Boletines de seguridad

Los siguientes boletines de seguridad se relacionan con productos de Google Cloud.

Usa este feed XML para suscribirte a los boletines de seguridad de esta página. Suscribirse

GCP‐2022‐018

Fecha de publicación: 1 de agosto de 2022

Descripción

Descripción Gravedad Notas

Se descubrió una nueva vulnerabilidad (CVE-2022-2327) en el kernel de Linux que puede llevar a una elevación de privilegios local. Esta vulnerabilidad permite que un usuario sin privilegios logre un desglose completo del contenedor en el nodo raíz.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

Alta CVE‐2022‐2327

GCP-2022-017

Fecha de publicación: 29/06/2022

Descripción

Descripción Gravedad Notas

Actualización del 21 de julio de 2022: Información adicional sobre los clústeres de Anthos alojados en VMware.


Se descubrió una vulnerabilidad nueva (CVE-2022-1786) en las versiones 5.10 y 5.11 del kernel de Linux. Esta vulnerabilidad permite que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo. Solo los clústeres que ejecutan Container-Optimized OS se ven afectados. Las versiones de GKE Ubuntu usan la versión 5.4 o 5.15 del kernel y no se ven afectadas.

Para obtener instrucciones y más detalles, consulta lo siguiente:

Alta CVE‐2022‐1786

GCP-2022-016

Fecha de publicación: 23/06/2022

Actualización: 29/07/2022

Descripción

Descripción Gravedad Notas

Se descubrieron tres vulnerabilidades nuevas de corrupción de memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) en el kernel de Linux. Estas vulnerabilidades permiten que un usuario sin privilegios que tiene acceso local al clúster logre un desglose completo del contenedor con permisos de administrador en el nodo. Todos los clústeres de Linux (Container-Optimized OS y Ubuntu) se ven afectados.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

Alta

GCP-2022-015

Fecha de publicación: 9/06/2022
Última actualización: 10/06/2022

Descripción

Descripción Gravedad Notas

Actualización del 10 de junio de 2022: Se actualizaron las versiones de Anthos Service Mesh. Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Anthos Service Mesh.


Las siguientes CVE de Envoy y Istio exponen a Istio en GKE y Anthos Service Mesh a vulnerabilidades de forma remota:

  • CVE-2022-31045: El plano de datos de Istio puede acceder a la memoria de forma insegura cuando se habilitan las extensiones Metadata Exchange y Stats.
  • CVE-2022-29225: Los datos pueden superar los límites de búfer intermedios si un atacante pasa una pequeña carga útil muy comprimida (ataque de bomba zip).
  • CVE-2021-29224: Potencial de anulación de puntero nulo en GrpcHealthCheckerImpl
  • CVE-2021-29226: El filtro OAuth admite una omisión trivial.
  • CVE-2022-29228: El filtro OAuth puede dañar la memoria (versiones anteriores) o activar un ASSERT() (versiones posteriores).
  • CVE-2022-29227: Los redireccionamientos internos fallan por las solicitudes con cuerpo o avances.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Anthos Service Mesh.

Crítica

GCP-2022-014

Fecha de publicación: 26/04/2022
Última actualización: 12/05/2022

Descripción

Descripción Gravedad Notas

Actualización del 12 de mayo de 2022: Se actualizaron los clústeres de Anthos on AWS y las versiones de Anthos on Azure. Para obtener instrucciones y más detalles, consulta lo siguiente:

Dos vulnerabilidades de seguridad: CVE-2022-1055 y CVE-2022-27666 se descubrieron en el kernel de Linux. Cada uno puede provocar que un atacante local pueda realizar un desglose de contenedores, elevación de privilegios en el host o ambos. Estas vulnerabilidades afectan a todos los sistemas operativos de los nodos de GKE (Container-Optimized OS y Ubuntu). Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Alta CVE‐2022‐1055
CVE‐2022‐27666

GCP-2022-013

Fecha de publicación: 11/04/2022
Última actualización: 22/04/2022

Descripción

Descripción Gravedad Notas

Se descubrió una vulnerabilidad de seguridad, CVE-2022-23648, en el control de containerd del recorrido de ruta en la especificación del volumen de imágenes de OCI. Los contenedores que se lanzan mediante la implementación de CRI de containerd con una configuración de imagen creada especialmente podrían obtener acceso completo de lectura a directorios y archivos arbitrarios en el host. Esta vulnerabilidad puede omitir cualquier aplicación basada en políticas en la configuración de contenedores (incluida una política de seguridad de Pods de Kubernetes).

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Media CVE‐2022‐23648

GCP-2022-012

Fecha de publicación: 07/04/2022

Descripción

Descripción Gravedad Notas

Se descubrió una vulnerabilidad de seguridad, CVE-2022-0847, en la versión de kernel 5.8 de Linux y versiones posteriores que pueden aumentar los privilegios del contenedor a raíz. Esta vulnerabilidad afecta los siguientes productos:

  • Versiones 1.22 y posteriores del grupo de nodos de GKE que usan imágenes de Container-Optimized OS (Container-Optimized OS 93 y versiones posteriores)
  • Clústeres de Anthos en VMware v1.10 para imágenes de Container-Optimized OS
  • Clústeres de Anthos en AWS v1.21 y clústeres de Anthos en AWS (generación anterior) v1.19, v1.20, v1.21, que usan Ubuntu
  • Clústeres administrados de Anthos en Azure v1.21 que usan Ubuntu

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Alta CVE‐2022‐0847

GCP-2022-011

Fecha de publicación: 22/03/2022

Descripción

Descripción Gravedad

Hay una configuración incorrecta con los multisubprocesos simultáneos (SMT) simultáneos, también conocido como hipersubprocesos, en imágenes de GKE Sandbox. La configuración incorrecta deja a los nodos potencialmente expuestos a ataques de canal lateral, como el muestreo de datos de microarquitectura (MDS) (para obtener más contexto, consulta la documentación de GKE Sandbox). No recomendamos usar las siguientes versiones afectadas:

  • 1.22.4-gke.1501
  • 1.22.6-gke.300
  • 1.23.2-gke.300
  • 1.23.3-gke.600

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de GKE.

Media

GCP-2022-010

Descripción

Descripción Gravedad Notas

La siguiente CVE de Istio expone Anthos Service Mesh en una vulnerabilidad que se puede aprovechar de forma remota:

  • CVE-2022-24726: El plano de control de Istio “istiod” es vulnerable a un error de procesamiento de solicitudes, lo que permite que un atacante malicioso envíe un mensaje creado de forma especial, lo que hace que el plano de control falle cuando se exponga el webhook de validación de un clúster de forma pública. Este extremo se entrega a través del puerto TLS 15017, pero no requiere autenticación del atacante.

Para obtener instrucciones y más detalles, consulta el siguiente boletín de seguridad:

Alta

GCP-2022-009

Fecha de publicación: 1/03/2022

Descripción

Descripción Gravedad

Algunas rutas inesperadas para acceder a la VM del nodo en los clústeres de GKE Autopilot podrían haberse usado a fin de escalar privilegios en el clúster. Estos problemas se solucionaron y no se requiere ninguna otra acción. Las correcciones abordan problemas informados a través de nuestro Programa de recompensas por detección de vulnerabilidades.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de GKE.

Bajos

GCP-2022-008

Fecha de publicación: 23/02/2022
Última actualización: 28/04/2022

Descripción

Descripción Gravedad Notas

28-04-2022: Se agregaron versiones de clústeres de Anthos alojados en VMware que corrigen estas vulnerabilidades. Para obtener detalles, consulta el boletín de seguridad de clústeres de Anthos alojados en VMware.


Hace poco, el proyecto Envoy descubrió un conjunto de vulnerabilidades. Todos los problemas que se enumeran a continuación se corrigieron en la versión 1.21.1 de Envoy.
  • CVE-2022-23606: Cuando se borra un clúster mediante el servicio de descubrimiento de clústeres (CDS), se desconectan todas las conexiones inactivas establecidas en los extremos de ese clúster. En la versión 1.19 de Envoy, se introdujo de forma errónea una recursión al procedimiento de desconexión de conexiones inactivas que pueden provocar el agotamiento de la pila y la finalización anormal del proceso cuando un clúster tiene una gran cantidad de conexiones inactivas.
  • CVE-2022-21655: El código de redireccionamiento interno de Envoy supone que existe una entrada de ruta. Cuando se realiza un redireccionamiento interno a una ruta que tiene una entrada de respuesta directa y ninguna entrada de ruta, se reduce un puntero nulo y se producen fallas.
  • CVE-2021-43826: Cuando Envoy está configurado para usar tcp_proxy, que usa túneles ascendentes (a través de HTTP), y la finalización de TLS descendente, Envoy fallará si el cliente descendente se desconecta durante el protocolo de enlace TLS mientras todavía se establece la transmisión HTTP ascendente. La desconexión descendente puede ser un cliente o un servidor iniciados. El cliente puede desconectarse por cualquier motivo. El servidor puede desconectarse si, por ejemplo, no tiene cifrados de TLS ni versiones de protocolo TLS compatibles con el cliente. También es posible activar esta falla en otras configuraciones descendentes.
  • CVE-2021-43825: Enviar una respuesta generada de forma local debe detener el procesamiento adicional de los datos de solicitud o respuesta. Envoy realiza un seguimiento de la cantidad de datos almacenados en búfer y de respuesta, y anula la solicitud si la cantidad de datos almacenados en búfer supera el límite mediante el envío de respuestas 413 o 500. Sin embargo, cuando se envía una respuesta generada localmente debido a un desbordamiento de búfer interno mientras la cadena de filtros procesa la respuesta, es posible que la operación no se anule correctamente y tenga como resultado el acceso a un bloque de memoria liberada.
  • CVE-2021-43824: Envoy falla cuando se usa el filtro JWT con una regla de coincidencia "safe_regex" y una solicitud especialmente creada, como "CONNECT host:port HTTP/1.1". Cuando se llega al filtro JWT, una regla "safe_regex" debe evaluar la ruta de URL, pero no existe ninguna, y Envoy falla con fallas seg.
  • CVE-2022-21654: Envoy permitiría de forma incorrecta la reanudación de sesión TLS después de que se volviera a configurar la validación de mTLS. Si se permite un certificado de cliente con la configuración anterior, pero no se permite con la nueva, el cliente podría reanudar la sesión TLS anterior aunque la configuración actual no lo permita. Los cambios en las siguientes opciones de configuración se ven afectados:
    • match_subject_alt_names
    • Cambios en la CRL
    • allow_expired_certificate
    • Verificación_cadena_confianza
    • solo_verificar_hoja_cert_crl
  • CVE-2022-21657: Envoy no restringe el conjunto de certificados que acepta del par, como cliente TLS o servidor TLS, solo a los certificados que contienen el extenso keyUsage necesario (id-kp-serverAuth e id-kp-clientAuth, respectivamente). Esto significa que un par puede presentar un certificado de correo electrónico (p.ej., id-kp-emailProtection), como un certificado de hoja o como una CA en la cadena, y se aceptará para TLS. Esto es particularmente dañino cuando se combina con CVE-2022-21656, ya que permite que una CA de PKI web destinada solo para S/MIME y, por lo tanto, exenta de auditorías o supervisión, emita certificados TLS que Envoy aceptará.
  • CVE-2022-21656: La implementación del validador que se usa para implementar las rutinas de validación de certificados tiene un error de tipo de confusión cuando se procesa subjectAltNames. Este procesamiento permite, por ejemplo, que un rfc822Name o uniformResourceIndicator se autentique como un nombre de dominio. Esta confusión permite omitir el elemento nameConstraints, según lo procesado por la implementación subyacente de OpenSSL/BoringSSL, lo que expone la posibilidad de robo de identidad de los servidores arbitrarios.
Para obtener instrucciones detalladas sobre productos específicos, consulta los siguientes boletines de seguridad:
¿Qué debo hacer?
Los usuarios de Envoy que administran sus propios Envoy deben asegurarse de usar la versión 1.21.1. Los usuarios de Envoy que administran sus propios Envoys compilan los objetos binarios a partir de una fuente como GitHub y los implementan.

Los usuarios que ejecutan Envoys administrados (GCP proporciona los objetos binarios de Envoy) para no realizar ninguna acción, por lo que los productos de Cloud cambiarán a la versión 1.21.1.
Alta CVE-2022-23606
CVE-2022-21655
CVE-2021-43826
CVE-2021-43825
CVE-2022-2165
2022655666-2362

GCP-2022-007

Fecha de publicación: 22/02/2022

Descripción

Descripción Gravedad Notas

Las siguientes CVE de Envoy y Istio exponen a Istio en GKE y Anthos Service Mesh a vulnerabilidades de forma remota:

  • CVE-2022-23635: Istiod falla cuando recibe solicitudes con un encabezado authorization especialmente creado.
  • CVE-2021-43824: Desidentificación de puntero nulo potencial cuando se usan filtros JWT safe_regex que coinciden
  • CVE-2021-43825: Se usa después de la liberación cuando los filtros de respuesta aumentan los datos de respuesta y aumentan los datos exceden los límites de búfer descendentes.
  • CVE-2021-43826: Se usa después de la liberación de túneles durante TCP en HTTP, si se desconecta después durante el establecimiento de la conexión ascendente.
  • CVE-2022-21654: El control de configuración incorrecto permite que la sesión de mTLS se vuelva a usar sin revalidación luego de que cambie la configuración de validación.
  • CVE-2022-21655: Control incorrecto de redireccionamientos internos a rutas con entrada de respuesta directa
  • CVE-2022-23606: Se agota la pila cuando se borra un clúster mediante el servicio de descubrimiento de clústeres.

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Alta

GCP-2022-006

Fecha de publicación: 14/02/2022
Última actualización: 16/05/2022

Descripción

Descripción Gravedad Notas

Actualización del 16/05/2022: Se agregó la versión 1.19.16-gke.7800 de GKE o una posterior a la lista de versiones que tienen código para corregir esta vulnerabilidad. Para obtener detalles, consulta el boletín de seguridad de GKE.


Actualización del 12 de mayo de 2022: Se actualizaron las versiones de GKE, Anthos en VMware, clústeres de Anthos en AWS y Anthos en Azure. Para obtener instrucciones y más detalles, consulta lo siguiente:


Se detectó una vulnerabilidad de seguridad, CVE-2022-0492, en la función cgroup_release_agent_write del kernel de Linux. El ataque usa espacios de nombres de usuarios sin privilegios y, en determinadas circunstancias, se puede aprovechar esta vulnerabilidad para la interrupción del contenedor.

Bajos

Para obtener instrucciones y más detalles, consulta lo siguiente:

GCP-2022-005

Fecha de publicación: 11/02/2022
Última actualización: 15/02/2022

Descripción

Descripción Gravedad Notas

Se detectó una vulnerabilidad de seguridad, CVE-2021-43527, en cualquier objeto binario que se vincula con las versiones vulnerables de libnss3 que se encuentran en las versiones de NSS (Servicios de Seguridad de Red) anteriores a la versión 3.73 o 3.68.1. Las aplicaciones que usan NSS para validación de certificados u otra función de CRL, OCSP TLS o X.509 pueden verse afectadas, según cómo se use o configure NSS.

Para obtener instrucciones y más detalles, consulta lo siguiente:

Media CVE-2021-43527

GCP-2022-004

Fecha de publicación: 4 de febrero de 2022

Descripción

Descripción Gravedad Notas

Se detectó una vulnerabilidad de seguridad, CVE-2021-4034, en pkexec, un componente del paquete del kit de políticas de Linux (polkit) que permite que un usuario autenticado realice un ataque de elevación de privilegios. Por lo general, PolicyKit solo se usa en sistemas de escritorio Linux para permitir que los usuarios no raíz realicen acciones, como reiniciar el sistema, instalar paquetes, reiniciar servicios, etc., según lo que estipule una política.

Para obtener instrucciones y más detalles, consulta lo siguiente:

Ninguno CVE‐2021‐4034

GCP-2022-002

Fecha de publicación: 1/2/2022
Última actualización: 25/02/2022

Descripción

Descripción Gravedad Notas

Actualización del 25/02/2022: Se actualizaron las versiones de GKE. Para obtener instrucciones y más detalles, consulta lo siguiente:

23 de febrero de 2022: Se actualizaron las versiones de clústeres de GKE y Anthos en VMware. Para obtener instrucciones y más detalles, consulta lo siguiente:


Actualización del 04-02-2022: La fecha de inicio del lanzamiento de las versiones de parche de GKE fue el 2 de febrero.


Tres vulnerabilidades de seguridad, CVE-2021-4154, CVE-2021-22600 y CVE-2022-0185, se descubrieron en el kernel de Linux, cada una de las cuales puede generar una fuga del contenedor, la elevación de privilegios en el host o ambas. Estas vulnerabilidades afectan a todos los sistemas operativos de los nodos (COS y Ubuntu) en GKE, los clústeres de Anthos alojados en VMware, los clústeres de Anthos alojados en AWS (generación actual y anterior) y Anthos on Azure. Los pods que usan GKE Sandbox no son vulnerables a estas vulnerabilidades. Consulta las notas de la versión de COS para obtener más detalles.

Para obtener instrucciones y más detalles, consulta lo siguiente:

Alta

GCP‐2022‐001

Fecha de publicación: 6/01/2022

Descripción

Descripción Gravedad Notas

Se descubrió un posible problema de denegación del servicio en protobuf-java en el procedimiento de análisis de datos binarios.

¿Qué debo hacer?

Asegúrate de usar las versiones más recientes de los siguientes paquetes de software:

  • protobuf-java (3.16.1, 3.18.2, 3.19.2)
  • protobuf-kotlin (3.18.2, 3.19.2)
  • google-protobuf [gema de Ruby] (3.19.2)

Los usuarios de protobuf (javalite) no se ven afectados (por lo general, en Android).

¿Qué vulnerabilidades corrige este parche?

Este parche mitiga la siguiente vulnerabilidad:

Una debilidad de implementación en la forma en que se analizan los campos desconocidos en Java Una carga útil pequeña y pequeña (~800 KB) puede ocupar el analizador por varios minutos, ya que crea grandes cantidades de objetos de corta duración que causan pausas frecuentes y repetidas de recolección de elementos no utilizados.

Alta CVE‐2021‐22569

GCP-2021-024

Fecha de publicación: 21/10/2021

Descripción

Descripción Gravedad Notas

Se detectó un problema de seguridad en el controlador ingress-nginx de Kubernetes, CVE-2021-25742. Los fragmentos personalizados de Ingress-nginx permiten recuperar tokens y secretos de la cuenta de servicio ingress-nginx en todos los espacios de nombres.

Para obtener instrucciones y más detalles, consulta lo siguiente:

Ninguno CVE‐2021‐25742

GCP-2021-019

Fecha de publicación: 29/09/2021

Descripción

Descripción Gravedad Notas

Hay un problema conocido en el que la actualización de un recurso BackendConfig mediante la API de v1beta1 quita una política activa de seguridad de Google Cloud Armor de su servicio.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de GKE.

Baja

GCP-2021-022

Fecha de publicación: 22/09/2021

Descripción

Descripción Gravedad Notas

Se descubrió una vulnerabilidad en el módulo LDAP de Anthos Identity Service (AIS) de clústeres de Anthos alojados en VMware 1.8 y 1.8.1, donde una clave semilla para generar claves es predecible. Con esta vulnerabilidad, un usuario autenticado podría agregar reclamaciones arbitrarias y escalar privilegios de forma indefinida.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de clústeres de Anthos alojados en VMware.

Alta

GCP-2021-021

Fecha de publicación: 22/09/2021

Descripción

Descripción Gravedad Notas

Se detectó una vulnerabilidad de seguridad, CVE-2020-8561, en Kubernetes, en la que se pueden realizar determinados webhooks para redireccionar las solicitudes kube-apisever a las redes privadas de ese servidor de la API.

Para obtener instrucciones y más detalles, consulta lo siguiente:

Media CVE-2020-8561

GCP-2021-023

Fecha de publicación: 21/09/2021

Descripción

Descripción Gravedad Notas

De acuerdo con el aviso de seguridad de VMware VMSA-2021-0020, VMware recibió informes de varias vulnerabilidades en vCenter. VMware hizo actualizaciones disponibles para corregir estas vulnerabilidades en los productos afectados de VMware.

Ya aplicamos los parches que proporciona VMware para la pila de vSphere a Google Cloud VMware Engine según el aviso de seguridad de VMware. Esta actualización aborda las vulnerabilidades de seguridad descritas en CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 y CVE-2021-22010. Se abordarán otros problemas de seguridad no críticos en la próxima actualización de la pila de VMware (según la notificación previa que se envió en julio, se proporcionarán más detalles pronto en el cronograma específico de la actualización).

El impacto de VMware Engine

Según nuestras investigaciones, no se descubrió que los clientes se vieran afectados.

¿Qué debo hacer?

Debido a que esta vulnerabilidad no afecta a los clústeres de VMware Engine, no se requieren más acciones.

Crítico

GCP-2021-020

Fecha de publicación: 17/09/2021

Descripción

Descripción Gravedad Notas

Ciertos balanceadores de cargas de Google Cloud que enrutan a un servicio de backend habilitado para Identity-Aware Proxy (IAP) podrían haber sido vulnerables a una parte no confiable en condiciones limitadas. Esto soluciona un problema que se informó a través de nuestro programa de recompensas por detección de vulnerabilidades.

Las condiciones eran las siguientes: los servidores:
  • Eran balanceadores de cargas HTTP(S) y
  • Se usó un backend predeterminado o un backend que tenía una regla de asignación de host comodín (es decir, host="*").

Además, un usuario de su organización debe haber hecho clic en un vínculo creado específicamente por un tercero que no es de confianza.

Este problema ya se resolvió. IAP se actualizó para emitir cookies solo a hosts autorizados a partir del 17 de septiembre de 2021. Un host se considera autorizado si coincide con al menos un nombre alternativo del sujeto (SAN) en uno de los certificados instalados en tus balanceadores de cargas.

Qué hacer

Es posible que algunos de tus usuarios experimenten una respuesta HTTP 401 no autorizada con un código de error 52 de IAP mientras intentan acceder a apps o servicios. Este código de error significa que el cliente envió un encabezado Host que no coincide con ningún nombre alternativo del asunto asociado con los certificados SSL del balanceador de cargas. El administrador del balanceador de cargas debe actualizar el certificado SSL para asegurarse de que la lista de nombres alternativos de entidad (SAN) contenga todos los nombres de host a través de los cuales los usuarios acceden a las aplicaciones o servicios protegidos con IAP. Obtén más información sobre los códigos de error de IAP.

Alto

GCP-2021-018

Fecha de publicación: 15/09/2021
Última actualización: 20/09/2021

Descripción

Descripción Gravedad Notas

Se descubrió un problema de seguridad en Kubernetes, CVE-2021-25741, en el que el usuario puede crear un contenedor con activaciones de volumen de ruta secundaria para acceder a archivos y directorios fuera del volumen, incluido en el sistema de archivos del host.

Para obtener instrucciones y más detalles, consulta lo siguiente:

Alta CVE‐2021‐25741

GCP-2021-017

Fecha de publicación: 1/09/2021
Última actualización: 23/09/2021

Descripción

Descripción Gravedad Notas

Actualización del 23/09/2021: Esta vulnerabilidad en los ataques que se originan dentro del contenedor no afecta a los contenedores que se ejecutan dentro de GKE Sandbox.


Se descubrieron dos vulnerabilidades de seguridad, CVE-2021-33909 y CVE-2021-33910, en el kernel de Linux que pueden provocar una falla del SO o una derivación a un usuario sin privilegios. Esta vulnerabilidad afecta a todos los sistemas operativos de nodos de GKE (COS y Ubuntu).

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Alto CVE-2021-33909, CVE-2021-33910

GCP-2021-016

Fecha de publicación: 24/08/2021

Descripción

Descripción Gravedad Notas

Las siguientes CVE de Envoy y Istio exponen a Istio en GKE y Anthos Service Mesh a vulnerabilidades de forma remota:

  • CVE-2021-39156: Las solicitudes HTTP con un fragmento (una sección al final de un URI que comienza con un carácter #) en la ruta del URI podrían omitir las políticas de autorización basadas en el URI de Istio.
  • CVE-2021-39155: Las solicitudes HTTP podrían omitir una política de autorización de Istio cuando se usan reglas basadas en hosts o notHosts.
  • CVE-2021-32781: Afecta las extensiones decompressor, json-transcoder o grpc-web de Envoy, o extensiones de propiedad, que modifican y aumentan el tamaño de los cuerpos de solicitud o respuesta. Modifica y aumenta el tamaño del cuerpo en la extensión de Envoy más allá del tamaño del búfer interno podría provocar que Envoy acceda a la memoria desasignada y finalice de forma anormal.
  • CVE-2021-32780: Un servicio ascendente no confiable podría causar que Envoy finalice de forma anormal, ya que envía el marco GOAWAY seguido del marco SETTINGS con el parámetro SETTINGS_MAX_CONCURRENT_STREAMS establecido en 0. (No aplicable a Istio on GKE)
  • CVE-2021-32778: Un cliente Envoy que abre y restablece una gran cantidad de solicitudes HTTP/2 puede generar un consumo excesivo de CPU. (No aplicable a Istio on GKE)
  • CVE-2021-32777: Las solicitudes HTTP con encabezados de varios valores podrían realizar una verificación de política de autorización incompleta cuando se usa la extensión ext_authz.

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Alta

GCP-2021-015

Fecha de publicación: 13/07/2021
Última actualización: 15/07/2021

Descripción

Descripción Gravedad Notas

Se descubrió una vulnerabilidad de seguridad nueva, CVE-2021-22555, en la que un actor malicioso con privilegios de CAP_NET_ADMIN puede causar una interrupción del contenedor en la raíz del host. Esta vulnerabilidad afecta a todos los clústeres de GKE y a los clústeres de Anthos alojados en VMware que ejecutan la versión 2.6.19 o una posterior de Linux.

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Alto CVE-2021-22555

GCP-2021-014

Fecha de publicación: 5/07/2021

Descripción

Descripción Gravedad Notas

Microsoft publicó un boletín de seguridad sobre una vulnerabilidad de ejecución de código remoto (RCE), CVE-2021-34527, que afecta la cola de impresión en los servidores de Windows. El CERT Coordination Center (CERT/CC) publicó una nota de actualización sobre una vulnerabilidad relacionada, denominada "PrintNightmare", que también afecta las colas de impresión de Windows: PrintNightmare, Critical Windows Print Spooler Vulnerability.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de GKE.

Alta CVE-2021-34527

GCP-2021-012

Fecha de publicación: 24/06/2021
Última actualización: 09/07/2021

Descripción

Descripción Gravedad Notas

Recientemente, el proyecto Istio anunció una vulnerabilidad de seguridad en la que se puede acceder a las credenciales especificadas en los campos GateName y DestinationRule credentialsName desde diferentes espacios de nombres.

Para obtener instrucciones específicas sobre el producto y más detalles, consulta:

Alta CVE‐2021‐34824

GCP-2021-011

Fecha de publicación: 4/06/2021
Última actualización: 19/10/2021

Descripción

Descripción Gravedad Notas

Actualización de 19/10/2021:

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:


Hace poco, la comunidad de seguridad divulgó una nueva vulnerabilidad de seguridad (CVE-2021-30465) que se encontró en runc y que tiene el potencial de permitir el acceso completo al sistema de archivos de un nodo.

En el caso de GKE, debido a que aprovechar esta vulnerabilidad requiere la capacidad de crear pods, calificamos la gravedad como MEDIA.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de GKE.

Medio CVE‐2021‐30465

GCP-2021-010

Fecha de publicación: 25 de mayo de 2021

Descripción

Descripción Gravedad Notas

Según el aviso de seguridad de VMware VMSA-2021-0010, la ejecución remota de código y las vulnerabilidades de omisión de autenticación en el cliente de vSphere (HTML5) se informaron de forma privada a VMware. VMware hizo actualizaciones disponibles para corregir estas vulnerabilidades en los productos afectados de VMware.

Aplicamos los parches que proporciona VMware para la pila de vSphere según el aviso de seguridad de VMware. Esta actualización aborda las vulnerabilidades de seguridad descritas en CVE-2021-21985 y CVE-2021-21986. Las versiones de imagen que se ejecutan en la nube privada de VMware Engine no reflejan ningún cambio en este momento para indicar los parches que se aplicaron. Ten la certeza de que se instalaron los parches adecuados y que tu entorno está protegido de estas vulnerabilidades.

El impacto de VMware Engine

Según nuestras investigaciones, no se descubrió que los clientes se vieran afectados.

¿Qué debo hacer?

Debido a que esta vulnerabilidad no afecta a los clústeres de VMware Engine, no se requieren más acciones.

Crítico

GCP-2021-008

Fecha de publicación: 17/05/2021

Descripción

Descripción Gravedad Notas

Istio contiene una vulnerabilidad de explotación remota en la que un cliente externo puede acceder a servicios inesperados del clúster y pasa por alto las verificaciones de autorización cuando se configura una puerta de enlace con la configuración de enrutamiento AUTO_PASSTHROUGH.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Anthos Service Mesh.

Alta

CVE‐2021‐31921

GCP-2021-007

Fecha de publicación: 17/05/2021

Descripción

Descripción Gravedad Notas

Istio contiene una vulnerabilidad que se puede explotar de forma remota, en la que una ruta de solicitud HTTP con varias barras o caracteres de barra con escape (%2F o %5C) podría omitir una política de autorización de Istio cuando se usan reglas de autorización basadas en rutas.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Anthos Service Mesh.

Alta

CVE‐2021‐31920

GCP-2021-006

Fecha de publicación: 11/05/2021

Descripción

Descripción Gravedad Notas

Recientemente, el proyecto Istio divulgó una nueva vulnerabilidad de seguridad (CVE-2021-31920) que afecta a Istio.

Istio contiene una vulnerabilidad que se puede aprovechar de forma remota, en la que una solicitud HTTP con varias barras o caracteres de barra con escape puede omitir la política de autorización de Istio cuando se usan reglas de autorización basadas en rutas.

Para obtener instrucciones y más detalles, consulta lo siguiente:

Alto

CVE‐2021‐31920

GCP-2021-005

Fecha de publicación: 11/05/2021

Descripción

Descripción Gravedad Notas

Una vulnerabilidad informada demostró que Envoy no decodifica las secuencias de barra de escape %2F y %5C en las rutas de URL HTTP en las versiones 1.18.2 y anteriores de Envoy. Además, algunos productos basados en Envoy no habilitan los controles de normalización de ruta. Un atacante remoto puede crear una ruta con barras de escape (por ejemplo, /something%2F..%2Fadmin,) para omitir el control de acceso (por ejemplo, un bloque en /admin). Luego, un servidor de backend podría decodificar secuencias de barras y normalizar la ruta para proporcionar acceso a un atacante más allá del alcance proporcionado por la política de control de acceso.

¿Qué debo hacer?

Si los servidores de backend tratan/ y %2F o \ y %5C de forma indistinta y se configura una coincidencia de ruta de URL, recomendamos que vuelvas a configurar el servidor de backend para tratar a \y %2F o \ y%5C indistintamente, si es posible.

¿Qué cambios de comportamiento se introdujeron?

Las opciones de normalize_path y merge slash slash de Envoy se habilitaron para solucionar otras vulnerabilidades comunes de confusión de ruta en los productos basados en Envoy.

Alta

CVE‐2021‐29492

GCP-2021-004

Fecha de publicación: 6/05/2021

Descripción

Descripción Gravedad Notas

Recientemente, los proyectos de Istio y Envoy anunciaron varias vulnerabilidades de seguridad nuevas (CVE-2021-28683, CVE-2021-28682 y CVE-2021-29258) que podrían permitir que un atacante falle Envoy.

Los clústeres de Google Kubernetes Engine no ejecutan Istio de forma predeterminada y no son vulnerables. Si Istio se instaló en un clúster y se configuró para exponer servicios a Internet, es posible que estos sean vulnerables a la denegación del servicio.

Anthos en equipos físicos y los clústeres de Anthos alojados en VMware usan Envoy de forma predeterminada para Ingress, por lo que los servicios de Ingress pueden ser vulnerables a la denegación del servicio.

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Medio

GCP-2021-003

Fecha de publicación: 19/04/2021

Descripción

Descripción Gravedad Notas

El proyecto de Kubernetes anunció recientemente una nueva vulnerabilidad de seguridad, CVE-2021-25735, que podría permitir que las actualizaciones del nodo omitan un webhook de admisión y validación.

En una situación en la que un atacante tiene privilegios suficientes y en la que se implementa un webhook de admisión y validación que usa propiedades del objeto Node antiguas (por ejemplo, campos en Node.NodeSpec), el atacante podría actualizar las propiedades de un nodo que podría provocar el compromiso del clúster. Ninguna de las políticas que aplican los controladores de admisión integrados de GKE y Kubernetes se ve afectada, pero recomendamos que los clientes verifiquen cualquier webhook de admisión adicional que hayan instalado.

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Medio

CVE‐2021‐25735

GCP-2021-002

Publicada: 05-03-2021

Descripción

Descripción Gravedad Notas

Según el aviso de seguridad VMSA-2021-0002, VMware recibió informes de varias vulnerabilidades en VMware ESXi y el cliente de vSphere (HTML5). VMware hizo actualizaciones disponibles para corregir estas vulnerabilidades en los productos afectados de VMware.

Aplicamos las soluciones alternativas que se documentan de forma oficial para la pila de vSphere según el aviso de seguridad de VMware. Esta actualización aborda las vulnerabilidades de seguridad que se describen en CVE-2021-21972, CVE-2021-21973 y CVE-2021-21974.

El impacto de VMware Engine

Según nuestras investigaciones, no se descubrió que los clientes se vieran afectados.

¿Qué debo hacer?

Debido a que los clústeres de VMware Engine no se ven afectados por esta vulnerabilidad, no es necesario que realices ninguna otra acción.

Crítico

GCP-2021-001

Fecha de publicación: 28/01/2021

Descripción

Descripción Gravedad Notas

Recientemente, se descubrió una vulnerabilidad en la utilidad sudo de Linux, descrita en CVE-2021-3156, que puede permitir a un atacante con acceso de shell local sin privilegios en un sistema con sudo instalado escalar sus privilegios a la raíz del sistema.

La vulnerabilidad no afecta a la infraestructura subyacente que ejecuta Compute Engine.

Esta vulnerabilidad no afecta a todos los clústeres de Google Kubernetes Engine (GKE), de Anthos en VMware, de Anthos en AWS y de Anthos en equipos físicos.

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Ninguno CVE‐2021‐3156

GCP-2020-015

Fecha de publicación: 7/12/2020
Última actualización: 22/12/2020

Descripción

Descripción Gravedad Notas

Actualizado: 22/12/2021 El comando para GKE en la siguiente sección debe usar gcloud beta en lugar del comando gcloud.


gcloud container clusters update –no-enable-service-externalips

Última actualización: 15 de diciembre de 2021 Para GKE, ya está disponible la siguiente mitigación:
  1. A partir de la versión 1.21 de GKE, un controlador de admisión de DenyServiceExternalIPs que está habilitado de forma predeterminada para los clústeres nuevos bloquea los servicios con IP externas.
  2. Los clientes que actualizan a la versión 1.21 de GKE pueden bloquear servicios con IP externas mediante el siguiente comando:
    
    gcloud container clusters update –no-enable-service-externalips
    

Para obtener más información, consulta Endurece la seguridad del clúster.


El proyecto de Kubernetes descubrió recientemente una nueva vulnerabilidad de seguridad, CVE-2020-8554, que puede permitir que un atacante que haya obtenido permisos cree un servicio de Kubernetes de tipo LoadBalancer o ClusterIP para interceptar el tráfico de red que se origina desde otros Pods del clúster. Esta vulnerabilidad por sí sola no otorga permisos a un atacante para crear un servicio de Kubernetes.

Todos los clústeres de Google Kubernetes Engine (GKE), Anthos en VMware y Anthos en AWS se ven afectados por esta vulnerabilidad.

¿Qué debo hacer?

Para obtener instrucciones y más detalles, consulta los siguientes documentos:

Media

CVE‐2020‐8554

GCP-2020-014

Fecha de publicación: 20/10/2020
Última actualización: 20/10/2020

Descripción

Descripción Gravedad Notas

Hace poco, el proyecto de Kubernetes descubrió varios problemas que permiten la exposición de datos secretos cuando las opciones de registro detallado están habilitadas. Estos son los problemas:

  • CVE-2020-8563: Hay pérdidas de secretos en registros de kube-controller-manager del proveedor de vSphere.
  • CVE-2020-8564: Los secretos de archivos de configuración de Docker se filtran cuando el archivo es incorrecto y el nivel de registro >= 4.
  • CVE-2020-8565: Una corrección incompleta para CVE-2019-11250 en Kubernetes permite la pérdida de tokens en registros cuando logLevel >= 9. A este error lo encontró la seguridad de GKE.
  • CVE-2020-8566: Los adminSecrets de Ceph RBD se exponen en registros cuando loglevel >= 4.

¿Qué debo hacer?

No es necesario que realices ninguna otra acción debido a los niveles de registro detallado predeterminados de GKE.

Ninguno

Impacto en Google Cloud

Aquí encontrarás información detallada sobre cada producto.

Producto

Impacto

Google Kubernetes Engine (GKE)

Google Kubernetes Engine (GKE) no se ve afectado.

GKE On-Prem

GKE On-Prem no se ve afectado.

GKE en AWS

GKE on AWS no se ve afectado.

GCP-2020-013

Fecha de publicación: 29/09/2020

Descripción

Microsoft divulgó la siguiente vulnerabilidad:

Vulnerabilidad

Gravedad

CVE

CVE-2020-1472 — Una vulnerabilidad en Windows Server permite a los atacantes usar el protocolo remoto de Netlogon para ejecutar una aplicación creada especialmente en un dispositivo en la red.

Puntuación base de la NVD: 10 (crítica)

CVE-2020-1472

Para obtener más detalles, consulta la divulgación de Microsoft.

Impacto en Google Cloud

Esta vulnerabilidad no afecta a la infraestructura en la que se alojan los productos de Google y Google Cloud. Aquí encontrarás detalles adicionales sobre cada producto.

Producto

Impacto

Compute Engine

CVE-2020-1472

La mayoría de los clientes no debe realizar ninguna acción adicional.

Los clientes que usan máquinas virtuales de Compute Engine con Windows Server deben asegurarse de que sus instancias se hayan actualizado con el parche más reciente de Windows o usen imágenes de Windows Server publicadas después del 17 de agosto de 2020 (v20200813 o versiones posteriores).

Google Kubernetes Engine

CVE-2020-1472

La mayoría de los clientes no debe realizar ninguna acción adicional.

Cualquier cliente que aloje controladores de dominio en los nodos del Windows Server de GKE debe asegurarse de que los nodos y las cargas de trabajo en contenedores que se ejecutan en esos nodos tengan la imagen de nodo más reciente de Windows cuando esté disponible. En octubre se anunciará una versión nueva de imagen de nodo en las notas de la versión de GKE.

Servicio administrado para Microsoft Active Directory

CVE-2020-1472

La mayoría de los clientes no debe realizar ninguna acción adicional.

El parche de agosto que lanzó Microsoft y que incluye correcciones en el protocolo de NetLogon se aplicó a todos los controladores de dominio de Microsoft AD administrado. Este parche brinda funcionalidad para la protección contra posibles explotaciones. La aplicación de los parches en el momento oportuno es una de las principales ventajas de usar el servicio administrado para Microsoft Active Directory. Todos los clientes que ejecuten Microsoft Active Directory de forma manual (y no usen el servicio administrado de Google Cloud) deben asegurarse de que sus instancias tengan el parche más reciente de Windows o usen las imágenes de Windows Server.

Google Workspace

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Entorno estándar de App Engine

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Entorno flexible de App Engine

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Run

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Functions

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Composer

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Dataflow

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Dataproc

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud SQL

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

GCP-2020-012

Fecha de publicación: 14/09/2020
Última actualización: 17/09/2020

Descripción

Descripción Gravedad Notas

Hace poco, se descubrió una vulnerabilidad en el kernel de Linux, descrita en CVE-2020-14386, que puede permitir obtener privilegios raíz en el nodo host mediante el escape del contenedor.

Afecta a todos los nodos de GKE. Los Pods que se ejecutan en GKE Sandbox no pueden aprovechar esta vulnerabilidad.

Para obtener instrucciones y más detalles, consulta lo siguiente:


¿Qué vulnerabilidad corrige este parche?

Con este parche, se mitiga la siguiente vulnerabilidad:

La vulnerabilidad CVE-2020-14386, que permite contenedores con CAP_NET_RAW
para escribir de 1 a 10 bytes de memoria de kernel y, también, escapar del contenedor y obtener privilegios raíz en el nodo host. Esta vulnerabilidad de seguridad tiene una calificación de gravedad alta.

Alto

CVE‐2020‐14386

GCP-2020-011

Fecha de publicación: 24/07/2020

Descripción

Descripción Gravedad Notas

Se detectó hace poco una vulnerabilidad en las herramientas de redes, CVE-2020-8558, en Kubernetes. A veces, los servicios se comunican con otras aplicaciones que se ejecutan dentro del mismo Pod mediante la interfaz de bucle invertido local (127.0.0.1). Esta vulnerabilidad permite que un atacante con acceso a la red del clúster envíe tráfico a la interfaz de bucle invertido de Pods y nodos adyacentes. Podrían aprovecharse los servicios que dependen de que no se pueda acceder a la interfaz de bucle invertido fuera del Pod.

Para obtener instrucciones y más detalles, consulta lo siguiente:

Baja (clústeres de GKE y Anthos en AWS),
Media (clústeres de Anthos en VMware)

CVE-2020-8558

GCP-2020-010

Fecha de publicación: 27/07/2020

Descripción

Microsoft divulgó la siguiente vulnerabilidad:

Vulnerabilidad

Gravedad

CVE

CVE-2020-1350: Los servidores de Windows que entregan en una capacidad de servidor DNS se pueden aprovechar para ejecutar un código no confiable mediante la cuenta del sistema local.

Puntuación base de la NVD: 10.0 (crítica)

CVE-2020-1350

Para obtener más detalles, consulta la divulgación de Microsoft.

Impacto en Google Cloud

Esta vulnerabilidad no afecta a la infraestructura en la que se alojan los productos de Google y Google Cloud. Aquí encontrarás detalles adicionales sobre cada producto.

Producto

Impacto

Compute Engine

CVE-2020-1350

La mayoría de los clientes no debe realizar ninguna acción adicional.

Los clientes que usan máquinas virtuales de Compute Engine que ejecutan los servidores de Windows en una capacidad de servidor DNS deben asegurarse de que sus instancias tengan el último parche de Windows o usen imágenes de Windows Server proporcionadas desde el 14/7/2020.

Google Kubernetes Engine

CVE-2020-1350

La mayoría de los clientes no debe realizar ninguna acción adicional.

Los clientes que usan GKE con un nodo de Windows Server en una capacidad de servidor DNS deben actualizar de forma manual los nodos y las cargas de trabajo que se ejecutan en esos nodos a una versión de Windows Server que contenga la corrección.

Servicio administrado para Microsoft Active Directory

CVE-2020-1350

La mayoría de los clientes no debe realizar ninguna acción adicional.

Todos los dominios de Microsoft AD administrado se actualizaron automáticamente mediante la imagen con parches. Todos los clientes que ejecuten de forma manual Microsoft Active Directory (y no usen Microsoft AD administrado) deben asegurarse de que sus instancias tengan el parche más reciente de Windows o usar las imágenes de Windows Server que se proporcionan desde el 14 de julio de 2020.

Google Workspace

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Entorno estándar de App Engine

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Entorno flexible de App Engine

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Run

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Functions

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Composer

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Dataflow

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Dataproc

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud SQL

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

GCP-2020-009

Fecha de publicación: 15/07/2020

Descripción

Descripción Gravedad Notas

En la actualidad, se descubrió una vulnerabilidad de elevación de privilegios, CVE-2020-8559, en Kubernetes. Esta vulnerabilidad permite que un atacante que ya haya comprometido un nodo pueda ejecutar un comando en cualquier Pod del clúster. Por lo tanto, existe la posibilidad de que el atacante use el nodo ya comprometido para comprometer otros nodos y poder leer información o causar acciones destructivas.

Ten en cuenta que, para que un atacante pueda aprovechar esta vulnerabilidad, un nodo del clúster ya debe estar comprometido. Esta vulnerabilidad, por sí sola, no comprometerá ningún nodo del clúster.

Para obtener instrucciones y más detalles, consulta lo siguiente:

Medio

CVE-2020-8559

GCP-2020-008

Fecha de publicación: 19/06/2020

Descripción

Descripción Gravedad Notas

Descripción

Las VM que tienen el Acceso al SO habilitado pueden ser susceptibles a vulnerabilidades de elevación de privilegios. Estas vulnerabilidades le ofrece a los usuarios a los que se les otorgan permisos de Acceso al SO (pero no a acceso de administrador) la capacidad de escalar el acceso raíz en la VM.

Para obtener instrucciones y más detalles, consulta el Boletín de seguridad de Compute Engine.

Alta

GCP-2020-007

Fecha de publicación: 1 de junio de 2020

Descripción

Descripción Gravedad Notas

Hace poco tiempo, se descubrió en Kubernetes una vulnerabilidad de falsificación de solicitudes del servidor (SSRF), CVE-2020-8555, que permitía a ciertos usuarios autorizados filtrar hasta 500 bytes de información sensible desde la red de host del plano de control. El plano de control de Google Kubernetes Engine (GKE) usa controladores de Kubernetes y, por lo tanto, se ve afectado por esta vulnerabilidad. Te recomendamos actualizar el plano de control a la versión más reciente del parche. No requiere actualizar los nodos.

Para obtener instrucciones y más detalles, consulta lo siguiente:

Media

CVE‐2020‐8555

GCP-2020-006

Fecha de publicación: 1 de junio de 2020

Descripción

Descripción Gravedad Notas

Kubernetes divulgó una vulnerabilidad que permite que un contenedor con privilegios redireccione el tráfico de nodos a otro contenedor. Debido a este ataque, no se puede leer ni modificar el tráfico de TLS/SSH mutuo, como el que se establece entre el servidor de Kubelet y la API, o el tráfico de aplicaciones que usan mTLS. Todos los nodos de Google Kubernetes Engine (GKE) se ven afectados por esta vulnerabilidad. Te recomendamos que actualices a la última versión del parche.

Para obtener instrucciones y más detalles, consulta lo siguiente:

Media

Problema 91507 de Kubernetes

GCP‑2020‑005

Fecha de publicación: 7/05/2020

Descripción

Vulnerabilidad

Gravedad

CVE

Hace poco, se descubrió una vulnerabilidad en el kernel de Linux, descrita en CVE-2020-8835, que permite obtener privilegios de administrador en el nodo host mediante un escape de contenedor.

Esta vulnerabilidad afecta a los nodos de Ubuntu de Google Kubernetes Engine (GKE) que ejecutan GKE 1.16 o 1.17, por lo que te recomendamos actualizar a la versión de parche más reciente lo antes posible.

Consulta el boletín de seguridad de GKE para obtener instrucciones y más detalles.

Alto

CVE-2020-8835

GCP-2020-004

Fecha de publicación: 31/03/2020
Última actualización: 31/03/2020

Descripción

Kubernetes divulgó las siguientes vulnerabilidades:

Vulnerabilidad

Gravedad

CVE

CVE‐2019‐11254: Esta es una vulnerabilidad de denegación del servicio (DoS) que afecta al servidor de API.

Media

CVE-2019-11254

Consulta el boletín de seguridad de clústeres de Anthos alojados en VMware para obtener instrucciones y más detalles.

GCP‑2020‑003

Fecha de publicación: 31/03/2020
Última actualización: 31/03/2020

Descripción

Kubernetes divulgó las siguientes vulnerabilidades:

Vulnerabilidad

Gravedad

CVE

CVE‐2019‐11254: Esta es una vulnerabilidad de denegación del servicio (DoS) que afecta al servidor de API.

Media

CVE-2019-11254

Consulta el boletín de seguridad de GKE para obtener instrucciones y más detalles.

GCP‑2020‑002

Fecha de publicación: 23/03/2020
Última actualización: 23/03/2020

Descripción

Kubernetes divulgó las siguientes vulnerabilidades:

Vulnerabilidad

Gravedad

CVE

CVE‐2020‐8551: Esta es una vulnerabilidad de denegación del servicio (DoS) que afecta a kubelet.

Medio

CVE-2020-8551

CVE‐2020‐8552: Se trata de una vulnerabilidad de denegación del servicio (DoS) que afecta al servidor de la API.

Medio

CVE-2020-8552

Consulta el boletín de seguridad de GKE para obtener instrucciones y más detalles.

GCP-2020-001

Fecha de publicación: 21/01/2020
Última actualización: 21/01/2020

Descripción

Microsoft divulgó la siguiente vulnerabilidad:

Vulnerabilidad

Gravedad

CVE

CVE‑2020‑0601: Esta vulnerabilidad también se conoce como la vulnerabilidad de falsificación de identidad de la CryptoAPI de Windows. Se puede aprovechar para que archivos ejecutables maliciosos parezcan confiables o para permitir que el atacante realice ataques de intermediario y desencripte información confidencial sobre las conexiones de usuarios al software afectado.

Puntuación base de la NVD: 8.1 (alta)

CVE‑2020‑0601

Para obtener más detalles, consulta la divulgación de Microsoft.

Impacto en Google Cloud

Esta vulnerabilidad no afecta a la infraestructura en la que se alojan los productos de Google y Google Cloud. Aquí encontrarás detalles adicionales sobre cada producto.

Producto

Impacto

Compute Engine

CVE‑2020‑0601

La mayoría de los clientes no debe realizar ninguna acción adicional.

Los clientes que usan máquinas virtuales de Compute Engine con Windows Server deben asegurarse de que sus instancias tengan el parche más reciente de Windows o usar las imágenes de Windows Server que se proporcionan desde el 15 de enero de 2020. Consulta el boletín de seguridad de Compute Engine para obtener más detalles.

Google Kubernetes Engine

CVE‑2020‑0601

La mayoría de los clientes no debe realizar ninguna acción adicional.

A fin de mitigar esta vulnerabilidad, los clientes que usan GKE con nodos de Windows Server deben actualizar los nodos y las cargas de trabajo en contenedores que se ejecutan en esos nodos a las versiones con parches. Consulta el boletín de seguridad de GKE para obtener instrucciones y más detalles.

Servicio administrado para Microsoft Active Directory

CVE‑2020‑0601

La mayoría de los clientes no debe realizar ninguna acción adicional.

Todos los dominios de Microsoft AD administrado se actualizaron automáticamente mediante la imagen con parches. Todos los clientes que ejecuten de forma manual Microsoft Active Directory (y no usen Microsoft AD administrado) deben asegurarse de que sus instancias tengan el parche más reciente de Windows o usar las imágenes de Windows Server que se proporcionan desde el 15 de enero de 2020.

Google Workspace

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Entorno estándar de App Engine

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Entorno flexible de App Engine

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Run

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Functions

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Composer

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Dataflow

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Dataproc

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud SQL

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

GCP-2019-001

Fecha de publicación: 12/11/2019
Última actualización: 12/11/2019

Descripción

Intel divulgó las siguientes vulnerabilidades:

Vulnerabilidad

Gravedad

CVE

CVE‑2019‑11135: Esta vulnerabilidad, conocida como anulación asíncrona de TSX (TAA), se puede usar para explotar la ejecución especulativa en una transacción TSX. Esta vulnerabilidad permite que se puedan exponer los datos mediante las mismas estructuras de datos de microarquitectura que presenta el muestreo de datos de microarquitectura (MDS).

Media

CVE‑2019‑11135

CVE‑2018‑12207: Es una vulnerabilidad de denegación del servicio (DoS) que afecta a los hosts de máquinas virtuales (no a las máquinas huésped). Este problema se conoce como “error de verificación de la máquina en el cambio de tamaño de la página”.

Media

CVE‑2018‑12207

Para obtener más información, consulta las siguientes divulgaciones de Intel:

Impacto en Google Cloud

La infraestructura en la que se alojan Google Cloud y los productos de Google está protegida contra estas vulnerabilidades. Aquí encontrarás detalles adicionales sobre cada producto.

Producto

Impacto

Compute Engine

CVE‑2019‑11135

La mayoría de los clientes no debe realizar ninguna acción adicional.

Los clientes de N2, C2 o M2 que ejecuten código no confiable en sus servicios multiusuarios alojados en máquinas virtuales de Compute Engine deben detener y, luego, iniciar sus VM para asegurarse de tener las mitigaciones de seguridad más recientes.

CVE‑2018‑12207

Los clientes no deben realizar ninguna acción adicional.

Google Kubernetes Engine

CVE‑2019‑11135

La mayoría de los clientes no debe realizar ninguna acción adicional.

Si usas grupos de nodos con nodos N2, M2 o C2 que ejecutan un código no confiable en sus clústeres de múltiples instancias de GKE, debes reiniciar los nodos. Si quieres reiniciar todos los nodos en un grupo, actualiza el grupo de nodos afectado.

CVE‑2018‑12207

Los clientes no deben realizar ninguna acción adicional.

Entorno estándar de App Engine

No se debe realizar ninguna acción adicional.

Entorno flexible de App Engine

CVE‑2019‑11135

No se debe realizar ninguna acción adicional.

Los clientes deben revisar las prácticas recomendadas de Intel, que se relacionan con el uso compartido a nivel de la aplicación que podría ocurrir entre subprocesos de Hyper‑Threading con una VM de Flex.

CVE‑2018‑12207

No se debe realizar ninguna acción adicional.

Cloud Run

No se debe realizar ninguna acción adicional.

Cloud Functions

No se debe realizar ninguna acción adicional.

Cloud Composer

No se debe realizar ninguna acción adicional.

Dataflow

CVE‑2019‑11135

La mayoría de los clientes no debe realizar ninguna acción adicional.

Los clientes de Dataflow que ejecutan varias cargas de trabajo no confiables en las VM N2, C2 o M2 de Compute Engine mediante Dataflow y teman recibir ataques en las máquinas huésped deberían considerar reiniciar cualquier canalización de transmisión que se ejecute actualmente. De forma opcional, las canalizaciones se pueden cancelar y volver a ejecutar por lotes. No requiere ninguna acción para las canalizaciones que se lancen después de hoy.

CVE‑2018‑12207

Los clientes no deben realizar ninguna acción adicional.

Dataproc

CVE‑2019‑11135

La mayoría de los clientes no debe realizar ninguna acción adicional.

Los clientes de Cloud Dataproc que ejecutan varias cargas de trabajo no confiables en el mismo clúster de Cloud Dataproc que se ejecuta en las VM N2, C2 o M2 de Compute Engine y teman recibir ataques en las máquinas huésped deberían volver a implementar sus clústeres.

CVE‑2018‑12207

Los clientes no deben realizar ninguna acción adicional.

Cloud SQL

No se debe realizar ninguna acción adicional.