Les bulletins de sécurité suivants concernent les produits Google Cloud.
Utilisez ce flux XML pour vous abonner aux bulletins de sécurité de la présente page.
GCP-2022-014
Date de publication:26/04/2022
Date de mise à jour:12/05/2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 12/05/2022 : les clusters Anthos sur AWS et Anthos sur Azure ont été mis à jour. Pour obtenir des instructions et plus d'informations, consultez les pages suivantes: Deux failles de sécurité, CVE-2022-1055 et CVE-2022-27666, ont été détectées dans le noyau Linux. Chacune d'entre elles peut permettre à un pirate informatique local d'effectuer une interruption des conteneurs, une élévation des privilèges sur l'hôte, ou les deux. Ces failles affectent tous les systèmes d'exploitation du nœud GKE (Container-Optimized OS et Ubuntu). Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
High |
CVE-2022-1055 CVE-2022-27666 |
GCP-2022-013
Date de publication : 11/04/2022
Date de mise à jour : 22/04/2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille de sécurité, CVE-2022-23648, a été détectée dans la gestion du balayage de chemin d'accès de containerd dans la spécification du volume d'images OCI. Les conteneurs lancés via l'implémentation CRI de containerd avec une configuration d'image spécialement conçue à cet effet peuvent bénéficier d'un accès en lecture complet aux fichiers et répertoires arbitraires de l'hôte. Cette faille peut contourner toute application basée sur des règles lors de la configuration du conteneur (y compris une stratégie de sécurité des pods Kubernetes). Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
Moyenne | CVE-2022-23648 |
GCP-2022-012
Date de publication : 07/04/2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille de sécurité, CVE-2022-0847, a été détectée dans les versions 5.8 et ultérieures du noyau Linux. Celle-ci peut potentiellement faire remonter les droits du conteneur à la racine. Cette faille affecte les produits suivants:
Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
High | CVE-2022-0847 |
GCP-2022-011
Date de publication : 22/03/2022
Description
Description | Gravité |
---|---|
Il existe une erreur de configuration avec le mode SMT (Simultaneous Multi-Threading), également appelé Hyper-Threading, sur les images GKE Sandbox. L'erreur de configuration laisse des nœuds potentiellement exposés à des attaques de versions secondaires, telles que l'échantillonnage des données microarchitecturales (pour en savoir plus, consultez la documentation de GKE Sandbox). Nous vous déconseillons d'utiliser les versions concernées suivantes :
Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité GKE. |
Moyenne |
GCP-2022-010
Description
Description | Niveau de gravité | Remarques |
---|---|---|
La référence Istio CVE suivante expose Anthos Service Mesh à une faille exploitable à distance:
Pour obtenir des instructions et plus de détails, consultez le bulletin de sécurité suivant: |
High |
GCP-2022-009
Date de publication : 01/03/2022Description
Description | Gravité |
---|---|
Certains chemins inattendus permettant d'accéder à la VM de nœud sur les clusters GKE Autopilot auraient pu être utilisés pour une élévation des privilèges dans le cluster. Ces problèmes ont été corrigés et aucune autre action n'est requise. Ces correctifs permettent de résoudre les problèmes signalés via notre Vulnerability Reward Program. Pour en savoir plus et obtenir des informations détaillées, consultez le bulletin de sécurité GKE. |
Faible |
GCP-2022-008
Date de publication:23/02/2022
Dernière mise à jour: 28/04/2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 28/04/2022: ajout de versions des clusters Anthos sur VMware qui corrigent ces failles. Pour en savoir plus, consultez le bulletin de sécurité d'Anthos Clusters sur VMware. Le projet Envoy a récemment découvert un ensemble de failles. Tous les problèmes répertoriés ci-dessous sont résolus dans la version 1.21.1 d'Envoy.
Que dois-je faire ? Les utilisateurs Envoy qui gèrent leurs propres Envoy doivent s'assurer qu'ils utilisent la version 1.21.1 de Envoy. Les utilisateurs Envoy, qui gèrent leurs propres Envoy, créent les binaires à partir d'une source telle que GitHub et les déploient. Aucune action n'est requise de la part des utilisateurs exécutant des Envoy envoyés (GCP fournit les binaires Envoy), pour lesquels les produits Cloud passeront à la version 1.21.1. |
High | <ph type="x-smartling> |
GCP-2022-007
Date de publication : 22/02/2022Description
Description | Niveau de gravité | Remarques |
---|---|---|
Les points de terminaison CVE d'Istio et d'Istio suivants exposent Anthos Service Mesh et Istio sur GKE à des failles exploitables à distance:
Pour obtenir des instructions et obtenir plus d'informations, consultez les bulletins de sécurité suivants: |
High |
GCP-2022-006
Date de publication:2022-02-14Mise à jour: 2022-05-16
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 16/05/2022 : ajout de la version 1.19.16-gke.7800 de GKE à la liste des versions ayant du code pour corriger cette faille. Pour en savoir plus, consultez le bulletin de sécurité GKE. Mise à jour du 12/05/2022 : Les clusters GKE, Anthos sur Anthos, Clusters Anthos sur AWS et Anthos sur Azure ont été mis à jour. Pour obtenir des instructions et plus d'informations, consultez les pages suivantes:
Une faille de sécurité, CVE-2022-0492, a été détectée dans la fonction |
Faible |
Pour obtenir des instructions et plus d'informations, consultez les pages suivantes: |
GCP-2022-005
Date de publication : 11/02/2022Dernière mise à jour : 15/02/2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille de sécurité, CVE-2021-43527, a été détectée dans tout binaire lié aux versions vulnérables de libnss3 trouvées dans les versions NSS (Network Security Services) antérieures à la version 3.73 ou 3.68.1. Les applications utilisant NSS pour la validation du certificat ou d'autres fonctionnalités TLS, X.509, OCSP ou CRL peuvent être affectées, suivant la manière dont NSS est utilisé/configuré. Pour obtenir des instructions et plus d'informations, consultez les pages suivantes: |
Moyenne | CVE-2021-43527 |
GCP-2022-004
Date de publication:04/02/2022Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille de sécurité, CVE-2021-4034, a été détectée dans pkexec, une partie du package du kit de règles Linux (polkit), qui permet à un utilisateur authentifié d'effectuer une attaque d'élévation des privilèges. PolicyKit n'est généralement utilisé que sur les systèmes de bureau Linux pour permettre aux utilisateurs non racines d'effectuer des actions telles que le redémarrage du système, l'installation de packages ou le redémarrage de services conformément à une règle. Pour obtenir des instructions et plus d'informations, consultez les pages suivantes: |
Aucune | CVE-2021-4034 |
GCP-2022-002
Date de publication : 01/02/2022Mise à jour : 25/02/2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 25/02/2022 : les versions de GKE ont été mises à jour. Pour obtenir des instructions et plus d'informations, consultez les pages suivantes: Mise à jour du 23/02/2022: Les clusters GKE et Anthos sur VMware ont été mis à jour. Pour obtenir des instructions et plus d'informations, consultez les pages suivantes: Mise à jour du 04-02-2022 : la date de début du déploiement des versions de correctif de GKE était le 2 février. Trois failles de sécurité : CVE-2021-4154, CVE-2021-22600 et CVE-2022-0185 ont été découvertes dans le noyau Linux, chacune pouvant entraîner une rupture de conteneur, une élévation des privilèges sur l'hôte ou les deux. Ces failles affectent tous les systèmes d'exploitation de nœud (COS et Ubuntu) sur GKE, les clusters Anthos sur VMware, les clusters Anthos sur AWS (génération actuelle et précédente) et Anthos on Azure. Les pods utilisant GKE Sandbox ne sont pas vulnérables à ces failles. Pour en savoir plus, consultez la page Notes de version. Pour obtenir des instructions et plus d'informations, consultez les pages suivantes: |
High |
GCP 2022-001
Date de publication:06/01/2022Description
Description | Niveau de gravité | Remarques |
---|---|---|
Un problème potentiel de déni de service dans Que dois-je faire ? Assurez-vous d'utiliser les dernières versions des packages logiciels suivants:
Les développeurs et les utilisateurs (généralement Android) ne sont pas concernés. Quelles failles ce correctif permet-il de résoudre ? Ce correctif réduit les risques liés à la faille suivante : Faiblesse liée à la façon dont les champs inconnus sont analysés en Java. Une petite charge utile malveillante (environ 800 Ko) peut occuper l'analyseur pendant plusieurs minutes en créant un grand nombre d'objets de courte durée qui entraînent une mise en veille fréquente et répétée de la récupération de mémoire. |
High | CVE-2021-22569 |
GCP-2021-024
Date de publication:21/10/2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Un problème de sécurité a été détecté dans le contrôleur Kubernetes ingress-nginx, CVE-2021-25742. Les extraits personnalisés ingress-nginx permettent la récupération des jetons de compte de service ingress-nginx et des secrets sur tous les espaces de noms. Pour obtenir des instructions et plus d'informations, consultez les pages suivantes: | Aucune | CVE-2021-25742 |
GCP-2021-019
Date de publication:29/09/2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Il existe un problème connu lorsque la mise à jour d'une ressource Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité de GKE. |
Faible |
GCP-2021-022
Date de publication:22/09/2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille a été détectée dans le module LDAP Anthos Identity Service (AIS) des versions 1.8 et 1.8.1 d'Anthos Clusters on VMware, où une clé initiale utilisée dans la génération de clés est prévisible. Avec cette faille, un utilisateur authentifié peut ajouter des revendications arbitraires et élever les privilèges indéfiniment. Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Anthos clusters on VMware. |
High |
GCP-2021-021
Date de publication:22/09/2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille de sécurité, CVE-2020-8561, a été détectée dans Kubernetes. Certains webhooks peuvent être effectués pour rediriger les requêtes kube-apiserver vers des réseaux privés de cette API. Pour obtenir des instructions et plus d'informations, consultez les pages suivantes: |
Moyenne | CVE-2020-8561 |
GCP-2021-023
Date de publication:21/09/2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Conformément à l'avis de sécurité VMSA-2021-0020, VMware a reçu des rapports concernant plusieurs failles dans vCenter. VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés. Nous avons déjà appliqué les correctifs fournis par VMware pour la pile vSphere à Google Cloud VMware Engine, conformément à l'avis de sécurité VMware. Cette mise à jour résout les failles de sécurité décrites dans CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 et CVE-2021-22010. D'autres problèmes de sécurité non critiques seront résolus dans la prochaine mise à niveau de la pile VMware (selon l'avis préalable envoyé en juillet, des détails supplémentaires seront bientôt fournis dans la chronologie spécifique de la mise à niveau). Impact sur VMware EngineD'après nos investigations, aucun client n'a été touché. Que dois-je faire ?Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise. |
Critique |
GCP-2021-020
Date de publication:17/09/2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Certains équilibreurs de charge Google Cloud qui acheminent vers un service de backend Identity-Aware Proxy (IAP) peuvent être vulnérables à une partie non approuvée dans des conditions limitées. Ce changement résout un problème signalé via notre Vulnerability Reward Program. Les conditions étaient les suivantes :
De plus, un utilisateur de votre organisation doit avoir cliqué sur un lien spécialement créé qui a été envoyé par une partie non approuvée. Le problème a donc été résolu. IAP a été mis à jour pour émettre des cookies uniquement vers les hôtes autorisés depuis le 17 septembre 2021. Un hôte est considéré comme étant autorisé s'il correspond à au moins un SAN (Subject Alternative Name, nom alternatif du sujet) dans l'un des certificats installés sur vos équilibreurs de charge. Que devez-vous faire ?
Certains de vos utilisateurs pourraient recevoir une réponse "HTTP 401: Unauthorized" accompagnée du code d'erreur 52 d'IAP en essayant d'accéder à vos applications ou services. Ce code d'erreur signifie que le client a envoyé un en-tête |
Élevé |
GCP-2021-018
Date de publication : 15/09/2021Dernière mise à jour : 20/09/2021
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Un problème de sécurité a été détecté dans Kubernetes, CVE-2021-25741, où un utilisateur peut créer un conteneur avec des montages de volume de sous-chemin pour accéder aux fichiers et répertoires en dehors du volume, y compris sur le système de fichiers hôte. Pour obtenir des instructions et plus d'informations, consultez les pages suivantes: |
High | CVE-2021-25741 |
GCP-2021-017
Date de publication : 01/09/2021Dernière mise à jour : 23/09/2021
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 23-09-2021 : les conteneurs s'exécutant dans GKE Sandbox ne sont pas affectés par cette faille pour les attaques provenant du conteneur. Deux failles de sécurité, CVE-2021-33909 et CVE-2021-33910, ont été détectées dans le noyau Linux. Elles peuvent provoquer un plantage du système d'exploitation ou une escalade vers la racine par un utilisateur non privilégié. Cette faille affecte tous les systèmes d'exploitation du nœud GKE (COS et Ubuntu). Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
Élevé | CVE-2021-33909, CVE-2021-33910 |
GCP-2021-016
Date de publication : 24/08/2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Les failles CVE Envoy et Istio suivantes exposent Anthos Service Mesh et Istio sur GKE à des failles exploitables à distance :
Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
High |
GCP-2021-015
Date de publication : 13/07/2021Dernière mise à jour : 15/07/2021
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une nouvelle faille de sécurité, CVE-2021-22555, a été détectée dans laquelle un acteur malveillant doté de privilèges Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
Élevé | CVE-2021-22555 |
GCP-2021-014
Date de publication : 05/07/2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Microsoft a publié un bulletin de sécurité sur la faille d'exécution de code à distance (RCE, Remote Code Execution) CVE-2021-34527, qui affecte le spouleur d'impression sur les serveurs Windows. Le CERT Coordination Center (CERT/CC) a publié une note de mise à jour sur une faille similaire, surnommée "PrintNightmare", qui affecte également les spouleurs d'impression Windows : PrintNightmare, Critical Windows Print Spooler Vulnerability. Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité de GKE. |
High | CVE-2021-34527 |
GCP-2021-012
Date de publication:24/06/2021Dernière mise à jour:09/07/2021
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Le projet Istio a récemment annoncé une faille de sécurité dans laquelle les identifiants spécifiés dans le champ "GatewayGateway" et "DestinationRule credentialName" sont accessibles depuis différents espaces de noms. Pour en savoir plus sur les produits concernés et obtenir plus d'informations, consultez les pages suivantes :
|
High | CVE-2021-34824 |
GCP-2021-011
Date de publication : 04/06/2021Date de mise à jour : 19/10/2021
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 19-10-2021 : Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants :
La communauté de sécurité a récemment divulgué une nouvelle faille de sécurité (CVE-2021-30465) dans Pour GKE, étant donné que l'exploitation de cette faille nécessite la création de pods, nous avons évalué la gravité de cette faille sur MOYEN. Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité de GKE. |
Moyen | CVE-2021-30465 |
GCP-2021-010
Date de publication : 2021-05-25Description
Description | Niveau de gravité | Remarques |
---|---|---|
Selon l'avis de sécurité VMware VMSA-2021-0010, les failles liées à l'exécution du code distant et au contournement de l'authentification du client vSphere (HTML5) ont été signalées à VMware de manière privée. VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés. Nous avons appliqué les correctifs fournis par VMware pour la pile vSphere conformément à l'avis de sécurité VMware. Cette mise à jour résout les failles de sécurité décrites dans les documents CVE-2021-21985 et CVE-2021-21986 Les versions d'image exécutées dans votre cloud privé VMware Engine ne reflètent pour le moment aucune modification indiquant les correctifs appliqués. Sachez que les correctifs appropriés ont été installés et que votre environnement est protégé contre ces failles. Impact sur VMware EngineD'après nos investigations, aucun client n'a été touché. Que dois-je faire ?Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise. |
Critique |
GCP-2021-008
Date de publication:17/05/2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Istio contient une faille exploitable à distance qui permet à un client externe d'accéder à des services inattendus dans le cluster en contournant les vérifications d'autorisation lorsqu'une passerelle est configurée avec la configuration de routage Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Anthos Service Mesh. |
High |
CVE-2021-31921 |
GCP-2021-007
Date de publication:17/05/2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Istio contient une faille exploitable à distance où un chemin de requête HTTP avec plusieurs barres obliques ou barres obliques ( Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Anthos Service Mesh. |
High |
CVE-2021-31920 |
GCP-2021-006
Date de publication:11/05/2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Le projet Istio a récemment divulgué une nouvelle faille de sécurité (CVE-2021-31920) affectant Istio. Istio contient une faille exploitable à distance où une requête HTTP comportant plusieurs barres obliques ou caractères à barre oblique échappée peut contourner la règle d'autorisation Istio lorsque des règles d'autorisation basées sur le chemin sont utilisées. Pour obtenir des instructions et plus d'informations, consultez les pages suivantes: |
Élevé |
CVE-2021-31920 |
GCP-2021-005
Date de publication:11/05/2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille signalée a montré qu'Envoy ne décode pas les séquences de barres obliques échappées Que dois-je faire ?
Si les serveurs backend traitent Quels changements de comportement ont été introduits ?Les options normalize_path et merge adjacent slashes d'Envoy ont été activées pour corriger les autres failles courantes de confusion des chemins d'accès dans les produits basés sur Envoy. |
High |
CVE-2021-29492 |
GCP-2021-004
Date de publication:06/05/2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Les projets Envoy et Istio ont récemment annoncé plusieurs nouvelles failles de sécurité (CVE-2021-28683, CVE-2021-28682 et CVE-2021-29258), qui ont pu entraîner le plantage d'Envoy. Les clusters Google Kubernetes Engine n'exécutent pas Istio par défaut et ne sont pas vulnérables. Si Istio a été installé dans un cluster et est configuré pour exposer des services sur Internet, ces services peuvent être vulnérables aux attaques par déni de service. Les clusters Anthos on bare metal et Anthos sur VMware utilisent Envoy par défaut pour Ingress. Par conséquent, les services Ingress risquent d'être vulnérables aux attaques par déni de service. Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
Moyenne |
GCP-2021-003
Date de publication:19/04/2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Le projet Kubernetes a annoncé récemment une nouvelle faille de sécurité, CVE-2021-25735, qui pourrait permettre aux mises à jour de nœuds de contourner un webhook d'admission de validation.
Dans un scénario dans lequel un pirate informatique dispose de privilèges suffisants, et lorsqu'un webhook d'admission de validation est mis en œuvre à l'aide d'anciennes propriétés d'objet Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
Moyenne |
GCP-2021-002
Date de publication : 05/03/2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Conformément à l'avis de sécurité VMware VMSA-2021-0002, VMware a reçu des rapports concernant plusieurs failles dans VMware ESXi et le client vSphere (HTML5). VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés. Nous avons appliqué les solutions de contournement officiellement décrites pour la pile vSphere conformément à l'avis de sécurité de VMware. Cette mise à jour concerne les failles de sécurité décrites dans les documents CVE-2021-21972, CVE-2021-21973 et CVE-2021-21974. Impact sur VMware EngineD'après nos investigations, aucun client n'a été touché. Que dois-je faire ?Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise. |
Critique |
GCP-2021-001
Date de publication : 28/01/2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille a été récemment découverte dans l'utilitaire Linux L'infrastructure sous-jacente qui exécute Compute Engine n'est pas affectée par cette faille. Tous les clusters Google Kubernetes Engine (GKE), Anthos clusters on VMware, Anthos clusters on AWS et Anthos sur solution Bare Metal ne sont pas affectés par cette faille. Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
Aucune | CVE-2021-3156 |
GCP-2020-015
Date de publication : 07/12/2020Mise à jour : 22/12/2020
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour : 22/12/2021 : la commande pour GKE dans la section suivante doit utiliser gcloud container clusters update –no-enable-service-externalips Mise à jour du 15/12/2021: pour GKE, l'atténuation suivante est désormais disponible :
Pour en savoir plus, consultez la section Renforcer la sécurité de votre cluster. Le projet Kubernetes a récemment découvert une nouvelle faille de sécurité : CVE-2020-8554. Celle-ci peut permettre à un pirate informatique ayant obtenu les autorisations nécessaires pour créer un service Kubernetes de type LoadBalancer ou ClusterIP d'intercepter le trafic réseau provenant d'autres pods du cluster. Cette faille, en elle-même, ne permet pas au pirate informatique de créer un service Kubernetes. Tous les clusters Google Kubernetes Engine (GKE), Anthos clusters on VMware et Anthos clusters on AWS sont affectés par cette faille. Que dois-je faire ?Pour en savoir plus et obtenir des instructions, consultez les pages suivantes : |
Moyenne |
CVE-2020-8554 |
GCP-2020-014
Date de publication:20/10/2020Date de mise à jour:20/10/2020
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Le projet Kubernetes a récemment découvert plusieurs problèmes qui permettent l'exposition des données des secrets lors de l'activation des options de journalisation détaillée. Les problèmes sont les suivants :
Que dois-je faire ?Aucune autre action n'est requise en raison des niveaux de journalisation détaillée par défaut de GKE. |
Aucune |
Impact sur Google Cloud
Des informations pour chaque produit sont répertoriées ci-dessous.
Produit |
Impact |
---|---|
Google Kubernetes Engine (GKE) n'est pas affecté. |
|
GKE On-Prem n'est pas affecté. |
|
GKE sur AWS n'est pas affecté. |
GCP-2020-013
Date de publication:29/09/2020Description
Microsoft a divulgué la faille suivante :
Faille |
Gravité |
CVE |
---|---|---|
CVE-2020-1472 Une faille dans Windows Server permet aux pirates informatiques d'utiliser le protocole distant Netlogon pour exécuter une application spécialement conçue sur un appareil du réseau. |
Score de base NVD : 10 (critique) |
Pour en savoir plus, consultez la divulgation de Microsoft.
Impact sur Google Cloud
L'infrastructure hébergeant les produits Google Cloud et Google n'est pas affectée par cette faille. Des informations complémentaires pour chaque produit sont répertoriées ci-dessous.
Produit |
Impact |
---|---|
Compute Engine |
CVE-2020-1472 |
Google Kubernetes Engine |
CVE-2020-1472 |
Service géré pour Microsoft Active Directory |
CVE-2020-1472 |
Google Workspace |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Environnement standard App Engine |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Environnement flexible App Engine |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Run |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Functions |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Composer |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Dataflow |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Dataproc |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud SQL |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
GCP-2020-012
Date de publication: 14/09/2020Dernière mise à jour: 17/09/2020
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille a été récemment découverte dans le noyau Linux, décrite dans CVE-2020-14386, qui permet de s'échapper d'un conteneur pour obtenir un accès root sur le nœud hôte. Tous les nœuds GKE sont affectés. Les pods exécutés dans GKE Sandbox ne peuvent pas exploiter cette faille. Pour obtenir des instructions et plus d'informations, consultez les pages suivantes:
Quelle faille ce correctif permet-il de résoudre ? Ce correctif réduit les risques liés à la faille suivante : La faille CVE-2020-14386, qui permet aux conteneurs avec CAP_NET_RAW d'écrire de 1 à 10 octets de mémoire du noyau, d'échapper le conteneur et d'obtenir des privilèges racine sur le nœud hôte. La gravité de cette faille est évaluée comme élevée. |
High |
GCP-2020-011
Date de publication : 24/07/2020Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille réseau, CVE-2020-8558, a été récemment détectée dans Kubernetes. Les services communiquent parfois avec d'autres applications s'exécutant dans le même pod à l'aide de l'interface de rebouclage local (127.0.0.1). Cette faille permet à un pirate informatique ayant accès au réseau du cluster d'envoyer du trafic à l'interface de rebouclage des pods et nœuds adjacents. Les services reposant sur l'interface de rebouclage et non accessibles en dehors de leur pod peuvent être exploités. Pour obtenir des instructions et plus d'informations, consultez les pages suivantes: |
Faible (GKE et Anthos clusters on AWS), |
GCP-2020-010
Date de publication : 27/07/2020Description
Microsoft a divulgué la faille suivante :
Faille |
Gravité |
CVE |
---|---|---|
CVE-2020-1350 : les serveurs Windows qui diffusent avec une capacité de serveur DNS peuvent être exploités par le compte système local pour exécuter du code non approuvé. |
Score de base NVD : 10,0 (critique) |
Pour en savoir plus, consultez la divulgation de Microsoft.
Impact sur Google Cloud
L'infrastructure hébergeant les produits Google Cloud et Google n'est pas affectée par cette faille. Des informations complémentaires pour chaque produit sont répertoriées ci-dessous.
Produit |
Impact |
---|---|
Compute Engine |
CVE-2020-1350 |
Google Kubernetes Engine |
CVE-2020-1350 |
Service géré pour Microsoft Active Directory |
CVE-2020-1350 |
Google Workspace |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Environnement standard App Engine |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Environnement flexible App Engine |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Run |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Functions |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Composer |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Dataflow |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Dataproc |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud SQL |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
GCP-2020-009
Date de publication : 15/07/2020Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille d'élévation des privilèges, CVE-2020-8559, a été récemment détectée dans Kubernetes. Cette faille permet à un pirate informatique ayant déjà compromis un nœud d'exécuter une commande dans n'importe quel pod du cluster. Le pirate peut ainsi utiliser le nœud déjà compromis pour en compromettre d'autres et potentiellement lire des informations, ou provoquer des actions de destruction. Notez que pour qu'un pirate informatique puisse exploiter cette faille, un nœud de votre cluster doit déjà avoir été compromis. Cette faille, en elle-même, ne compromettra pas les nœuds de votre cluster. Pour obtenir des instructions et plus d'informations, consultez les pages suivantes: |
Moyen |
GCP-2020-008
Date de publication : 19/06/2020Description
Description | Niveau de gravité | Remarques |
---|---|---|
DescriptionLes VM pour lesquelles OS Login est activé peuvent être exposées aux failles d'élévation des privilèges. Ces failles permettent aux utilisateurs disposant d'autorisations OS Login (mais pas d'un accès administrateur) de remonter jusqu'à l'accès racine dans la VM. Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Compute Engine.
|
High |
GCP-2020-007
Date de publication : 01/06/2020Description
Description | Niveau de gravité | Remarques |
---|---|---|
La faille SSRF (Server Side Request Forgery) CVE-2020-8555 a été détectée dans Kubernetes. Elle permet à certains utilisateurs autorisés de divulguer jusqu'à 500 octets d'informations sensibles à partir du réseau hôte du plan de contrôle. Le plan de contrôle de Google Kubernetes Engine (GKE) utilise des contrôleurs de Kubernetes et est donc affecté par cette faille. Nous vous recommandons de mettre à niveau le plan de contrôle vers la dernière version du correctif. Aucune mise à niveau de nœud n'est requise. Pour obtenir des instructions et plus d'informations, consultez les pages suivantes: |
Moyenne |
GCP-2020-006
Date de publication:01/06/2020Description
Description | Niveau de gravité | Remarques |
---|---|---|
Kubernetes a divulgué une faille qui permet à un conteneur privilégié de rediriger le trafic de nœuds vers un autre conteneur. Le trafic TLS/SSH mutuel (entre le kubelet et le serveur d'API, ou en provenance d'applications via le protocole mTLS) ne peut pas être lu ni modifié par cette attaque. Tous les nœuds Google Kubernetes Engine (GKE) sont affectés par cette faille. Par conséquent, nous vous recommandons de procéder à la mise à niveau vers la dernière version du correctif. Pour obtenir des instructions et plus d'informations, consultez les pages suivantes: |
Moyenne |
GCP-2020-005
Date de publication:07/05/2020Description
Faille |
Gravité |
CVE |
---|---|---|
La faille CVE-2020-8835 a été récemment découverte dans le noyau Linux. Elle permet de "s'échapper d'un conteneur" pour obtenir un accès root (racine) sur le nœud hôte. Les nœuds Ubuntu Google Kubernetes Engine (GKE) exécutant GKE 1.16 ou 1.17 sont affectés par cette faille. Par conséquent, nous vous recommandons de passer à la dernière version du correctif dès que possible. Pour en savoir plus et en savoir plus, consultez le bulletin de sécurité GKE. |
Élevé |
GCP-2020-004
Date de publication: 31/03/2020Dernière mise à jour: 31/03/2020
Description
Kubernetes a divulgué les failles suivantes :
Faille |
Gravité |
CVE |
---|---|---|
CVE-2019-11254 : faille de déni de service (DoS) qui affecte le serveur d'API. |
Moyenne |
Consultez le bulletin de sécurité Anthos clusters on VMware pour obtenir des instructions et en savoir plus.
GCP-2020-003
Date de publication: 31/03/2020Dernière mise à jour: 31/03/2020
Description
Kubernetes a divulgué les failles suivantes :
Faille |
Gravité |
CVE |
---|---|---|
CVE-2019-11254 : faille de déni de service (DoS) qui affecte le serveur d'API. |
Moyenne |
Consultez le bulletin de sécurité de GKE pour en savoir plus et obtenir des instructions.
GCP-2020-002
Date de publication : 23/03/2020Dernière mise à jour : 23/03/2020
Description
Kubernetes a divulgué les failles suivantes :
Faille |
Gravité |
CVE |
---|---|---|
CVE-2020-8551 : faille de déni de service (DoS) ayant un impact sur le kubelet. |
Moyen |
|
CVE-2020-8552 : faille de déni de service (DoS) qui affecte le serveur d'API. |
Moyen |
Consultez le bulletin de sécurité de GKE pour en savoir plus et obtenir des instructions.
GCP-2020-001
Date de publication : 21/01/2020Dernière mise à jour : 21/01/2020
Description
Microsoft a divulgué la faille suivante :
Faille |
Gravité |
CVE |
---|---|---|
CVE-2020-0601 : cette faille est également connue sous le nom de "vulnérabilité de l'API Windows Crypto. Il pourrait être exploité pour faire confiance à des exécutables malveillants ou permettre au pirate informatique de réaliser des attaques MITM ("man in the middle") et de déchiffrer des informations confidentielles sur les connexions utilisateur au logiciel concerné. |
Score de base NVD : 8,1 (élevé) |
Pour en savoir plus, consultez la divulgation de Microsoft.
Impact sur Google Cloud
L'infrastructure hébergeant les produits Google Cloud et Google n'est pas affectée par cette faille. Des informations complémentaires pour chaque produit sont répertoriées ci-dessous.
Produit |
Impact |
---|---|
Compute Engine |
CVE-2020-0601 |
Google Kubernetes Engine |
CVE-2020-0601 |
Service géré pour Microsoft Active Directory |
CVE-2020-0601 |
Google Workspace |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Environnement standard App Engine |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Environnement flexible App Engine |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Run |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Functions |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Composer |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Dataflow |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Dataproc |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud SQL |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
GCP-2019-001
Date de publication : 12/11/2019Dernière mise à jour : 12/11/2019
Description
Intel a divulgué les failles suivantes :
Faille |
Gravité |
CVE |
---|---|---|
CVE-2019-11135 — Cette faille s'intitule "TSX Asynchronous Abort" (abandon asynchrone de TSX). Elle peut être exploitée à des fins d'exécution spéculative au sein d'une transaction TSX. En raison de l'exposition de structures de données permise par l'échantillonnage de données microarchitectural, cette faille présente un risque de divulgation des données. |
Moyenne |
|
CVE-2018-12207 — Faille de déni de service (DoS) qui concerne les hôtes de machines virtuelles et non les invités. Cette faille s'intitule "Machine Check Error on Page Size Change" (erreur de vérification machine lors du changement de format de page). |
Moyenne |
Pour en savoir plus, consultez les divulgations d'Intel :
Impact sur Google Cloud
L'infrastructure d'hébergement des produits Google Cloud et Google est invulnérable à ces failles. Des informations complémentaires pour chaque produit sont répertoriées ci-dessous.
Produit |
Impact |
---|---|
Compute Engine |
CVE-2019-11135 CVE-2018-12207 |
Google Kubernetes Engine |
CVE-2019-11135 CVE-2018-12207 |
Environnement standard App Engine |
Aucune autre action n'est requise. |
Environnement flexible App Engine |
CVE-2019-11135 CVE-2018-12207 |
Cloud Run |
Aucune autre action n'est requise. |
Cloud Functions |
Aucune autre action n'est requise. |
Cloud Composer |
Aucune autre action n'est requise. |
Dataflow |
CVE-2019-11135 CVE-2018-12207 |
Dataproc |
CVE-2019-11135 CVE-2018-12207 |
Cloud SQL |
Aucune autre action n'est requise. |