Les bulletins de sécurité suivants concernent les produits Google Cloud.
Utilisez ce flux XML pour vous abonner aux bulletins de sécurité de la présente page.
GCP-2023-027
Date de publication:11/09/2023Description | Niveau de gravité | Remarques |
---|---|---|
Les mises à jour VMware vCenter Server corrigent plusieurs failles de corruption de mémoire (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896) Impact sur le service clientVMware vCenter Server (vCenter Server) et VMware Cloud Foundation (Cloud Foundation). Que dois-je faire ?Les clients ne sont pas concernés, et aucune action n'est requise de leur part. |
Moyenne |
GCP-2023-026
Date de publication:06-09-2023
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Trois failles (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) ont été découvertes dans Kubernetes. Un utilisateur autorisé à créer des pods sur des nœuds Windows pourra peut-être passer aux droits d'administrateur sur ces nœuds. Ces failles affectent les versions Windows de Kubelet et du proxy CSI de Kubernetes. Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants: |
Élevée | CVE-2023-3676, CVE-2023-3955, CVE-2023-3893 |
GCP-2023-025
Date de publication:08-08-2023Description | Niveau de gravité | Remarques |
---|---|---|
Intel a récemment annoncé le lancement de l'avis de sécurité Intel INTEL-SA-00828, qui concerne certaines de ses familles de processeurs. Nous vous encourageons à évaluer vos risques sur la base de cet avis. Impact sur Google Cloud VMware EngineNotre parc utilise les familles de processeurs impactées. Dans notre déploiement, l'ensemble du serveur est dédié à un seul client. Notre modèle de déploiement n'ajoute donc aucun risque supplémentaire à votre évaluation de cette faille. Nous collaborons avec nos partenaires pour obtenir les correctifs nécessaires. Au cours des prochaines semaines, nous les déploierons de manière prioritaire sur l'ensemble du parc en suivant le processus de mise à niveau standard. Que dois-je faire ?Aucune action n'est requise de votre part. Nous mettons tout en œuvre pour mettre à niveau tous les systèmes concernés. |
Élevée |
GCP-2023-024
Date de publication:08-08-2023
Mise à jour:10-08-2023
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 10/08/2023:ajout du numéro de version LTS de ChromeOS. Intel a révélé une faille dans certains processeurs (CVE-2022-40982). Google a pris des mesures pour limiter les risques liés à son parc de serveurs, y compris Google Cloud, afin de s'assurer que les clients sont protégés. Détails de la faille:
Que dois-je faire ?
Aucune action n'est requise de la part du client. Tous les correctifs disponibles ont déjà été appliqués au parc de serveurs Google pour Google Cloud, y compris Google Compute Engine. À l'heure actuelle, les produits suivants nécessitent des mises à jour supplémentaires de la part de partenaires et de fournisseurs.
Google corrigera ces produits une fois les correctifs disponibles. Ce bulletin sera mis à jour en conséquence. Les clients Google Chromebook et ChromeOS Flex ont automatiquement reçu les protections fournies par Intel dans les versions stable (115), LTS (108), bêta (116) et LTC (114). Les clients Chromebook et ChromeOS Flex qui disposent d'une version plus ancienne doivent envisager d'annuler l'épinglage et de passer aux versions stables ou LTS pour s'assurer qu'ils bénéficient de cette correction et d'autres corrections de failles. Quelles failles sont traitées ? CVE-2022-40982 - Pour en savoir plus, consultez l'avis de sécurité Intel INTEL-SA-00828. |
Élevée | CVE-2022-40982 |
GCP-2023-023
Date de publication:08-08-2023
Description
Description | Niveau de gravité | Remarques |
---|---|---|
AMD a révélé une faille dans certains processeurs (CVE-2023-20569). Google a pris des mesures pour limiter les risques liés à son parc de serveurs, y compris Google Cloud, afin de s'assurer que les clients sont protégés. Détails de la faille:
Que dois-je faire ?
Les utilisateurs de VM Compute Engine doivent envisager les mesures d'atténuation fournies par le système d'exploitation s'ils utilisent l'exécution de code non approuvé au sein d'une instance. Nous recommandons aux clients de contacter les fournisseurs de leur système d'exploitation pour obtenir des conseils plus spécifiques. Des correctifs ont déjà été appliqués au parc de serveurs Google pour Google Cloud, y compris Google Compute Engine. Quelles failles sont traitées ? CVE-2023-20569 : pour en savoir plus, consultez la page AMD SB-7005. |
Moyenne | CVE-2023-20569 |
GCP-2023-022
Date de publication : 03/08/2023
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Google a identifié une faille dans les implémentations de gRPC C++ antérieures à la version 1.57. Il s'agissait d'une faille de déni de service dans l'implémentation C++ de gRPC. Ces problèmes ont été corrigés dans les versions 1.53.2, 1.54.3, 1.55.2, 1.56.2 et 1.57. Que dois-je faire ? Assurez-vous d'utiliser les versions les plus récentes des packages logiciels suivants:
Quelles failles sont traitées ? Ces correctifs réduisent les risques liés aux failles suivantes:
| Élevée | CVE-2023-33953 |
GCP-2023-021
Mise à jour:26-07-2023
Date de publication:25/07/2023
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Les failles CVE suivantes exposent Anthos Service Mesh à des failles exploitables:
Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité Anthos Service Mesh. |
Élevée |
GCP-2023-020
Mise à jour:26-07-2023
Date de publication : 24/07/2023
Description
Description | Niveau de gravité | Remarques |
---|---|---|
AMD a publié une mise à jour de microcode qui corrige une faille de sécurité matérielle (CVE-2023-20593). Google a appliqué les correctifs nécessaires pour corriger cette faille au niveau de son parc de serveurs, y compris pour Google Cloud Platform. Les tests montrent que cela n'a aucun impact sur les performances des systèmes. Que dois-je faire ? Aucune action n'est requise de la part du client, car des correctifs ont déjà été appliqués au parc de serveurs Google pour Google Cloud Platform. Quelles failles sont traitées ? CVE-2023-20593 corrige une faille dans certains processeurs AMD. Pour en savoir plus, cliquez ici. | Élevée | CVE-2023-20593 |
GCP-2023-019
Date de publication:18/07/2023
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une nouvelle faille (CVE-2023-35945) a été découverte dans Envoy. Celle-ci peut entraîner un déni de service en raison de l'épuisement de la mémoire lorsqu'une réponse spécialement conçue à partir d'un service en amont non approuvé peut entraîner un déni de service. Cela est dû au codec HTTP/2 d'Envoy, qui peut entraîner la fuite d'une carte d'en-tête et de structures de comptabilité lors de la réception de Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité Anthos Service Mesh. | Élevée | CVE-2023-35945 |
GCP-2023-018
Date de publication:27/06/2023
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une nouvelle faille (CVE-2023-2235) a été détectée dans le noyau Linux. Elle peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE Autopilot sont affectés, car les nœuds GKE Autopilot utilisent toujours des images de nœuds Container-Optimized OS. Les clusters GKE Standard versions 1.25 ou ultérieures qui exécutent des images de nœuds Container-Optimized OS sont affectés. Les clusters GKE ne sont pas affectés s'ils n'exécutent que des images de nœuds Ubuntu, s'ils exécutent des versions antérieures à la version 1.25 ou s'ils utilisent GKE Sandbox. Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants: |
Élevée | CVE-2023-2235 |
GCP-2023-017
Date de publication:26-06-2023
Mise à jour:11-07-2023
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 11/07/2023:les nouvelles versions de GKE ont été mises à jour pour inclure les dernières versions d'Ubuntu qui corrigent CVE-2023-31436. Une nouvelle faille (CVE-2023-31436) a été détectée dans le noyau Linux. Elle peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE, y compris les clusters Autopilot, sont affectés. Les clusters GKE utilisant GKE Sandbox ne sont pas concernés. Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants: |
Élevée | CVE-2023-31436 |
GCP-2023-016
Date de publication:26-06-2023
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Un certain nombre de failles ont été découvertes dans Envoy, qui est utilisé dans Anthos Service Mesh, et permet à un pirate informatique malveillant de provoquer un déni de service ou le plantage d'Envoy. Ils ont été indiqués séparément sous la forme GCP-2023-002. Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants: |
Élevée | CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491 et CVE-2023-27487{/17487. |
GCP-2023-015
Date de publication:20-06-2023
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une nouvelle faille, CVE-2023-0468, a été découverte dans le noyau Linux. Elle pourrait permettre à un utilisateur non privilégié d'augmenter ses privilèges à la racine lorsque io_poll_get_ownership continuera d'augmenter req->poll_refs à chaque io_poll_wake, puis dépassera 0, ce qui entraînera un double du transfert du fichier req->file et entraînera un problème de renvoi de fichier de recomptage. Les clusters GKE, y compris les clusters Autopilot, dotés de Container-Optimized OS utilisant la version 5.15 du noyau Linux sont affectés. Les clusters GKE utilisant des images Ubuntu ou GKE Sandbox ne sont pas affectés. Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants: |
Moyenne | CVE-CVE-2023-0468 |
GCP-2023-014
Mise à jour: 11-08-2023
Date de publication:15-06-2023
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 11/08/2023 : ajout de versions de correctif pour les clusters Anthos sur VMware, les clusters Anthos sur AWS, Anthos on Azure et Anthos sur bare metal. Deux nouveaux problèmes de sécurité ont été détectés dans Kubernetes : les utilisateurs peuvent lancer des conteneurs qui contournent les restrictions de stratégie lorsqu'ils utilisent des conteneurs éphémères et ImagePolicyWebhook (CVE-2023-2727) ou le plug-in d'admission ServiceAccount (CVE-2023-2728). Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants: |
Moyenne | CVE-2023-2727 et CVE-2023-2728 |
GCP-2023-013
Date de publication:08-06-2023
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Lorsque vous activez l'API Cloud Build dans un projet, Cloud Build crée automatiquement un compte de service par défaut pour exécuter des compilations en votre nom. Ce compte de service Cloud Build disposait précédemment de l'autorisation IAM Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité Cloud Build. |
Faible |
GCP-2023-010
Date de publication:07/06/2023
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Google a identifié trois nouvelles failles dans l'implémentation de gRPC C++. Elles seront bientôt publiées publiquement sous les noms CVE-2023-1428, CVE-2023-32731 et CVE-2023-32732. En avril, nous avons identifié deux failles dans les versions 1.53 et 1.54. La première était une faille de déni de service dans l'implémentation C++ du gRPC, et l'autre était une faille d'exfiltration de données à distance. Ces problèmes ont été corrigés dans les versions 1.53.1, 1.54.2 et ultérieures. En mars dernier, nos équipes internes ont découvert une faille de déni de service dans l'implémentation C++ de gRPC lors de l'exécution d'activités de test de routine. Il a été détecté dans la version 1.52 de gRPC et a été corrigé dans les versions 1.52.2 et 1.53. Que dois-je faire ?Assurez-vous d'utiliser les versions les plus récentes des packages logiciels suivants:
Quelles failles ces correctifs permettent-ils de résoudre ?Ces correctifs réduisent les risques liés aux failles suivantes:
Nous vous recommandons de passer aux dernières versions des packages logiciels suivants, comme indiqué ci-dessus. |
Niveau élevé (CVE-2023-1428, CVE-2023-32731). Moyenne (CVE-2023-32732) | CVE-2023-1428, CVE-2023-32731, CVE-023-32732 |
GCP-2023-009
Date de publication:06-06-2023
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une nouvelle faille (CVE-2023-2878) a été détectée dans secrets-store-csi-driver. Elle permet à un acteur ayant accès aux journaux de pilotes d'observer des jetons de compte de service. Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants: |
Aucune | CVE-2023-2878 |
GCP 2023-008
Date de publication:05/06/2023
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une nouvelle faille (CVE-2023-1872) a été détectée dans le noyau Linux. Elle peut entraîner une élévation des privilèges vers la racine du nœud. Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants: |
Élevée | CVE-2023-1872 |
GCP-2023-007
Date de publication : 02/06/2023
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille a récemment été découverte dans Cloud SQL pour SQL Server. Elle a permis à des comptes administrateur client de créer des déclencheurs dans la base de données Google Cloud a résolu le problème en corrigeant la faille de sécurité avant le 1er mars 2023. Google Cloud n'a trouvé aucune instance client compromise. Pour obtenir des instructions et en savoir plus, consultez le bulletin de sécurité Cloud SQL. |
Élevée |
GCP-2023-005
Date de publication:18-05-2023
Mise à jour:06-06-2023
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 06/06/2023:les nouvelles versions de GKE ont été mises à jour pour inclure les dernières versions d'Ubuntu qui corrigent CVE-2023-1281 et CVE-2023-1829. Deux nouvelles failles (CVE-2023-1281, CVE-2023-1829) ont été découvertes dans le noyau Linux. Elles peuvent entraîner une élévation des privilèges vers la racine du nœud. Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants: |
Élevée | CVE-2023-1281 CVE-2023-1829 |
GCP-2023-004
Date de publication:26-04-2023
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Deux failles (CVE-2023-1017 et CVE-2023-1018) ont été découvertes dans le TPM (Trusted Platform Module) 2.0. Ces failles auraient pu permettre à un pirate informatique sophistiqué d'exploiter une lecture/écriture hors limites de 2 octets sur certaines VM Compute Engine. Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité de Compute Engine. |
Moyenne |
GCP-2023-003
Date de publication:11-04-2023
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Deux nouvelles failles, CVE-2023-0240 et CVE-2023-23586, ont été découvertes dans le noyau Linux. Elles pourraient permettre à un utilisateur non privilégié d'augmenter ses privilèges. Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants: |
Élevée | CVE-2023-0240 et CVE-2023-23586 |
GCP-2023-002
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Les failles CVE suivantes exposent Anthos Service Mesh à des failles exploitables:
Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité Anthos Service Mesh. |
Élevée |
GCP-2023-001
Date de publication:01-03-2023
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une nouvelle faille (CVE-2022-4696) a été détectée dans le noyau Linux. Elle peut entraîner une élévation des privilèges sur le nœud. Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants: |
Élevée | CVE-2022-4696 |
GCP-2022-026
Date de publication:11-01-2023
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Deux nouvelles failles (CVE-2022-3786 et CVE-2022-3602) ont été découvertes dans OpenSSL v3.0.6. Elles peuvent entraîner un plantage. Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants: |
Moyenne |
GCP-2022-025
Date de publication:21-12-2022
Dernière mise à jour:19-01-2023
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 19/01/2023:ajout d'informations indiquant que la version 1.21.14-gke.14100 de GKE est disponible. Deux nouvelles failles (CVE-2022-3786 et CVE-2022-3602) ont été découvertes dans OpenSSL v3.0.6. Elles peuvent entraîner un plantage. Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants: |
Moyenne |
GCP-2022-024
Date de publication:09-11-2022
Mise à jour:19-01-2023
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 19/01/2023:ajout d'informations indiquant que la version 1.21.14-gke.14100 de GKE est disponible. Mise à jour du 16/12/2022:ajout de versions de correctif pour GKE et Clusters Anthos sur VMware. Deux nouvelles failles (CVE-2022-2585 et CVE-2022-2588) ont été découvertes dans le noyau Linux. Elles peuvent entraîner une rupture complète du conteneur en racine sur le nœud. Pour obtenir des instructions et plus d'informations, consultez les ressources suivantes: |
Élevée |
GCP-2022-023
Date de publication:04/11/2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille de sécurité, CVE-2022-39278, a été détectée dans Istio, qui est utilisé dans Anthos Service Mesh. Elle permet à un pirate informatique malveillant de faire planter le plan de contrôle. Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants: |
Élevée | CVE-2022-39278 |
GCP 2022
Date de publication:28-10-2022
Mise à jour:14-12-2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 14/12/2022:ajout de versions de correctif pour GKE et Clusters Anthos sur VMware. Une nouvelle faille, CVE-2022-20409, a été détectée dans le noyau Linux. Elle pourrait permettre à un utilisateur non privilégié d'obtenir un droit d'exécution système. Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants: |
Élevée | CVE-2022-20409 |
GCP-2022-021
Date de publication:27-10-2022
Mise à jour:19-01-2023
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 19/01/2023:ajout d'informations indiquant que la version 1.21.14-gke.14100 de GKE est disponible. Mise à jour du 15/12/2022:mise à jour des informations indiquant que la version 1.21.14-gke.9400 de Google Kubernetes Engine est en attente de déploiement et peut être remplacée par un numéro de version plus élevé. Mise à jour du 22/11/2022:ajout de versions de correctif pour les clusters Anthos sur VMware, les clusters Anthos sur AWS et Anthos on Azure. Une nouvelle faille, CVE-2022-3176, a été détectée dans le noyau Linux. Elle peut entraîner une élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'obtenir une sortie complète du conteneur pour qu'il soit en mode root sur le nœud. Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants: |
Élevée | CVE-2022-3176 |
GCP-2022-020
Date de publication:05/10/2022
Mise à jour:12-10-2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Le plan de contrôle Istio Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Anthos Service Mesh. |
Élevée | CVE-2022-39278 |
GCP-2022-019
Date de publication:22-09-2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille liée à l'analyse des messages et à la gestion de la mémoire dans les implémentations C++ et Python de ProtocolBuffer peut déclencher une défaillance de la mémoire insuffisante lors du traitement d'un message spécialement conçu. Cela peut entraîner un déni de service (DoS) sur les services qui utilisent ces bibliothèques. Que dois-je faire ?Assurez-vous d'utiliser les versions les plus récentes des packages logiciels suivants:
Quelles failles ce correctif permet-il de résoudre ?Ce correctif réduit les risques liés à la faille suivante :
Petit message spécialement construit qui oblige le service en cours d'exécution à allouer de grandes quantités de RAM. Étant donné la petite taille de la requête, il est facile d'exploiter la faille et d'épuiser les ressources. Les systèmes C++ et Python qui consomment des tampons de protocole non approuvés sont vulnérables aux attaques DoS s'ils contiennent un objet |
Moyenne | CVE-2022-1941 |
GCP-2022-018
Date de publication:01/08/2022
Mise à jour:14-09-2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 14/09/2022:ajout de versions de correctif pour les clusters Anthos sur VMware, les clusters Anthos sur AWS et Anthos on Azure. Une nouvelle faille (CVE-2022-2327) a été détectée dans le noyau Linux, qui peut entraîner l'élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'échapper complètement au conteneur pour arriver à la racine du nœud. Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants: | Élevée | CVE-2022-2327 |
GCP-2022-017
Date de publication:29-06-2022
Dernière mise à jour:22-11-2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 22/11/2022:ces failles ne s'appliquent pas aux charges de travail utilisant GKE Sandbox. Mise à jour du 21/07/2022:informations supplémentaires sur Clusters Anthos sur VMware. Une nouvelle faille (CVE-2022-1786) a été détectée dans les versions de noyau Linux 5.10 et 5.11. Cette faille permet à un utilisateur non privilégié disposant d'un accès local au cluster de s'échapper d'un conteneur pour obtenir un accès racine au nœud. Seuls les clusters qui exécutent Container-Optimized OS sont affectés. Les versions d'Ubuntu GKE utilisent la version 5.4 ou 5.15 du noyau et ne sont pas affectées. Pour obtenir des instructions et plus d'informations, consultez les ressources suivantes: |
Élevée | CVE-2022-1786 |
GCP-2022-016
Date de publication:23-06-2022
Dernière mise à jour:22-11-2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 22/11/2022:les clusters Autopilot ne sont pas affectés par la faille CVE-2022-29581, mais sont vulnérables aux attaques CVE-2022-29582 et CVE-2022-1116. Trois nouvelles failles de corruption de mémoire (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) ont été détectées dans le noyau Linux. Ces failles permettent à un utilisateur non privilégié disposant d'un accès local au cluster d'obtenir une répartition complète du conteneur pour qu'il s'exécute en mode root sur le nœud. Tous les clusters Linux (Container-Optimized OS et Ubuntu) sont affectés. Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants: |
Élevée |
GCP-2022-015
Date de publication:09-06-2022
Dernière mise à jour:10-06-2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 10 juin 2022:les versions d'Anthos Service Mesh ont été mises à jour. Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité Anthos Service Mesh. Les failles CVE Envoy et Istio suivantes exposent Anthos Service Mesh et Istio sur GKE à des failles exploitables à distance :
Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité Anthos Service Mesh. |
Critique |
GCP-2022-014
Date de publication:26-04-2022
Dernière mise à jour:22-11-2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 22/11/2022:Les clusters GKE Autopilot et les charges de travail exécutés dans GKE Sandbox ne sont pas affectés. Mise à jour du 12/05/2022:Les versions des clusters Anthos sur AWS et d'Anthos on Azure ont été mises à jour. Pour obtenir des instructions et plus de détails, consultez les ressources suivantes: Deux failles de sécurité, CVE-2022-1055 et CVE-2022-27666, ont été détectées dans le noyau Linux. Chacune d'entre elles peut permettre à un pirate informatique local d'effectuer une interruption des conteneurs, une élévation des privilèges sur l'hôte, ou les deux. Ces failles affectent tous les systèmes d'exploitation du nœud GKE (Container-Optimized OS et Ubuntu). Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
Élevée |
CVE-2022-1055 CVE-2022-27666 |
GCP-2022-013
Date de publication:11-04-2022
Dernière mise à jour:22-04-2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille de sécurité, CVE-2022-23648, a été détectée dans la gestion du balayage de chemin d'accès de containerd dans la spécification du volume d'images OCI. Les conteneurs lancés via l'implémentation CRI de containerd avec une configuration d'image spécialement conçue à cet effet peuvent bénéficier d'un accès en lecture complet aux fichiers et répertoires arbitraires de l'hôte. Cette faille peut contourner toute application basée sur des règles lors de la configuration du conteneur (y compris une stratégie de sécurité des pods Kubernetes). Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
Moyenne | CVE-2022-23648 |
GCP-2022-012
Date de publication:07-04-2022
Dernière mise à jour:22-11-2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 22/11/2022:Pour les clusters GKE dans les deux modes (Standard et Autopilot), les charges de travail utilisant GKE Sandbox ne sont pas affectées. Une faille de sécurité, CVE-2022-0847, a été détectée dans les versions 5.8 et ultérieures du noyau Linux. Celle-ci peut potentiellement faire remonter les droits du conteneur à la racine. Cette faille affecte les produits suivants:
Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
Élevée | CVE-2022-0847 |
GCP-2022-011
Date de publication:22-03-2022
Dernière mise à jour: 11-08-2022
Description
Description | Gravité |
---|---|
Mise à jour du 11/08/2022 : ajout d'informations sur la configuration multithread (Simultaneous Multi-Threading) . SMT était destiné à être désactivé, mais il a été activé sur les versions répertoriées. Si vous avez activé manuellement SMT pour un pool de nœuds en bac à sable, SMT restera activé manuellement, malgré ce problème. Il existe une erreur de configuration avec le mode SMT (Simultaneous Multi-Threading), également appelé Hyper-Threading, sur les images GKE Sandbox. L'erreur de configuration laisse des nœuds potentiellement exposés à des attaques de versions secondaires, telles que l'échantillonnage des données microarchitecturales (pour en savoir plus, consultez la documentation de GKE Sandbox). Nous vous déconseillons d'utiliser les versions concernées suivantes :
Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité de GKE. |
Moyenne |
GCP-2022-010
Description
Description | Niveau de gravité | Remarques |
---|---|---|
La faille CVE Istio suivante expose Anthos Service Mesh à une faille exploitable à distance:
Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité suivant: |
Élevée |
GCP-2022-009
Date de publication:01-03-2022Description
Description | Gravité |
---|---|
Certains chemins inattendus permettant d'accéder à la VM de nœud sur les clusters GKE Autopilot auraient pu être utilisés pour une élévation des privilèges dans le cluster. Ces problèmes ont été corrigés et aucune autre action n'est requise. Ces correctifs permettent de résoudre les problèmes signalés via notre Vulnerability Reward Program. Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité de GKE. |
Faible |
GCP-2022-008
Date de publication:23-02-2022
Dernière mise à jour: 28-04-2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 28/04/2022 : ajout de versions de Clusters Anthos sur VMware pour corriger ces failles. Pour en savoir plus, consultez le bulletin de sécurité des clusters Anthos sur VMware. Le projet Envoy a récemment découvert un ensemble de failles. Tous les problèmes répertoriés ci-dessous sont résolus dans la version 1.21.1 d'Envoy.
Que dois-je faire ? Les utilisateurs Envoy qui gèrent leurs propres appareils Envoy doivent s'assurer qu'ils utilisent la version d'Envoy 1.21.1. Les utilisateurs Envoy qui gèrent leurs propres fichiers Envoy créent les binaires à partir d'une source telle que GitHub et les déploient. Aucune action n'est requise de la part des utilisateurs qui exécutent des messages Envoy gérés (Google Cloud fournit les binaires Envoy), pour lesquels les produits Google Cloud passeront à la version 1.21.1. |
Élevée |
CVE-2022-23606 CVE-2022-21655 CVE-2021-43826 CVE-2021-43825 CVE-2021-43824 CVE-2525-1526} . |
GCP-2022-007
Date de publication:22-02-2022Description
Description | Niveau de gravité | Remarques |
---|---|---|
Les failles CVE Envoy et Istio suivantes exposent Anthos Service Mesh et Istio sur GKE à des failles exploitables à distance:
Pour obtenir des instructions et plus d'informations, consultez les bulletins de sécurité suivants: |
Élevée |
GCP-2022-006
Date de publication:14-02-2022Dernière mise à jour: 16-05-2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 16/05/2022:ajout de la version 1.19.16-gke.7800 ou d'une version ultérieure de GKE à la liste des versions contenant du code permettant de corriger cette faille. Pour en savoir plus, consultez le bulletin de sécurité de GKE. Mise à jour du 12/05/2022:Les versions de GKE, Clusters Anthos sur VMware, Clusters Anthos sur AWS et Anthos on Azure ont été mises à jour. Pour obtenir des instructions et plus de détails, consultez les ressources suivantes:
Une faille de sécurité, CVE-2022-0492, a été détectée dans la fonction |
Faible |
Pour obtenir des instructions et plus d'informations, consultez les ressources suivantes: |
GCP-2022-005
Date de publication:11-02-2022Dernière mise à jour: 15-02-2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille de sécurité, CVE-2021-43527, a été détectée dans tout binaire lié aux versions vulnérables de libnss3 trouvées dans les versions NSS (Network Security Services) antérieures à la version 3.73 ou 3.68.1. Les applications utilisant NSS pour la validation du certificat ou d'autres fonctionnalités TLS, X.509, OCSP ou CRL peuvent être affectées, suivant la manière dont NSS est utilisé/configuré. Pour obtenir des instructions et plus d'informations, consultez les ressources suivantes: |
Moyenne | CVE-2021-43527 |
GCP-2022-004
Date de publication:04/02/2022Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille de sécurité, CVE-2021-4034, a été détectée dans pkexec, une partie du package du kit de règles Linux (polkit), qui permet à un utilisateur authentifié d'effectuer une attaque d'élévation des privilèges. PolicyKit n'est généralement utilisé que sur les systèmes de bureau Linux pour permettre aux utilisateurs non racines d'effectuer des actions telles que le redémarrage du système, l'installation de packages ou le redémarrage de services conformément à une règle. Pour obtenir des instructions et plus d'informations, consultez les ressources suivantes: |
Aucune | CVE-2021-4034 |
GCP-2022-002
Date de publication:01-02-2022Dernière mise à jour:25-02-2022
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 25/02/2022:les versions de GKE ont été mises à jour. Pour obtenir des instructions et plus de détails, consultez les ressources suivantes: Mise à jour du 23/02/2022 : les versions de GKE et des clusters Anthos sur VMware ont été mises à jour. Pour obtenir des instructions et plus de détails, consultez les ressources suivantes: Mise à jour du 04-02-2022 : la date de début du déploiement des versions de correctif de GKE était le 2 février. Trois failles de sécurité : CVE-2021-4154, CVE-2021-22600 et CVE-2022-0185 ont été découvertes dans le noyau Linux, chacune pouvant entraîner une rupture de conteneur, une élévation des privilèges sur l'hôte ou les deux. Ces failles affectent tous les systèmes d'exploitation de nœud (COS et Ubuntu) sur GKE, les clusters Anthos sur VMware, les clusters Anthos sur AWS (génération actuelle et précédente) et Anthos on Azure. Les pods utilisant GKE Sandbox ne sont pas vulnérables à ces failles. Pour en savoir plus, consultez la page Notes de version. Pour obtenir des instructions et plus d'informations, consultez les ressources suivantes: |
Élevée |
GCP-2022-001
Date de publication:06/01/2022Description
Description | Niveau de gravité | Remarques |
---|---|---|
Un problème potentiel de déni de service dans Que dois-je faire ? Assurez-vous d'utiliser les versions les plus récentes des packages logiciels suivants:
Les utilisateurs Protobuf "javalite" (généralement Android) ne sont pas concernés. Quelles failles ce correctif permet-il de résoudre ? Ce correctif réduit les risques liés à la faille suivante : Faiblesse de l'implémentation concernant l'analyse des champs inconnus en Java. Une petite charge utile malveillante (environ 800 Ko) peut occuper l'analyseur pendant plusieurs minutes en créant un grand nombre d'objets à courte durée de vie, qui entraînent des pauses fréquentes et répétées de la récupération de mémoire. |
Élevée | CVE-2021-22569 |
GCP-2021-024
Date de publication:21/10/2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Un problème de sécurité a été détecté dans le contrôleur Kubernetes ingress-nginx, CVE-2021-25742. Les extraits personnalisés ingress-nginx permettent la récupération des jetons de compte de service ingress-nginx et des secrets sur tous les espaces de noms. Pour obtenir des instructions et plus d'informations, consultez les ressources suivantes: | Aucune | CVE-2021-25742 |
GCP-2021-019
Date de publication:29-09-2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Il existe un problème connu lorsque la mise à jour d'une ressource Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité de GKE. |
Faible |
GCP-2021-022
Date de publication:22-09-2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille a été détectée dans le module LDAP Anthos Identity Service (AIS) des versions 1.8 et 1.8.1 d'Anthos Clusters on VMware, où une clé initiale utilisée dans la génération de clés est prévisible. Avec cette faille, un utilisateur authentifié peut ajouter des revendications arbitraires et élever les privilèges indéfiniment. Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Anthos clusters on VMware. |
Élevée |
GCP-2021-021
Date de publication:22-09-2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille de sécurité, CVE-2020-8561, a été détectée dans Kubernetes. Certains webhooks peuvent être effectués pour rediriger les requêtes kube-apiserver vers des réseaux privés de cette API. Pour obtenir des instructions et plus d'informations, consultez les ressources suivantes: |
Moyenne | CVE-2020-8561 |
GCP-2021-023
Date de publication:21-09-2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Conformément à l'avis de sécurité VMSA-2021-0020, VMware a reçu des rapports concernant plusieurs failles dans vCenter. VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés. Nous avons déjà appliqué les correctifs fournis par VMware pour la pile vSphere à Google Cloud VMware Engine, conformément à l'avis de sécurité VMware. Cette mise à jour résout les failles de sécurité décrites dans CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 et CVE-2021-22010. D'autres problèmes de sécurité non critiques seront résolus dans la prochaine mise à niveau de la pile VMware (selon l'avis préalable envoyé en juillet, des détails supplémentaires seront bientôt fournis dans la chronologie spécifique de la mise à niveau). Impact sur VMware EngineD'après nos investigations, aucun client n'a été touché. Que dois-je faire ?Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise. |
Critique |
GCP-2021-020
Date de publication:17/09/2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Certains équilibreurs de charge Google Cloud qui acheminent vers un service de backend Identity-Aware Proxy (IAP) peuvent être vulnérables à une partie non approuvée dans des conditions limitées. Ce changement résout un problème signalé via notre Vulnerability Reward Program. Les conditions étaient les suivantes :
De plus, un utilisateur de votre organisation doit avoir cliqué sur un lien spécialement créé qui a été envoyé par une partie non approuvée. Le problème a donc été résolu. IAP a été mis à jour pour émettre des cookies uniquement vers les hôtes autorisés depuis le 17 septembre 2021. Un hôte est considéré comme étant autorisé s'il correspond à au moins un SAN (Subject Alternative Name, nom alternatif du sujet) dans l'un des certificats installés sur vos équilibreurs de charge. Que devez-vous faire ?
Certains de vos utilisateurs pourraient recevoir une réponse "HTTP 401: Unauthorized" accompagnée du code d'erreur 52 d'IAP en essayant d'accéder à vos applications ou services. Ce code d'erreur signifie que le client a envoyé un en-tête |
Élevé |
GCP-2021-018
Date de publication:15-09-2021Dernière mise à jour:20-09-2021
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Un problème de sécurité a été détecté dans Kubernetes, CVE-2021-25741, où un utilisateur peut créer un conteneur avec des montages de volume de sous-chemin pour accéder aux fichiers et répertoires en dehors du volume, y compris sur le système de fichiers hôte. Pour obtenir des instructions et plus d'informations, consultez les ressources suivantes: |
Élevée | CVE-2021-25741 |
GCP-2021-017
Date de publication:01-09-2021Dernière mise à jour:23-09-2021
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 23-09-2021 : les conteneurs s'exécutant dans GKE Sandbox ne sont pas affectés par cette faille pour les attaques provenant du conteneur. Deux failles de sécurité, CVE-2021-33909 et CVE-2021-33910, ont été détectées dans le noyau Linux. Elles peuvent provoquer un plantage du système d'exploitation ou une escalade vers la racine par un utilisateur non privilégié. Cette faille affecte tous les systèmes d'exploitation du nœud GKE (COS et Ubuntu). Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
Élevé | CVE-2021-33909 et CVE-2021-33910 |
GCP-2021-016
Date de publication:24/08/2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Les failles CVE Envoy et Istio suivantes exposent Anthos Service Mesh et Istio sur GKE à des failles exploitables à distance :
Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
Élevée |
GCP-2021-015
Date de publication:13-07-2021Dernière mise à jour:15-07-2021
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une nouvelle faille de sécurité, CVE-2021-22555, a été détectée dans laquelle un acteur malveillant doté de privilèges Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
Élevé | CVE-2021-22555 |
GCP-2021-014
Date de publication:05/07/2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Microsoft a publié un bulletin de sécurité sur la faille d'exécution de code à distance (RCE, Remote Code Execution) CVE-2021-34527, qui affecte le spouleur d'impression sur les serveurs Windows. Le CERT Coordination Center (CERT/CC) a publié une note de mise à jour sur une faille similaire, surnommée "PrintNightmare", qui affecte également les spouleurs d'impression Windows : PrintNightmare, Critical Windows Print Spooler Vulnerability. Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité de GKE. |
Élevée | CVE-2021-34527 |
GCP-2021-012
Date de publication:24-06-2021Dernière mise à jour:09-07-2021
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Le projet Istio a récemment annoncé une faille de sécurité dans laquelle les identifiants spécifiés dans le champ "GatewayGateway" et "DestinationRule credentialName" sont accessibles depuis différents espaces de noms. Pour en savoir plus sur les produits concernés et obtenir plus d'informations, consultez les pages suivantes :
|
Élevée | CVE-2021-34824 |
GCP-2021-011
Date de publication:04-06-2021Dernière mise à jour:19-10-2021
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 19-10-2021 : Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants :
La communauté de sécurité a récemment divulgué une nouvelle faille de sécurité (CVE-2021-30465) dans Pour GKE, étant donné que l'exploitation de cette faille nécessite la création de pods, nous avons évalué la gravité de cette faille sur MOYEN. Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité de GKE. |
Moyenne | CVE-2021-30465 |
GCP-2021-010
Date de publication : 2021-05-25Description
Description | Niveau de gravité | Remarques |
---|---|---|
Selon l'avis de sécurité VMware VMSA-2021-0010, les failles liées à l'exécution du code distant et au contournement de l'authentification du client vSphere (HTML5) ont été signalées à VMware de manière privée. VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés. Nous avons appliqué les correctifs fournis par VMware pour la pile vSphere conformément à l'avis de sécurité VMware. Cette mise à jour résout les failles de sécurité décrites dans les documents CVE-2021-21985 et CVE-2021-21986 Les versions d'image exécutées dans votre cloud privé VMware Engine ne reflètent pour le moment aucune modification indiquant les correctifs appliqués. Sachez que les correctifs appropriés ont été installés et que votre environnement est protégé contre ces failles. Impact sur VMware EngineD'après nos investigations, aucun client n'a été touché. Que dois-je faire ?Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise. |
Critique |
GCP-2021-008
Date de publication:17-05-2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Istio présente une faille exploitable à distance qui permet à un client externe d'accéder à des services inattendus dans le cluster, en contournant les vérifications d'autorisation, lorsqu'une passerelle est configurée avec la configuration de routage Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Anthos Service Mesh. |
Élevée |
CVE-2021-31921 |
GCP-2021-007
Date de publication:17-05-2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Istio présente une faille exploitable à distance : un chemin de requête HTTP comportant plusieurs barres obliques ou caractères de barre oblique échappée ( Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Anthos Service Mesh. |
Élevée |
CVE-2021-31920 |
GCP-2021-006
Date de publication:11-05-2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Le projet Istio a récemment annoncé une nouvelle faille de sécurité (CVE-2021-31920) affectant Istio. Istio présente une faille exploitable à distance : lorsqu'une requête HTTP comportant plusieurs barres obliques ou caractères de barre oblique échappée peut contourner la règle d'autorisation d'Istio lorsque des règles d'autorisation basées sur le chemin sont utilisées. Pour obtenir des instructions et plus d'informations, consultez les ressources suivantes: |
Élevé |
CVE-2021-31920 |
GCP-2021-005
Date de publication:11-05-2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille signalée a montré qu'Envoy ne décode pas les séquences de barres obliques échappées Que dois-je faire ?
Si les serveurs backend traitent Quels changements de comportement ont été introduits ?Les options normalize_path et merge adjacent slashes d'Envoy ont été activées pour corriger les autres failles courantes de confusion des chemins d'accès dans les produits basés sur Envoy. |
Élevée |
CVE-2021-29492 |
GCP-2021-004
Date de publication:06-05-2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Les projets Envoy et Istio ont récemment annoncé plusieurs nouvelles failles de sécurité (CVE-2021-28683, CVE-2021-28682 et CVE-2021-29258) qui pourraient permettre à un pirate informatique de faire planter Envoy. Les clusters Google Kubernetes Engine n'exécutent pas Istio par défaut et ne sont pas vulnérables. Si Istio a été installé dans un cluster et est configuré pour exposer des services sur Internet, ces services peuvent être vulnérables aux attaques par déni de service. Les clusters Anthos on bare metal et Anthos sur VMware utilisent Envoy par défaut pour Ingress. Par conséquent, les services Ingress risquent d'être vulnérables aux attaques par déni de service. Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
Moyenne |
GCP-2021-003
Date de publication:19/04/2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Le projet Kubernetes a annoncé récemment une nouvelle faille de sécurité, CVE-2021-25735, qui pourrait permettre aux mises à jour de nœuds de contourner un webhook d'admission de validation.
Dans un scénario dans lequel un pirate informatique dispose de privilèges suffisants, et lorsqu'un webhook d'admission de validation est mis en œuvre à l'aide d'anciennes propriétés d'objet Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
Moyenne |
GCP-2021-002
Date de publication : 05/03/2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Conformément à l'avis de sécurité VMware VMSA-2021-0002, VMware a reçu des rapports concernant plusieurs failles dans VMware ESXi et le client vSphere (HTML5). VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés. Nous avons appliqué les solutions de contournement officiellement décrites pour la pile vSphere conformément à l'avis de sécurité de VMware. Cette mise à jour concerne les failles de sécurité décrites dans les documents CVE-2021-21972, CVE-2021-21973 et CVE-2021-21974. Impact sur VMware EngineD'après nos investigations, aucun client n'a été touché. Que dois-je faire ?Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise. |
Critique |
GCP-2021-001
Date de publication:28-01-2021Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille a été récemment découverte dans l'utilitaire Linux L'infrastructure sous-jacente qui exécute Compute Engine n'est pas affectée par cette faille. Tous les clusters Google Kubernetes Engine (GKE), Anthos clusters on VMware, Anthos clusters on AWS et Anthos sur solution Bare Metal ne sont pas affectés par cette faille. Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
Aucune | CVE-2021-3156 |
GCP-2020-015
Date de publication:07-12-2020Dernière mise à jour:22-12-2020
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour: 22/12/2021. Dans la section suivante, la commande GKE pour GKE doit utiliser gcloud container clusters update –no-enable-service-externalips Mise à jour: 15/12/2021 Pour GKE, les mesures d'atténuation suivantes sont désormais disponibles :
Pour en savoir plus, consultez la page Renforcer la sécurité d'un cluster. Le projet Kubernetes a récemment découvert une nouvelle faille de sécurité : CVE-2020-8554. Celle-ci peut permettre à un pirate informatique ayant obtenu les autorisations nécessaires pour créer un service Kubernetes de type LoadBalancer ou ClusterIP d'intercepter le trafic réseau provenant d'autres pods du cluster. Cette faille, en elle-même, ne permet pas au pirate informatique de créer un service Kubernetes. Tous les clusters Google Kubernetes Engine (GKE), Anthos clusters on VMware et Anthos clusters on AWS sont affectés par cette faille. Que dois-je faire ?Pour en savoir plus et obtenir des instructions, consultez les pages suivantes : |
Moyenne |
CVE-2020-8554 |
GCP-2020-014
Date de publication:20-10-2020Dernière mise à jour:20-10-2020
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Le projet Kubernetes a récemment découvert plusieurs problèmes qui permettent l'exposition des données des secrets lors de l'activation des options de journalisation détaillée. Les problèmes sont les suivants :
Que dois-je faire ?Aucune autre action n'est requise en raison des niveaux de journalisation détaillée par défaut de GKE. |
Aucune |
Impact sur Google Cloud
Des informations pour chaque produit sont répertoriées ci-dessous.
Product |
Impact |
---|---|
Google Kubernetes Engine (GKE) n'est pas affecté. |
|
GKE On-Prem n'est pas affecté. |
|
GKE sur AWS n'est pas affecté. |
GCP-2020-013
Date de publication:29-09-2020Description
Microsoft a divulgué la faille suivante :
Faille |
Gravité |
CVE |
---|---|---|
CVE-2020-1472 Une faille dans Windows Server permet aux pirates informatiques d'utiliser le protocole distant Netlogon pour exécuter une application spécialement conçue sur un appareil du réseau. |
Score de base NVD : 10 (critique) |
Pour en savoir plus, consultez la divulgation de Microsoft.
Impact sur Google Cloud
L'infrastructure hébergeant les produits Google Cloud et Google n'est pas affectée par cette faille. Des informations complémentaires pour chaque produit sont répertoriées ci-dessous.
Produit |
Impact |
---|---|
Compute Engine |
CVE-2020-1472 |
Google Kubernetes Engine |
CVE-2020-1472 |
Service géré pour Microsoft Active Directory |
CVE-2020-1472 |
Google Workspace |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Environnement standard App Engine |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Environnement flexible App Engine |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Run |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Functions |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Composer |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Dataflow |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Dataproc |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud SQL |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
GCP-2020-012
Date de publication: 14-09-2020Dernière mise à jour: 17-09-2020
Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille a été récemment découverte dans le noyau Linux, décrite dans CVE-2020-14386, qui permet de s'échapper d'un conteneur pour obtenir un accès root sur le nœud hôte. Tous les nœuds GKE sont affectés. Les pods exécutés dans GKE Sandbox ne peuvent pas exploiter cette faille. Pour obtenir des instructions et plus d'informations, consultez les ressources suivantes:
Quelle faille ce correctif permet-il de résoudre ? Ce correctif réduit les risques liés à la faille suivante : La faille CVE-2020-14386, qui permet aux conteneurs avec CAP_NET_RAW d'écrire de 1 à 10 octets de mémoire du noyau, d'échapper le conteneur et d'obtenir des privilèges racine sur le nœud hôte. La gravité de cette faille est évaluée comme élevée. |
Élevée |
GCP-2020-011
Date de publication:24-07-2020Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille réseau, CVE-2020-8558, a été récemment détectée dans Kubernetes. Les services communiquent parfois avec d'autres applications s'exécutant dans le même pod à l'aide de l'interface de rebouclage local (127.0.0.1). Cette faille permet à un pirate informatique ayant accès au réseau du cluster d'envoyer du trafic à l'interface de rebouclage des pods et nœuds adjacents. Les services reposant sur l'interface de rebouclage et non accessibles en dehors de leur pod peuvent être exploités. Pour obtenir des instructions et plus d'informations, consultez les ressources suivantes: |
Faible (GKE et Anthos clusters on AWS), |
GCP-2020-010
Date de publication:27-07-2020Description
Microsoft a divulgué la faille suivante :
Faille |
Gravité |
CVE |
---|---|---|
CVE-2020-1350 : les serveurs Windows qui diffusent avec une capacité de serveur DNS peuvent être exploités par le compte système local pour exécuter du code non approuvé. |
Score de base NVD : 10,0 (critique) |
Pour en savoir plus, consultez la divulgation de Microsoft.
Impact sur Google Cloud
L'infrastructure hébergeant les produits Google Cloud et Google n'est pas affectée par cette faille. Des informations complémentaires pour chaque produit sont répertoriées ci-dessous.
Produit |
Impact |
---|---|
Compute Engine |
CVE-2020-1350 |
Google Kubernetes Engine |
CVE-2020-1350 |
Service géré pour Microsoft Active Directory |
CVE-2020-1350 |
Google Workspace |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Environnement standard App Engine |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Environnement flexible App Engine |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Run |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Functions |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Composer |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Dataflow |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Dataproc |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud SQL |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
GCP-2020-009
Date de publication:15/07/2020Description
Description | Niveau de gravité | Remarques |
---|---|---|
Une faille d'élévation des privilèges, CVE-2020-8559, a été récemment détectée dans Kubernetes. Cette faille permet à un pirate informatique ayant déjà compromis un nœud d'exécuter une commande dans n'importe quel pod du cluster. Le pirate peut ainsi utiliser le nœud déjà compromis pour en compromettre d'autres et potentiellement lire des informations, ou provoquer des actions de destruction. Notez que pour qu'un pirate informatique puisse exploiter cette faille, un nœud de votre cluster doit déjà avoir été compromis. Cette faille, en elle-même, ne compromettra pas les nœuds de votre cluster. Pour obtenir des instructions et plus d'informations, consultez les ressources suivantes: |
Moyen |
GCP-2020-008
Date de publication:19-06-2020Description
Description | Niveau de gravité | Remarques |
---|---|---|
DescriptionLes VM pour lesquelles OS Login est activé peuvent être exposées aux failles d'élévation des privilèges. Ces failles permettent aux utilisateurs disposant d'autorisations OS Login (mais pas d'un accès administrateur) de remonter jusqu'à l'accès racine dans la VM. Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Compute Engine.
|
Élevée |
GCP-2020-007
Date de publication:01-06-2020Description
Description | Niveau de gravité | Remarques |
---|---|---|
La faille SSRF (Server Side Request Forgery) CVE-2020-8555 a été détectée dans Kubernetes. Elle permet à certains utilisateurs autorisés de divulguer jusqu'à 500 octets d'informations sensibles à partir du réseau hôte du plan de contrôle. Le plan de contrôle de Google Kubernetes Engine (GKE) utilise des contrôleurs de Kubernetes et est donc affecté par cette faille. Nous vous recommandons de mettre à niveau le plan de contrôle vers la dernière version du correctif. Aucune mise à niveau de nœud n'est requise. Pour obtenir des instructions et plus d'informations, consultez les ressources suivantes: |
Moyenne |
GCP-2020-006
Date de publication:01-06-2020Description
Description | Niveau de gravité | Remarques |
---|---|---|
Kubernetes a divulgué une faille qui permet à un conteneur privilégié de rediriger le trafic de nœuds vers un autre conteneur. Le trafic TLS/SSH mutuel (entre le kubelet et le serveur d'API, ou en provenance d'applications via le protocole mTLS) ne peut pas être lu ni modifié par cette attaque. Tous les nœuds Google Kubernetes Engine (GKE) sont affectés par cette faille. Par conséquent, nous vous recommandons de procéder à la mise à niveau vers la dernière version du correctif. Pour obtenir des instructions et plus d'informations, consultez les ressources suivantes: |
Moyenne |
GCP-2020-005
Date de publication:07/05/2020Description
Faille |
Gravité |
CVE |
---|---|---|
La faille CVE-2020-8835 a été récemment découverte dans le noyau Linux. Elle permet de "s'échapper d'un conteneur" pour obtenir un accès root (racine) sur le nœud hôte. Cette faille affecte les nœuds Ubuntu exécutant GKE 1.16 ou 1.17 dans Google Kubernetes Engine (GKE). Nous vous recommandons donc de passer à la dernière version du correctif dès que possible. Veuillez consulter le bulletin de sécurité de GKE pour en savoir plus et obtenir des instructions. |
Élevée |
GCP-2020-004
Date de publication: 31-03-2020Dernière mise à jour: 31-03-2020
Description
Kubernetes a divulgué les failles suivantes :
Faille |
Gravité |
CVE |
---|---|---|
CVE-2019-11254 : faille de déni de service (DoS) qui affecte le serveur d'API. |
Moyenne |
Consultez le bulletin de sécurité Anthos clusters on VMware pour obtenir des instructions et en savoir plus.
GCP-2020-003
Date de publication: 31-03-2020Dernière mise à jour: 31-03-2020
Description
Kubernetes a divulgué les failles suivantes :
Faille |
Gravité |
CVE |
---|---|---|
CVE-2019-11254 : faille de déni de service (DoS) qui affecte le serveur d'API. |
Moyenne |
Consultez le bulletin de sécurité de GKE pour en savoir plus et obtenir des instructions.
GCP-2020-002
Date de publication: 23-03-2020Dernière mise à jour: 23-03-2020
Description
Kubernetes a divulgué les failles suivantes :
Faille |
Gravité |
CVE |
---|---|---|
CVE-2020-8551 : faille de déni de service (DoS) qui affecte le kubelet. |
Moyen |
|
CVE-2020-8552 : faille de déni de service (DoS) qui affecte le serveur d'API. |
Moyen |
Consultez le bulletin de sécurité de GKE pour en savoir plus et obtenir des instructions.
GCP-2020-001
Date de publication: 21-01-2020Dernière mise à jour: 21-01-2020
Description
Microsoft a divulgué la faille suivante :
Faille |
Gravité |
CVE |
---|---|---|
CVE-2020-0601 : cette faille est également appelée "faille de spoofing de l'API Windows Crypto". Ils pourraient être exploités pour faire croire à des exécutables malveillants ou permettre au pirate informatique de mener des attaques MITM ("man in the middle") et de déchiffrer des informations confidentielles sur les connexions des utilisateurs au logiciel concerné. |
Score de base NVD : 8,1 (élevé) |
Pour en savoir plus, consultez la divulgation de Microsoft.
Impact sur Google Cloud
L'infrastructure hébergeant les produits Google Cloud et Google n'est pas affectée par cette faille. Des informations complémentaires pour chaque produit sont répertoriées ci-dessous.
Produit |
Impact |
---|---|
Compute Engine |
CVE-2020-0601 |
Google Kubernetes Engine |
CVE-2020-0601 |
Service géré pour Microsoft Active Directory |
CVE-2020-0601 |
Google Workspace |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Environnement standard App Engine |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Environnement flexible App Engine |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Run |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Functions |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Composer |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Dataflow |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Dataproc |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud SQL |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
GCP-2019-001
Date de publication:12-11-2019Dernière mise à jour: 12-11-2019
Description
Intel a divulgué les failles suivantes :
Faille |
Gravité |
CVE |
---|---|---|
CVE-2019-11135 — Cette faille s'intitule "TSX Asynchronous Abort" (abandon asynchrone de TSX). Elle peut être exploitée à des fins d'exécution spéculative au sein d'une transaction TSX. En raison de l'exposition de structures de données permise par l'échantillonnage de données microarchitectural, cette faille présente un risque de divulgation des données. |
Moyenne |
|
CVE-2018-12207 — Faille de déni de service (DoS) qui concerne les hôtes de machines virtuelles et non les invités. Cette faille s'intitule "Machine Check Error on Page Size Change" (erreur de vérification machine lors du changement de format de page). |
Moyenne |
Pour en savoir plus, consultez les divulgations d'Intel :
Impact sur Google Cloud
L'infrastructure d'hébergement des produits Google Cloud et Google est invulnérable à ces failles. Des informations complémentaires pour chaque produit sont répertoriées ci-dessous.
Produit |
Impact |
---|---|
Compute Engine |
CVE-2019-11135 CVE-2018-12207 |
Google Kubernetes Engine |
CVE-2019-11135 CVE-2018-12207 |
Environnement standard App Engine |
Aucune autre action n'est requise. |
Environnement flexible App Engine |
CVE-2019-11135 CVE-2018-12207 |
Cloud Run |
Aucune autre action n'est requise. |
Cloud Functions |
Aucune autre action n'est requise. |
Cloud Composer |
Aucune autre action n'est requise. |
Dataflow |
CVE-2019-11135 CVE-2018-12207 |
Dataproc |
CVE-2019-11135 CVE-2018-12207 |
Cloud SQL |
Aucune autre action n'est requise. |