Die folgenden Sicherheitsbulletins beziehen sich auf Google Cloud-Produkte.
Verwenden Sie diesen XML-Feed, um Sicherheitsbulletins für diese Seite zu abonnieren.
GCP-2024-022
Veröffentlicht: 03.04.2024
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Vor Kurzem wurde eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) in mehreren Implementierungen des HTTP/2-Protokolls entdeckt, darunter auch auf dem von Kubernetes verwendeten golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS-Angriff auf die GKE-Steuerungsebene (Google Kubernetes Engine) führen. Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2023-45288 |
GCP-2024-021
Veröffentlicht: 03.04.2024
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Compute Engine ist nicht von CVE-2024-3094 betroffen, das die Versionen 5.6.0 und 5.6.1 des xz-utils-Pakets in der liblzma-Bibliothek betrifft und zu einer Kompromittierung des OpenSSH-Dienstprogramms führen könnte. Weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin. |
Mittel | CVE-2024-3094 |
GCP-2024-020
Veröffentlicht: 02.04.2024
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Forscher haben eine Sicherheitslücke (CVE-2023-48022) in Ray entdeckt. Ray ist ein Open-Source-Tool eines Drittanbieters für KI-Arbeitslasten. Da Ray keine Authentifizierung erfordert, können Angreifer Code per Fernzugriff ausführen, indem sie Jobs an öffentlich zugängliche Instanzen senden. Die Sicherheitslücke wurde von Anyscale angefochten, dem Entwickler von Ray. Ray behält, dass seine Funktionen ein beabsichtigtes, zentrales Produktfeature sind, und diese Sicherheitsmaßnahmen müssen stattdessen außerhalb eines Ray-Clusters implementiert werden, da eine unbeabsichtigte Gefährdung des Ray-Clusters im Netzwerk zu Kompromittierungen führen könnte. Auf der Grundlage der Antwort wird dieses CVE umstritten und wird möglicherweise nicht in Scanner für Sicherheitslücken angezeigt. Trotzdem wird sie aktiv ausgenutzt und Nutzer sollten ihre Nutzung wie unten beschrieben konfigurieren. Was soll ich tun? Folgen Sie den Best Practices und Richtlinien von Ray, einschließlich der Ausführung von vertrauenswürdigem Code in vertrauenswürdigen Netzwerken, um Ihre Ray-Arbeitslasten zu schützen. Die Bereitstellung von ray.io in den Cloud-Instanzen der Kunden fällt unter das Modell der gemeinsamen Verantwortung. Zur Sicherheit von Google Kubernetes Engine (GKE) wurde ein Blog zum Härten von Ray in GKE veröffentlicht. Weitere Informationen zum Hinzufügen von Authentifizierung und Autorisierung zu Ray-Diensten finden Sie in der Dokumentation zu Identity-Aware Proxy (IAP). GKE-Nutzer können IAP gemäß dieser Anleitung implementieren oder Terraform-Module wiederverwenden, die im Blog verlinkt sind. |
Hoch | CVE-2023-48022 |
GCP-2024-018
Veröffentlicht: 12.03.2024
Aktualisiert: 04.04.2024
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Aktualisierung vom 4. April 2024:Die Mindestversionen für GKE Container-Optimized OS-Knotenpools wurden korrigiert. Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2024-1085 |
GCP-2024-017
Veröffentlicht: 06.03.2024
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2023-3611 |
GCP-2024-016
Veröffentlicht: 05.03.2024
Beschreibung | Schweregrad | Notes |
---|---|---|
VMware hat in VMSA-2024-0006 mehrere Sicherheitslücken offengelegt, die ESXi-Komponenten betreffen, die in Kundenumgebungen bereitgestellt werden. Auswirkungen von Cloud Customer CareIhre privaten Clouds wurden aktualisiert, um die Sicherheitslücke zu schließen. Wie gehe ich am besten vor?Es besteht Ihrerseits kein Handlungsbedarf. |
Kritisch |
GCP-2024-014
Veröffentlicht: 26.02.2024
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2023-3776 |
GCP-2024-013
Veröffentlicht: 27.02.2024
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2023-3610 |
GCP-2024-012
Veröffentlicht: 20.02.2024
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2024-0193 |
GCP-2024-011
Veröffentlicht: 15.02.2024
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:
Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2023-6932 |
GCP-2024-010
Veröffentlicht: 14.02.2024
Aktualisiert: 17.04.2024
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Aktualisierung vom 17. April 2024:Patchversionen für GKE on VMware hinzugefügt. Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2023-6931 |
GCP-2024-009
Veröffentlicht: 13.02.2024
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Am 13. Februar 2024 hat AMD zwei Sicherheitslücken offengelegt, die SEV-SNP auf EPYC-CPUs betreffen, die auf den Zen-Kernen „Mailand“ der dritten und der vierten Generation basieren. Durch die Sicherheitslücken können privilegierte Angreifer auf veraltete Gastdaten zugreifen oder die Gastintegrität beeinträchtigen. Google hat Korrekturen an den betroffenen Assets, einschließlich Google Cloud, vorgenommen, um die Kunden zu schützen. Derzeit liegen keine Hinweise auf eine Ausbeutung vor oder es wurden Google keine Hinweise auf eine Ausbeutung gefunden. Was soll ich tun? Der Kunde muss nichts weiter tun. Die Fehlerbehebungen für die Google-Serverflotte für Google Cloud, einschließlich Compute Engine, wurden bereits angewendet. Weitere Informationen finden Sie im AMD-Sicherheitshinweis AMD-SN-3007. |
Mittel |
GCP-2024-008
Veröffentlicht: 12.02.2024
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Mit CVE-2023-5528 kann ein Angreifer Pods und nichtflüchtige Volumes auf Windows-Knoten so erstellen, dass die Ausweitung der Administratorrechte auf diesen Knoten ermöglicht wird. Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2023-5528 |
GCP-2024-007
Veröffentlicht: 08.02.2024
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Die folgenden CVEs machen Anthos Service Mesh für ausnutzbare Sicherheitslücken sichtbar:
Eine Anleitung und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin. |
Hoch |
GCP-2024-006
Veröffentlicht: 5.02.2024
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Wenn ein Apigee API-Verwaltungs-Proxy eine Verbindung zu einem Zielendpunkt oder Zielserver herstellt, führt der Proxy keine Validierung des Hostnamens für das vom Zielendpunkt oder Zielproxy bereitgestellte Zertifikat durch. Wenn die Validierung des Hostnamens nicht mit einer der folgenden Optionen aktiviert ist, besteht für Apigee-Proxys, die eine Verbindung zu einem Zielendpunkt oder Zielserver herstellen, möglicherweise das Risiko eines Man-in-the-Middle-Angriffs durch einen autorisierten Nutzer. Weitere Informationen finden Sie unter TLS von Edge zum Back-End (Cloud und Private Cloud) konfigurieren. Apigee-Proxy-Bereitstellungen auf den folgenden Apigee-Plattformen sind betroffen:
Eine Anleitung und weitere Informationen finden Sie im Apigee-Sicherheitsbulletin. |
Hoch |
GCP-2024-005
Veröffentlicht: 31.01.2024
Zuletzt aktualisiert: 02.04.2024
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Aktualisierung vom 02. April 2024: Patchversionen für GKE on Bare Metal hinzugefügt Update vom 06.03.2024: Patchversionen für GKE on VMware hinzugefügt Update vom 28.02.2024: Patchversionen für Ubuntu hinzugefügt Aktualisierung vom 15. Februar 2024: Es wurde klargestellt, dass die Ubuntu-Patchversionen 1.25 und 1.26 im Update vom 14.02.2024 zu fehlerhaften Knoten führen können. Update vom 14.02.2024: Patchversionen für Ubuntu hinzugefügt Aktualisierung vom 06.02.2024 : Patchversionen für Container-Optimized OS wurden hinzugefügt. In Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2024-21626 |
GCP-2024-004
Veröffentlicht: 24.01.2024
Zuletzt aktualisiert: 07.02.2024
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Update vom 07.02.2024 : Patchversionen für Ubuntu wurden hinzugefügt. Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2023-6817 |
GCP-2024-003
Veröffentlicht: 19.01.2024
Zuletzt aktualisiert: 26.01.2024
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Aktualisierung vom 26.01.2024:Die Anzahl der betroffenen Cluster und die Maßnahmen, die wir ergriffen haben, um die Auswirkungen zu verringern, wurden klarer formuliert. Weitere Informationen finden Sie im Sicherheitsbulletin zu GCP-2024-003. Es wurden mehrere Cluster gefunden, in denen Nutzer der Gruppe Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Mittel |
GCP-2024-002
Veröffentlicht: 17.01.2024
Aktualisiert: 20.02.2024
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Update vom 20.02.2024:Patchversionen für GKE on VMware hinzugefügt. Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Knoten mit Container-Optimized OS führen können.
Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2023-6111 |
GCP-2024-001
Veröffentlicht: 09.01.2024Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
In der TianoCore EDK II UEFI-Firmware wurden mehrere Sicherheitslücken entdeckt. Diese Firmware wird in Google Compute Engine-VMs verwendet. Wenn die Sicherheitslücken ausgenutzt werden, können sie Secure Boot umgehen und somit falsche Messungen im Secure Boot-Prozess liefern, auch bei der Verwendung in Shielded VMs. Wie gehe ich am besten vor?Sie müssen nichts weiter tun. Google hat diese Sicherheitslücke in der Compute Engine geschlossen und alle VMs sind vor dieser Sicherheitslücke geschützt. Welche Sicherheitslücken werden mit diesem Patch behoben?Mit diesem Patch wurden die folgenden Sicherheitslücken behoben:
|
Mittel |
GCP-2023-051
Veröffentlicht: 28.12.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2023-3609 |
GCP-2023-050
Veröffentlicht: 27.12.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2023-3389 |
GCP-2023-049
Veröffentlicht: 20.12.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2023-3090 |
GCP-2023-048
Veröffentlicht: 15.12.2023
Aktualisiert: 21.12.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind. Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2023-3390 |
GCP-2023-047
Veröffentlicht: 14.12.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Ein Angreifer, der den Fluent Bit-Logging-Container manipuliert hat, könnte diesen Zugriff mit hohen Berechtigungen kombinieren, die von Anthos Service Mesh (auf Clustern, die es aktiviert haben) benötigen, um Berechtigungen im Cluster auszuweiten. Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Mittel |
GCP-2023-046
Veröffentlicht: 22.11.2023
Zuletzt aktualisiert: 04.03.2024
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Aktualisierung vom 04. März 2024 : GKE-Versionen für GKE on VMware wurden hinzugefügt. Update vom 22.01.2024:Ubuntu-Patchversionen wurden hinzugefügt. Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2023-5717 |
GCP-2023-045
Veröffentlicht: 20.11.2023
Aktualisiert: 21.12.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind. Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2023-5197 |
GCP-2023-044
Veröffentlicht: 15.11.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Am 14. November hat AMD mehrere Sicherheitslücken offengelegt, die verschiedene AMD-Server-CPUs betreffen. Die Sicherheitslücken betreffen insbesondere EPYC-Server-CPUs, die Zen-Kern der Generation 2 „Rome“, der Generation 3 „Mailand“ und der Generation 4 „Genoa“ nutzen. Google hat Korrekturen an den betroffenen Assets, einschließlich Google Cloud, vorgenommen, um die Kunden zu schützen. Derzeit liegen keine Hinweise auf eine Ausbeutung vor oder es wurden Google keine Hinweise darauf gemeldet. Was soll ich tun? Der Kunde muss nichts weiter tun. Die Fehlerbehebungen für die Google-Serverflotte für Google Cloud, einschließlich Google Compute Engine, wurden bereits angewendet. Welche Sicherheitslücken werden behoben? Mit diesem Patch wurden die folgenden Sicherheitslücken behoben:
Weitere Informationen finden Sie im AMD-Sicherheitshinweis AMD-SN-3005: „AMD INVD Instruction Security Notice“, der auch als CacheWarp veröffentlicht wurde, und AMD-SN-3002: „AMD Server Vulnerabilities – November 2023“. |
Mittel |
GCP-2023-043
Veröffentlicht: 14.11.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Intel hat eine CPU-Sicherheitslücke bei bestimmten Prozessoren offengelegt. Google hat Maßnahmen ergriffen, um seine Server, einschließlich der Google Compute Engine für Google Cloud und ChromeOS-Geräte, zu schützen. Details zur Sicherheitslücke:
Was soll ich tun? Der Kunde muss nichts weiter tun. Die von Intel für die betroffenen Prozessoren bereitgestellten Abhilfemaßnahmen wurden auf die Serverflotte von Google, einschließlich Google Compute Engine für Google Cloud, angewendet. Derzeit erfordert Google Distributed Cloud Edge ein Update vom OEM. Google korrigiert das Produkt, sobald das Update verfügbar ist, und dieses Bulletin wird entsprechend aktualisiert. Chrome OS-Geräte mit den betroffenen Prozessoren wurden mit den Versionen 119, 118 und 114 automatisch behoben. Welche Sicherheitslücken werden behoben? CVE-2023-23583. Weitere Informationen finden Sie unter Intel Security Advisory INTEL-SA-00950. |
Hoch | CVE-2023-23583 |
GCP-2023-042
Veröffentlicht: 13.11.2023
Zuletzt aktualisiert: 15.11.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Aktualisierung vom 15. November 2023:Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen. Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2023-4147 |
GCP-2023-041
Veröffentlicht: 08.11.2023
Aktualisiert:21.11.2023, 05.12.2023, 21.12.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind. Aktualisierung vom 05.12.2023:Zusätzliche GKE-Versionen für Container-Optimized OS-Knotenpools wurden hinzugefügt. Aktualisierung vom 21.11.2023:Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen. Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2023-4004 |
GCP-2023-040
Veröffentlicht: 06.11.2023
Aktualisiert: 21.11.2023, 21.12.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind. Aktualisierung vom 21.11.2023:Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen. Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2023-4921 |
GCP-2023-039
Veröffentlicht: 06.11.2023
Aktualisiert : 21.11.2023, 16.11.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Aktualisierung vom 21.11.2023:Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen. Aktualisierung vom 16.11.2023:Die Sicherheitslücke in diesem Sicherheitsbulletin lautet CVE-2023-4622. CVE-2023-4623 wurde in einer früheren Version des Sicherheitsbulletins fälschlicherweise als Sicherheitslücke aufgeführt. Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2023-4622 |
GCP-2023-038
Veröffentlicht: 06.11.2023
Aktualisiert: 21.11.2023, 21.12.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind. Aktualisierung vom 21.11.2023:Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen. Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2023-4623 |
GCP-2023-037
Veröffentlicht: 06.11.2023
Aktualisiert: 21.11.2023, 21.12.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind. Aktualisierung vom 21.11.2023:Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen. Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2023-4015 |
GCP-2023-036
Veröffentlicht: 30. Oktober 2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Deep Learning VM Images ist ein Satz von vorgefertigten und sofort einsatzbereiten VM-Images mit einem Deep Learning Framework. Vor Kurzem wurde in der Funktion „ReadHuffmanCodes()“ der Bibliothek „libwebp“ eine Sicherheitslücke beim Schreiben außerhalb des Bereichs entdeckt. Dies kann sich auf Images auswirken, die diese Bibliothek verwenden. Google Cloud scannt seine öffentlich veröffentlichten Images kontinuierlich und aktualisiert die Pakete, damit gepatchte Distributionen in den neuesten Releases enthalten sind, die für die Kundenakzeptanz verfügbar sind. Deep Learning VM Images wurden aktualisiert, damit die neuesten VM-Images die gepatchten Distributionen enthalten. Kunden, die die neuesten VM-Images verwenden, sind von dieser Sicherheitslücke nicht betroffen. Was soll ich tun? Google Cloud-Kunden, die veröffentlichte VM-Images verwenden, sollten darauf achten, dass sie die neuesten Images verwenden und ihre Umgebungen gemäß dem Modell der geteilten Verantwortung auf dem neuesten Stand haben. CVE-2023-4863 könnte von einem Angreifer ausgenutzt werden, um beliebigen Code auszuführen. Diese Sicherheitslücke wurde in Google Chrome vor 116.0.5845.187 und in "libwebp" vor 1.3.2 gefunden und ist unter CVE-2023-4863 aufgeführt. |
Hoch | CVE-2023-4863 |
GCP-2023-035
Veröffentlicht: 26.10.2023
Aktualisiert: 21.11.2023, 21.12.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind. Aktualisierung vom 21.11.2023:Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen. Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2023-4206CVE-2023-4207, CVE-2023-4208, CVE-2023-4128 |
GCP-2023-034
Veröffentlicht: 25.10.2023
Aktualisiert: 27.10.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
VMware hat in VMSA-2023-0023 mehrere Sicherheitslücken offengelegt, die vCenter-Komponenten in Kundenumgebungen betreffen. Auswirkungen von Cloud Customer Care
Wie gehe ich am besten vor?Derzeit sind keine weiteren Maßnahmen erforderlich |
Kritisch | CVE-2023-34048,CVE-2023-34056 |
GCP-2023-033
Veröffentlicht: 24.10.2023
Aktualisiert: 21.11.2023, 21.12.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Update vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen und GKE Sandbox-Arbeitslasten nicht betroffen sind. Aktualisierung vom 21.11.2023:Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen. Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.
Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2023-3777 |
GCP-2023-032
Veröffentlicht: 23. Oktober 2023
Aktualisiert: 3. November 2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Update vom 3. November 2023: Ein bekanntes Problem für Apigee Edge for Private Cloud wurde hinzugefügt. Eine DoS-Sicherheitslücke (Denial of Service) wurde kürzlich in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) festgestellt, einschließlich des Apigee Ingress-Dienstes (Anthos Service Mesh), der von Apigee X und Apigee Hybrid verwendet wird. Die Sicherheitslücke könnte zu einem DoS-Angriff auf Apigee API-Verwaltungsfunktionen führen. Eine Anleitung und weitere Details finden Sie im Apigee-Sicherheitsbulletin. |
Hoch | CVE-2023-44487 |
GCP-2023-031
Veröffentlicht: 10.10.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Ein Denial-of-Service-Angriff kann sich auf die Datenebene auswirken, wenn das HTTP/2-Protokoll verwendet wird. Eine Anleitung und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin. |
Hoch | CVE-2023-44487 |
GCP-2023-030
Veröffentlicht: 10.10.2023
Aktualisiert: 20.03.2024
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Aktualisierung vom 20. März 2024:Patchversionen für GKE on AWS und GKE on Azure mit den neuesten Patches für CVE-2023-44487 wurden hinzugefügt. Aktualisierung vom 14. Februar 2024:Patchversionen für GKE on VMware hinzugefügt. Aktualisierung vom 09.11.2023:CVE-2023-39325 wurde hinzugefügt. Die GKE-Versionen wurden mit den neuesten Patches für CVE-2023-44487 und CVE-2023-39325 aktualisiert. Vor Kurzem wurde eine DoS-Sicherheitslücke (Denial of Service) in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) entdeckt, einschließlich des von Kubernetes verwendeten golang-HTTP-Servers. Die Sicherheitslücke könnte zu einem DoS-Angriff auf die GKE-Steuerungsebene (Google Kubernetes Engine) führen. GKE-Cluster mit konfigurierten autorisierten Netzwerken werden durch den Einschränkung des Netzwerkzugriffs geschützt. Alle anderen Cluster sind jedoch betroffen. Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2023-44487, CVE-2023-39325 |
GCP-2023-029
Veröffentlicht: 3. Oktober 2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
TorchServe wird zum Hosten von PyTorch-Modellen für maschinelles Lernen für die Onlinevorhersage verwendet. Vertex AI bietet ein vordefiniertes PyTorch-Modell zur Bereitstellung von Containern, die von TorchServe abhängen. In TorchServe wurden kürzlich Sicherheitslücken entdeckt, mit denen Angreifer die Kontrolle über eine TorchServe-Bereitstellung übernehmen konnten, wenn deren Modellverwaltungs-API offengelegt wurde. Kunden mit PyTorch-Modellen, die für Vertex AI-Onlinevorhersagen bereitgestellt werden, sind von diesen Sicherheitslücken nicht betroffen, da Vertex AI die Modellverwaltungs-API von TorchServe nicht zugänglich macht. Kunden, die TorchServe außerhalb von Vertex AI verwenden, sollten Vorkehrungen treffen, um ihre Bereitstellungen sicher einzurichten. Was soll ich tun? Vertex AI-Kunden mit bereitgestellten Modellen, die die vordefinierten PyTorch-Bereitstellungscontainer von Vertex AI verwenden, müssen keine Maßnahmen zur Behebung der Sicherheitslücken ergreifen, da die Bereitstellungen von Vertex AI den Verwaltungsserver von TorchServe dem Internet nicht aussetzen. Kunden, die die vordefinierten PyTorch-Container in anderen Kontexten verwenden oder eine benutzerdefinierte oder Drittanbieter-Distribution von TorchServe nutzen, sollten so vorgehen:
Welche Sicherheitslücken werden behoben? Die Verwaltungs-API von TorchServe ist in den meisten TorchServe-Docker-Images standardmäßig an Mit CVE-2023-43654 und CVE-2022-1471 können Nutzer mit Zugriff auf die Management API Modelle aus beliebigen Quellen laden und Code per Fernzugriff ausführen. Abhilfemaßnahmen für diese beiden Probleme sind in TorchServe 0.8.2 enthalten: Der Pfad für die Remote-Codeausführung wird entfernt und eine Warnung wird ausgegeben, wenn der Standardwert für |
Hoch | CVE-2023-43654, CVE-2022-1471 |
GCP-2023-028
Veröffentlicht: 19.09.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Kunden können Chronicle so konfigurieren, dass Daten aus kundeneigenen Cloud Storage-Buckets über einen Aufnahmefeed aufgenommen werden. Bis vor Kurzem stellte Chronicle ein gemeinsames Dienstkonto zur Verfügung, mit dem Kunden Berechtigungen für den Bucket erteilen. Es gab eine Möglichkeit, die Chronicle-Instanz eines Kunden so zu konfigurieren, dass Daten aus dem Cloud Storage-Bucket eines anderen Kunden aufgenommen werden konnten. Bei einer Wirkungsanalyse haben wir festgestellt, dass diese Schwachstelle aktuell oder in der Vergangenheit nicht ausgenutzt wurde. Die Sicherheitslücke war vor dem 19. September 2023 in allen Chronicle-Versionen vorhanden. Was soll ich tun? Am 19. September 2023 wurde Chronicle aktualisiert, um diese Sicherheitslücke zu schließen. Der Kunde muss nichts weiter tun. Welche Sicherheitslücken werden behoben? Bisher hat Chronicle ein freigegebenes Dienstkonto bereitgestellt, mit dem Kunden Berechtigungen für einen Bucket erteilen. Da verschiedene Kunden demselben Chronicle-Dienstkonto die Berechtigung für ihren Bucket gewährt haben, existierte ein Ausnutzungsvektor, über den der Feed eines Kunden beim Erstellen oder Ändern eines Feeds auf den Bucket eines anderen Kunden zugreifen konnte. Für diesen Ausnutzungsvektor war die Kenntnis des Bucket-URI erforderlich. Beim Erstellen oder Ändern von Feeds verwendet Chronicle jetzt eindeutige Dienstkonten für jeden Kunden. |
Hoch |
GCP-2023-027
Veröffentlicht: 11.09.2023Beschreibung | Schweregrad | Notes |
---|---|---|
VMware vCenter Server-Updates beheben mehrere Sicherheitslücken im Arbeitsspeicher (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896). Auswirkungen der KundenbetreuungVMware vCenter Server (vCenter Server) und VMware Cloud Foundation (Cloud Foundation). Wie gehe ich am besten vor?Das hat keinerlei Auswirkungen auf die Kunden und es sind keine Maßnahmen erforderlich. |
Mittel |
GCP-2023-026
Veröffentlicht: 06.09.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) gefunden. Dabei wurden Nutzer, die Pods auf Windows-Knoten erstellen können, unter Umständen zu Administratorberechtigungen für diese Knoten ausweiten. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und den CSI-Proxy von Kubernetes. Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2023-3676, CVE-2023-3955, CVE-2023-3893 |
GCP-2023-025
Veröffentlicht: 08.08.2023Beschreibung | Schweregrad | Notes |
---|---|---|
Intel hat vor Kurzem den Intel Security Advisory INTEL-SA-00828 angekündigt, der sich auf einige seiner Prozessorfamilien auswirkt. Wir empfehlen Ihnen, Ihre Risiken anhand der Empfehlungen einzuschätzen. Auswirkungen auf die Google Cloud VMware EngineUnsere Flotte nutzt die betroffenen Prozessorfamilien. In unserer Bereitstellung ist der gesamte Server einem einzelnen Kunden zugeordnet. Daher birgt unser Bereitstellungsmodell kein zusätzliches Risiko für Ihre Bewertung dieser Sicherheitslücke. Wir arbeiten mit unseren Partnern zusammen, um die erforderlichen Patches zu beschaffen, und werden diese Patches in den nächsten Wochen nach Priorität über den Standardupgradeprozess für die gesamte Flotte bereitstellen. Wie gehe ich am besten vor?Sie müssen nichts weiter tun. Wir arbeiten an der Aktualisierung aller betroffenen Systeme. |
Hoch |
GCP-2023-024
Veröffentlicht: 08.08.2023
Aktualisiert: 10.08.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Aktualisierung vom 10.08.2023:Die ChromeOS-Versionsnummer „Langzeitsupport“ wurde hinzugefügt. Intel hat eine Sicherheitslücke bei ausgewählten Prozessoren offengelegt (CVE-2022-40982). Google hat Maßnahmen ergriffen, um seine Server, einschließlich Google Cloud, zu minimieren und dafür zu sorgen, dass Kunden bestmöglich geschützt sind. Details zur Sicherheitslücke:
Was soll ich tun?
Der Kunde muss nichts weiter tun. Alle verfügbaren Patches wurden bereits auf die Google-Serverflotte für Google Cloud angewendet, einschließlich Google Compute Engine. Derzeit sind für die folgenden Produkte zusätzliche Aktualisierungen von Partnern und Anbietern erforderlich.
Google korrigiert diese Produkte, sobald die Patches verfügbar sind. Dieses Bulletin wird entsprechend aktualisiert. Google Chromebook- und ChromeOS Flex-Kunden erhielten automatisch die von Intel zur Verfügung gestellten Abwehrmaßnahmen in den Versionen Stabil (115), LTS (108), Beta (116) und Langzeitsupport (Kandidat für Langzeitsupport). Chromebook- und ChromeOS Flex-Kunden, für die eine ältere Version verfügbar ist, sollten diese und andere Sicherheitslücken beheben und auf eine stabile Version oder auf eine Version mit Langzeitsupport umstellen. Welche Sicherheitslücken werden behoben? CVE-2022-40982: Weitere Informationen finden Sie unter Intel Security Advisory INTEL-SA-00828. |
Hoch | CVE-2022-40982 |
GCP-2023-023
Veröffentlicht: 08.08.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
AMD hat eine Sicherheitslücke bei ausgewählten Prozessoren erkannt (CVE-2023-20569). Google hat Maßnahmen ergriffen, um seine Server, einschließlich Google Cloud, zu minimieren und dafür zu sorgen, dass Kunden bestmöglich geschützt sind. Details zur Sicherheitslücke:
Was soll ich tun?
Nutzer von Compute Engine-VMs sollten vom Betriebssystem bereitgestellte Abhilfemaßnahmen in Betracht ziehen, wenn sie instanzinterne nicht vertrauenswürdige Codeausführung nutzen. Wir empfehlen Kunden, sich für genauere Informationen an ihre Betriebssystemanbieter zu wenden. Die Fehlerbehebungen für die Google-Serverflotte für Google Cloud, einschließlich Google Compute Engine, wurden bereits angewendet. Welche Sicherheitslücken werden behoben? CVE-2023-20569 – Weitere Informationen finden Sie unter AMD SB-7005. |
Mittel | CVE-2023-20569 |
GCP-2023-022
Veröffentlicht: 03.08.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Google hat eine Sicherheitslücke in gRPC-C++-Implementierungen vor Version 1.57 gefunden. Dabei handelte es sich um eine Denial-of-Service-Sicherheitslücke in der C++-Implementierung von gRPC. Diese wurden in den Releases 1.53.2, 1.54.3, 1.55.2, 1.56.2 und 1.57 behoben. Was soll ich tun? Stellen Sie sicher, dass Sie die neuesten Versionen der folgenden Softwarepakete verwenden:
Welche Sicherheitslücken werden behoben? Diese Patches beheben die folgenden Sicherheitslücken:
| Hoch | CVE-2023-33953 |
GCP-2023-021
Updated:2023-07-26
Published:2023-07-25
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Die folgenden CVEs machen Anthos Service Mesh für ausnutzbare Sicherheitslücken sichtbar:
Eine Anleitung und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin. |
Hoch |
GCP-2023-020
Updated:2023-07-26
Veröffentlicht: 24.07.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
AMD hat ein Mikrocode-Update veröffentlicht, um eine Sicherheitslücke in der Hardware (CVE-2023-20593) zu beheben. Google hat die erforderlichen Fehlerkorrekturen für diese Sicherheitslücke auf seine Serverflotte angewendet, einschließlich Servern für die Google Cloud Platform. Die Tests zeigen, dass es keine Auswirkungen auf die Leistung der Systeme gibt. Was soll ich tun? Es sind keine Maßnahmen durch den Kunden erforderlich, da die Fehlerkorrekturen bereits auf die Google-Serverflotte für die Google Cloud Platform angewendet wurden. Welche Sicherheitslücken werden behoben? CVE-2023-20593 behebt eine Sicherheitslücke in einigen AMD-CPUs. Weitere Informationen | Hoch | CVE-2023-20593 |
GCP-2023-019
Published:2023-07-18
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
In Envoy wurde eine neue Sicherheitslücke (CVE-2023-35945) entdeckt, bei der eine speziell erstellte Antwort von einem nicht vertrauenswürdigen Upstream-Dienst zu einem Denial of Service durch Arbeitsspeicherausschöpfung führen kann. Dies wird durch den HTTP/2-Codec von Envoy verursacht, der beim Empfang von Eine Anleitung und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin. | Hoch | CVE-2023-35945 |
GCP-2023-018
Veröffentlicht: 27.06.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE Autopilot-Cluster sind davon betroffen, da GKE Autopilot-Knoten immer Knoten-Images für Container-Optimized OS verwenden. GKE-Standardcluster ab Version 1.25, auf denen Knoten-Images des Container-Optimized OS ausgeführt werden, sind davon betroffen. GKE-Cluster sind nicht betroffen, wenn sie nur Ubuntu-Knoten-Images bzw. Versionen vor 1.25 oder GKE Sandbox ausführen. Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2023-2235 |
GCP-2023-017
Veröffentlicht: 26.06.2023
Aktualisiert: 11.07.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Aktualisierung vom 11. Juli 2023:Neue GKE-Versionen wurden mit den neuesten Ubuntu-Versionen aktualisiert, die CVE-2023-31436 gepatcht haben. Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE-Cluster, einschließlich Autopilot-Cluster, sind betroffen. GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2023-31436 |
GCP-2023-016
Veröffentlicht: 26.06.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
In Envoy wurden eine Reihe von Sicherheitslücken entdeckt, die in Anthos Service Mesh verwendet werden und es einem böswilligen Angreifer ermöglichen, einen Denial-of-Service oder Envoy-Absturz zu verursachen. Diese wurden separat als GCP-2023-002 gemeldet. Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487 |
GCP-2023-015
Veröffentlicht: 20.06.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt, die es nicht berechtigten Nutzern ermöglichen könnte, ihre Rechte zu Root zu erweitern, wenn „io_poll_get_ownership“ den Wert von „req->poll_refs“ bei jedem „io_poll_wake“, dann auf „0“ weiter ansteigt. Dadurch wird „req->Datei“ zweimal ausgelöst und eine Struct-Datei-Ref verursacht. GKE-Cluster, einschließlich Autopilot-Cluster, mit Container-Optimized OS, die die Linux-Kernel-Version 5.15 verwenden, sind betroffen. GKE-Cluster, die Ubuntu-Images oder GKE Sandbox verwenden, sind nicht betroffen. Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Mittel | CVE-CVE-2023-0468 |
GCP-2023-014
Aktualisiert: 11.08.2023
Veröffentlicht: 15.06.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Aktualisierung vom 11. August 2023 : Patchversionen für GKE on VMware, GKE on AWS, GKE on Azure und Google Distributed Cloud Virtual for Bare Metal wurden hinzugefügt. In Kubernetes wurden zwei neue Sicherheitsprobleme festgestellt, bei denen Nutzer unter Umständen Container starten konnten, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das ServiceAccount-Zugangs-Plug-in (CVE-2023-2728) verwenden. Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Mittel | CVE-2023-2727, CVE-2023-2728 |
GCP-2023-013
Veröffentlicht: 08.06.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Wenn Sie die Cloud Build API in einem Projekt aktivieren, erstellt Cloud Build automatisch ein Standarddienstkonto, um Builds in Ihrem Namen auszuführen. Dieses Cloud Build-Dienstkonto hatte zuvor die IAM-Berechtigung Eine Anleitung und weitere Informationen finden Sie im Cloud Build-Sicherheitsbulletin. |
Niedrig |
GCP-2023-010
Veröffentlicht: 07.06.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Google hat drei neue Sicherheitslücken in der gRPC C++-Implementierung gefunden. Diese werden demnächst als CVE-2023-1428, CVE-2023-32731 und CVE-2023-32732 veröffentlicht. Im April haben wir zwei Sicherheitslücken in den Releases 1.53 und 1.54 identifiziert. Eine war eine Denial-of-Service-Sicherheitslücke in der C++-Implementierung von gRPC, die andere eine Sicherheitslücke zur Remote-Daten-Exfiltration. Diese wurden in 1.53.1, 1.54.2 und späteren Releases behoben. Im März haben unsere internen Teams bei der Durchführung routinemäßiger Fuzzing-Aktivitäten eine Denial-of-Service-Sicherheitslücke in der C++-Implementierung von gRPC entdeckt. Sie wurde in der gRPC-Version 1.52 gefunden und in den Releases 1.52.2 und 1.53 behoben. Wie gehe ich am besten vor?Stellen Sie sicher, dass Sie die neuesten Versionen der folgenden Softwarepakete verwenden:
Welche Sicherheitslücken werden mit diesen Patches behoben?Diese Patches beheben die folgenden Sicherheitslücken:
Wir empfehlen ein Upgrade auf die neueste Version der folgenden Softwarepakete, wie oben aufgeführt. |
Hoch (CVE-2023-1428, CVE-2023-32731). Mittel (CVE-2023-32732) | CVE-2023-1428, CVE-2023-32731, CVE-023-32732 |
GCP-2023-009
Veröffentlicht: 06.06.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Im Secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt. Ein Angreifer mit Zugriff auf die Treiberprotokolle konnte Dienstkontotokens erkennen. Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Keine | CVE-2023-2878 |
GCP-2023-008
Veröffentlicht: 05.06.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf Root auf dem Knoten führen kann. Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2023-1872 |
GCP-2023-007
Veröffentlicht: 2023-06-02
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
In Cloud SQL for SQL Server wurde kürzlich eine Sicherheitslücke entdeckt, die es Kundenadministratorkonten ermöglichte, Trigger in der Datenbank Google Cloud hat das Problem durch die Behebung der Sicherheitslücke zum Zeitpunkt des 1. März 2023 behoben. Google Cloud hat keine kompromittierten Kundeninstanzen gefunden. Eine Anleitung und weitere Informationen finden Sie im Cloud SQL-Sicherheitsbulletin. |
Hoch |
GCP-2023-005
Veröffentlicht: 18.05.2023
Aktualisiert: 06.06.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Update vom 06.06.2023:Neue GKE-Versionen wurden mit den neuesten Ubuntu-Versionen aktualisiert, die CVE-2023-1281 und CVE-2023-1829 gepatcht haben. Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281 und CVE-2023-1829) gefunden, die zu einer Rechteausweitung auf Root auf dem Knoten führen können. Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2023-1281 CVE-2023-1829 |
GCP-2023-004
Veröffentlicht: 26.04.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
In Trusted Platform Module (TPM) 2.0 wurden zwei Sicherheitslücken (CVE-2023-1017 und CVE-2023-1018) entdeckt. Die Sicherheitslücken hätten einem erfahrenen Angreifer ermöglicht, 2 Byte außerhalb des Lese-/Schreibbereichs auf bestimmten Compute Engine-VMs auszunutzen. Eine Anleitung und weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin. |
Mittel |
GCP-2023-003
Veröffentlicht: 11.04.2023
Aktualisiert: 21.12.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind. Im Linux-Kernel wurden zwei neue Sicherheitslücken entdeckt, CVE-2023-0240 und CVE-2023-23586. Diese Sicherheitslücken ermöglichen es nicht berechtigten Nutzern, ihre Rechte auszuweiten. Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2023-0240, CVE-2023-23586 |
GCP-2023-002
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Die folgenden CVEs machen Anthos Service Mesh für ausnutzbare Sicherheitslücken sichtbar:
Eine Anleitung und weitere Informationen finden Sie im Sicherheitsbulletin für Anthos Service Mesh: |
Hoch |
GCP-2023-001
Veröffentlicht: 01.03.2023, 21.12.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind. Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2022-4696 |
GCP-2022-026
Veröffentlicht: 11.01.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
In OpenSSL v3.0.6 wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) gefunden, die einen Absturz verursachen können. Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Mittel |
GCP-2022-025
Veröffentlicht: 21.12.2022
Zuletzt aktualisiert: 19.01.2023, 21.12.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind. Aktualisierung vom 19. Januar 2023:Es wurde Informationen hinzugefügt, dass die GKE-Version 1.21.14-gke.14100 verfügbar ist. In OpenSSL v3.0.6 wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) gefunden, die einen Absturz verursachen können. Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Mittel |
GCP-2022-024
Veröffentlicht: 09.11.2022
Aktualisiert: 19.01.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Aktualisierung vom 19. Januar 2023:Es wurde Informationen hinzugefügt, dass die GKE-Version 1.21.14-gke.14100 verfügbar ist. Aktualisierung vom 16.12.2022:Patchversionen für GKE und GKE on VMware hinzugefügt. Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) gefunden, die dazu führen können, dass ein vollständiger Container zum Ausbrechen von Root auf dem Knoten ausfällt. Anleitungen und weitere Informationen finden Sie hier: |
Hoch |
GCP-2022-023
Veröffentlicht: 04.11.2022
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
In Istio, das in Anthos Service Mesh verwendet wird, wurde eine Sicherheitslücke (CVE-2022-39278) entdeckt. Sie ermöglicht es einem böswilligen Angreifer, die Steuerungsebene abstürzen zu können. Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2022-39278 |
GCP-2022-022
Veröffentlicht: 28.10.2022
Aktualisiert: 14.12.2022
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Aktualisierung vom 14.12.2022:Patchversionen für GKE und GKE on VMware hinzugefügt. Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-20409) entdeckt, die es unprivilegierten Nutzern ermöglicht, zu einer Systemausführungsberechtigung zu eskalieren. Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2022-20409 |
GCP-2022-021
Veröffentlicht: 27.10.2022
Aktualisiert: 19.01.2023, 21.12.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind. Aktualisierung vom 19. Januar 2023:Es wurde Informationen hinzugefügt, dass die GKE-Version 1.21.14-gke.14100 verfügbar ist. Aktualisierung vom 15. Dezember 2022:Die Informationen, dass die Einführung von Version 1.21.14-gke.9400 der Google Kubernetes Engine aussteht und die möglicherweise durch eine höhere Versionsnummer ersetzt werden kann, wurde aktualisiert. Aktualisierung vom 22.11.2022:Patchversionen für GKE on VMware, GKE on AWS und GKE on Azure wurden hinzugefügt. Im Linux-Kernel wurde eine neue Sicherheitslücke, CVE-2022-3176, entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht es einem nicht privilegierten Nutzer, einen vollständigen Container-Ausbruch zu erreichen, um auf dem Knoten zu rooten. Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch | CVE-2022-3176 |
GCP-2022-020
Veröffentlicht: 05.10.2022
Aktualisiert:12.10.2022
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Die Istio-Steuerungsebene Anleitungen und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin. |
Hoch | CVE-2022-39278 |
GCP-2022-019
Veröffentlicht: 22.09.2022
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Eine Sicherheitslücke beim Parsen und der Speicherverwaltung in den C++- und Python-Implementierungen von ProtocolBuffer kann bei der Verarbeitung einer speziell erstellten Nachricht einen OOM-Fehler (Out-of-Memory) verursachen. Dies kann bei Diensten, die die Bibliotheken verwenden, zu einem DoS-Angriff (Denial of Service) führen. Wie gehe ich am besten vor?Achten Sie darauf, dass Sie die neuesten Versionen der folgenden Softwarepakete verwenden:
Welche Sicherheitslücken werden mit diesem Patch behoben?Dieser Patch dient zur Abschwächung der folgenden Sicherheitslücke:
Eine speziell erstellte kleine Nachricht, die bewirkt, dass der laufende Dienst große Mengen an RAM zuweist. Aufgrund der geringen Größe der Anfrage ist es einfach, die Sicherheitslücke auszunutzen und die Ressourcen auszuschöpfen. C++- und Python-Systeme, die nicht vertrauenswürdige Protokollpuffer verwenden, sind anfällig für DoS-Angriffe, wenn sie ein |
Mittel | CVE-2022-1941 |
GCP-2022-018
Veröffentlicht: 01.08.2022
Aktualisiert: 14.09.2022, 21.12.2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind. Aktualisierung vom 14. September 2022:Patchversionen für GKE on VMware, GKE on AWS und GKE on Azure wurden hinzugefügt. Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2327) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: | Hoch | CVE-2022-2327 |
GCP-2022-017
Veröffentlicht: 29.06.2022
Zuletzt aktualisiert: 22.11.2022
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Update vom 22.11.2022:Arbeitslasten, die GKE Sandbox verwenden, sind von diesen Sicherheitslücken nicht betroffen. Aktualisierung vom 21. Juli 2022:Weitere Informationen zu GKE on VMware. Eine neue Sicherheitslücke (CVE-2022-1786) wurde in den Linux-Kernel-Versionen 5.10 und 5.11 entdeckt. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Es sind nur Cluster betroffen, in denen Container-Optimized OS ausgeführt wird. GKE-Ubuntu-Versionen verwenden entweder Version 5.4 oder 5.15 des Kernels und sind nicht betroffen. Anleitungen und weitere Informationen finden Sie hier: |
Hoch | CVE-2022-1786 |
GCP-2022-016
Veröffentlicht: 23.06.2022
Zuletzt aktualisiert: 22.11.2022
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Update vom 22.11.2022:Autopilot-Cluster sind von CVE-2022-29581 nicht betroffen, aber anfällig für CVE-2022-29582 und CVE-2022-1116. Im Linux-Kernel wurden drei neue Sicherheitslücken gefunden (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Diese Sicherheitslücken ermöglichen es einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Ausbruch auf dem Knoten durchzuführen. Alle Linux-Cluster (Container-Optimized OS und Ubuntu) sind betroffen. Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins: |
Hoch |
GCP-2022-015
Veröffentlicht: 09.06.2022
Zuletzt aktualisiert: 10.06.2022
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Aktualisierung vom 10. Juni 2022:Die Anthos Service Mesh-Versionen wurden aktualisiert. Eine Anleitung und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin. Folgende Envoy- und Istio-CVEs machen Anthos Service Mesh und Istio on GKE für remote Angriffe verwundbar:
Eine Anleitung und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin. |
Kritisch |
GCP-2022-014
Veröffentlicht: 26.04.2022
Zuletzt aktualisiert: 22.11.2022
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Update vom 22.11.2022:GKE Autopilot-Cluster und Arbeitslasten, die in GKE Sandbox ausgeführt werden, sind nicht betroffen. Aktualisierung vom 12. Mai 2022:Die Versionen von GKE on AWS und GKE on Azure wurden aktualisiert. Eine Anleitung und weitere Details finden Sie hier:
Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Containerausfall, eine Ausweitung der Berechtigungen auf dem Host oder beides durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu). Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch |
CVE-2022-1055 CVE-2022-27666 |
GCP-2022-013
Veröffentlicht: 11.04.2022
Zuletzt aktualisiert: 22.04.2022
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke, CVE-2022-23648, entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten. Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Mittel | CVE-2022-23648 |
GCP-2022-012
Veröffentlicht: 07.04.2022
Zuletzt aktualisiert: 22.11.2022
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Update vom 22.11.2022:Bei GKE-Clustern in beiden Modi, Standard und Autopilot, sind Arbeitslasten, die GKE Sandbox verwenden, nicht betroffen. Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können. Diese Sicherheitslücke betrifft die folgenden Produkte:
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2022-0847 |
GCP-2022-011
Veröffentlicht: 22.03.2022
Zuletzt aktualisiert: 11.08.2022
Beschreibung
Beschreibung | Schweregrad |
---|---|
Aktualisierung vom 11.08.2022:Weitere Informationen zur Konfiguration von Simultaneous Multi-Threading (SMT) wurden hinzugefügt. SMT sollte eigentlich deaktiviert werden, war aber für die aufgeführten Versionen aktiviert. Wenn Sie SMT für einen in einer Sandbox ausgeführten Knotenpool manuell aktiviert haben, bleibt SMT trotz dieses Problems manuell aktiviert. Es gibt eine fehlerhafte Konfiguration beim Gleichzeitigen Multi-Threading (SMT), auch als Hyper-Threading bezeichnet, auf GKE Sandbox-Images. Durch eine fehlerhafte Konfiguration werden Knoten möglicherweise für Nebenkanalangriffe wie Microarchitectural Data Sampling (MDS) ausgesetzt. Weitere Informationen finden Sie in der GKE Sandbox-Dokumentation. Wir raten davon ab, die folgenden betroffenen Versionen zu verwenden:
Eine Anleitung und weitere Informationen finden Sie im GKE-Sicherheitsbulletin. |
Mittel |
GCP-2022-010
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Das folgende Istio-CVE macht Anthos Service Mesh für eine remote ausnutzbare Sicherheitslücke sichtbar:
Eine Anleitung und weitere Informationen finden Sie im folgenden Sicherheitsbulletin: |
Hoch |
GCP-2022-009
Veröffentlicht: 01.03.2022Beschreibung
Beschreibung | Schweregrad |
---|---|
Einige unerwartete Pfade für den Zugriff auf die Knoten-VM in GKE Autopilot-Clustern wurden möglicherweise verwendet, um Berechtigungen im Cluster zu eskalieren. Diese Probleme wurden behoben und es sind keine weiteren Maßnahmen erforderlich. Die Fehlerkorrekturen beheben Probleme, die über unser Vulnerability Reward Program gemeldet wurden. Eine Anleitung und weitere Informationen finden Sie im GKE-Sicherheitsbulletin |
Niedrig |
GCP-2022-008
Veröffentlicht: 23.02.2022
Zuletzt aktualisiert: 28.04.2022
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Aktualisierung vom 28. April 2022 : Es wurden Versionen von GKE on VMware hinzugefügt, die diese Sicherheitslücken beheben. Weitere Informationen finden Sie im GKE-Sicherheitsbulletin. Das Envoy-Projekt hat kürzlich eine Reihe von Sicherheitslücken entdeckt. Alle unten aufgeführten Probleme wurden in der Envoy-Version 1.21.1 behoben.
Was soll ich tun? Envoy-Nutzer, die ihre eigenen Envoy-Instanzen verwalten, sollten darauf achten, dass sie Envoy-Version 1.21.1 verwenden. Envoy-Nutzer, die ihre eigenen Envoy-Instanzen verwalten, erstellen die Binärdateien aus einer Quelle wie GitHub und stellen sie bereit. Nutzer, die Managed Envoys ausführen (Google Cloud stellt die Envoy-Binärdateien bereit), für die Google Cloud-Produkte auf 1.21.1 umgestellt werden, muss nichts unternehmen. |
Hoch |
CVE-2022-23606 CVE-2022-21655 CVE-2021-43826 CVE-2021-43825 CVE-2021-43824 CVE-2022-21654CVE-2022-21657CVE-2022-21656 |
GCP-2022-007
Veröffentlicht: 22.02.2022Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Die folgenden CVEs von Envoy und Istio machen Anthos Service Mesh und Istio on GKE für Sicherheitslücken zugänglich, die remote ausgenutzt werden können:
Eine Anleitung und weitere Informationen finden Sie in den folgenden Sicherheitsbulletins: |
Hoch |
GCP-2022-006
Veröffentlicht: 14.02.2022Zuletzt aktualisiert: 16.05.2022
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Aktualisierung vom 16. Mai 2022:Die GKE-Version 1.19.16-gke.7800 oder höher wurde der Liste der Versionen mit Code zum Beheben dieser Sicherheitslücke hinzugefügt. Weitere Informationen finden Sie im GKE-Sicherheitsbulletin. Aktualisierung vom 12. Mai 2022:Die Versionen GKE, GKE on VMware, GKE on AWS und GKE on Azure wurden aktualisiert. Eine Anleitung und weitere Details finden Sie hier:
In der Funktion |
Niedrig |
Anleitungen und weitere Informationen finden Sie hier: |
GCP-2022-005
Veröffentlicht: 11.02.2022Zuletzt aktualisiert: 15.02.2022
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Es wurde eine Sicherheitslücke, CVE-2021-43527, in einer beliebigen Binärdatei entdeckt, die auf die anfälligen Versionen von libnss3 in Versionen von NSS (Network Security Services) vor 3.73 oder 3.68.1 verweist. Anwendungen, die NSS für die Zertifikatsprüfung oder andere TLS-, X.509-, OCSP- oder CRL-Funktionen verwenden, können abhängig davon, wie NSS verwendet/konfiguriert wird, betroffen sein. Anleitungen und weitere Informationen finden Sie hier: |
Mittel | CVE-2021-43527 |
GCP-2022-004
Veröffentlicht: 04.02.2022Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
In pkexec, einem Teil des Linux-Policy-Kits (polkit), wurde die Sicherheitslücke CVE-2021-4034 erkannt, die einem authentifizierten Nutzer die Ausführung eines Angriffs nach Rechteausweitung ermöglicht. PolicyKit wird im Allgemeinen nur auf Linux-Desktopsystemen verwendet, um Nicht-Root-Nutzer Aktionen wie das Neustarten des Systems, das Installieren von Paketen, das Neustarten von Diensten usw. gemäß einer Richtlinie zu ermöglichen. Anleitungen und weitere Informationen finden Sie hier: |
Keine | CVE-2021-4034 |
GCP-2022-002
Veröffentlicht: 01.02.2022Zuletzt aktualisiert: 25.02.2022
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Aktualisierung vom 25. Februar 2022:Die GKE-Versionen wurden aktualisiert. Eine Anleitung und weitere Details finden Sie hier: Aktualisierung vom 23. Februar 2022 : Die Versionen von GKE und GKE on VMware wurden aktualisiert. Eine Anleitung und weitere Details finden Sie hier: Aktualisierung vom 04.02.2022: Das Roll-out-Startdatum für GKE-Patchversionen war am 2. Februar. Drei Sicherheitslücken, CVE-2021-4154, CVE-2021-22600 und CVE-2022-0185, wurden im Linux-Kernel erkannt, von der jede zu einem Container-Breakout, einer Rechteausweitung auf dem Host oder zu beidem führen kann. Diese Sicherheitslücken betreffen alle Knotenbetriebssysteme (COS und Ubuntu) in GKE, GKE on VMware, GKE on AWS (aktuelle und vorherige Generation) sowie GKE on Azure. Pods, die GKE Sandbox verwenden, sind nicht anfällig für diese Sicherheitslücken. Weitere Informationen finden Sie in den Versionshinweisen zu COS. Anleitungen und weitere Informationen finden Sie hier: |
Hoch |
GCP-2022-001
Veröffentlicht: 06.01.2022Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Beim Parsen von Binärdaten wurde ein potenzielles Denial of Service-Problem in Was soll ich tun? Achten Sie darauf, dass Sie die neuesten Versionen der folgenden Softwarepakete verwenden:
Protobuf-Nutzer, die Javalite (normalerweise Android) verwenden, sind nicht betroffen. Welche Sicherheitslücken werden mit diesem Patch behoben? Dieser Patch dient zur Abschwächung der folgenden Sicherheitslücke: Eine Schwäche bei der Implementierung beim Parsen unbekannter Felder in Java. Eine kleine schädliche Nutzlast (ca. 800 KB) kann den Parser mehrere Minuten lang belasten, indem eine große Anzahl kurzlebiger Objekte erstellt wird, die häufige, wiederholte Pausen bei der automatischen Speicherbereinigung verursachen. |
Hoch | CVE-2021-22569 |
GCP-2021-024
Veröffentlicht: 21.10.2021Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Im Kubernetes-Controller ingress-nginx wurde das Sicherheitsproblem CVE-2021-25742 festgestellt. Benutzerdefinierte Snippets für Ingress-nginx ermöglichen das Abrufen von Tokens und Secrets für Ingress-nginx in allen Namespaces. Anleitungen und weitere Informationen finden Sie hier: | Keine | CVE-2021-25742 |
GCP-2021-019
Veröffentlicht: 29.09.2021Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Es gibt ein bekanntes Problem, das Auftritt, wenn eine Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin. |
Niedrig |
GCP-2021-022
Veröffentlicht: 22.09.2021Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Im GKE Enterprise Identity Service (AIS)-LDAP-Modul von GKE in den VMware-Versionen 1.8 und 1.8.1 wurde eine Sicherheitslücke erkannt, bei der ein Startschlüssel, der zum Generieren von Schlüsseln verwendet wird, vorhersehbar ist. Mit dieser Sicherheitslücke könnte ein authentifizierter Nutzer beliebige Anforderungen hinzufügen und Berechtigungen auf unbestimmte Zeit eskalieren. Eine Anleitung und weitere Informationen finden Sie im Sicherheitsbulletin für GKE on VMware. |
Hoch |
GCP-2021-021
Veröffentlicht: 22.09.2021Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
In Kubernetes wurde die Sicherheitslücke CVE-2020-8561 erkannt, bei der bestimmte Webhooks erstellt werden können, um kube-apiserver-Anfragen an private Netzwerke dieses API-Servers weiterzuleiten. Anleitungen und weitere Informationen finden Sie hier: |
Mittel | CVE-2020-8561 |
GCP-2021-023
Veröffentlicht: 21.09.2021Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Gemäß dem VMware-Sicherheitshinweis VMSA-2021-0020 hat VMware Berichte zu mehreren Sicherheitslücken in vCenter erhalten. VMware hat Aktualisierungen vorgenommen, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben. Wir haben die von VMware bereitgestellten Patches für den vSphere-Stack bereits gemäß dem VMware-Sicherheitshinweis auf Google Cloud VMware Engine angewendet. Mit diesem Update werden die in CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 und CVE-2021-22010 beschriebenen Sicherheitslücken behoben. Andere nicht kritische Sicherheitsprobleme werden im nächsten VMware-Stack-Upgrade behoben (siehe Vorabankündigung vom Juli). Weitere Details zur spezifischen Zeitachse des Upgrades werden bald bereitgestellt. Auswirkungen auf VMware EngineUnsere Untersuchungen haben ergeben, dass davon keine Kunden betroffen waren. Was soll ich tun?Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich. |
Kritisch |
GCP-2021-020
Veröffentlicht: 17.09.2021Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Bestimmte Google Cloud-Load-Balancer, die Weiterleitungen an einen für das Identity-Aware Proxy (IAP) aktivierten Backend-Dienst vornehmen, können unter bestimmten Bedingungen von einer nicht vertrauenswürdige Partei missbraucht werden. Damit wurde ein über das Prämienprogramm für die Meldung von Sicherheitslücken gemeldetes Problem behoben. Die Bedingungen waren, dass die Server:
Darüber hinaus musste ein Nutzer in Ihrer Organisation auf einen speziell erstellten Link geklickt haben, der von einer nicht vertrauenswürdigen Partei gesendet wurde. Dieses Problem wurde behoben. IAP wurde am 17. September 2021 so aktualisiert, dass Cookies nur noch für autorisierte Hosts ausgegeben werden. Ein Host gilt als autorisiert, wenn er mit mindestens einem SAN (Subject Alternative Name) in einem der Zertifikate übereinstimmt, die auf Ihren Load-Balancern installiert sind. Was muss ich tun?
Einigen Ihrer Nutzer:innen wird möglicherweise beim Versuch, auf Anwendungen oder Dienste zuzugreifen, die Antwort „HTTP 401 – Unauthorized“ mit dem IAP-Fehlercode 52 angezeigt. Dieser Fehlercode bedeutet, dass der Client einen |
Hoch |
GCP-2021-018
Veröffentlicht: 15.09.2021Zuletzt aktualisiert: 20.09.2021
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Ein Sicherheitsproblem in Kubernetes (CVE-2021-25741) wurde festgestellt, bei dem Nutzer möglicherweise einen Container mit Unterpfad-Volume-Bereitstellungen erstellen können, um auf Dateien und Verzeichnisse außerhalb des Volumes, z. B. im Hostdateisystem, zuzugreifen. Anleitungen und weitere Informationen finden Sie hier: |
Hoch | CVE-2021-25741 |
GCP-2021-017
Veröffentlicht: 01.09.2021Zuletzt aktualisiert: 23.09.2021
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Aktualisierung vom 23. 09. 2021: Container, die in der GKE Sandbox ausgeführt werden, sind von dieser Sicherheitslücke für Angriffe aus dem Container nicht betroffen. Im Linux-Kernel wurden zwei Sicherheitslücken erkannt, CVE-2021-33909 und CVE-2021-33910, die zu einem Absturz des Betriebssystems oder einer Eskalation zum Root durch einen nicht privilegierten Nutzer führen können. Diese Sicherheitslücke betrifft alle GKE-Knotenbetriebssysteme (COS und Ubuntu). Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2021-33909, CVE-2021-33910 |
GCP-2021-016
Veröffentlicht: 24.08.2021Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Folgende Envoy- und Istio-CVEs machen Anthos Service Mesh und Istio on GKE für remote Angriffe verwundbar:
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch |
GCP-2021-015
Veröffentlicht: 13.07.2021Zuletzt aktualisiert: 15.07.2021
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Es wurde eine neue Sicherheitslücke (CVE-2021-22555) entdeckt, bei der ein böswilliger Akteur mit Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2021-22555 |
GCP-2021-014
Veröffentlicht: 05.07.2021Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Microsoft hat ein Sicherheitsbulletin CVE-2021-34527 zu einer Sicherheitslücke (Remote Code Execution, RCE) veröffentlicht, die Auswirkungen auf die Druckwarteschlange bei Windows-Servern hat. Das CERT Coordination Center (CERT/CC) hat einen Hinweis zu einer ähnlichen Sicherheitslücke mit dem Namen "PrintNightmare" veröffentlicht. Auch diese hat Auswirkungen auf Windows-Druckwarteschlangen – PrintNightmare, kritische Windows-Sicherheitslücke für Druckwarteschlange. Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin. |
Hoch | CVE-2021-34527 |
GCP-2021-012
Veröffentlicht: 24.06.2021Zuletzt aktualisiert: 09.07.2021
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Das Istio-Projekt hat vor Kurzem eine Sicherheitslücke gemeldet, über die auf in den Feldern "Gateway" und "DestinationRule credentialName" angegebenen Anmeldedaten von verschiedenen Namespaces aus zugegriffen werden kann. Produktspezifische Anleitungen und weitere Informationen finden Sie unter:
|
Hoch | CVE-2021-34824 |
GCP-2021-011
Veröffentlicht: 04.06.2021Zuletzt aktualisiert: 19.10.2021
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Aktualisierung 19.10.2021: Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:
Die Sicherheitscommunity hat kürzlich eine neue Sicherheitslücke (CVE-2021-30465) entdeckt, die in Da für die Ausnutzung dieser Sicherheitslücke das Erstellen von Pods erforderlich ist, haben wir den Schweregrad dieser Sicherheitslücke mit MITTEL bewertet. Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin. |
Mittel | CVE-2021-30465 |
GCP-2021-010
Veröffentlicht: 25.05.21Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Gemäß VMware-Sicherheitshinweis VMSA-2021-0010 wurden die Remote-Codeausführung und die Authentifizierung über die Sicherheitslücken im vSphere-Client (HTML5) privat an VMware gemeldet. VMware hat Aktualisierungen vorgenommen, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben. Wir haben die von VMware bereitgestellten Patches gemäß dem VMware-Sicherheitshinweis für den vSphere-Stack angewendet. Mit diesem Update werden Sicherheitslücken behoben, die in CVE-2021-21985 und CVE-2021-21986 beschrieben wurden. Die Image-Versionen, die in Ihrer privaten VMware Engine-Cloud ausgeführt werden, spiegeln derzeit keine Änderungen wider, die auf die angewendeten Patches hinweisen. Sie können sich darauf verlassen, dass entsprechende Patches installiert und Ihre Umgebung vor diesen Sicherheitslücken geschützt wird. Auswirkungen auf VMware EngineUnsere Untersuchungen haben ergeben, dass davon keine Kunden betroffen waren. Wie gehe ich am besten vor?Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich. |
Kritisch |
GCP-2021-008
Veröffentlicht: 17.05.2021Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Istio enthält eine remote ausnutzbare Sicherheitslücke, über die ein externer Client auf unerwartete Dienste im Cluster zugreifen kann, um Autorisierungsprüfungen zu umgehen, wenn ein Gateway mit der Routingkonfiguration Anleitungen und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin. |
Hoch |
CVE-2021-31921 |
GCP-2021-007
Veröffentlicht: 17.05.2021Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Istio enthält eine remote ausnutzbare Sicherheitslücke, über die ein HTTP-Anfragepfad mit mehreren Schrägstrichen oder maskierten Schrägstrichen ( Anleitungen und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin. |
Hoch |
CVE-2021-31920 |
GCP-2021-006
Veröffentlicht: 11.05.2021Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Im Istio-Projekt wurde vor Kurzem eine neue Sicherheitslücke (CVE-2021-31920) disclosed, die Istio betrifft. Istio enthält eine remote ausnutzbare Sicherheitslücke, über die eine HTTP-Anfrage mit mehreren Schrägstrichen oder maskierten Schrägstrichen die Istio-Autorisierungsrichtlinie umgehen kann, wenn pfadbasierte Autorisierungsregeln verwendet werden. Anleitungen und weitere Informationen finden Sie hier: |
Hoch |
CVE-2021-31920 |
GCP-2021-005
Veröffentlicht: 11.05.2021Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Eine gemeldete Sicherheitslücke hat gezeigt, dass Envoy die maskierten Schrägstrich-Sequenzen Was soll ich tun?
Wenn Backend-Server Welche Verhaltensänderungen wurden eingeführt?Die Optionen normalize_path und angrenzende Schrägstriche zusammenführen von Envoy wurden aktiviert, um andere gängige Sicherheitslücken im Zusammenhang mit der Verwechslung von Pfaden in Envoy-basierten Produkten zu beheben. |
Hoch |
CVE-2021-29492 |
GCP-2021-004
Veröffentlicht: 06.05.2021Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Bei den Projekten Envoy und Istio wurden kürzlich mehrere neue Sicherheitslücken angekündigt (CVE-2021-28683, CVE-2021-28682 und CVE-2021-29258), die zum Absturz von Envoy führen könnten. In Google Kubernetes Engine-Clustern wird Istio nicht standardmäßig ausgeführt und daher sind sie nicht anfällig. Wenn Istio in einem Cluster installiert und so konfiguriert ist, dass Dienste im Internet verfügbar sind, können diese Dienste anfällig für Denial-of-Service-Angriffe sein. Google Distributed Cloud Virtual for Bare Metal und GKE on VMware verwenden standardmäßig Envoy für Ingress, sodass Ingress-Dienste anfällig für Denial-of-Service sind. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Mittel |
GCP-2021-003
Veröffentlicht: 19.04.2021Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Das Kubernetes-Projekt hat vor Kurzem eine neue Sicherheitslücke ( CVE-2021-25735) bekanntgegeben. Damit können Knoten-Updates einen validierenden Zulassungs-Webhook umgehen.
In einem Szenario, in dem ein Angreifer ausreichende Berechtigungen hat und in dem ein validierender Zulassungs-Webhook implementiert ist, der alte Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Mittel |
GCP-2021-002
Veröffentlicht: 05.03.2021Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Im VMware-Sicherheitshinweis VMSA-2021-0002 hat VMware Berichte über mehrere Sicherheitslücken in VMware ESXi und vSphere Client (HTML5) erhalten. VMware hat Aktualisierungen vorgenommen, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben. Wir haben uns der offiziell dokumentierten Problemumgehung für den vSphere-Stack entsprechend dem VMware-Sicherheitshinweis bedient. Mit diesem Update werden Sicherheitslücken behoben, die in CVE-2021-21972, CVE-2021-21973 und CVE-2021-21974 beschrieben sind. Auswirkungen auf VMware EngineUnsere Untersuchungen haben ergeben, dass davon keine Kunden betroffen waren. Wie gehe ich am besten vor?Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich. |
Kritisch |
GCP-2021-001
Veröffentlicht: 28.01.2021Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Im Linux-Dienstprogramm Die zugrunde liegende Infrastruktur, auf der Compute Engine ausgeführt wird, ist von dieser Sicherheitslücke nicht betroffen. Alle Cluster der Google Kubernetes Engine (GKE), GKE on VMware, GKE on AWS und Google Distributed Cloud Virtual for Bare Metal sind von dieser Sicherheitslücke nicht betroffen. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Keine | CVE-2021-3156 |
GCP-2020-015
Veröffentlicht: 07.12.2020Zuletzt aktualisiert: 22.12.2020
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Aktualisiert: 22.12.2021: Der Befehl für GKE im folgenden Abschnitt sollte gcloud container clusters update –no-enable-service-externalips Aktualisiert: 15.12.2021 Für GKE ist jetzt die folgende Abhilfemaßnahme verfügbar:
Weitere Informationen finden Sie unter Cluster härten. Das Kubernetes-Projekt entdeckte kürzlich eine neue Sicherheitslücke, CVE-2020-8554, die es einem Angreifer, der Berechtigungen erhalten hat, ermöglichen kann, einen Kubernetes-Dienst vom Typ LoadBalancer oder ClusterIP zu erstellen, um Netzwerkverkehr abzufangen, der von anderen Pods im Cluster stammt. Diese Sicherheitsanfälligkeit allein gibt einem Angreifer keine Berechtigung zum Erstellen eines Kubernetes-Dienstes. Alle Cluster der Google Kubernetes Engine (GKE), GKE on VMware und GKE on AWS sind von dieser Sicherheitslücke betroffen. Wie gehe ich am besten vor?Eine Anleitung und weitere Informationen finden Sie unter: |
Mittel |
CVE-2020-8554 |
GCP-2020-014
Veröffentlicht: 20.10.2020Zuletzt aktualisiert: 20.10.2020
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Beim Kubernetes-Projekt wurden unlängst mehrere Probleme entdeckt, durch die es zur Offenlegung von Secret-Daten kommen kann, wenn Optionen für das ausführliche Logging aktiviert sind. Die Probleme sind:
Wie gehe ich am besten vor?Aufgrund der Standardebenen für das ausführliche Logging von GKE sind keine weiteren Maßnahmen erforderlich. |
Keine |
Auswirkungen auf Google Cloud
Details zu den einzelnen Produkten sind unten aufgeführt.
Produkt |
Auswirkungen |
---|---|
Google Kubernetes Engine (GKE) ist nicht betroffen. |
|
GKE On-Prem ist nicht betroffen. |
|
GKE on AWS ist nicht betroffen. |
GCP-2020-013
Veröffentlicht: 29.09.2020Beschreibung
Microsoft hat die folgende Sicherheitslücke entdeckt:
Sicherheitslücke |
Schweregrad |
CVE |
---|---|---|
CVE-2020-1472: Durch eine Sicherheitslücke in Windows Server können Angreifer mit dem Netlogon Remote Protocol eine speziell entwickelte Anwendung auf einem Gerät im Netzwerk ausführen. |
NVD Base Score: 10 (Kritisch) |
Weitere Informationen finden Sie in der Microsoft-Bekanntmachung.
Auswirkungen auf Google Cloud
Die Infrastruktur, in der Google Cloud und Google-Produkte gehostet werden, ist von dieser Sicherheitslücke nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.
Produkt |
Auswirkungen |
---|---|
Compute Engine |
CVE-2020-1472 |
Google Kubernetes Engine |
CVE-2020-1472 |
Managed Service for Microsoft Active Directory |
CVE-2020-1472 |
Google Workspace |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
App Engine-Standardumgebung |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Flexible App Engine-Umgebung |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Run |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Functions |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Composer |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Dataflow |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Dataproc |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud SQL |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
GCP-2020-012
Veröffentlicht: 14.09.2020Zuletzt aktualisiert: 17.09.2020
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Im Linux-Kernel wurde eine Sicherheitslücke entdeckt, die unter CVE-2020-14386 beschrieben ist. Damit kann Container-Escape Root-Berechtigungen für den Hostknoten erhalten. Alle GKE-Knoten sind betroffen. In GKE Sandbox ausgeführte Pods können diese Sicherheitslücke nicht nutzen. Anleitungen und weitere Informationen finden Sie hier: Welche Sicherheitslücke wird mit diesem Patch behoben? Der Patch entschärft die folgende Sicherheitslücke: Die Sicherheitslücke CVE-2020-14386 Dadurch können Container mit CAP_NET_RAW 1 bis 10 Byte des Kernel-Speichers schreiben, den Container möglicherweise meiden und Root-Berechtigungen auf dem Hostknoten erhalten. Der Schweregrad dieser Sicherheitslücke ist "Hoch". |
Hoch |
GCP-2020-011
Veröffentlicht: 24.07.2020Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Bei Kubernetes wurde vor Kurzem eine Sicherheitslücke im Netzwerk, CVE-2020-8558, entdeckt. Dienste kommunizieren manchmal über die lokale Loopback-Schnittstelle (127.0.0.1) mit anderen Anwendungen, die im gleichen Pod ausgeführt werden. Diese Sicherheitslücke ermöglicht einem Angreifer mit Zugriff auf das Netzwerk des Clusters, Traffic an die Loopback-Schnittstelle von angrenzenden Pods und Knoten zu senden. Dienste, die darauf angewiesen sind, dass die Loopback-Schnittstelle außerhalb ihres Pods nicht zugänglich ist, könnten ausgenutzt werden. Anleitungen und weitere Informationen finden Sie hier: |
Niedrig (GKE und GKE auf AWS), |
GCP-2020-010
Veröffentlicht: 27.07.2020Beschreibung
Microsoft hat die folgende Sicherheitslücke entdeckt:
Sicherheitslücke |
Schweregrad |
CVE |
---|---|---|
CVE-2020-1350 – Windows-Server, die in einer DNS-Serverkapazität bereitgestellt werden, können zum Ausführen nicht vertrauenswürdiger Code über das lokale Systemkonto genutzt werden. |
NVD Base Score: 10.0 (Kritisch) |
Weitere Informationen finden Sie in der Microsoft-Bekanntmachung.
Auswirkungen auf Google Cloud
Die Infrastruktur, in der Google Cloud und Google-Produkte gehostet werden, ist von dieser Sicherheitslücke nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.
Produkt |
Auswirkungen |
---|---|
Compute Engine |
CVE-2020-1350 |
Google Kubernetes Engine |
CVE-2020-1350 |
Managed Service for Microsoft Active Directory |
CVE-2020-1350 |
Google Workspace |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
App Engine-Standardumgebung |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Flexible App Engine-Umgebung |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Run |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Functions |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Composer |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Dataflow |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Dataproc |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud SQL |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
GCP-2020-009
Veröffentlicht: 15.07.2020Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Vor Kurzem wurde in Kubernetes eine Sicherheitslücke zur Rechteausweitung, CVE-2020-8559, entdeckt. Diese Sicherheitslücke ermöglicht es einem Angreifer, der bereits einen Knoten manipuliert hat, in jedem Pod im Cluster einen Befehl auszuführen. Der Angreifer kann dadurch mit dem bereits manipulierten Knoten andere Knoten manipulieren und potenziell Informationen lesen oder destruktive Aktionen ausführen. Damit ein Angreifer diese Sicherheitslücke ausnutzen kann, muss bereits ein Knoten im Cluster manipuliert worden sein. Diese Sicherheitslücke allein beeinträchtigt also noch keine Knoten in Ihrem Cluster. Anleitungen und weitere Informationen finden Sie hier: |
Mittel |
GCP-2020-008
Veröffentlicht: 19.06.2020Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
BeschreibungVMs, für die OS Login aktiviert ist, sind potenziell anfällig für Sicherheitslücken in Bezug auf die Rechteausweitung. Durch diese Sicherheitslücken bekommen Nutzer, die OS Login-Berechtigungen ohne Administratorzugriff erhalten haben, die Möglichkeit, zum Root-Zugriff in der VM zu eskalieren. Anleitungen und weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.
|
Hoch |
GCP-2020-007
Veröffentlicht: 01.06.2020Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Serverseitige Anfragefälschung (Server Side Request Forgery, SSRF), CVE-2020-8555, wurde kürzlich in Kubernetes entdeckt und ermöglicht bestimmten autorisierten Nutzern, bis zu 500 Byte vertraulicher Informationen aus dem Hostnetzwerk der Steuerungsebene abzurufen. Die Google Kubernetes Engine-Steuerungsebene (GKE) verwendet Controller von Kubernetes und ist daher von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, die Steuerungsebene auf die neueste Patch-Version zu aktualisieren. Ein Knotenupgrade ist nicht erforderlich. Anleitungen und weitere Informationen finden Sie hier: |
Mittel |
GCP-2020-006
Veröffentlicht: 01.06.2020Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Kubernetes hat eine Sicherheitslücke entdeckt, die es einem berechtigten Container ermöglicht, Knoten-Traffic an einen anderen Container weiterzuleiten. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden. Alle GKE-Knoten (Google Kubernetes Engine) sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, ein Upgrade auf die neueste Patch-Version durchzuführen. Anleitungen und weitere Informationen finden Sie hier: |
Mittel |
GCP-2020-005
Veröffentlicht: 07.05.2020Beschreibung
Sicherheitslücke |
Schweregrad |
CVE |
---|---|---|
Im Linux-Kernel wurde kürzlich eine Sicherheitslücke entdeckt, die in CVE-2020-8835 beschrieben wird. Sie ermöglicht Container-Escape, Root-Berechtigungen auf dem Hostknoten zu erhalten. Ubuntu-Knoten der Google Kubernetes Engine (GKE) mit GKE 1.16 oder 1.17 sind von dieser Sicherheitslücke betroffen. Wir empfehlen, so schnell wie möglich ein Upgrade auf die neueste Patchversion durchzuführen. Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin. |
Hoch |
GCP-2020-004
Veröffentlicht: 31.03.2020Zuletzt aktualisiert: 31.03.2020
Beschreibung
Kubernetes hat die folgenden Sicherheitslücken bekanntgegeben:
Sicherheitslücke |
Schweregrad |
CVE |
---|---|---|
CVE-2019-11254 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft. |
Mittel |
Anleitungen und weitere Informationen finden Sie im GKE on VMware-Sicherheitsbulletin.
GCP-2020-003
Veröffentlicht: 31.03.2020Zuletzt aktualisiert: 31.03.2020
Beschreibung
Kubernetes hat die folgenden Sicherheitslücken bekanntgegeben:
Sicherheitslücke |
Schweregrad |
CVE |
---|---|---|
CVE-2019-11254 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft. |
Mittel |
Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.
GCP-2020-002
Veröffentlicht: 23.03.2020Zuletzt aktualisiert: 23.03.2020
Beschreibung
Kubernetes hat die folgenden Sicherheitslücken bekanntgegeben:
Sicherheitslücke |
Schweregrad |
CVE |
---|---|---|
CVE-2020-8551 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die das Kubelet betrifft. |
Mittel |
|
CVE-2020-8552 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft. |
Mittel |
Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.
GCP-2020-001
Veröffentlicht: 21.01.2020Zuletzt aktualisiert: 21.01.2020
Beschreibung
Microsoft hat die folgende Sicherheitslücke entdeckt:
Sicherheitslücke |
Schweregrad |
CVE |
---|---|---|
CVE-2020-0601 – Diese Sicherheitslücke wird auch als Windows Crypto API-Spoofing-Sicherheitslücke bezeichnet. Sie könnte dazu genutzt werden, bösartige ausführbare Dateien vertrauenswürdig zu machen oder dem Angreifer Man-in-the-Middle-Angriffe zu ermöglichen und vertrauliche Informationen über Nutzerverbindungen mit der betroffenen Software zu entschlüsseln. |
NVD Base Score: 8,1 (hoch) |
Weitere Informationen finden Sie in der Microsoft-Bekanntmachung.
Auswirkungen auf Google Cloud
Die Infrastruktur, in der Google Cloud und Google-Produkte gehostet werden, ist von dieser Sicherheitslücke nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.
Produkt |
Auswirkungen |
---|---|
Compute Engine |
CVE-2020-0601 |
Google Kubernetes Engine |
CVE-2020-0601 |
Managed Service for Microsoft Active Directory |
CVE-2020-0601 |
Google Workspace |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
App Engine-Standardumgebung |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Flexible App Engine-Umgebung |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Run |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Functions |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Composer |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Dataflow |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Dataproc |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud SQL |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
GCP-2019-001
Veröffentlicht: 12.11.2019Zuletzt aktualisiert: 12.11.2019
Beschreibung
Die folgenden Sicherheitslücken wurden von Intel offengelegt:
Sicherheitslücke |
Schweregrad |
CVE |
---|---|---|
CVE-2019-11135 — Diese Sicherheitslücke mit der Bezeichnung TSX Async Abort (TAA) kann zur spekulativen Ausführung innerhalb einer TSX-Transaktion genutzt werden. Diese Sicherheitslücke bringt das Risiko mit sich, dass Daten Angriffen über dieselben mikroarchitektonischen Datenstrukturen ausgesetzt sind wie durch Microarchitectural Data Sampling (MDS). |
Mittel |
|
CVE-2018-12207 — Dies ist eine DoS-Sicherheitslücke (Denial of Service), die Host-VMs betrifft (nicht aber Gast-VMs). Das Problem ist als "Machine Check Error on Page Size Change" bekannt. |
Mittel |
Weitere Informationen finden Sie in den Sicherheitshinweisen von Intel:
Auswirkungen auf Google Cloud
Die Infrastruktur, in der die Google Cloud- und Google-Produkte gehostet werden, ist von diesen Sicherheitslücken nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.
Produkt |
Auswirkungen |
---|---|
Compute Engine |
CVE-2019-11135 CVE-2018-12207 |
Google Kubernetes Engine |
CVE-2019-11135 CVE-2018-12207 |
App Engine-Standardumgebung |
Es sind keine weiteren Maßnahmen erforderlich. |
Flexible App Engine-Umgebung |
CVE-2019-11135 CVE-2018-12207 |
Cloud Run |
Es sind keine weiteren Maßnahmen erforderlich. |
Cloud Functions |
Es sind keine weiteren Maßnahmen erforderlich. |
Cloud Composer |
Es sind keine weiteren Maßnahmen erforderlich. |
Dataflow |
CVE-2019-11135 CVE-2018-12207 |
Dataproc |
CVE-2019-11135 CVE-2018-12207 |
Cloud SQL |
Es sind keine weiteren Maßnahmen erforderlich. |