicyKit wird im Allgemeinen nur auf Linux-Desktopsystemen verwendet, um Nicht-Root-Nutzer Aktionen wie das Neustarten des Systems, das Installieren von Paketen, das Neustarten von Diensten usw. gemäß einer Richtlinie zu ermöglichen.

Eine Anleitung und weitere Informationen finden Sie hier:

CVE-2021-4034

GCP-2022-002

Veröffentlicht: 01.02.2022
Zuletzt aktualisiert: 25.02.2022

Beschreibung

Beschreibung Schweregrad Hinweise

Aktualisierung vom 25. Februar 2022:Die GKE-Versionen wurden aktualisiert. Eine Anleitung und weitere Informationen findest du hier:

Aktualisierung vom 23. Februar 2022: Die GKE- und Anthos-Cluster auf VMware-Versionen wurden aktualisiert. Eine Anleitung und weitere Informationen findest du hier:


Aktualisierung vom 04.02.2022: Das Roll-out-Startdatum für GKE-Patchversionen war am 2. Februar.


Drei Sicherheitslücken, CVE-2021-4154, CVE-2021-22600 und CVE-2022-0185, wurden im Linux-Kernel erkannt, von der jede zu einem Container-Breakout, einer Rechteausweitung auf dem Host oder zu beidem führen kann. Diese Sicherheitslücken betreffen alle Knotenbetriebssysteme (COS und Ubuntu) in GKE, Anthos-Cluster auf VMware, Anthos-Cluster in AWS (aktuelle und vorherige Generation) und Anthos on Azure. Pods, die GKE Sandbox verwenden, sind nicht anfällig für diese Sicherheitslücken. Weitere Informationen finden Sie in den COS-Versionshinweisen.

Eine Anleitung und weitere Informationen finden Sie hier:

Hoch

GCP 2022-001

Veröffentlicht: 06.01.2022

Beschreibung

Beschreibung Schweregrad Hinweise

Im Parsing-Verfahren für Binärdaten wurde ein potenzielles Denial-of-Service-Problem in protobuf-java entdeckt.

Was soll ich tun?

Achten Sie darauf, dass Sie die neuesten Versionen der folgenden Softwarepakete verwenden:

  • protobuf-java (3.16.1, 3.18.2, 3.19.2)
  • protobuf-kotlin (3.18.2, 3.19.2)
  • google-protobuf [JRuby-Edelstein] (3.19.2)

Protobuf-Javalite-Nutzer (normalerweise Android) sind nicht betroffen.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Dieser Patch dient zur Entschärfung der folgenden Sicherheitslücke:

Eine Schwachstelle bei der Implementierung, mit der unbekannte Felder in Java geparst werden. Eine kleine schädliche Nutzlast (~ 800 KB) kann den Parser mehrere Minuten lang beanspruchen. Dabei wird eine große Anzahl von kurzlebigen Objekten erstellt, die zu häufigen, wiederholten automatischen Speicherbereinigungen führen.

Hoch CVE-2021-22569

GCP-2021-024

Veröffentlicht: 21.10.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Im Kubernetes-Controller Ingress-nginx wurde das Sicherheitsproblem CVE-2021-25742 festgestellt. Benutzerdefinierte Snippets für Ingress-nginx ermöglichen das Abrufen von Tokens und Secrets für Ingress-nginx in allen Namespaces.

Eine Anleitung und weitere Informationen finden Sie hier:

CVE-2021-25742

GCP-2021-019

Veröffentlicht: 29.09.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Es gibt ein bekanntes Problem, das Auftritt, wenn eine BackendConfig-Ressource mithilfe der v1beta1 API aktualisiert wird, was dazu führen kann, dass eine aktive Google Cloud Armor-Sicherheitsrichtlinie aus ihrem Dienst entfernt wird.

Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Niedrig

GCP-2021-022

Veröffentlicht: 22.09.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Im AIS-LDAP-Modul (Anthos Identity Service) von Anthos-Cluster auf VMware-Versionen 1.8 und 1.8.1 wurde eine Sicherheitslücke entdeckt, bei der ein Quellschlüssel zum Generieren von Schlüsseln vorhersehbar ist. Mit dieser Sicherheitslücke könnte ein authentifizierter Nutzer beliebige Anforderungen hinzufügen und Berechtigungen auf unbestimmte Zeit eskalieren.

Anleitungen und weitere Informationen finden Sie im Anthos-Cluster auf VMware-Sicherheitsbulletin.

Hoch

GCP-2021-021

Veröffentlicht: 22.09.2021

Beschreibung

Beschreibung Schweregrad Hinweise

In Kubernetes wurde die Sicherheitslücke CVE-2020-8561 erkannt, bei der bestimmte Webhooks erstellt werden können, um kube-apiserver-Anfragen an private Netzwerke dieses API-Servers weiterzuleiten.

Eine Anleitung und weitere Informationen finden Sie hier:

Mittel CVE-2020-8561

GCP-2021-023

Veröffentlicht: 21.09.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Gemäß dem VMware-Sicherheitshinweis VMSA-2021-0020 hat VMware Berichte zu mehreren Sicherheitslücken in vCenter erhalten. VMware hat Aktualisierungen vorgenommen, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben.

Wir haben die von VMware bereitgestellten Patches für den vSphere-Stack bereits gemäß dem VMware-Sicherheitshinweis auf Google Cloud VMware Engine angewendet. Mit diesem Update werden die in CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 und CVE-2021-22010 beschriebenen Sicherheitslücken behoben. Andere nicht kritische Sicherheitsprobleme werden im nächsten VMware-Stack-Upgrade behoben (siehe Vorabankündigung vom Juli). Weitere Details zur spezifischen Zeitachse des Upgrades werden bald bereitgestellt.

Auswirkungen auf VMware Engine

Unsere Untersuchungen haben ergeben, dass davon keine Kunden betroffen waren.

Was soll ich tun?

Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich.

Kritisch

GCP-2021-020

Veröffentlicht: 17.09.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Bestimmte Google Cloud-Load-Balancer, die Weiterleitungen an einen für das Identity-Aware Proxy (IAP) aktivierten Back-End-Dienst vornehmen, können unter bestimmten Bedingungen von einer nicht vertrauenswürdige Partei missbraucht werden. Damit wurde ein über das Prämienprogramm für die Meldung von Sicherheitslücken gemeldetes Problem behoben.

Die Bedingungen waren, dass die Server:
  • HTTP(S)-Load-Balancer waren und
  • ein Standard-Back-End oder ein Back-End mit einer Platzhalter-Hostzuordnungsregel (d. h. host="*") nutzten

Darüber hinaus musste ein Nutzer in Ihrer Organisation auf einen speziell erstellten Link geklickt haben, der von einer nicht vertrauenswürdigen Partei gesendet wurde.

Dieses Problem wurde behoben. IAP wurde am 17. September 2021 so aktualisiert, dass Cookies nur noch für autorisierte Hosts ausgegeben werden. Ein Host gilt als autorisiert, wenn er mit mindestens einem SAN (Subject Alternative Name) in einem der Zertifikate übereinstimmt, die auf Ihren Load-Balancern installiert sind.

Was muss ich tun?

Einigen Ihrer Nutzer:innen wird möglicherweise beim Versuch, auf Anwendungen oder Dienste zuzugreifen, die Antwort „HTTP 401 – Unauthorized“ mit dem IAP-Fehlercode 52 angezeigt. Dieser Fehlercode bedeutet, dass der Client einen Host-Header gesendet hat, der nicht mit einem der Subject-Alternative-Namen übereinstimmt, die mit den SSL-Zertifikaten des Load-Balancers verknüpft sind. Load-Balancer-Administratoren müssen das SSL-Zertifikat aktualisieren, damit die SAN (Subject Alternative Name)-Liste alle Hostnamen enthält, über die Nutzer auf IAP-geschützte Anwendungen oder Dienste zugreifen. Hier finden Sie weitere Informationen zu IAP-Fehlercodes.

Hoch

GCP-2021-018

Veröffentlicht: 15.09.2021
Zuletzt aktualisiert: 20.09.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Ein Sicherheitsproblem in Kubernetes (CVE-2021-25741) wurde festgestellt, bei dem Nutzer möglicherweise einen Container mit Unterpfad-Volume-Bereitstellungen erstellen können, um auf Dateien und Verzeichnisse außerhalb des Volumes, z. B. im Hostdateisystem, zuzugreifen.

Eine Anleitung und weitere Informationen finden Sie hier:

Hoch CVE-2021-25741

GCP-2021-017

Veröffentlicht: 01.09.2021
Zuletzt aktualisiert: 23.09.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Aktualisierung vom 23. 09. 2021: Container, die in der GKE Sandbox ausgeführt werden, sind von dieser Sicherheitslücke für Angriffe aus dem Container nicht betroffen.


Im Linux-Kernel wurden zwei Sicherheitslücken erkannt, CVE-2021-33909 und CVE-2021-33910, die zu einem Absturz des Betriebssystems oder einer Eskalation zum Root durch einen nicht privilegierten Nutzer führen können. Diese Sicherheitslücke betrifft alle GKE-Knotenbetriebssysteme (COS und Ubuntu).

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch CVE-2021-33909, CVE-2021-33910

GCP-2021-016

Veröffentlicht: 24.08.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Folgende Envoy- und Istio-CVEs machen Anthos Service Mesh und Istio on GKE für remote Angriffe verwundbar:

  • CVE-2021-39156: HTTP-Anfragen mit einem Fragment (einem Abschnitt am Ende eines URI, der mit einem #-Zeichen beginnt) im URI-Pfad können die pfadbasierten Autorisierungsrichtlinien von Istio umgehen.
  • CVE-2021-39155: HTTP-Anfragen können möglicherweise eine Istio-Autorisierungsrichtlinie umgehen, wenn Sie Regeln auf Grundlage von hosts oder notHosts verwenden.
  • CVE-2021-32781: Wirkt sich auf die Envoy-Erweiterungen decompressor, json-transcoder oder grpc-web oder auf proprietäre Erweiterungen aus, die die Anfrage- oder Antworttexte ändern und vergrößern. Das Ändern und Erhöhen der Textgröße in der Envoy-Erweiterung über die interne Puffergröße hinaus kann dazu führen, dass Envoy auf den freigegebenen Speicher zugreift und anormal beendet wird.
  • CVE-2021-32780: Ein nicht vertrauenswürdiger Upstream-Dienst kann dazu führen, dass Envoy ungewöhnlich beendet wird, indem der GOAWAY-Frame gefolgt vom SETTINGS-Frame gesendet wird, wobei der Parameter SETTINGS_MAX_CONCURRENT_STREAMS auf 0 gesetzt ist. (Nicht anwendbar auf Istio on GKE)
  • CVE-2021-32778: Ein Envoy-Client, der eine große Anzahl von HTTP/2-Anfragen öffnet und dann zurückgesetzt, kann zu einem übermäßigen CPU-Verbrauch führen. (Nicht anwendbar auf Istio on GKE)
  • CVE-2021-32777: HTTP-Anfragen mit mehreren Wert-Headern können bei Verwendung der ext_authz-Erweiterung eine unvollständige Prüfung der Autorisierungsrichtlinie bedingen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

GCP-2021-015

Veröffentlicht: 13.07.2021
Zuletzt aktualisiert: 15.07.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Es wurde eine neue Sicherheitslücke (CVE-2021-22555) entdeckt, bei der ein böswilliger Akteur mit CAP_NET_ADMIN-Berechtigungen potenziell eine Container-Aufschlüsselung zum Root auf dem Host verursachen kann. Diese Sicherheitslücke betrifft alle GKE-Cluster und Anthos-Cluster auf VMware unter Linux-Version 2.6.19 oder höher.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch CVE-2021-22555

GCP-2021-014

Veröffentlicht: 05.07.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Microsoft hat ein Sicherheitsbulletin CVE-2021-34527 zu einer Sicherheitslücke (Remote Code Execution, RCE) veröffentlicht, die Auswirkungen auf die Druckwarteschlange bei Windows-Servern hat. Das CERT Coordination Center (CERT/CC) hat einen Hinweis zu einer ähnlichen Sicherheitslücke mit dem Namen "PrintNightmare" veröffentlicht. Auch diese hat Auswirkungen auf Windows-Druckwarteschlangen – PrintNightmare, kritische Windows-Sicherheitslücke für Druckwarteschlange.

Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Hoch CVE-2021-34527

GCP-2021-012

Veröffentlicht: 24.06.2021
Zuletzt aktualisiert: 09.07.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Das Istio-Projekt hat vor Kurzem eine Sicherheitslücke gemeldet, über die auf in den Feldern "Gateway" und "DestinationRule credentialName" angegebenen Anmeldedaten von verschiedenen Namespaces aus zugegriffen werden kann.

Produktspezifische Anleitungen und weitere Informationen finden Sie unter:

Hoch CVE-2021-34824

GCP-2021-011

Veröffentlicht: 04.06.2021
Zuletzt aktualisiert: 19.10.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Aktualisierung 19.10.2021:

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:


Die Sicherheitscommunity hat kürzlich eine neue Sicherheitslücke (CVE-2021-30465) entdeckt, die in runc enthalten ist und möglicherweise einen vollständigen Zugriff auf ein Knotendateisystem ermöglicht.

Da für die Ausnutzung dieser Sicherheitslücke das Erstellen von Pods erforderlich ist, haben wir den Schweregrad dieser Sicherheitslücke mit MITTEL bewertet.

Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Mittel CVE-2021-30465

GCP-2021-010

Veröffentlicht: 25.05.21

Beschreibung

Beschreibung Schweregrad Hinweise

Gemäß VMware-Sicherheitshinweis VMSA-2021-0010 wurden die Remote-Codeausführung und die Authentifizierung über die Sicherheitslücken im vSphere-Client (HTML5) privat an VMware gemeldet. VMware hat Aktualisierungen vorgenommen, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben.

Wir haben die von VMware bereitgestellten Patches gemäß dem VMware-Sicherheitshinweis für den vSphere-Stack angewendet. Mit diesem Update werden Sicherheitslücken behoben, die in CVE-2021-21985 und CVE-2021-21986 beschrieben wurden. Die Image-Versionen, die in Ihrer privaten VMware Engine-Cloud ausgeführt werden, spiegeln derzeit keine Änderungen wider, die auf die angewendeten Patches hinweisen. Sie können sich darauf verlassen, dass entsprechende Patches installiert und Ihre Umgebung vor diesen Sicherheitslücken geschützt wird.

Auswirkungen auf VMware Engine

Unsere Untersuchungen haben ergeben, dass davon keine Kunden betroffen waren.

Was kann ich tun?

Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich.

Kritisch

GCP-2021-008

Veröffentlicht: 17.05.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Istio enthält eine Sicherheitslücke, die per Remotezugriff ausgenutzt wird. Hier kann ein externer Client auf unerwartete Dienste im Cluster zugreifen und Autorisierungsprüfungen umgehen, wenn ein Gateway mit der Routingkonfiguration AUTO_PASSTHROUGH konfiguriert ist.

Anleitungen und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin.

Hoch

CVE-2021-31921.

GCP-2021-007

Veröffentlicht: 17.05.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Istio enthält eine Sicherheitslücke, die per Remotezugriff ausgenutzt werden kann. Dabei kann ein HTTP-Anfragepfad mit mehreren Schrägstrichen oder Escape-Zeichen (%2F oder %5C) eine Istio-Autorisierungsrichtlinie umgehen, wenn pfadbasierte Autorisierungsregeln verwendet werden.

Anleitungen und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin.

Hoch

CVE-2021-31920.

GCP-2021-006

Veröffentlicht: 11.05.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Im Istio-Projekt wurde vor Kurzem eine neue Sicherheitslücke (CVE-2021-31920) gemeldet, die sich auf Istio auswirkt.

Istio enthält eine Sicherheitslücke, die per Fernzugriff ausgenutzt wird. Hier kann eine HTTP-Anfrage mit mehreren Schrägstrichen oder maskierten Schrägstrichen die Istio-Autorisierungsrichtlinie umgehen, wenn pfadbasierte Autorisierungsregeln verwendet werden.

Eine Anleitung und weitere Informationen finden Sie hier:

Hoch

CVE-2021-31920

GCP-2021-005

Veröffentlicht: 11.05.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Eine gemeldete Sicherheitslücke hat gezeigt, dass Envoy die maskierten Schrägstrich-Sequenzen %2F und %5C in HTTP-URL-Pfaden in den Envoy-Versionen bis 1.18.2 nicht decodiert. Darüber hinaus aktivieren einige Envoy-basierte Produkte keine Steuerelemente zur Pfadnormalisierung. Ein Remote-Angreifer kann einen Pfad mit maskierten Schrägstrichen erstellen (z. B. /something%2F..%2Fadmin,), um die Zugriffssteuerung zu umgehen (z. B. einen Block auf /admin). Ein Back-End-Server könnte dann die Schrägstrich-Sequenzen decodieren und den Pfad normalisieren, um Angreifern Zugriff über den durch die Zugriffssteuerungsrichtlinie zugelassenen Umfang hinaus zu ermöglichen.

Was soll ich tun?

Wenn Back-End-Server / und %2F oder \ und %5C austauschbar behandeln und ein URL-Pfad-basierter Abgleich konfiguriert ist, empfehlen wir, den Back-End-Server so neu zu konfigurieren, dass er \ und %2F oder \ und %5C nicht mehr austauschbar behandelt, wenn möglich.

Welche Verhaltensänderungen wurden eingeführt?

Die Optionen normalize_path und angrenzende Schrägstriche zusammenführen von Envoy wurden aktiviert, um andere gängige Sicherheitslücken im Zusammenhang mit der Verwechslung von Pfaden in Envoy-basierten Produkten zu beheben.

Hoch

CVE-2021-29492.

GCP-2021-004

Veröffentlicht: 06.05.2021

Beschreibung

Beschreibung Schweregrad Hinweise

In den Envoy- und Istio-Projekten wurden vor Kurzem mehrere neue Sicherheitslücken angekündigt (CVE-2021-28683, CVE-2021-28682 und CVE-2021-29258), die einem Angreifer den Absturz von Envoy ermöglichen könnten.

In Google Kubernetes Engine-Clustern wird Istio nicht standardmäßig ausgeführt und daher sind sie nicht anfällig. Wenn Istio in einem Cluster installiert und so konfiguriert ist, dass Dienste im Internet verfügbar sind, können diese Dienste anfällig für Denial-of-Service-Angriffe sein.

Anthos auf Bare Metal- und Anthos-Cluster auf VMware verwenden standardmäßig Envoy für Ingress, sodass Ingress-Dienste anfällig für Denial of Service sind.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Mittel

GCP-2021-003

Veröffentlicht: 19.04.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Das Kubernetes-Projekt hat vor Kurzem eine neue Sicherheitslücke (CVE-2021-25735) bekanntgegeben. Damit können Knoten-Updates einen validierenden Zulassungs-Webhook umgehen.

In einem Szenario, in dem ein Angreifer ausreichende Berechtigungen hat und in dem ein validierender Zulassungs-Webhook implementiert ist, der alte Node-Objektattribute wie z. B. Felder in Node.NodeSpec verwendet, kann der Angreifer Aktualisierungen von Attributen eines Knotens vornehmen. Dies führt eventuell zu einer Clustermanipulation. Keine der Richtlinien, die von GKE und von den integrierten Zulassungs-Controllern von Kubernetes erzwungen werden, sind davon betroffen. Wir empfehlen Kunden aber, alle zusätzlich installierten Zulassungs-Webhooks zu prüfen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Mittel

CVE-2021-25735

GCP-2021-002

Veröffentlicht: 05.03.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Im VMware-Sicherheitshinweis VMSA-2021-0002 hat VMware Berichte über mehrere Sicherheitslücken in VMware ESXi und vSphere Client (HTML5) erhalten. VMware hat Aktualisierungen vorgenommen, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben.

Wir haben uns der offiziell dokumentierten Problemumgehung für den vSphere-Stack entsprechend dem VMware-Sicherheitshinweis bedient. Mit diesem Update werden Sicherheitslücken behoben, die in CVE-2021-21972, CVE-2021-21973 und CVE-2021-21974 beschrieben sind.

Auswirkungen auf VMware Engine

Unsere Untersuchungen haben ergeben, dass davon keine Kunden betroffen waren.

Was kann ich tun?

Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich.

Kritisch

GCP-2021-001

Veröffentlicht: 28.01.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Im Linux-Dienstprogramm sudo wurde eine Sicherheitslücke entdeckt, die in CVE-2021-3156 beschrieben wurde. Dies könnte einem Angreifer mit nicht privilegierten lokalen Shell-Zugriff auf einem System mit installiertem sudo ermöglichen, seine Berechtigungen auf das Root-System auszuweiten.

Die zugrunde liegende Infrastruktur, auf der Compute Engine ausgeführt wird, ist von dieser Sicherheitslücke nicht betroffen.

Alle Cluster von Google Kubernetes Engine (GKE), Anthos-Cluster auf VMware, Anthos-Cluster in AWS und Anthos on Bare Metal sind von dieser Sicherheitslücke nicht betroffen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

CVE-2021-3156.

GCP-2020-015

Veröffentlicht: 07.12.2020
Zuletzt aktualisiert: 22.12.2020

Beschreibung

Beschreibung Schweregrad Hinweise

Aktualisiert: 22.12.2021 Der Befehl für GKE im folgenden Abschnitt sollte gcloud beta anstelle des Befehls gcloud verwenden.


gcloud container clusters update –no-enable-service-externalips

Aktualisiert: 15.12.2021 Für GKE ist jetzt die folgende Maßnahme verfügbar:
  1. Ab GKE Version 1.21 werden Dienste mit ExternalIPs von einem DenyServiceExternalIPs-Admission-Controller blockiert, der standardmäßig für neue Cluster aktiviert ist.
  2. Kunden, die ein Upgrade auf GKE-Version 1.21 durchführen, können Dienste mit ExternalIPs mit dem folgenden Befehl blockieren:
    
    gcloud container clusters update –no-enable-service-externalips
    

Weitere Informationen finden Sie unter Sicherheit des Clusters erhöhen.


Das Kubernetes-Projekt entdeckte kürzlich eine neue Sicherheitslücke, CVE-2020-8554, die es einem Angreifer, der Berechtigungen erhalten hat, ermöglichen kann, einen Kubernetes-Dienst vom Typ LoadBalancer oder ClusterIP zu erstellen, um Netzwerkverkehr abzufangen, der von anderen Pods im Cluster stammt. Diese Sicherheitsanfälligkeit allein gibt einem Angreifer keine Berechtigung zum Erstellen eines Kubernetes-Dienstes.

Alle Sicherheitslücken von Google Kubernetes Engine (GKE), Anthos-Clustern in VMware- und Anthos-Clustern in AWS-Clustern sind von dieser Sicherheitslücke betroffen.

Was kann ich tun?

Eine Anleitung und weitere Informationen finden Sie unter:

Mittel

CVE-2020-8554

GCP-2020-014

Veröffentlicht: 20.10.2020
Zuletzt aktualisiert: 20.10.2020

Beschreibung

Beschreibung Schweregrad Hinweise

Beim Kubernetes-Projekt wurden unlängst mehrere Probleme entdeckt, durch die es zur Offenlegung von Secret-Daten kommen kann, wenn Optionen für das ausführliche Logging aktiviert sind. Die Probleme sind:

  • CVE-2020-8563: Schwachstellen bei Secrets in Logs für den kube-controller-manager des vSphere-Anbieters
  • CVE-2020-8564: Schwachstellen bei Docker-Konfigurations-Secrets, wenn die Datei fehlerhaft und loglevel >= 4 ist
  • CVE-2020-8565: Unvollständige Fehlerkorrektur für CVE-2019-11250 in Kubernetes ermöglicht Schwachstellen bei Tokens in Logs mit logLevel >= 9. Von GKE-Sicherheit erkannt.
  • CVE-2020-8566: Ceph RBD adminSecrets in Logs mit loglevel >= 4 offengelegt

Was kann ich tun?

Aufgrund der Standardebenen für das ausführliche Logging von GKE sind keine weiteren Maßnahmen erforderlich.

Auswirkungen auf Google Cloud

Details zu den einzelnen Produkten sind unten aufgeführt.

Produkt

Auswirkungen

Google Kubernetes Engine (GKE)

Google Kubernetes Engine (GKE) ist nicht betroffen.

GKE On-Prem

GKE On-Prem ist nicht betroffen.

GKE on AWS

GKE on AWS ist nicht betroffen.

GCP-2020-013

Veröffentlicht: 29.09.2020

Beschreibung

Microsoft hat die folgende Sicherheitslücke entdeckt:

Sicherheitslücke

Schweregrad

CVE

CVE-2020-1472: Durch eine Sicherheitslücke in Windows Server können Angreifer mit dem Netlogon Remote Protocol eine speziell entwickelte Anwendung auf einem Gerät im Netzwerk ausführen.

NVD Base Score: 10 (Kritisch)

CVE-2020-1472

Weitere Informationen finden Sie in der Microsoft-Bekanntmachung.

Auswirkungen auf Google Cloud

Die Infrastruktur, in der Google Cloud und Google-Produkte gehostet werden, ist von dieser Sicherheitslücke nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.

Produkt

Auswirkungen

Compute Engine

CVE-2020-1472

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die virtuelle Compute Engine-Maschinen mit Windows Server verwenden, sollten darauf achten, dass auf ihre Instanzen der neueste Windows-Patch aufgespielt wurde oder sie nach dem 17.08.2020 veröffentlichte Windows Server-Images nutzen (Version 20200813 oder höher).

Google Kubernetes Engine

CVE-2020-1472

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die Domain-Controller in ihren GKE Windows Server-Knoten hosten, sollten sicherstellen, dass sowohl die Knoten als auch die Arbeitslasten in den Containern, die auf diesen Knoten ausgeführt werden, das neueste Windows-Knoten-Image haben, wenn es verfügbar ist. Eine neue Node-Image-Version wird im Oktober in den GKE-Versionshinweisen angekündigt.

Managed Service for Microsoft Active Directory

CVE-2020-1472

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Der von Microsoft veröffentlichte August-Patch, der Korrekturen an dem NetLogon-Protokoll enthält, wurde auf alle verwalteten Microsoft AD-Domaincontroller angewendet. Dieser Patch bietet Funktionen zum Schutz vor potenziellen Angriffen. Der rechtzeitige Einsatz von Patches ist einer der Hauptvorteile des Managed Service for Microsoft Active Directory. Kunden, die Microsoft Active Directory manuell ausführen (und nicht den verwalteten Google Cloud-Dienst verwenden) sollten darauf achten, dass ihre Instanzen den neuesten Windows-Patch aufgespielt haben oder Windows Server-Images verwenden.

Google Workspace

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

App Engine-Standardumgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Flexible App Engine-Umgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Run

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Functions

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Composer

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataflow

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataproc

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud SQL

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

GCP-2020-012

Veröffentlicht: 14.09.2020
Zuletzt aktualisiert: 17.09.2020

Beschreibung

Beschreibung Schweregrad Hinweise

Im Linux-Kernel wurde eine Sicherheitslücke entdeckt, die unter CVE-2020-14386 beschrieben ist. Damit kann Container-Escape Root-Berechtigungen für den Hostknoten erhalten.

Alle GKE-Knoten sind betroffen. In GKE Sandbox ausgeführte Pods können diese Sicherheitslücke nicht nutzen.

Eine Anleitung und weitere Informationen finden Sie hier:


Welche Sicherheitslücke wird mit diesem Patch behoben?

Der Patch entschärft die folgende Sicherheitslücke:

Die Sicherheitslücke CVE-2020-1386 Dadurch können Container mit CAP_NET_RAW
1 bis 10 Byte des Kernel-Speichers schreiben, den Container möglicherweise meiden und Root-Berechtigungen auf dem Hostknoten erhalten. Der Schweregrad dieser Sicherheitslücke ist "Hoch".

Hoch

CVE-2020-14386

GCP-2020-011

Veröffentlicht: 24.07.2020

Beschreibung

Beschreibung Schweregrad Hinweise

Bei Kubernetes wurde vor Kurzem eine Sicherheitslücke im Netzwerk, CVE-2020-8558, entdeckt. Dienste kommunizieren manchmal über die lokale Loopback-Schnittstelle (127.0.0.1) mit anderen Anwendungen, die im gleichen Pod ausgeführt werden. Diese Sicherheitslücke ermöglicht einem Angreifer mit Zugriff auf das Netzwerk des Clusters, Traffic an die Loopback-Schnittstelle von angrenzenden Pods und Knoten zu senden. Dienste, die darauf angewiesen sind, dass die Loopback-Schnittstelle außerhalb ihres Pods nicht zugänglich ist, könnten ausgenutzt werden.

Eine Anleitung und weitere Informationen finden Sie hier:

Niedrig (GKE- und Anthos-Cluster in AWS),
Mittel (Anthos-Cluster in VMware)

CVE-2020-8558

GCP-2020-010

Veröffentlicht: 27.07.2020

Beschreibung

Microsoft hat die folgende Sicherheitslücke entdeckt:

Sicherheitslücke

Schweregrad

CVE

CVE-2020-1350 – Windows-Server, die in einer DNS-Serverkapazität bereitgestellt werden, können zum Ausführen nicht vertrauenswürdiger Code über das lokale Systemkonto genutzt werden.

NVD Base Score: 10.0 (Kritisch)

CVE-2020-1350

Weitere Informationen finden Sie in der Microsoft-Bekanntmachung.

Auswirkungen auf Google Cloud

Die Infrastruktur, in der Google Cloud und Google-Produkte gehostet werden, ist von dieser Sicherheitslücke nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.

Produkt

Auswirkungen

Compute Engine

CVE-2020-1350

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die virtuelle Compute Engine-Maschinen verwenden, auf denen Windows Server in einer DNS-Serverkapazität ausgeführt wird, sollten darauf achten, dass ihre Instanzen über den neuesten Windows-Patch verfügen oder Windows Server-Images verwenden, die seit dem 14.07.2020 bereitgestellt werden.

Google Kubernetes Engine

CVE-2020-1350

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die GKE mit Windows Server-Knoten in einer DNS-Serverkapazität verwenden, müssen die Knoten und die containerisierten Arbeitslasten, die auf diesen Knoten ausgeführt werden, manuell auf eine Windows-Serverversion aktualisieren, die die Fehlerbehebung beinhaltet.

Managed Service for Microsoft Active Directory

CVE-2020-1350

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Alle verwalteten Microsoft AD-Domains wurden automatisch mit dem gepatchten Image aktualisiert. Alle Kunden, die Microsoft Active Directory manuell ausführen und Managed Microsoft AD nicht verwenden, sollten dafür sorgen, dass ihre Instanzen den neuesten Windows-Patch haben oder Windows Server-Images verwenden, die seit dem 14. Juli 2020 bereitgestellt werden.

Google Workspace

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

App Engine-Standardumgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Flexible App Engine-Umgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Run

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Functions

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Composer

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataflow

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataproc

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud SQL

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

GCP-2020-009

Veröffentlicht: 15.07.2020

Beschreibung

Beschreibung Schweregrad Hinweise

Vor Kurzem wurde in Kubernetes eine Sicherheitslücke zur Rechteausweitung, CVE-2020-8559, entdeckt. Diese Sicherheitslücke ermöglicht es einem Angreifer, der bereits einen Knoten manipuliert hat, in jedem Pod im Cluster einen Befehl auszuführen. Der Angreifer kann dadurch mit dem bereits manipulierten Knoten andere Knoten manipulieren und potenziell Informationen lesen oder destruktive Aktionen ausführen.

Damit ein Angreifer diese Sicherheitslücke ausnutzen kann, muss bereits ein Knoten im Cluster manipuliert worden sein. Diese Sicherheitslücke allein beeinträchtigt also noch keine Knoten in Ihrem Cluster.

Eine Anleitung und weitere Informationen finden Sie hier:

Mittel

CVE-2020-8559

GCP-2020-008

Veröffentlicht: 19.06.2020

Beschreibung

Beschreibung Schweregrad Hinweise

Beschreibung

VMs, für die OS Login aktiviert ist, sind potenziell anfällig für Sicherheitslücken in Bezug auf die Rechteausweitung. Durch diese Sicherheitslücken bekommen Nutzer, die OS Login-Berechtigungen ohne Administratorzugriff erhalten haben, die Möglichkeit, zum Root-Zugriff in der VM zu eskalieren.

Anleitungen und weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.

Hoch

GCP-2020-007

Veröffentlicht: 01.06.2020

Beschreibung

Beschreibung Schweregrad Hinweise

Serverseitige Anfragefälschung (Server Side Request Forgery, SSRF), CVE-2020-8555, wurde kürzlich in Kubernetes entdeckt und ermöglicht bestimmten autorisierten Nutzern, bis zu 500 Byte vertraulicher Informationen aus dem Hostnetzwerk der Steuerungsebene abzurufen. Die Google Kubernetes Engine-Steuerungsebene (GKE) verwendet Controller von Kubernetes und ist daher von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, die Steuerungsebene auf die neueste Patch-Version zu aktualisieren. Ein Knotenupgrade ist nicht erforderlich.

Eine Anleitung und weitere Informationen finden Sie hier:

Mittel

CVE-2020-8555

GCP-2020-006

Veröffentlicht: 01.06.2020

Beschreibung

Beschreibung Schweregrad Hinweise

Kubernetes hat eine Sicherheitslücke entdeckt, die es einem berechtigten Container ermöglicht, Knoten-Traffic an einen anderen Container weiterzuleiten. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden. Alle GKE-Knoten (Google Kubernetes Engine) sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, ein Upgrade auf die neueste Patch-Version durchzuführen.

Eine Anleitung und weitere Informationen finden Sie hier:

Mittel

Kubernetes-Problem 91507

GCP-2020-005

Veröffentlicht: 07.05.2020

Beschreibung

Sicherheitslücke

Schweregrad

CVE

Im Linux-Kernel wurde eine Sicherheitslücke entdeckt, die unter CVE-2020-8835 beschrieben wird. Sie ermöglicht Container-Escape, Root-Berechtigungen auf dem Hostknoten zu erhalten.

Von dieser Sicherheitslücke sind Google Ubuntu-Knoten (GKE) mit GKE 1.16 oder 1.17 betroffen. Wir empfehlen Ihnen, so schnell wie möglich ein Upgrade auf die neueste Patchversion durchzuführen.

Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.

Hoch

CVE-2020-8835

GCP-2020-004

Veröffentlicht: 31.03.2020
Zuletzt aktualisiert: 31.03.2020

Beschreibung

Kubernetes hat die folgenden Sicherheitslücken bekanntgegeben:

Sicherheitslücke

Schweregrad

CVE

CVE-2019-11254 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft.

Mittel

CVE-2019-11254

Weitere Informationen und Anleitungen finden Sie im Anthos-Cluster auf VMware-Sicherheitsbulletin.

GCP-2020-003

Veröffentlicht: 31.03.2020
Zuletzt aktualisiert: 31.03.2020

Beschreibung

Kubernetes hat die folgenden Sicherheitslücken bekanntgegeben:

Sicherheitslücke

Schweregrad

CVE

CVE-2019-11254 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft.

Mittel

CVE-2019-11254

Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.

GCP-2020-002

Veröffentlicht: 23.03.2020
Zuletzt aktualisiert: 23.03.2020

Beschreibung

Kubernetes hat die folgenden Sicherheitslücken bekanntgegeben:

Sicherheitslücke

Schweregrad

CVE

CVE-2020-8551 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die das Kubelet betrifft.

Mittel

CVE-2020-8551

CVE-2020-8552 – Das ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft.

Mittel

CVE-2020-8552

Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.

GCP-2020-001

Veröffentlicht: 21.01.2020
Zuletzt aktualisiert: 21.01.2020

Beschreibung

Microsoft hat die folgende Sicherheitslücke entdeckt:

Sicherheitslücke

Schweregrad

CVE

CVE-2020-0601 – Diese Sicherheitslücke wird auch als Windows Crypto API-Spoofing-Sicherheitslücke bezeichnet. Sie könnte dazu genutzt werden, bösartige ausführbare Dateien vertrauenswürdig zu machen oder dem Angreifer Man-in-the-Middle-Angriffe zu ermöglichen und vertrauliche Informationen über Nutzerverbindungen mit der betroffenen Software zu entschlüsseln.

NVD Base Score: 8,1 (hoch)

CVE-2020-0601

Weitere Informationen finden Sie in der Microsoft-Bekanntmachung.

Auswirkungen auf Google Cloud

Die Infrastruktur, in der Google Cloud und Google-Produkte gehostet werden, ist von dieser Sicherheitslücke nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.

Produkt

Auswirkungen

Compute Engine

CVE-2020-0601

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die virtuelle Compute Engine-Maschinen mit Windows Server verwenden, sollten dafür sorgen, dass ihre Instanzen den neuesten Windows-Patch haben oder Windows Server-Images verwenden, die seit dem 15. Januar 2020 bereitgestellt werden. Weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.

Google Kubernetes Engine

CVE-2020-0601

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die GKE mit Windows Server-Knoten verwenden, müssen sowohl die Knoten als auch die containerbasierten Arbeitslasten, die auf diesen Knoten ausgeführt werden, auf gepatchte Versionen aktualisieren, um diese Sicherheitslücke zu verringern. Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.

Managed Service for Microsoft Active Directory

CVE-2020-0601

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Alle verwalteten Microsoft AD-Domains wurden automatisch mit dem gepatchten Image aktualisiert. Alle Kunden, die Microsoft Active Directory manuell ausführen und Managed Microsoft AD nicht verwenden, sollten dafür sorgen, dass ihre Instanzen den neuesten Windows-Patch haben oder Windows Server-Images verwenden, die seit dem 15. Januar 2020 bereitgestellt werden.

Google Workspace

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

App Engine-Standardumgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Flexible App Engine-Umgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Run

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Functions

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Composer

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataflow

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataproc

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud SQL

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

GCP-2019-001

Veröffentlicht: 12.11.2019
Zuletzt aktualisiert: 11.11.2019

Beschreibung

Die folgenden Sicherheitslücken wurden von Intel offengelegt:

Sicherheitslücke

Schweregrad

CVE

CVE-2019-11135 — Diese Sicherheitslücke mit der Bezeichnung TSX Async Abort (TAA) kann zur spekulativen Ausführung innerhalb einer TSX-Transaktion genutzt werden. Diese Sicherheitslücke bringt das Risiko mit sich, dass Daten Angriffen über dieselben mikroarchitektonischen Datenstrukturen ausgesetzt sind wie durch Microarchitectural Data Sampling (MDS).

Mittel

CVE-2019-11135

CVE-2018-12207 — Dies ist eine DoS-Sicherheitslücke (Denial of Service), die Host-VMs betrifft (nicht aber Gast-VMs). Das Problem ist als "Machine Check Error on Page Size Change" bekannt.

Mittel

CVE-2018-12207

Weitere Informationen finden Sie in den Sicherheitshinweisen von Intel:

Auswirkungen auf Google Cloud

Die Infrastruktur, in der die Google Cloud- und Google-Produkte gehostet werden, ist von diesen Sicherheitslücken nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.

Produkt

Auswirkungen

Compute Engine

CVE-2019-11135

Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich.

N2-, C2- oder M2-Kunden, die auf virtuellen Maschinen von Compute Engine für ihre eigenen Dienste mit mehreren Mandanten nicht vertrauenswürdigen Code ausführen, sollten ihre VMs beenden und wieder starten, um zu gewährleisten, dass die neuesten Sicherheitsmaßnahmen vorliegen.

CVE-2018-12207

Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.

Google Kubernetes Engine

CVE-2019-11135

Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Wenn Sie Knotenpools mit N2-, M2- oder C2-Knoten verwenden und für diese Knoten in Ihren eigenen GKE-Clustern mit mehreren Mandanten nicht vertrauenswürdigen Code ausführen, sollten Sie Ihre Knoten neu starten. Wenn Sie alle Knoten in Ihrem Knotenpool neu starten möchten, müssen Sie den betroffenen Knotenpool aktualisieren.

CVE-2018-12207

Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.

App Engine-Standardumgebung

Es sind keine weiteren Maßnahmen erforderlich.

Flexible App Engine-Umgebung

CVE-2019-11135

Es sind keine weiteren Maßnahmen erforderlich.

Kunden sollten sich die Best Practices von Intel bezüglich der Freigabe auf Anwendungsebene durchlesen. Diese kann innerhalb einer Flex-VM zwischen Hyperthreads auftreten.

CVE-2018-12207

Es sind keine weiteren Maßnahmen erforderlich.

Cloud Run

Es sind keine weiteren Maßnahmen erforderlich.

Cloud Functions

Es sind keine weiteren Maßnahmen erforderlich.

Cloud Composer

Es sind keine weiteren Maßnahmen erforderlich.

Dataflow

CVE-2019-11135

Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Dataflow-Kunden, die mehrere von Dataflow verwaltete, nicht vertrauenswürdige Arbeitslasten auf N2-, C2- oder M2-VMs in Compute Engine ausführen und sich Sorgen um interne Angriffe von Gast-VMs machen, sollten alle aktuell ausgeführten Streamingpipelines neu starten. Optional können Batchpipelines beendet und neu ausgeführt werden. Für Pipelines, die nach dem heutigen Datum gestartet werden, sind keine Maßnahmen erforderlich.

CVE-2018-12207

Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.

Dataproc

CVE-2019-11135

Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Cloud Dataproc-Kunden, die mehrere nicht vertrauenswürdige Arbeitslasten auf demselben Cloud Dataproc-Cluster ausführen, der auf N2-, C2- oder M2-VMs in Compute Engine ausgeführt wird, und sich Sorgen um interne Angriffe von Gast-VMs machen, sollten ihre Cluster neu bereitstellen.

CVE-2018-12207

Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.

Cloud SQL

Es sind keine weiteren Maßnahmen erforderlich.