Les bulletins de sécurité suivants concernent les produits Google Cloud.
Utilisez ce flux XML pour vous abonner aux bulletins de sécurité de la présente page.
GCP-2022-026
Date de publication : 11/01/2023
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Deux nouvelles failles (CVE-2022-3786 et CVE-2022-3602) ont pu être détectées dans OpenSSL v3.0.6, qui sont susceptibles de provoquer un plantage. Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants: |
Moyen |
GCP-2022-025
Date de publication:21-12-2022
Dernière mise à jour:19-01-2023
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 19/01/2023 : ajout d'informations indiquant que la version 1.21.14-gke.14100 de GKE est disponible. Deux nouvelles failles (CVE-2022-3786 et CVE-2022-3602) ont pu être détectées dans OpenSSL v3.0.6, qui sont susceptibles de provoquer un plantage. Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants: |
Moyen |
GCP-2022-024
Date de publication:09/11/2022
Dernière mise à jour : 19/01/2023
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 19/01/2023:ajout d'informations indiquant que la version 1.21.14-gke.14100 de GKE est disponible. Mise à jour du 16 décembre 2022 : ajout de versions de correctif pour les clusters GKE et Anthos sur VMware. Deux nouvelles failles (CVE-2022-2585 et CVE-2022-2588) ont été détectées dans le noyau Linux. Elles peuvent entraîner une fuite complète du conteneur sur le nœud. Pour en savoir plus et obtenir des instructions, consultez les ressources suivantes: |
Élevés |
GCP-2022-023
Date de publication : 04/11/2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille de sécurité, CVE-2022-39278, a été détectée dans Istio, qui est utilisée dans Anthos Service Mesh. Elle permet à un pirate informatique de planter le plan de contrôle. Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants: |
Élevés | CVE-2022-39278 |
GCP-2022-022
Date de publication : 28-10-2022
Dernière mise à jour:14/12/2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 14/12/2022 : Ajout de versions de correctif pour les clusters GKE et Anthos sur VMware. Une nouvelle faille, CVE-2022-20409, a été détectée dans le noyau Linux. Elle pourrait permettre à un utilisateur non privilégié de s'escalader au privilège d'exécution du système. Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants: |
Élevés | CVE-2022-20409 |
GCP-2022-021
Date de publication : 27-10-2022
Dernière mise à jour : 19/01/2023
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 19/01/2023:ajout d'informations indiquant que la version 1.21.14-gke.14100 de GKE est disponible. Mise à jour du 15/12/2022:mise à jour des informations indiquant que la version 1.21.14-gke.9400 de Google Kubernetes Engine est en attente de déploiement et peut être remplacée par un numéro de version supérieur. Mise à jour du 22/11/2022 : Ajout de versions de correctif pour les clusters Anthos sur VMware, Anthos sur AWS et Anthos on Azure. Une nouvelle faille, CVE-2022-3176, a été détectée dans le noyau Linux et peut entraîner une élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'effectuer une répartition complète du conteneur pour s'exécuter sur le nœud. Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants: |
Élevés | CVE-2022-3176 |
GCP-2022-020
Date de publication:05/10/2022
Dernière mise à jour:12/10/2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Le plan de contrôle Istio Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Anthos Service Mesh. |
Élevés | CVE-2022-39278 |
GCP-2022-019
Date de publication : 22-09-2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille d'analyse des messages et de gestion de la mémoire dans les implémentations C++ et Python de ProtocolBuffer peut entraîner un échec de la mémoire (OOM) lors du traitement d'un message spécialement conçu. Cela peut entraîner un déni de service (DoS) sur les services utilisant les bibliothèques. Que dois-je faire ?Assurez-vous d'utiliser les dernières versions des packages logiciels suivants:
Quelles failles ce correctif permet-il de résoudre ?Ce correctif réduit les risques liés à la faille suivante :
Petit message spécialement conçu qui entraîne l'allocation de grandes quantités de RAM par le service en cours d'exécution. En raison de la petite taille de la requête, il est facile de tirer parti des ressources de vulnérabilité et d'épuisement. Les systèmes C++ et Python qui consomment des protobufs non fiables sont vulnérables aux attaques DoS si leur requête RPC contient un objet |
Moyen | CVE-2022-1941 |
GCP-2022-018
Date de publication:01-08-2022
Dernière mise à jour:14/09/2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 14/09/2022 : Ajout de versions de correctif pour les clusters Anthos sur VMware, Anthos sur AWS et Anthos on Azure. Une nouvelle faille (CVE-2022-2327) a été détectée dans le noyau Linux, qui peut entraîner l'élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'échapper complètement au conteneur pour arriver à la racine du nœud. Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants: | Élevés | CVE-2022-2327 |
GCP-2022-017
Date de publication : 29-06-2022
Dernière mise à jour : 22-11-2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 22/11/2022:les charges de travail utilisant GKE Sandbox ne sont pas affectées par ces failles. Mise à jour du 21/07/2022 : informations supplémentaires sur les clusters Anthos sur VMware Une nouvelle faille (CVE-2022-1786) a été détectée dans les versions de noyau Linux 5.10 et 5.11. Cette faille permet à un utilisateur non privilégié disposant d'un accès local au cluster de s'échapper d'un conteneur pour obtenir un accès racine au nœud. Seuls les clusters qui exécutent Container-Optimized OS sont affectés. Les versions d'Ubuntu GKE utilisent la version 5.4 ou 5.15 du noyau et ne sont pas affectées. Pour en savoir plus et obtenir des instructions, consultez les ressources suivantes: |
Élevés | CVE-2022-1786 |
GCP-2022-016
Date de publication:23-06-2022
Dernière mise à jour:22-11-2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 22/11/2022 : Les clusters Autopilot ne sont pas affectés par CVE-2022-29581, mais sont vulnérables aux failles CVE-2022-29582 et CVE-2022-1116. Trois nouvelles failles de mémoire (CVE-2022-29581, CVE-2022-29582 et CVE-2022-1116) ont été détectées dans le noyau Linux. Ces failles permettent à un utilisateur non privilégié disposant d'un accès local au cluster d'effectuer une répartition complète des conteneurs en s'appuyant sur le nœud. Tous les clusters Linux (Container-Optimized OS et Ubuntu) sont affectés. Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants: |
Élevés |
GCP-2022-015
Date de publication : 09-06-2022
Dernière mise à jour : 10-06-2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 10/06/2022:Les versions d'Anthos Service Mesh ont été mises à jour. Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité d'Anthos Service Mesh. Les failles CVE Envoy et Istio suivantes exposent Anthos Service Mesh et Istio sur GKE à des failles exploitables à distance :
Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité d'Anthos Service Mesh. |
Critique |
GCP-2022-014
Date de publication:26-04-2022
Dernière mise à jour:22-11-2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 22/11/2022:les clusters et les charges de travail GKE Autopilot exécutés dans GKE Sandbox ne sont pas affectés. Mise à jour du 12/05/2022:Les clusters Anthos sur AWS et Anthos on Azure ont été mis à jour. Pour en savoir plus et obtenir des instructions, consultez les pages suivantes: Deux failles de sécurité, CVE-2022-1055 et CVE-2022-27666, ont été détectées dans le noyau Linux. Chacune d'entre elles peut permettre à un pirate informatique local d'effectuer une interruption des conteneurs, une élévation des privilèges sur l'hôte, ou les deux. Ces failles affectent tous les systèmes d'exploitation du nœud GKE (Container-Optimized OS et Ubuntu). Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
Élevés |
CVE-2022-1055 CVE-2022-27666 |
GCP-2022-013
Date de publication : 11-04-2022
Dernière mise à jour : 22-04-2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille de sécurité, CVE-2022-23648, a été détectée dans la gestion du balayage de chemin d'accès de containerd dans la spécification du volume d'images OCI. Les conteneurs lancés via l'implémentation CRI de containerd avec une configuration d'image spécialement conçue à cet effet peuvent bénéficier d'un accès en lecture complet aux fichiers et répertoires arbitraires de l'hôte. Cette faille peut contourner toute application basée sur des règles lors de la configuration du conteneur (y compris une stratégie de sécurité des pods Kubernetes). Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
Moyen | CVE-2022-23648 |
GCP-2022-012
Date de publication : 07-04-2022
Dernière mise à jour : 22-11-2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 22/11/2022:Pour les clusters GKE dans ces deux modes (standard et Autopilot), les charges de travail utilisant GKE Sandbox ne sont pas affectées. Une faille de sécurité, CVE-2022-0847, a été détectée dans les versions 5.8 et ultérieures du noyau Linux. Celle-ci peut potentiellement faire remonter les droits du conteneur à la racine. Cette faille affecte les produits suivants:
Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
Élevés | CVE-2022-0847 |
GCP-2022-011
Date de publication : 22-03-2022
Dernière mise à jour : 11-08-2022
Description
Description | Gravité |
---|---|
Mise à jour du 11/08/2022 : ajout d'informations sur la configuration multithread (Simultaneous Multi-Threading) . SMT était destiné à être désactivé, mais il a été activé sur les versions répertoriées. Si vous avez activé manuellement SMT pour un pool de nœuds en bac à sable, SMT restera activé manuellement, malgré ce problème. Il existe une erreur de configuration avec le mode SMT (Simultaneous Multi-Threading), également appelé Hyper-Threading, sur les images GKE Sandbox. L'erreur de configuration laisse des nœuds potentiellement exposés à des attaques de versions secondaires, telles que l'échantillonnage des données microarchitecturales (pour en savoir plus, consultez la documentation de GKE Sandbox). Nous vous déconseillons d'utiliser les versions concernées suivantes :
Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité de GKE. |
Moyen |
GCP-2022-010
Description
Description | Niveau de gravité | Remarques |
---|---|---|
La faille CVE Istio suivante expose Anthos Service Mesh à une faille exploitable à distance:
Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité suivant: |
Élevés |
GCP-2022-009
Date de publication:01-03-2022Description
Description | Gravité |
---|---|
Certains chemins inattendus permettant d'accéder à la VM de nœud sur les clusters GKE Autopilot auraient pu être utilisés pour une élévation des privilèges dans le cluster. Ces problèmes ont été corrigés et aucune autre action n'est requise. Ces correctifs permettent de résoudre les problèmes signalés via notre Vulnerability Reward Program. Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité de GKE. |
Faible |
GCP-2022-008
Date de publication:23-02-2022
Dernière mise à jour: 28-04-2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 28/04/2022: ajout de versions des clusters Anthos sur VMware qui corrigent ces failles. Pour en savoir plus, consultez le bulletin de sécurité des clusters Anthos sur VMware. Le projet Envoy a récemment découvert un ensemble de failles. Tous les problèmes répertoriés ci-dessous sont résolus dans la version 1.21.1 d'Envoy.
Que dois-je faire ? Les utilisateurs Envoy qui gèrent leurs propres Envoy doivent s'assurer qu'ils utilisent Envoy 1.21.1. Les utilisateurs Envoy qui gèrent leurs propres Envoy créent les binaires à partir d'une source telle que GitHub et les déploient. Aucune action n'est requise de la part des utilisateurs exécutant des Envoy gérés (Google Cloud fournit les binaires Envoy), pour lesquels les produits Google Cloud passeront à la version 1.21.1. |
Élevés | : |
GCP-2022-007
Date de publication : 22/02/2022Description
Description | Niveau de gravité | Remarques |
---|---|---|
Les failles CVE Envoy et Istio suivantes exposent Anthos Service Mesh et Istio sur GKE à des failles exploitables à distance:
Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants: |
Élevés |
GCP-2022-006
Date de publication : 14-02-2022Dernière mise à jour : 16-05-2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 16/05/2022 : ajout de la version 1.19.16-gke.7800 de GKE à la liste des versions contenant du code pour corriger cette faille. Pour en savoir plus, consultez le bulletin de sécurité de GKE. Mise à jour du 12/05/2022:Les versions de GKE, Clusters Anthos sur VMware, Anthos sur AWS et Anthos on Azure ont été mises à jour. Pour en savoir plus et obtenir des instructions, consultez les pages suivantes:
Une faille de sécurité, CVE-2022-0492, a été détectée dans la fonction |
Faible |
Pour en savoir plus et obtenir des instructions, consultez les ressources suivantes: |
GCP-2022-005
Date de publication:11-02-2022Dernière mise à jour: 15-02-2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille de sécurité, CVE-2021-43527, a été détectée dans tout binaire lié aux versions vulnérables de libnss3 trouvées dans les versions NSS (Network Security Services) antérieures à la version 3.73 ou 3.68.1. Les applications utilisant NSS pour la validation du certificat ou d'autres fonctionnalités TLS, X.509, OCSP ou CRL peuvent être affectées, suivant la manière dont NSS est utilisé/configuré. Pour en savoir plus et obtenir des instructions, consultez les ressources suivantes: |
Moyen | CVE-2021-43527 |
GCP-2022-004
Date de publication : 04/02/2022Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille de sécurité, CVE-2021-4034, a été détectée dans pkexec, une partie du package du kit de règles Linux (polkit), qui permet à un utilisateur authentifié d'effectuer une attaque d'élévation des privilèges. PolicyKit n'est généralement utilisé que sur les systèmes de bureau Linux pour permettre aux utilisateurs non racines d'effectuer des actions telles que le redémarrage du système, l'installation de packages ou le redémarrage de services conformément à une règle. Pour en savoir plus et obtenir des instructions, consultez les ressources suivantes: |
Aucune | CVE-2021-4034 |
GCP-2022-002
Date de publication : 01-02-2022Dernière mise à jour : 25-02-2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 25/02/2022 : Les versions de GKE ont été mises à jour. Pour en savoir plus et obtenir des instructions, consultez les pages suivantes: Mise à jour du 23/02/2022: Les clusters GKE et Anthos sur VMware ont été mis à jour. Pour en savoir plus et obtenir des instructions, consultez les pages suivantes: Mise à jour du 04-02-2022 : la date de début du déploiement des versions de correctif de GKE était le 2 février. Trois failles de sécurité : CVE-2021-4154, CVE-2021-22600 et CVE-2022-0185 ont été découvertes dans le noyau Linux, chacune pouvant entraîner une rupture de conteneur, une élévation des privilèges sur l'hôte ou les deux. Ces failles affectent tous les systèmes d'exploitation de nœud (COS et Ubuntu) sur GKE, les clusters Anthos sur VMware, les clusters Anthos sur AWS (génération actuelle et précédente) et Anthos on Azure. Les pods utilisant GKE Sandbox ne sont pas vulnérables à ces failles. Pour en savoir plus, consultez la page Notes de version. Pour en savoir plus et obtenir des instructions, consultez les ressources suivantes: |
Élevés |
GCP-2022-001
Date de publication:06-01-2022Description
Description | Niveau de gravité | Remarques |
---|---|---|
Un potentiel déni de service dans Que dois-je faire ? Assurez-vous d'utiliser les dernières versions des packages logiciels suivants:
Les utilisateurs Protobuf "javalite" (généralement Android) ne sont pas concernés. Quelles failles ce correctif permet-il de résoudre ? Ce correctif réduit les risques liés à la faille suivante : L'analyse des champs inconnus en Java présente une faiblesse en matière d'implémentation. Une petite charge utile (environ 800 Ko) peut occuper l'analyseur pendant plusieurs minutes en créant un grand nombre d'objets de courte durée, ce qui entraîne des pauses fréquentes et répétées dans la récupération de mémoire. |
Élevés | CVE-2021-22569 |
GCP-2021-024
Date de publication:21-10-2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Un problème de sécurité a été détecté dans le contrôleur Kubernetes ingress-nginx, CVE-2021-25742. Les extraits personnalisés ingress-nginx permettent la récupération des jetons de compte de service ingress-nginx et des secrets sur tous les espaces de noms. Pour en savoir plus et obtenir des instructions, consultez les ressources suivantes: | Aucune | CVE-2021-25742 |
GCP-2021-019
Date de publication : 29-09-2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Il existe un problème connu lorsque la mise à jour d'une ressource Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité de GKE. |
Faible |
GCP-2021-022
Date de publication:22/09/2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille a été détectée dans le module LDAP Anthos Identity Service (AIS) des versions 1.8 et 1.8.1 d'Anthos Clusters on VMware, où une clé initiale utilisée dans la génération de clés est prévisible. Avec cette faille, un utilisateur authentifié peut ajouter des revendications arbitraires et élever les privilèges indéfiniment. Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Anthos clusters on VMware. |
Élevés |
GCP-2021-021
Date de publication : 22/09/2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille de sécurité, CVE-2020-8561, a été détectée dans Kubernetes. Certains webhooks peuvent être effectués pour rediriger les requêtes kube-apiserver vers des réseaux privés de cette API. Pour en savoir plus et obtenir des instructions, consultez les ressources suivantes: |
Moyen | CVE-2020-8561 |
GCP-2021-023
Date de publication : 21-09-2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Conformément à l'avis de sécurité VMSA-2021-0020, VMware a reçu des rapports concernant plusieurs failles dans vCenter. VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés. Nous avons déjà appliqué les correctifs fournis par VMware pour la pile vSphere à Google Cloud VMware Engine, conformément à l'avis de sécurité VMware. Cette mise à jour résout les failles de sécurité décrites dans CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 et CVE-2021-22010. D'autres problèmes de sécurité non critiques seront résolus dans la prochaine mise à niveau de la pile VMware (selon l'avis préalable envoyé en juillet, des détails supplémentaires seront bientôt fournis dans la chronologie spécifique de la mise à niveau). Impact sur VMware EngineD'après nos investigations, aucun client n'a été touché. Que dois-je faire ?Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise. |
Critique |
GCP-2021-020
Date de publication : 17-09-2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Certains équilibreurs de charge Google Cloud qui acheminent vers un service de backend Identity-Aware Proxy (IAP) peuvent être vulnérables à une partie non approuvée dans des conditions limitées. Ce changement résout un problème signalé via notre Vulnerability Reward Program. Les conditions étaient les suivantes :
De plus, un utilisateur de votre organisation doit avoir cliqué sur un lien spécialement créé qui a été envoyé par une partie non approuvée. Le problème a donc été résolu. IAP a été mis à jour pour émettre des cookies uniquement vers les hôtes autorisés depuis le 17 septembre 2021. Un hôte est considéré comme étant autorisé s'il correspond à au moins un SAN (Subject Alternative Name, nom alternatif du sujet) dans l'un des certificats installés sur vos équilibreurs de charge. Que devez-vous faire ?
Certains de vos utilisateurs pourraient recevoir une réponse "HTTP 401: Unauthorized" accompagnée du code d'erreur 52 d'IAP en essayant d'accéder à vos applications ou services. Ce code d'erreur signifie que le client a envoyé un en-tête |
Élevé |
GCP-2021-018
Date de publication:15-09-2021Dernière mise à jour:20-09-2021
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Un problème de sécurité a été détecté dans Kubernetes, CVE-2021-25741, où un utilisateur peut créer un conteneur avec des montages de volume de sous-chemin pour accéder aux fichiers et répertoires en dehors du volume, y compris sur le système de fichiers hôte. Pour en savoir plus et obtenir des instructions, consultez les ressources suivantes: |
Élevés | CVE-2021-25741 |
GCP-2021-017
Date de publication:01-09-2021Dernière mise à jour:23-09-2021
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 23-09-2021 : les conteneurs s'exécutant dans GKE Sandbox ne sont pas affectés par cette faille pour les attaques provenant du conteneur. Deux failles de sécurité, CVE-2021-33909 et CVE-2021-33910, ont été détectées dans le noyau Linux. Elles peuvent provoquer un plantage du système d'exploitation ou une escalade vers la racine par un utilisateur non privilégié. Cette faille affecte tous les systèmes d'exploitation du nœud GKE (COS et Ubuntu). Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
Élevé | CVE-2021-33909, CVE-2021-33910 |
GCP-2021-016
Date de publication:24-08-2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Les failles CVE Envoy et Istio suivantes exposent Anthos Service Mesh et Istio sur GKE à des failles exploitables à distance :
Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
Élevés |
GCP-2021-015
Date de publication : 13-07-2021Dernière mise à jour : 15-07-2021
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une nouvelle faille de sécurité, CVE-2021-22555, a été détectée dans laquelle un acteur malveillant doté de privilèges Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
Élevé | CVE-2021-22555 |
GCP-2021-014
Date de publication : 05/07/2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Microsoft a publié un bulletin de sécurité sur la faille d'exécution de code à distance (RCE, Remote Code Execution) CVE-2021-34527, qui affecte le spouleur d'impression sur les serveurs Windows. Le CERT Coordination Center (CERT/CC) a publié une note de mise à jour sur une faille similaire, surnommée "PrintNightmare", qui affecte également les spouleurs d'impression Windows : PrintNightmare, Critical Windows Print Spooler Vulnerability. Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité de GKE. |
Élevés | CVE-2021-34527 |
GCP-2021-012
Date de publication:24-06-2021Dernière mise à jour:09-07-2021
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Le projet Istio a récemment annoncé une faille de sécurité dans laquelle les identifiants spécifiés dans le champ "GatewayGateway" et "DestinationRule credentialName" sont accessibles depuis différents espaces de noms. Pour en savoir plus sur les produits concernés et obtenir plus d'informations, consultez les pages suivantes :
|
Élevés | CVE-2021-34824 |
GCP-2021-011
Date de publication:04-06-2021Dernière mise à jour:19-10-2021
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 19-10-2021 : Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants :
La communauté de sécurité a récemment divulgué une nouvelle faille de sécurité (CVE-2021-30465) dans Pour GKE, étant donné que l'exploitation de cette faille nécessite la création de pods, nous avons évalué la gravité de cette faille sur MOYEN. Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité de GKE. |
Moyen | CVE-2021-30465 |
GCP-2021-010
Date de publication : 2021-05-25Description
Description | Niveau de gravité | Remarques |
---|---|---|
Selon l'avis de sécurité VMware VMSA-2021-0010, les failles liées à l'exécution du code distant et au contournement de l'authentification du client vSphere (HTML5) ont été signalées à VMware de manière privée. VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés. Nous avons appliqué les correctifs fournis par VMware pour la pile vSphere conformément à l'avis de sécurité VMware. Cette mise à jour résout les failles de sécurité décrites dans les documents CVE-2021-21985 et CVE-2021-21986 Les versions d'image exécutées dans votre cloud privé VMware Engine ne reflètent pour le moment aucune modification indiquant les correctifs appliqués. Sachez que les correctifs appropriés ont été installés et que votre environnement est protégé contre ces failles. Impact sur VMware EngineD'après nos investigations, aucun client n'a été touché. Que dois-je faire ?Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise. |
Critique |
GCP-2021-008
Date de publication:17-05-2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Istio présente une faille exploitable à distance permettant à un client externe d'accéder à des services inattendus du cluster, en contournant les vérifications d'autorisation, lorsqu'une passerelle est configurée avec une configuration de routage Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Anthos Service Mesh. |
Élevés |
CVE-2021-31921 |
GCP-2021-007
Date de publication : 17-05-2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Istio contient une faille exploitable à distance : un chemin de requête HTTP comportant plusieurs barres obliques ou caractères d'échappement ( Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Anthos Service Mesh. |
Élevés |
CVE-2021-31920 |
GCP-2021-006
Date de publication : 11/05/2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Le projet Istio a récemment divulgué une nouvelle faille de sécurité (CVE-2021-31920) affectant Istio. Istio contient une faille exploitable à distance : une requête HTTP comportant plusieurs barres obliques ou caractères d'échappement peut contourner une règle d'autorisation Istio lorsque des règles d'autorisation basées sur le chemin sont utilisées. Pour en savoir plus et obtenir des instructions, consultez les ressources suivantes: |
Élevé |
CVE-2021-31920 |
GCP-2021-005
Date de publication : 11/05/2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille signalée a montré qu'Envoy ne décode pas les séquences de barres obliques échappées Que dois-je faire ?
Si les serveurs backend traitent Quels changements de comportement ont été introduits ?Les options normalize_path et merge adjacent slashes d'Envoy ont été activées pour corriger les autres failles courantes de confusion des chemins d'accès dans les produits basés sur Envoy. |
Élevés |
CVE-2021-29492 |
GCP-2021-004
Date de publication:06/05/2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Les projets Envoy et Istio ont récemment annoncé l'apparition de plusieurs nouvelles failles de sécurité (CVE-2021-28683, CVE-2021-28682 et CVE-2021-29258), qui pouvaient provoquer le plantage d'Envoy. Les clusters Google Kubernetes Engine n'exécutent pas Istio par défaut et ne sont pas vulnérables. Si Istio a été installé dans un cluster et est configuré pour exposer des services sur Internet, ces services peuvent être vulnérables aux attaques par déni de service. Les clusters Anthos on bare metal et Anthos sur VMware utilisent Envoy par défaut pour Ingress. Par conséquent, les services Ingress risquent d'être vulnérables aux attaques par déni de service. Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
Moyen |
GCP-2021-003
Date de publication : 19-04-2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Le projet Kubernetes a annoncé récemment une nouvelle faille de sécurité, CVE-2021-25735, qui pourrait permettre aux mises à jour de nœuds de contourner un webhook d'admission de validation.
Dans un scénario dans lequel un pirate informatique dispose de privilèges suffisants, et lorsqu'un webhook d'admission de validation est mis en œuvre à l'aide d'anciennes propriétés d'objet Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
Moyen |
GCP-2021-002
Date de publication : 05/03/2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Conformément à l'avis de sécurité VMware VMSA-2021-0002, VMware a reçu des rapports concernant plusieurs failles dans VMware ESXi et le client vSphere (HTML5). VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés. Nous avons appliqué les solutions de contournement officiellement décrites pour la pile vSphere conformément à l'avis de sécurité de VMware. Cette mise à jour concerne les failles de sécurité décrites dans les documents CVE-2021-21972, CVE-2021-21973 et CVE-2021-21974. Impact sur VMware EngineD'après nos investigations, aucun client n'a été touché. Que dois-je faire ?Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise. |
Critique |
GCP-2021-001
Date de publication : 28-01-2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille a été récemment découverte dans l'utilitaire Linux L'infrastructure sous-jacente qui exécute Compute Engine n'est pas affectée par cette faille. Tous les clusters Google Kubernetes Engine (GKE), Anthos clusters on VMware, Anthos clusters on AWS et Anthos sur solution Bare Metal ne sont pas affectés par cette faille. Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
Aucune | CVE-2021-3156 |
GCP-2020-015
Date de publication : 07-12-2020Dernière mise à jour : 22-12-2020
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour: 22/12/2021 La commande pour GKE décrite dans la section suivante doit utiliser gcloud container clusters update –no-enable-service-externalips Mise à jour du 15/12/2021 concernant GKE: les mesures suivantes sont désormais disponibles :
Pour en savoir plus, consultez la page Renforcer la sécurité d'un cluster. Le projet Kubernetes a récemment découvert une nouvelle faille de sécurité : CVE-2020-8554. Celle-ci peut permettre à un pirate informatique ayant obtenu les autorisations nécessaires pour créer un service Kubernetes de type LoadBalancer ou ClusterIP d'intercepter le trafic réseau provenant d'autres pods du cluster. Cette faille, en elle-même, ne permet pas au pirate informatique de créer un service Kubernetes. Tous les clusters Google Kubernetes Engine (GKE), Anthos clusters on VMware et Anthos clusters on AWS sont affectés par cette faille. Que dois-je faire ?Pour en savoir plus et obtenir des instructions, consultez les pages suivantes : |
Moyen |
CVE-2020-8554 |
GCP-2020-014
Date de publication : 20-10-2020Dernière mise à jour : 20-10-2020
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Le projet Kubernetes a récemment découvert plusieurs problèmes qui permettent l'exposition des données des secrets lors de l'activation des options de journalisation détaillée. Les problèmes sont les suivants :
Que dois-je faire ?Aucune autre action n'est requise en raison des niveaux de journalisation détaillée par défaut de GKE. |
Aucune |
Impact sur Google Cloud
Des informations pour chaque produit sont répertoriées ci-dessous.
Produit |
Impact |
---|---|
Google Kubernetes Engine (GKE) n'est pas affecté. |
|
GKE On-Prem n'est pas affecté. |
|
GKE sur AWS n'est pas affecté. |
GCP-2020-013
Date de publication : 29-09-2020Description
Microsoft a divulgué la faille suivante :
Faille |
Gravité |
CVE |
---|---|---|
CVE-2020-1472 Une faille dans Windows Server permet aux pirates informatiques d'utiliser le protocole distant Netlogon pour exécuter une application spécialement conçue sur un appareil du réseau. |
Score de base NVD : 10 (critique) |
Pour en savoir plus, consultez la divulgation de Microsoft.
Impact sur Google Cloud
L'infrastructure hébergeant les produits Google Cloud et Google n'est pas affectée par cette faille. Des informations complémentaires pour chaque produit sont répertoriées ci-dessous.
Produit |
Impact |
---|---|
Compute Engine |
CVE-2020-1472 |
Google Kubernetes Engine |
CVE-2020-1472 |
Service géré pour Microsoft Active Directory |
CVE-2020-1472 |
Google Workspace |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Environnement standard App Engine |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Environnement flexible App Engine |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Run |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Functions |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Composer |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Dataflow |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Dataproc |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud SQL |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
GCP-2020-012
Date de publication: 14-09-2020Dernière mise à jour: 17-09-2020
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille a été récemment découverte dans le noyau Linux, décrite dans CVE-2020-14386, qui permet de s'échapper d'un conteneur pour obtenir un accès root sur le nœud hôte. Tous les nœuds GKE sont affectés. Les pods exécutés dans GKE Sandbox ne peuvent pas exploiter cette faille. Pour en savoir plus et obtenir des instructions, consultez les ressources suivantes:
Quelle faille ce correctif permet-il de résoudre ? Ce correctif réduit les risques liés à la faille suivante : La faille CVE-2020-14386, qui permet aux conteneurs avec CAP_NET_RAW d'écrire de 1 à 10 octets de mémoire du noyau, d'échapper le conteneur et d'obtenir des privilèges racine sur le nœud hôte. La gravité de cette faille est évaluée comme élevée. |
Élevés |
GCP-2020-011
Date de publication:24-07-2020Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille réseau, CVE-2020-8558, a été récemment détectée dans Kubernetes. Les services communiquent parfois avec d'autres applications s'exécutant dans le même pod à l'aide de l'interface de rebouclage local (127.0.0.1). Cette faille permet à un pirate informatique ayant accès au réseau du cluster d'envoyer du trafic à l'interface de rebouclage des pods et nœuds adjacents. Les services reposant sur l'interface de rebouclage et non accessibles en dehors de leur pod peuvent être exploités. Pour en savoir plus et obtenir des instructions, consultez les ressources suivantes: |
Faible (GKE et Anthos clusters on AWS), |
GCP-2020-010
Date de publication : 27-07-2020Description
Microsoft a divulgué la faille suivante :
Faille |
Gravité |
CVE |
---|---|---|
CVE-2020-1350 : les serveurs Windows qui diffusent avec une capacité de serveur DNS peuvent être exploités par le compte système local pour exécuter du code non approuvé. |
Score de base NVD : 10,0 (critique) |
Pour en savoir plus, consultez la divulgation de Microsoft.
Impact sur Google Cloud
L'infrastructure hébergeant les produits Google Cloud et Google n'est pas affectée par cette faille. Des informations complémentaires pour chaque produit sont répertoriées ci-dessous.
Produit |
Impact |
---|---|
Compute Engine |
CVE-2020-1350 |
Google Kubernetes Engine |
CVE-2020-1350 |
Service géré pour Microsoft Active Directory |
CVE-2020-1350 |
Google Workspace |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Environnement standard App Engine |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Environnement flexible App Engine |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Run |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Functions |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Composer |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Dataflow |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Dataproc |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud SQL |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
GCP-2020-009
Date de publication : 15-07-2020Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille d'élévation des privilèges, CVE-2020-8559, a été récemment détectée dans Kubernetes. Cette faille permet à un pirate informatique ayant déjà compromis un nœud d'exécuter une commande dans n'importe quel pod du cluster. Le pirate peut ainsi utiliser le nœud déjà compromis pour en compromettre d'autres et potentiellement lire des informations, ou provoquer des actions de destruction. Notez que pour qu'un pirate informatique puisse exploiter cette faille, un nœud de votre cluster doit déjà avoir été compromis. Cette faille, en elle-même, ne compromettra pas les nœuds de votre cluster. Pour en savoir plus et obtenir des instructions, consultez les ressources suivantes: |
Moyen |
GCP-2020-008
Date de publication : 19-06-2020Description
Description | Niveau de gravité | Remarques |
---|---|---|
DescriptionLes VM pour lesquelles OS Login est activé peuvent être exposées aux failles d'élévation des privilèges. Ces failles permettent aux utilisateurs disposant d'autorisations OS Login (mais pas d'un accès administrateur) de remonter jusqu'à l'accès racine dans la VM. Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Compute Engine.
|
Élevés |
GCP-2020-007
Date de publication:01-06-2020Description
Description | Niveau de gravité | Remarques |
---|---|---|
La faille SSRF (Server Side Request Forgery) CVE-2020-8555 a été détectée dans Kubernetes. Elle permet à certains utilisateurs autorisés de divulguer jusqu'à 500 octets d'informations sensibles à partir du réseau hôte du plan de contrôle. Le plan de contrôle de Google Kubernetes Engine (GKE) utilise des contrôleurs de Kubernetes et est donc affecté par cette faille. Nous vous recommandons de mettre à niveau le plan de contrôle vers la dernière version du correctif. Aucune mise à niveau de nœud n'est requise. Pour en savoir plus et obtenir des instructions, consultez les ressources suivantes: |
Moyen |
GCP-2020-006
Date de publication : 01-06-2020Description
Description | Niveau de gravité | Remarques |
---|---|---|
Kubernetes a divulgué une faille qui permet à un conteneur privilégié de rediriger le trafic de nœuds vers un autre conteneur. Le trafic TLS/SSH mutuel (entre le kubelet et le serveur d'API, ou en provenance d'applications via le protocole mTLS) ne peut pas être lu ni modifié par cette attaque. Tous les nœuds Google Kubernetes Engine (GKE) sont affectés par cette faille. Par conséquent, nous vous recommandons de procéder à la mise à niveau vers la dernière version du correctif. Pour en savoir plus et obtenir des instructions, consultez les ressources suivantes: |
Moyen |
GCP-2020-005
Date de publication:07/05/2020Description
Faille |
Gravité |
CVE |
---|---|---|
La faille CVE-2020-8835 a été récemment découverte dans le noyau Linux. Elle permet de "s'échapper d'un conteneur" pour obtenir un accès root (racine) sur le nœud hôte. Cette faille affecte les nœuds Ubuntu exécutant Google Kubernetes Engine (GKE) exécutant les versions 1.16 ou 1.17. Nous vous recommandons donc d'effectuer dès que possible une mise à niveau vers la dernière version du correctif. Veuillez consulter le bulletin de sécurité de GKE pour en savoir plus et obtenir des instructions. |
Élevés |
GCP-2020-004
Date de publication : 31-03-2020Dernière mise à jour : 31-03-2020
Description
Kubernetes a divulgué les failles suivantes :
Faille |
Gravité |
CVE |
---|---|---|
CVE-2019-11254 : faille de déni de service (DoS) affectant le serveur d'API |
Moyen |
Consultez le bulletin de sécurité Anthos clusters on VMware pour obtenir des instructions et en savoir plus.
GCP-2020-003
Date de publication: 31-03-2020Dernière mise à jour: 31-03-2020
Description
Kubernetes a divulgué les failles suivantes :
Faille |
Gravité |
CVE |
---|---|---|
CVE-2019-11254 : faille de déni de service (DoS) affectant le serveur d'API |
Moyen |
Consultez le bulletin de sécurité de GKE pour en savoir plus et obtenir des instructions.
GCP-2020-002
Date de publication : 23-03-2020Dernière mise à jour : 23-03-2020
Description
Kubernetes a divulgué les failles suivantes :
Faille |
Gravité |
CVE |
---|---|---|
CVE-2020-8551 : faille de déni de service (DoS) affectant le kubelet. |
Moyen |
|
CVE-2020-8552 : faille de déni de service (DoS) affectant le serveur d'API |
Moyen |
Consultez le bulletin de sécurité de GKE pour en savoir plus et obtenir des instructions.
GCP-2020-001
Date de publication: 21-01-2020Dernière mise à jour: 21-01-2020
Description
Microsoft a divulgué la faille suivante :
Faille |
Gravité |
CVE |
---|---|---|
CVE-2020-0601 : cette faille est également appelée "faille de spoofing de l'API Windows Crypto". Elle pourrait être exploitée pour rendre des exécutables malveillants considérés comme fiables, ou permettre au pirate informatique d'effectuer des attaques MITM ("man in the middle") et de déchiffrer des informations confidentielles lors de la connexion des utilisateurs au logiciel concerné. |
Score de base NVD : 8,1 (élevé) |
Pour en savoir plus, consultez la divulgation de Microsoft.
Impact sur Google Cloud
L'infrastructure hébergeant les produits Google Cloud et Google n'est pas affectée par cette faille. Des informations complémentaires pour chaque produit sont répertoriées ci-dessous.
Produit |
Impact |
---|---|
Compute Engine |
CVE-2020-0601 |
Google Kubernetes Engine |
CVE-2020-0601 |
Service géré pour Microsoft Active Directory |
CVE-2020-0601 |
Google Workspace |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Environnement standard App Engine |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Environnement flexible App Engine |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Run |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Functions |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Composer |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Dataflow |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Dataproc |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud SQL |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
GCP-2019-001
Date de publication : 12-11-2019Dernière mise à jour : 12-11-2019
Description
Intel a divulgué les failles suivantes :
Faille |
Gravité |
CVE |
---|---|---|
CVE-2019-11135 — Cette faille s'intitule "TSX Asynchronous Abort" (abandon asynchrone de TSX). Elle peut être exploitée à des fins d'exécution spéculative au sein d'une transaction TSX. En raison de l'exposition de structures de données permise par l'échantillonnage de données microarchitectural, cette faille présente un risque de divulgation des données. |
Moyen |
|
CVE-2018-12207 — Faille de déni de service (DoS) qui concerne les hôtes de machines virtuelles et non les invités. Cette faille s'intitule "Machine Check Error on Page Size Change" (erreur de vérification machine lors du changement de format de page). |
Moyen |
Pour en savoir plus, consultez les divulgations d'Intel :
Impact sur Google Cloud
L'infrastructure d'hébergement des produits Google Cloud et Google est invulnérable à ces failles. Des informations complémentaires pour chaque produit sont répertoriées ci-dessous.
Produit |
Impact |
---|---|
Compute Engine |
CVE-2019-11135 CVE-2018-12207 |
Google Kubernetes Engine |
CVE-2019-11135 CVE-2018-12207 |
Environnement standard App Engine |
Aucune autre action n'est requise. |
Environnement flexible App Engine |
CVE-2019-11135 CVE-2018-12207 |
Cloud Run |
Aucune autre action n'est requise. |
Cloud Functions |
Aucune autre action n'est requise. |
Cloud Composer |
Aucune autre action n'est requise. |
Dataflow |
CVE-2019-11135 CVE-2018-12207 |
Dataproc |
CVE-2019-11135 CVE-2018-12207 |
Cloud SQL |
Aucune autre action n'est requise. |