Boletines de seguridad

Los siguientes boletines de seguridad se relacionan con productos de Google Cloud.

Usa este feed XML para suscribirte a los boletines de seguridad de esta página. Suscribirse

GCP-2022-001

Fecha de publicación: 6/01/2022

Descripción

Descripción Gravedad Notas

En el procedimiento de análisis de datos binarios, se descubrió un posible problema de denegación del servicio en protobuf-java.

¿Qué debo hacer?

Asegúrate de usar las versiones más recientes de los siguientes paquetes de software:

  • protobuf-java (3.16.1, 3.18.2, 3.19.2)
  • protobuf-kotlin (3.18.2, 3.19.2)
  • google-protobuf [JRuby gema] (3.19.2)

Los usuarios de protobuf "javalite" (generalmente Android) no se ven afectados.

¿Qué vulnerabilidades corrige este parche?

Este parche mitiga la siguiente vulnerabilidad:

Una vulnerabilidad de implementación en la forma en que se analizan campos desconocidos en Java Una carga útil maliciosa pequeña (~800 KB) puede ocupar el analizador durante varios minutos mediante la creación de grandes cantidades de objetos de corta duración que causan pausas frecuentes y repetidas de la recolección de elementos no utilizados.

Alto CVE-2021-22569

GCP-2021-024

Publicada: 21-10-2021

Descripción

Descripción Gravedad Notas

Se descubrió un problema de seguridad en el controlador ingress-nginx de Kubernetes, CVE-2021-25742. Los fragmentos personalizados de Ingress-nginx permiten la recuperación de los tokens y los secretos de las cuentas de servicio de Ingress-nginx en todos los espacios de nombres.

Para obtener instrucciones y más detalles, consulta los siguientes documentos:

Ninguna CVE-2021-25742

GCP-2021-019

Publicada: 29-09-2021

Descripción

Descripción Gravedad Notas

Existe un problema conocido en el que la actualización de un recurso BackendConfig mediante la API de v1beta1 quita una política de seguridad activa de Google Cloud Armor de su servicio.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de GKE.

Baja

GCP-2021-022

Publicada: 22-09-2021

Descripción

Descripción Gravedad Notas

Se descubrió una vulnerabilidad en el módulo LDAP de Anthos Identity Service (AIS) de los clústeres de Anthos en las versiones 1.8 y 1.8.1 de VMware, en el que es predecible una clave inicial para generar claves. Con esta vulnerabilidad, un usuario autenticado podría agregar reclamaciones arbitrarias y elevar privilegios de forma indefinida.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de clústeres de Anthos en VMware.

Alto

GCP-2021-021

Publicada: 22-09-2021

Descripción

Descripción Gravedad Notas

Se detectó una vulnerabilidad de seguridad, CVE-2020-8561, en Kubernetes, en la que se pueden realizar determinados webhooks para redireccionar las solicitudes kube-apisever a las redes privadas de ese servidor de la API.

Para obtener instrucciones y más detalles, consulta los siguientes documentos:

Medio CVE-2020-8561

GCP-2021-023

Fecha de publicación: 21 de septiembre de 2021

Descripción

Descripción Gravedad Notas

De acuerdo con el aviso de seguridad de VMware VMSA-2021-0020, VMware recibió informes de varias vulnerabilidades en vCenter. VMware hizo actualizaciones disponibles para corregir estas vulnerabilidades en los productos afectados de VMware.

Ya aplicamos los parches que proporciona VMware para la pila de vSphere a Google Cloud VMware Engine según el aviso de seguridad de VMware. Esta actualización aborda las vulnerabilidades de seguridad descritas en CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 y CVE-2021-22010. Otros problemas de seguridad que no sean críticos se abordarán en la próxima actualización de pila de VMware (según el aviso anticipado que se envió en julio, se proporcionarán más detalles pronto en el cronograma específico de la actualización).

El impacto de VMware Engine

Según nuestras investigaciones, no se descubrió que los clientes se vieran afectados.

¿Qué debo hacer?

Debido a que esta vulnerabilidad no afecta a los clústeres de VMware Engine, no es necesario que realices ninguna otra acción.

Crítico

GCP-2021-020

Publicada: 17-09-2021

Descripción

Descripción Gravedad Notas

Ciertos balanceadores de cargas de Google Cloud que se enrutan a un servicio de backend habilitado para Identity-Aware Proxy (IAP) podrían haber sido vulnerables a un tercero no confiable en condiciones limitadas. Esto soluciona un problema que se informó a través de nuestro Programa de recompensas por detección de vulnerabilidades.

Las condiciones eran que los servidores:
  • Eran balanceadores de carga HTTP(S) y
  • Usó un backend predeterminado o uno que tuviera una regla de mapeo de host comodín (es decir, host="*")

Además, un usuario de su organización debe haber hecho clic en un vínculo creado específicamente por un tercero que no sea de confianza.

Ya está resuelto el problema. IAP se actualizó para emitir cookies solo a hosts autorizados a partir del 17 de septiembre de 2021. Un host se considera autorizado si coincide con al menos un nombre alternativo de la entidad (SAN) en uno de los certificados instalados en los balanceadores de cargas.

Qué hacer

Algunos de sus usuarios pueden experimentar una respuesta HTTP 401 No autorizada con un código de error de IAP 52 mientras intentan acceder a las aplicaciones o a los servicios. Este código de error significa que el cliente envió un encabezado Host que no coincide con ningún nombre alternativo de entidad asociado con los certificados SSL del balanceador de cargas. El administrador del balanceador de cargas debe actualizar el certificado SSL para asegurarse de que la lista de asunto alternativo de la entidad (SAN) contenga todos los nombres de host a través de los cuales los usuarios acceden a las apps o servicios protegidos con IAP. Obtén más información sobre los códigos de error de IAP.

Alto

GCP-2021-018

Fecha de publicación: 15/09/2021
Última actualización: 20/09/2021

Descripción

Descripción Gravedad Notas

Se descubrió un problema de seguridad en Kubernetes, CVE-2021-25741, en el que el usuario puede crear un contenedor con activaciones de volumen de ruta secundaria para acceder a archivos y directorios fuera del volumen, incluido en el sistema de archivos del host.

Para obtener instrucciones y más detalles, consulta los siguientes documentos:

Alto CVE-2021-25741

GCP-2021-017

Fecha de publicación: 01/09/2021
Última actualización: 23/09/2023

Descripción

Descripción Gravedad Notas

Actualización del 23/09/2021: Los contenedores que se ejecutan dentro de GKE Sandbox no se ven afectados por esta vulnerabilidad en el caso de ataques que se originen en el contenedor.


Se descubrieron dos vulnerabilidades de seguridad, CVE-2021-33909 y CVE-2021-33910, en el kernel de Linux que podrían provocar una falla del SO o una derivación a la raíz por parte de un usuario sin privilegios. Esta vulnerabilidad afecta a todos los sistemas operativos del nodo de GKE (COS y Ubuntu).

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Alto CVE-2021-33909, CVE-2021-33910

GCP-2021-016

Publicada: 24/08/2021

Descripción

Descripción Gravedad Notas

Las siguientes CVE de Envoy y de Istio exponen Istio de Anthos Service Mesh y GKE en GKE a vulnerabilidades de explotación remota:

  • CVE-2021-39156: Las solicitudes HTTP con un fragmento (una sección al final de un URI que comienza con un carácter #) en la ruta del URI podrían omitir las políticas de autorización basadas en la ruta del URI de Istio.
  • CVE-2021-39155: Las solicitudes HTTP podrían omitir una política de autorización de Istio cuando se usan reglas basadas en hosts o notHosts.
  • CVE-2021-32781: Afecta las extensiones decompressor, json-transcoder o grpc-web de Envoy que modifican y aumentan el tamaño de los cuerpos de solicitudes o respuestas. Modifica y aumenta el tamaño del cuerpo en la extensión de Envoy más allá del tamaño del búfer interno podría provocar que Envoy acceda a la memoria desasignada y finalice de forma anormal.
  • CVE-2021-32780: Un servicio ascendente no confiable podría provocar que Envoy finalice de forma anormal mediante el envío del marco GOAWAY seguido del marco SETTINGS con el parámetro SETTINGS_MAX_CONCURRENT_STREAMS establecido en 0. (No aplicable a Istio on GKE)
  • CVE-2021-32778: Un cliente Envoy que abre y, luego, restablece una gran cantidad de solicitudes HTTP/2 puede producir un consumo excesivo de CPU. (No aplicable a Istio on GKE)
  • CVE-2021-32777: Las solicitudes HTTP con varios encabezados de valor podrían realizar una verificación de política de autorización incompleta cuando se use la extensión ext_authz.

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Alto

GCP-2021-015

Fecha de publicación: 13/07/2021
Última actualización: 15/07/2021

Descripción

Descripción Gravedad Notas

Se descubrió una vulnerabilidad de seguridad nueva, CVE-2021-22555, en la que un actor malicioso con privilegios de CAP_NET_ADMIN puede causar una interrupción del contenedor en la raíz del host. Esta vulnerabilidad afecta a todos los clústeres de GKE y a los clústeres de Anthos alojados en VMware que ejecutan la versión 2.6.19 o una posterior de Linux.

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Alto CVE-2021-22555

GCP-2021-014

Publicada: 05/07/2021

Descripción

Descripción Gravedad Notas

Microsoft publicó un boletín de seguridad sobre una vulnerabilidad de ejecución de código remoto (RCE), CVE-2021-34527, que afecta la cola de impresión en los servidores de Windows. El CERT Coordination Center (CERT/CC) publicó una nota de actualización sobre una vulnerabilidad relacionada, denominada "PrintNightmare", que también afecta las colas de impresión de Windows: PrintNightmare, Critical Windows Print Spooler Vulnerability.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de GKE.

Alto CVE-2021-34527

GCP-2021-012

Fecha de publicación: 24/06/2021
Última actualización: 09/07/2021

Descripción

Descripción Gravedad Notas

Recientemente, el proyecto de Istio anunció una vulnerabilidad de seguridad en la que se puede acceder a las credenciales especificadas en el campo credentialName de la puerta de enlace y DestinationRule desde diferentes espacios de nombres.

Para obtener instrucciones específicas del producto y más detalles, consulta lo siguiente:

Alto CVE-2021-34824

GCP-2021-011

Fecha de publicación: 04/06/2021
Última actualización: 19/10/2021

Descripción

Descripción Gravedad Notas

Actualización de 19/10/2021:

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:


Hace poco, la comunidad de seguridad divulgó una nueva vulnerabilidad de seguridad (CVE-2021-30465) que se encontró en runc y que tiene el potencial de permitir el acceso completo al sistema de archivos de un nodo.

En el caso de GKE, debido a que aprovechar esta vulnerabilidad requiere la capacidad de crear pods, calificamos la gravedad como MEDIA.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de GKE.

Medio CVE-2021-30465

GCP-2021-010

Fecha de publicación: 25 de mayo de 2021

Descripción

Descripción Gravedad Notas

Según el aviso de seguridad de VMware VMSA-2021-0010, la ejecución remota de código y las vulnerabilidades de omisión de autenticación en el cliente de vSphere (HTML5) se informaron de forma privada a VMware. VMware hizo actualizaciones disponibles para corregir estas vulnerabilidades en los productos afectados de VMware.

Aplicamos los parches que proporciona VMware para la pila de vSphere según el aviso de seguridad de VMware. Esta actualización aborda las vulnerabilidades de seguridad descritas en CVE-2021-21985 y CVE-2021-21986. Las versiones de imagen que se ejecutan en tu nube privada de VMware Engine no reflejan ningún cambio en este momento para indicar los parches aplicados. Te aseguramos que se instalaron los parches adecuados y que tu entorno está protegido contra estas vulnerabilidades.

El impacto de VMware Engine

Según nuestras investigaciones, no se descubrió que los clientes se vieran afectados.

¿Qué debo hacer?

Debido a que los clústeres de VMware Engine no se ven afectados por esta vulnerabilidad, no es necesario que realices ninguna otra acción.

Crítico

GCP-2021-008

Publicada: 17/05/2021

Descripción

Descripción Gravedad Notas

Istio contiene una vulnerabilidad que se puede aprovechar de forma remota, en la que un cliente externo puede acceder a servicios inesperados en el clúster y, así, omitir las verificaciones de autorización cuando una puerta de enlace se configura con la configuración de enrutamiento AUTO_PASSTHROUGH.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Anthos Service Mesh.

Alto

CVE-2021-31921

GCP-2021-007

Publicada: 17/05/2021

Descripción

Descripción Gravedad Notas

Istio contiene una vulnerabilidad con capacidad de accesibilidad remota en la que una ruta de acceso de HTTP con múltiples barras o caracteres de barra con escape (%2F o %5C) podría omitir una política de autorización de Istio cuando se usan reglas de autorización basadas en la ruta.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Anthos Service Mesh.

Alto

CVE-2021-31920

GCP-2021-006

Publicada: 11/05/2021

Descripción

Descripción Gravedad Notas

Hace poco, el proyecto Istio divulgó una vulnerabilidad de seguridad nueva (CVE-2021-31920) que afecta a Istio.

Istio contiene una vulnerabilidad que se puede exponer de forma remota, en la que una solicitud HTTP con varias barras o caracteres de barra de escape puede omitir la política de autorización de Istio cuando se usan reglas de autorización basadas en rutas.

Para obtener instrucciones y más detalles, consulta los siguientes documentos:

Alto

CVE-2021-31920

GCP-2021-005

Publicada: 11/05/2021

Descripción

Descripción Gravedad Notas

Una vulnerabilidad informada mostró que Envoy no decodifica las secuencias de barras con escape %2F y %5C en las rutas de URL HTTP en las versiones 1.18.2 y anteriores de Envoy. Además, algunos productos basados en Envoy no habilitan los controles de normalización de rutas de acceso. Un atacante remoto puede crear una ruta con barras de escape (por ejemplo, /something%2F..%2Fadmin,) para omitir el control de acceso (por ejemplo, un bloqueo en /admin). Un servidor de backend podría decodificar las secuencias de barras y normalizar la ruta para proporcionar un acceso atacante más allá del alcance proporcionado por la política de control de acceso.

¿Qué debo hacer?

Si los servidores de backend tratan/ y %2F o \ y %5C de forma indistinta y se configura una coincidencia de ruta de URL, recomendamos que vuelvas a configurar el servidor de backend para tratar a \y %2F o \ y%5C indistintamente, si es posible.

¿Qué cambios de comportamiento se implementaron?

Se habilitaron las opciones de normalize_path y fusionar barras diagonales de Envoy para abordar otras vulnerabilidades comunes de confusión en la ruta de acceso en los productos basados en Envoy.

Alto

CVE-2021-29492

GCP-2021-004

Fecha de publicación: 6 de mayo de 2021

Descripción

Descripción Gravedad Notas

Recientemente, los proyectos de Istio y Envoy anunciaron varias vulnerabilidades nuevas de seguridad (CVE-2021-28683, CVE-2021-28682 y CVE-2021-29258), que podrían permitir a un atacante bloquear Envoy.

Los clústeres de Google Kubernetes Engine no ejecutan Istio de forma predeterminada y no son vulnerables. Si Istio se instaló en un clúster y está configurado para exponer servicios a Internet, esos servicios pueden ser vulnerables a la denegación del servicio.

Anthos en equipos físicos y los clústeres de Anthos alojados en VMware usan Envoy de forma predeterminada para Ingress, por lo que los servicios de Ingress pueden ser vulnerables a la denegación del servicio.

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Medio

GCP-2021-003

Publicada: 19/04/2021

Descripción

Descripción Gravedad Notas

El proyecto de Kubernetes anunció recientemente una nueva vulnerabilidad de seguridad, CVE-2021-25735, que podría permitir que las actualizaciones del nodo omitan un webhook de admisión y validación.

En una situación en la que un atacante tiene privilegios suficientes y en la que se implementa un webhook de admisión y validación que usa propiedades del objeto Node antiguas (por ejemplo, campos en Node.NodeSpec), el atacante podría actualizar las propiedades de un nodo que podría provocar el compromiso del clúster. Ninguna de las políticas que aplican los controladores de admisión integrados de GKE y Kubernetes se ve afectada, pero recomendamos que los clientes verifiquen cualquier webhook de admisión adicional que hayan instalado.

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Medio

CVE-2021-25735

GCP-2021-002

Publicada: 05-03-2021

Descripción

Descripción Gravedad Notas

Según el aviso de seguridad VMSA-2021-0002, VMware recibió informes de varias vulnerabilidades en VMware ESXi y el cliente de vSphere (HTML5). VMware hizo actualizaciones disponibles para corregir estas vulnerabilidades en los productos afectados de VMware.

Aplicamos las soluciones alternativas documentadas de forma oficial para la pila de vSphere según el aviso de seguridad de VMware. Esta actualización aborda las vulnerabilidades de seguridad descritas en CVE-2021-21972, CVE-2021-21973 y CVE-2021-21974.

El impacto de VMware Engine

Según nuestras investigaciones, no se descubrió que los clientes se vieran afectados.

¿Qué debo hacer?

Debido a que los clústeres de VMware Engine no se ven afectados por esta vulnerabilidad, no es necesario que realices ninguna otra acción.

Crítico

GCP-2021-001

Publicada: 28/01/2021

Descripción

Descripción Gravedad Notas

Recientemente, se descubrió una vulnerabilidad en la utilidad sudo de Linux, descrita en CVE-2021-3156, que puede permitir a un atacante con acceso de shell local sin privilegios en un sistema con sudo instalado escalar sus privilegios a la raíz del sistema.

Esta vulnerabilidad no afecta a la infraestructura subyacente que ejecuta Compute Engine.

Esta vulnerabilidad no afecta a todos los clústeres de Google Kubernetes Engine (GKE), Anthos en VMware, clústeres de Anthos en AWS y clústeres de Anthos en equipos físicos.

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Ninguna CVE-2021-3156

GCP-2020-015

Fecha de publicación: 7/12/2020
Updatedltima actualización: 22/12/2020

Descripción

Descripción Gravedad Notas

Actualizado: 22/12/2021 El comando de GKE que se describe en la siguiente sección debe usar gcloud beta en lugar del comando gcloud.


gcloud container clusters update –no-enable-service-externalips

Actualización del 15/12/2021 Para GKE, ya está disponible la siguiente mitigación:
  1. A partir de la versión 1.21 de GKE, un controlador de admisión DenyServiceExternalIPs habilitado de forma predeterminada para los clústeres nuevos bloquea los servicios con ExternalIP.
  2. Los clientes que actualizan a la versión 1.21 de GKE pueden bloquear servicios con ExternalIPs mediante el siguiente comando:
    
    gcloud container clusters update –no-enable-service-externalips
    

Para obtener más información, consulta Endurece la seguridad del clúster.


El proyecto de Kubernetes descubrió recientemente una nueva vulnerabilidad de seguridad, CVE-2020-8554, que puede permitir que un atacante que haya obtenido permisos cree un servicio de Kubernetes de tipo LoadBalancer o ClusterIP para interceptar el tráfico de red que se origina desde otros Pods del clúster. Esta vulnerabilidad por sí sola no otorga permisos a un atacante para crear un servicio de Kubernetes.

Todos los clústeres de Google Kubernetes Engine (GKE), Anthos en VMware y Anthos en AWS se ven afectados por esta vulnerabilidad.

¿Qué debo hacer?

Para obtener instrucciones y más detalles, consulta los siguientes documentos:

Medio

CVE-2020-8554

GCP-2020-014

Fecha de publicación: 20/10/2020
Última actualización: 20/10/2020

Descripción

Descripción Gravedad Notas

Hace poco, el proyecto de Kubernetes descubrió varios problemas que permiten la exposición de datos secretos cuando las opciones de registro detallado están habilitadas. Estos son los problemas:

  • CVE-2020-8563: Hay pérdidas de secretos en registros de kube-controller-manager del proveedor de vSphere.
  • CVE-2020-8564: Los secretos de archivos de configuración de Docker se filtran cuando el archivo es incorrecto y el nivel de registro >= 4.
  • CVE-2020-8565: Una corrección incompleta para CVE-2019-11250 en Kubernetes permite la pérdida de tokens en registros cuando logLevel >= 9. A este error lo encontró la seguridad de GKE.
  • CVE-2020-8566: Los adminSecrets de Ceph RBD se exponen en registros cuando loglevel >= 4.

¿Qué debo hacer?

No es necesario que realices ninguna otra acción debido a los niveles de registro detallado predeterminados de GKE.

Ninguna

Impacto en Google Cloud

Aquí encontrarás información detallada sobre cada producto.

Producto

Impacto

Google Kubernetes Engine (GKE)

Google Kubernetes Engine (GKE) no se ve afectado.

GKE On-Prem

GKE On-Prem no se ve afectado.

GKE en AWS

GKE en AWS no se ve afectado.

GCP-2020-013

Publicada: 29/09/2020

Descripción

Microsoft divulgó la siguiente vulnerabilidad:

Vulnerabilidad

Gravedad

CVE

CVE-2020-1472 — Una vulnerabilidad en Windows Server permite a los atacantes usar el protocolo remoto de Netlogon para ejecutar una aplicación creada especialmente en un dispositivo en la red.

Puntuación base de la NVD: 10 (crítica)

CVE-2020-1472

Para obtener más detalles, consulta la divulgación de Microsoft.

Impacto en Google Cloud

Esta vulnerabilidad no afecta a la infraestructura en la que se alojan los productos de Google y Google Cloud. Aquí encontrarás detalles adicionales sobre cada producto.

Producto

Impacto

Compute Engine

CVE-2020-1472

La mayoría de los clientes no debe realizar ninguna acción adicional.

Los clientes que usan máquinas virtuales de Compute Engine con Windows Server deben asegurarse de que sus instancias se hayan actualizado con el parche más reciente de Windows o usen imágenes de Windows Server publicadas después del 17 de agosto de 2020 (v20200813 o versiones posteriores).

Google Kubernetes Engine

CVE-2020-1472

La mayoría de los clientes no debe realizar ninguna acción adicional.

Cualquier cliente que aloje controladores de dominio en los nodos del Windows Server de GKE debe asegurarse de que los nodos y las cargas de trabajo en contenedores que se ejecutan en esos nodos tengan la imagen de nodo más reciente de Windows cuando esté disponible. En octubre se anunciará una versión nueva de imagen de nodo en las notas de la versión de GKE.

Servicio administrado para Microsoft Active Directory

CVE-2020-1472

La mayoría de los clientes no debe realizar ninguna acción adicional.

El parche de agosto que lanzó Microsoft y que incluye correcciones en el protocolo de NetLogon se aplicó a todos los controladores de dominio de Microsoft AD administrado. Este parche brinda funcionalidad para la protección contra posibles explotaciones. La aplicación de los parches en el momento oportuno es una de las principales ventajas de usar el servicio administrado para Microsoft Active Directory. Todos los clientes que ejecuten Microsoft Active Directory de forma manual (y no usen el servicio administrado de Google Cloud) deben asegurarse de que sus instancias tengan el parche más reciente de Windows o usen las imágenes de Windows Server.

Google Workspace

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Entorno estándar de App Engine

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Entorno flexible de App Engine

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Run

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Functions

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Composer

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Dataflow

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Dataproc

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud SQL

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

GCP-2020-012

Fecha de publicación: 14/09/2020
Última actualización: 17/09/2020

Descripción

Descripción Gravedad Notas

Hace poco, se descubrió una vulnerabilidad en el kernel de Linux, descrita en CVE-2020-14386, que puede permitir obtener privilegios raíz en el nodo host mediante el escape del contenedor.

Afecta a todos los nodos de GKE. Los Pods que se ejecutan en GKE Sandbox no pueden aprovechar esta vulnerabilidad.

Para obtener instrucciones y más detalles, consulta los siguientes documentos:


¿Qué vulnerabilidad corrige este parche?

Con este parche, se mitiga la siguiente vulnerabilidad:

La vulnerabilidad CVE-2020-14386, que permite contenedores con CAP_NET_RAW
para escribir de 1 a 10 bytes de memoria de kernel y, también, escapar del contenedor y obtener privilegios raíz en el nodo host. Esta vulnerabilidad de seguridad tiene una calificación de gravedad alta.

Alto

CVE-2020-14386

GCP-2020-011

Publicada: 24/07/2020

Descripción

Descripción Gravedad Notas

Se detectó hace poco una vulnerabilidad en las herramientas de redes, CVE-2020-8558, en Kubernetes. A veces, los servicios se comunican con otras aplicaciones que se ejecutan dentro del mismo Pod mediante la interfaz de bucle invertido local (127.0.0.1). Esta vulnerabilidad permite que un atacante con acceso a la red del clúster envíe tráfico a la interfaz de bucle invertido de Pods y nodos adyacentes. Podrían aprovecharse los servicios que dependen de que no se pueda acceder a la interfaz de bucle invertido fuera del Pod.

Para obtener instrucciones y más detalles, consulta los siguientes documentos:

Baja (clústeres de GKE y Anthos en AWS),
Media (clústeres de Anthos en VMware)

CVE-2020-8558

GCP-2020-010

Publicada: 27/07/2020

Descripción

Microsoft divulgó la siguiente vulnerabilidad:

Vulnerabilidad

Gravedad

CVE

CVE-2020-1350: Los servidores de Windows que entregan en una capacidad de servidor DNS se pueden aprovechar para ejecutar un código no confiable mediante la cuenta del sistema local.

Puntuación base de la NVD: 10.0 (crítica)

CVE-2020-1350

Para obtener más detalles, consulta la divulgación de Microsoft.

Impacto en Google Cloud

Esta vulnerabilidad no afecta a la infraestructura en la que se alojan los productos de Google y Google Cloud. Aquí encontrarás detalles adicionales sobre cada producto.

Producto

Impacto

Compute Engine

CVE-2020-1350

La mayoría de los clientes no debe realizar ninguna acción adicional.

Los clientes que usan máquinas virtuales de Compute Engine que ejecutan los servidores de Windows en una capacidad de servidor DNS deben asegurarse de que sus instancias tengan el último parche de Windows o usen imágenes de Windows Server proporcionadas desde el 14/7/2020.

Google Kubernetes Engine

CVE-2020-1350

La mayoría de los clientes no debe realizar ninguna acción adicional.

Los clientes que usan GKE con un nodo de Windows Server en una capacidad de servidor DNS deben actualizar de forma manual los nodos y las cargas de trabajo que se ejecutan en esos nodos a una versión de Windows Server que contenga la corrección.

Servicio administrado para Microsoft Active Directory

CVE-2020-1350

La mayoría de los clientes no debe realizar ninguna acción adicional.

Todos los dominios de Microsoft AD administrado se actualizaron automáticamente mediante la imagen con parches. Todos los clientes que ejecuten de forma manual Microsoft Active Directory (y no usen Microsoft AD administrado) deben asegurarse de que sus instancias tengan el parche más reciente de Windows o usar las imágenes de Windows Server que se proporcionan desde el 14 de julio de 2020.

Google Workspace

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Entorno estándar de App Engine

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Entorno flexible de App Engine

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Run

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Functions

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Composer

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Dataflow

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Dataproc

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud SQL

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

GCP-2020-009

Fecha de publicación: 15/07/2020

Descripción

Descripción Gravedad Notas

En la actualidad, se descubrió una vulnerabilidad de elevación de privilegios, CVE-2020-8559, en Kubernetes. Esta vulnerabilidad permite que un atacante que ya haya comprometido un nodo pueda ejecutar un comando en cualquier Pod del clúster. Por lo tanto, existe la posibilidad de que el atacante use el nodo ya comprometido para comprometer otros nodos y poder leer información o causar acciones destructivas.

Ten en cuenta que, para que un atacante pueda aprovechar esta vulnerabilidad, un nodo del clúster ya debe estar comprometido. Esta vulnerabilidad, por sí sola, no comprometerá ningún nodo del clúster.

Para obtener instrucciones y más detalles, consulta los siguientes documentos:

Medio

CVE-2020-8559

GCP-2020-008

Publicada: 19/06/2020

Descripción

Descripción Gravedad Notas

Descripción

Las VM que tienen el Acceso al SO habilitado pueden ser susceptibles a vulnerabilidades de elevación de privilegios. Estas vulnerabilidades le ofrece a los usuarios a los que se les otorgan permisos de Acceso al SO (pero no a acceso de administrador) la capacidad de escalar el acceso raíz en la VM.

Para obtener instrucciones y más detalles, consulta el Boletín de seguridad de Compute Engine.

Alto

GCP-2020-007

Publicada: 01/06/2020

Descripción

Descripción Gravedad Notas

Hace poco tiempo, se descubrió en Kubernetes una vulnerabilidad de falsificación de solicitudes del servidor (SSRF), CVE-2020-8555, que permitía a ciertos usuarios autorizados filtrar hasta 500 bytes de información sensible desde la red de host del plano de control. El plano de control de Google Kubernetes Engine (GKE) usa controladores de Kubernetes y, por lo tanto, se ve afectado por esta vulnerabilidad. Te recomendamos actualizar el plano de control a la versión más reciente del parche. No requiere actualizar los nodos.

Para obtener instrucciones y más detalles, consulta los siguientes documentos:

Medio

CVE-2020-8555

GCP-2020-006

Publicada: 01/06/2020

Descripción

Descripción Gravedad Notas

Kubernetes divulgó una vulnerabilidad que permite que un contenedor con privilegios redireccione el tráfico de nodos a otro contenedor. Debido a este ataque, no se puede leer ni modificar el tráfico de TLS/SSH mutuo, como el que se establece entre el servidor de Kubelet y la API, o el tráfico de aplicaciones que usan mTLS. Todos los nodos de Google Kubernetes Engine (GKE) se ven afectados por esta vulnerabilidad. Te recomendamos que actualices a la última versión del parche.

Para obtener instrucciones y más detalles, consulta los siguientes documentos:

Medio

Problema 91507 de Kubernetes

GCP‑2020‑005

Publicada: 07/05/2020

Descripción

Vulnerabilidad

Gravedad

CVE

Hace poco, se descubrió una vulnerabilidad en el kernel de Linux, descrita en CVE-2020-8835, que permite obtener privilegios de administrador en el nodo host mediante un escape de contenedor.

Esta vulnerabilidad afecta a los nodos de Ubuntu de Google Kubernetes Engine (GKE) que ejecutan GKE 1.16 o 1.17, y te recomendamos que actualices a la última versión del parche lo antes posible.

Consulta el boletín de seguridad de GKE para obtener instrucciones y más detalles.

Alto

CVE-2020-8835

GCP-2020-004

Fecha de publicación:31/03/2020
Última actualización:31/03/2020

Descripción

Kubernetes divulgó las siguientes vulnerabilidades:

Vulnerabilidad

Gravedad

CVE

CVE-2019-11254: Esta es una vulnerabilidad de denegación del servicio (DoS) que afecta al servidor de API.

Medio

CVE-2019-11254

Consulta el Boletín de seguridad de clústeres de Anthos en VMware para obtener instrucciones y más detalles.

GCP‑2020‑003

Fecha de publicación:31/03/2020
Última actualización:31/03/2020

Descripción

Kubernetes divulgó las siguientes vulnerabilidades:

Vulnerabilidad

Gravedad

CVE

CVE-2019-11254: Esta es una vulnerabilidad de denegación del servicio (DoS) que afecta al servidor de API.

Medio

CVE-2019-11254

Consulta el boletín de seguridad de GKE para obtener instrucciones y más detalles.

GCP‑2020‑002

Fecha de publicación:23/03/2020
Fecha de actualización:23/03/2020

Descripción

Kubernetes divulgó las siguientes vulnerabilidades:

Vulnerabilidad

Gravedad

CVE

CVE-2020-8551: Esta es una vulnerabilidad de denegación del servicio (DoS) que afecta a kubelet.

Medio

CVE-2020-8551

CVE-2020-8552: Esta es una vulnerabilidad de denegación del servicio (DoS) que afecta al servidor de API.

Medio

CVE-2020-8552

Consulta el boletín de seguridad de GKE para obtener instrucciones y más detalles.

GCP-2020-001

Fecha de publicación:21/01/2020
Última actualización:21/01/2020

Descripción

Microsoft divulgó la siguiente vulnerabilidad:

Vulnerabilidad

Gravedad

CVE

CVE‑2020‑0601: Esta vulnerabilidad también se conoce como la vulnerabilidad de falsificación de identidad de la CryptoAPI de Windows. Se puede aprovechar para que archivos ejecutables maliciosos parezcan confiables o para permitir que el atacante realice ataques de intermediario y desencripte información confidencial sobre las conexiones de usuarios al software afectado.

Puntuación base de la NVD: 8.1 (alta)

CVE‑2020‑0601

Para obtener más detalles, consulta la divulgación de Microsoft.

Impacto en Google Cloud

Esta vulnerabilidad no afecta a la infraestructura en la que se alojan los productos de Google y Google Cloud. Aquí encontrarás detalles adicionales sobre cada producto.

Producto

Impacto

Compute Engine

CVE‑2020‑0601

La mayoría de los clientes no debe realizar ninguna acción adicional.

Los clientes que usan máquinas virtuales de Compute Engine con Windows Server deben asegurarse de que sus instancias tengan el parche más reciente de Windows o usar las imágenes de Windows Server que se proporcionan desde el 15 de enero de 2020. Consulta el boletín de seguridad de Compute Engine para obtener más detalles.

Google Kubernetes Engine

CVE‑2020‑0601

La mayoría de los clientes no debe realizar ninguna acción adicional.

A fin de mitigar esta vulnerabilidad, los clientes que usan GKE con nodos de Windows Server deben actualizar los nodos y las cargas de trabajo en contenedores que se ejecutan en esos nodos a las versiones con parches. Consulta el boletín de seguridad de GKE para obtener instrucciones y más detalles.

Servicio administrado para Microsoft Active Directory

CVE‑2020‑0601

La mayoría de los clientes no debe realizar ninguna acción adicional.

Todos los dominios de Microsoft AD administrado se actualizaron automáticamente mediante la imagen con parches. Todos los clientes que ejecuten de forma manual Microsoft Active Directory (y no usen Microsoft AD administrado) deben asegurarse de que sus instancias tengan el parche más reciente de Windows o usar las imágenes de Windows Server que se proporcionan desde el 15 de enero de 2020.

Google Workspace

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Entorno estándar de App Engine

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Entorno flexible de App Engine

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Run

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Functions

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Composer

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Dataflow

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Dataproc

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud SQL

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

GCP-2019-001

Fecha de publicación: 12/11/2019
Última actualización:12/11/2019

Descripción

Intel divulgó las siguientes vulnerabilidades:

Vulnerabilidad

Gravedad

CVE

CVE‑2019‑11135: Esta vulnerabilidad, conocida como anulación asíncrona de TSX (TAA), se puede usar para explotar la ejecución especulativa en una transacción TSX. Esta vulnerabilidad permite que se puedan exponer los datos mediante las mismas estructuras de datos de microarquitectura que presenta el muestreo de datos de microarquitectura (MDS).

Medio

CVE‑2019‑11135

CVE‑2018‑12207: Es una vulnerabilidad de denegación del servicio (DoS) que afecta a los hosts de máquinas virtuales (no a las máquinas huésped). Este problema se conoce como “error de verificación de la máquina en el cambio de tamaño de la página”.

Medio

CVE‑2018‑12207

Para obtener más información, consulta las siguientes divulgaciones de Intel:

Impacto en Google Cloud

La infraestructura en la que se alojan Google Cloud y los productos de Google está protegida contra estas vulnerabilidades. Aquí encontrarás detalles adicionales sobre cada producto.

Producto

Impacto

Compute Engine

CVE‑2019‑11135

La mayoría de los clientes no debe realizar ninguna acción adicional.

Los clientes de N2, C2 o M2 que ejecuten código no confiable en sus servicios multiusuarios alojados en máquinas virtuales de Compute Engine deben detener y, luego, iniciar sus VM para asegurarse de tener las mitigaciones de seguridad más recientes.

CVE‑2018‑12207

Los clientes no deben realizar ninguna acción adicional.

Google Kubernetes Engine

CVE‑2019‑11135

La mayoría de los clientes no debe realizar ninguna acción adicional.

Si usas grupos de nodos con nodos N2, M2 o C2 que ejecutan un código no confiable en sus clústeres de múltiples instancias de GKE, debes reiniciar los nodos. Si quieres reiniciar todos los nodos en un grupo, actualiza el grupo de nodos afectado.

CVE‑2018‑12207

Los clientes no deben realizar ninguna acción adicional.

Entorno estándar de App Engine

No se debe realizar ninguna acción adicional.

Entorno flexible de App Engine

CVE‑2019‑11135

No se debe realizar ninguna acción adicional.

Los clientes deben revisar las prácticas recomendadas de Intel, que se relacionan con el uso compartido a nivel de la aplicación que podría ocurrir entre subprocesos de Hyper‑Threading con una VM de Flex.

CVE‑2018‑12207

No se debe realizar ninguna acción adicional.

Cloud Run

No se debe realizar ninguna acción adicional.

Cloud Functions

No se debe realizar ninguna acción adicional.

Cloud Composer

No se debe realizar ninguna acción adicional.

Dataflow

CVE‑2019‑11135

La mayoría de los clientes no debe realizar ninguna acción adicional.

Los clientes de Dataflow que ejecutan varias cargas de trabajo no confiables en las VM N2, C2 o M2 de Compute Engine mediante Dataflow y teman recibir ataques en las máquinas huésped deberían considerar reiniciar cualquier canalización de transmisión que se ejecute actualmente. De forma opcional, las canalizaciones se pueden cancelar y volver a ejecutar por lotes. No requiere ninguna acción para las canalizaciones que se lancen después de hoy.

CVE‑2018‑12207

Los clientes no deben realizar ninguna acción adicional.

Dataproc

CVE‑2019‑11135

La mayoría de los clientes no debe realizar ninguna acción adicional.

Los clientes de Cloud Dataproc que ejecutan varias cargas de trabajo no confiables en el mismo clúster de Cloud Dataproc que se ejecuta en las VM N2, C2 o M2 de Compute Engine y teman recibir ataques en las máquinas huésped deberían volver a implementar sus clústeres.

CVE‑2018‑12207

Los clientes no deben realizar ninguna acción adicional.

Cloud SQL

No se debe realizar ninguna acción adicional.