עדכוני אבטחה דחופים

קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

עדכוני האבטחה הדחופים הבאים קשורים למוצרי Google Cloud.

רוצים לקבל עדכוני אבטחה דחופים מהדף הזה? תוכלו להירשם לפיד ה-XML הזה. הרשמה

GCP-2022-012

תאריך פרסום: 7 באפריל 2022

תיאור

תיאור רמת סיכון הערות

התגלתה נקודת חולשה באבטחה, CVE-2022-0847,‏בגרסאות הליבה 5.8 ואילך של Linux שעלולה לגרום הסלמת הרשאות (privilege escalation) להרשאות root בקונטיינר. נקודת החולשה באבטחה משפיעה על המוצרים האלה:

  • מאגרי צמתים של GKE מגרסה 1.22 ואילך, שמשתמשים בקובצי אימג' של מערכת הפעלה שמותאמת לקונטיינרים (Container-Optimized OS גרסה 93 ואילך)
  • אשכולות Anthos ב-VMware v1.10‎ לקובצי אימג' של מערכת הפעלה שמותאמת לקונטיינרים
  • אשכולות Anthos ב-AWS v1.21‎ ואשכולות Anthos ב-AWS (מדור קודם) בגרסאות 1.19,‏ 1.20 ו-1.21 שמשתמשים ב-Ubuntu
  • אשכולות מנוהלים של Anthos on Azure v1.21 שמשתמשים ב-Ubuntu

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

גבוהה CVE-2022-0847

GCP-2022-011

תאריך פרסום: 22 במרץ 2022

תיאור

תיאור רמת סיכון

קיימת הגדרה שגויה עם Simultaneous Multi-Threading (‏SMT, שנקרא גם Hyper-threading), בתמונות GKE Sandbox. ההגדרה השגויה חושפת צמתים למתקפות בערוצים צדדיים, כמו דגימת נתונים של מיקרו-ארכיטקטורה (MDS). להקשר נוסף, תוכלו לקרוא את מסמכי התיעוד של GKE Sandbox. אנחנו לא ממליצים להשתמש בגרסאות הבאות שמושפעות מהבעיה:

  • ‎1.22.4-gke.1501
  • ‎1.22.6-gke.300
  • ‎1.23.2-gke.300
  • ‎1.23.3-gke.600

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-GKE.

בינונית

GCP-2022-010

תיאור

תיאור רמת סיכון הערות

ה-Istio CVE הבא חושף את Anthos Service Mesh לנקודת חולשה שאפשר לנצל מרחוק:

  • CVE-2022-24726:‏ רמת הבקרה 'istiod' ב-Istio חשופה לשגיאה בעיבוד בקשות. כתוצאה מכך, תוקף זדוני עלול לשלוח הודעה שנוצרה במיוחד כדי לגרום לקריסה של רמת הבקרה בזמן שה-webhook המאמת של האשכול חשוף באופן ציבורי. מילוי הבקשה של נקודת הקצה (endpoint) הזו מתבצע ביציאה 15017 ב-TLS, אבל לא מחייב אימות כלשהו מצד התוקף.

להוראות ולפרטים נוספים, קראו את העדכון הבא:

גבוהה

GCP-2022-009

תאריך פרסום: 1 במרץ 2022

תיאור

תיאור רמת סיכון

ייתכן שנעשה שימוש בכמה נתיבים לא צפויים לקבלת גישה ל-VM של צומת באשכולות GKE Autopilot, לצורך העברת הרשאות ברמות גבוהות יותר באשכול. הבעיות האלה תוקנו ולא נדרשת כל פעולה נוספת. התיקונים מתייחסים לבעיות שדוּוחו במסגרת תוכנית התמריצים לזיהוי נקודות חולשה.

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-GKE.

נמוכה

GCP-2022-008

תאריך פרסום: 23 בפברואר 2022

תיאור

תיאור רמת סיכון הערות
בפרויקט Envoy התגלו לאחרונה נקודות חולשה. כל הבעיות שמפורטות כאן תוקנו ב-Envoy גרסה 1.21.1.
  • CVE-2022-23606: כשמוחקים אשכול באמצעות Cluster Discovery Service‏ (CDS), כל החיבורים שנוצרו לנקודות קצה באשכול הזה ואין בהם פעילות מנותקים. בגרסה 1.19 של Envoy התחילה בטעות פעולה חוזרת של ניתוק חיבורים ללא פעילות, דבר שעלול להוביל למיצוי סטאק ולסיום לא תקין של תהליכים כאשר באשכול יש מספר רב של חיבורים ללא פעילות.
  • CVE-2022-21655: קוד ההפניה הפנימית האוטומטית של Envoy מניח שקיימת כניסה למסלול. כשמתבצעת הפניה פנימית אוטומטית למסלול עם רשומה של תגובה מיידית וללא כניסה למסלול, היא עלולה להוביל לביטול האזכור של מצביע null ולקריסה.
  • CVE-2021-43826: כשמגדירים את Envoy לשימוש ב-tcp_proxy שמשתמש במנהור ב-upstream (דרך HTTP) ובסיום TLS ב-downstream,‏ Envoy יקרוס אם הלקוח ב-downstream מתנתק במהלך לחיצת יד (handshake) ב-TLS בעוד שב-upstream עדיין מתקיימת פעולה לביסוס HTTP. הניתוק ב-downstream יכול להיות ביוזמת הלקוח או ביוזמת השרת. הלקוח יכול להתנתק מכל סיבה. השרת עשוי להתנתק אם, לדוגמה, אין בו הצפנות TLS או גרסאות של פרוטוקול TLS שתואמות ללקוח. יכול להיות שתיגרם קריסה גם בהגדרות אחרות ב-downstream.
  • CVE-2021-43825: שליחת תגובה שנוצרת באופן מקומי חייבת להפסיק את המשך העיבוד של נתוני הבקשה או התגובה. Envoy עוקב אחרי הכמות של בקשות בתהליך אגירת נתונים ושל נתוני התגובות, ומבטל את הבקשה אם כמות הנתונים שבתהליך האגירה חורגת מהמגבלה של שליחת 413 או 500 תגובות. עם זאת, כשתגובה שנוצרת באופן מקומי נשלחת בגלל חריגות ממאגר הנתונים הזמני הפנימי בזמן שהתגובה מעובדת על ידי רשת המסננים, יכול להיות שהפעולה לא תבוטל כמו שצריך ותתקבל גישה לבלוק זיכרון שהתפנה.
  • CVE-2021-43824: ‏Envoy קורס במהלך השימוש במסנן JWT עם כלל ההתאמה "safe_regex" ובקשה שנוצרה באופן מיוחד, כמו ‎"CONNECT host:port HTTP/1.1"‎. כשמגיעים למסנן JWT, הכלל "safe_regex" צריך להעריך את הנתיב של כתובת ה-URL אבל לא קיימת כתובת כזו, וכתוצאה מכך Envoy קורס עם כשלים בסגמנטציה.
  • CVE-2022-21654‏: Envoy יאפשר באופן שגוי את המשך הסשן של TLS, אחרי שהאימות של mTLS הוגדר מחדש. אם אישור לקוח הותר לשימוש לפי ההגדרות הישנות אבל לא לפי ההגדרות החדשות, הלקוח יכול להמשיך את סשן ה-TLS הקודם גם אם ההגדרות החדשות לא מתירות זאת. השינויים ישפיעו על ההגדרות הבאות:
    • match_subject_alt_names
    • שינויים ב-CRL
    • allow_expired_certificate
    • Trust_chain_verification
    • only_verify_leaf_cert_crl
  • CVE-2022-21657: ב-Envoy אין הגבלה על מספר האישורים שיכולים להתקבל מהרשת השכנה, בתור לקוח TLS או שרת TLS, גם אם מדובר באישורים שאינם כוללים את ה-extendedKeyUsage הנדרש (id-kp-serverAuth ו-id-kp-clientAuth, בהתאמה). כלומר, ברשת שכנה יכול להופיע אישור באימייל (לדוגמה id-kp-emailProtection) בתור אישור עלה (leaf certificate) או בתור רשות אישורים (CA) ברשת, והוא יתקבל בהצלחה ב-TLS. הדבר בעייתי במיוחד בשילוב עם CVE-2022-21656‏, מכיוון שמתאפשר ל-Web PKI CA,‏ שנועד לשימוש רק עם S/MIME ופטור מביקורת או פיקוח, להנפיק אישורי TLS שיתקבלו על ידי Envoy.
  • CVE-2022-21656: בתהליך ההטמעה של כלי התיקוף, שנועד כדי להטמיע את ברירת המחדל של תרחישים לאימות אישורים, מופיע הבאג "type confusion" במהלך העיבוד של subjectAltNames. העיבוד הזה מאפשר למשל אימות של rfc822Name או uniformResourceIndicator בתור שם דומיין. הבלבול שנוצר מאפשר לעקוף את nameConstraints,‏ שעבר עיבוד באמצעות תהליך ההטמעה שבבסיסו OpenSSL/BoringSSL,‏ וכך נוצרת אפשרות להתחזות של שרתים שרירותיים.
לפרטים והוראות בקשר למוצרים ספציפיים, קראו את העדכונים הבאים:
פעולות מומלצות
משתמשי Envoy, שמנהלים מערכות Envoy משלהם, יוצרים את הקבצים הבינאריים ממקור כמו GitHub ופורסים אותם, צריכים לוודא שהם משתמשים בגרסה 1.21.1 של Envoy.

משתמשים שמריצים מערכות Envoy מנוהלות לא צריכים לעשות שום דבר (הקבצים הבינאריים של Envoy יסופקו על ידי GCP), ומוצרי Cloud שבמערכות יעברו לגרסה 1.21.1.‏
גבוהה CVE-2022-23606
CVE-2022-21655
CVE-2021-43826
CVE-2021-43825
CVE-2021-43824
CVE-2022-21654
CVE-2022-21657
CVE-2022-21656

GCP-2022-007

תאריך פרסום: 22 בפברואר 2022

תיאור

תיאור רמת סיכון הערות

ה-CVE הבאות של Envoy ו-Istio חושפות את Anthos Service Mesh ואת Istio ב-GKE לנקודות חולשה שאפשר לנצל מרחוק:

  • CVE-2022-23635:‏ Istiod קורס בזמן קבלת בקשות עם כותרת authorization שנוצרה במיוחד.
  • CVE-2021-43824:‏ ביטול האזכור הפוטנציאלי של מצביע null במהלך השימוש בהתאמת safe_regex של מסנן JWT.
  • CVE-2021-43825:‏ שגיאת Use-after-free שנוצרת בזמן שמסנני התגובה מגדילים את נתוני התגובה, ומספר הנתונים הגדול חורג מהמגבלות של מאגר הנתונים הזמני ב-downstream.
  • CVE-2021-43826:‏ שגיאת Use-after-free במהלך מנהור של TCP דרך HTTP,‏ אם הלקוח ב-downstream מתנתק במהלך ביסוס החיבור ב-upstream.
  • CVE-2022-21654:‏ טיפול שגוי בהגדרות שמאפשר שימוש מחדש בסשן של mTLS בלי אימות מחדש אחרי שהגדרות האימות השתנו.
  • CVE-2022-21655:‏ טיפול שגוי בביצוע של הפניות פנימיות אוטומטיות בנתיבים עם רשומה של תגובה ישירה.
  • CVE-2022-23606:‏ מיצוי סטאק כאשר אשכול נמחק באמצעות Cluster Discovery Service.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

גבוהה

GCP-2022-006

תאריך פרסום: 14 בפברואר 2022
תאריך עדכון: 23 בפברואר 2022

תיאור

תיאור רמת סיכון הערות

התגלתה נקודת חולשה באבטחה, CVE-2022-0492, בפונקציה cgroup_release_agent_write בליבה של Linux. במתקפה נעשה שימוש במרחבי שמות של משתמשים ללא הרשאות, ובנסיבות מסוימות יכול להיות שנקודת החולשה הזו תנוצל לפירצה בקונטיינר.

נמוכה

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

GCP-2022-005

תאריך פרסום: 11 בפברואר 2022
תאריך עדכון: 15 בפברואר 2022

תיאור

תיאור רמת סיכון הערות

התגלתה נקודת חולשה באבטחה, CVE-2021-43527, בכל תוכנה בינארית שמקשרת לגרסאות הפגיעות של libnss3 הנמצאות בגרסאות NSS (שירותי אבטחת רשת) שקדמו ל-3.73 או 3.68.1. הדבר עלול להשפיע על אפליקציות שמשתמשות ב-NSS לאימות אישורים או ב-TLS,‏ X.509,‏ OCSP או פונקציונליות CRL, בהתאם לאופן ההגדרה של ה-NSS או השימוש בו.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

בינונית CVE-2021-43527

GCP-2022-004

תאריך פרסום: 4 בפברואר 2022

תיאור

תיאור רמת סיכון הערות

נקודת חולשה באבטחה, CVE-2021-4034 התגלתה ב-pkexec, חלק מחבילת PolicyKit (‏polkit) של Linux, שמאפשרת למשתמש מאומת לבצע מתקפה של הסלמת הרשאות (privilege escalation). בדרך כלל השימוש ב-PolicyKit הוא רק במערכות Linux במחשבים, כדי לאפשר למשתמשים בלי הרשאות root לבצע פעולות כמו הפעלה מחדש של המערכת, התקנת חבילות, הפעלה מחדש של שירותים וכו', בכפוף למדיניות.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

אין CVE-2021-4034

GCP-2022-002

תאריך פרסום: 1 בפברואר 2022
תאריך עדכון: 25 בפברואר 2022

תיאור

תיאור רמת סיכון הערות

עדכון מ-25 בפברואר 2022: הגרסאות של GKE עודכנו. להוראות ולפרטים נוספים, קראו את העדכון הבא:

עדכון מ-23 בפברואר 2022: ‏הגרסאות של GKE ואשכולות Anthos ב-VMware עודכנו. להוראות ולפרטים נוספים, קראו את העדכונים הבאים:


עדכון מ-4 בפברואר 2022: ההשקה של גרסאות תיקון ל-GKE החלה ב-2 בפברואר.


שלוש נקודות חולשה באבטחה, CVE-2021-4154,‏ CVE-2021-22600 ו-CVE-2022-0185, התגלו בליבה של Linux, וכל אחת מהן עלולה לגרום לפירצה בקונטיינר, להסלמת הרשאות (privilege escalation) כנגד המארח או גם וגם. נקודות החולשה האלה משפיעות על כל מערכות האבטחה בצמתים (COS ו-Ubuntu) ב-GKE, באשכולות Anthos ב-VMware, באשכולות Anthos ב-AWS (דור נוכחי וקודם) וב-Anthos on Azure. Pods שמשתמשים ב-GKE Sandbox לא חשופים לנקודות החולשה האלה. לפרטים נוספים, קראו את הערות המוצר של COS.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

גבוהה

GCP-2022-001

תאריך פרסום: 6 בינואר 2022

תיאור

תיאור רמת סיכון הערות

התגלתה בעיה פוטנציאלית מסוג 'התקפת מניעת שירות (DoS)' בתהליך הניתוח של נתונים בינאריים ב-protobuf-java.

פעולות מומלצות

ודאו שאתם משתמשים בגרסאות האחרונות של חבילות התוכנה הבאות:

  • protobuf-java (3.16.1, 3.18.2, 3.19.2)
  • protobuf-kotlin (3.18.2, 3.19.2)
  • google-protobuf ‎[JRuby gem] (3.19.2)

משתמשי Protobuf "javalite"‎ (בדרך כלל Android) אינם מושפעים מכך.

אילו נקודות חולשה טופלו במסגרת התיקון הזה?

התיקון טיפל בנקודת החולשה הבאה:

נקודת חולשה בתהליך ההטמעה בנוגע לאופן הניתוח של שדות לא מוכרים ב-Java. מטען ייעודי (payload) זדוני קטן (כ-800KB) יכול להעסיק את המנתח למשך מספר דקות על ידי יצירת כמות גדולה של אובייקטים קצרי-טווח שגורמים להפסקות garbage collection חוזרות ונשנות באופן תדיר.

גבוהה CVE-2021-22569

GCP-2021-024

תאריך פרסום: 21 באוקטובר 2021

תיאור

תיאור רמת סיכון הערות

בעיית אבטחה התגלתה בקטע הבקרה ingress-nginx ב-Kubernetes, ‏CVE-2021-25742. קטעי Ingress-nginx בהתאמה אישית מאפשרים אחזור של אסימונים וסודות של חשבונות שירות של ingress-nginx בכל מרחבי השמות.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

אין CVE-2021-25742

GCP-2021-019

תאריך פרסום: 29 בספטמבר 2021

תיאור

תיאור רמת סיכון הערות

יש בעיה ידועה שבזמן עדכון משאב BackendConfig באמצעות ה-API של v1beta1, מדיניות האבטחה הפעילה של Google Cloud Armor מוסרת מהשירות.

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-GKE.

נמוכה

GCP-2021-022

תאריך פרסום: 22 בספטמבר 2021

תיאור

תיאור רמת סיכון הערות

התגלתה נקודת חולשה במודול LDAP של Anthos Identity Service (AIS) לאשכולות Anthos בגרסאות 1.8 ו-1.8.1 של VMware, כך שאפשר לחזות מפתחות מקור המשמשים ליצירת מפתחות. משתמש מאומת עלול להשתמש בנקודת החולשה הזו כדי להוסיף הצהרות שרירותיות ולהסלים הרשאות (privilege escalation) בלי סוף.

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף בנושא אשכולות Anthos ב-VMware.

גבוהה

GCP-2021-021

תאריך פרסום: 22 בספטמבר 2021

תיאור

תיאור רמת סיכון הערות

התגלתה ב-Kubernetes נקודת חולשה באבטחה, CVE-2020-8561,‏ שמאפשרת להשתמש בתגובות מסוימות לפעולות מאתר אחר (webhook) כדי להפנות בקשות kube-apiserver לרשתות פרטיות של שרת ה-API.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

בינונית CVE-2020-8561

GCP-2021-023

תאריך פרסום: 21 בספטמבר 2021

תיאור

תיאור רמת סיכון הערות

לפי הייעוץ בנושא אבטחה VMSA-2021-0020 של VMware, התקבלו ב-VMware דיווחים על מספר נקודות חולשה ב-vCenter. VMware פרסמה עדכונים כדי לתקן את נקודות החולשה האלה במוצרי VMware שמושפעים מהן.

כבר יישמנו ב-Google Cloud VMware Engine את התיקונים שסופקו על ידי VMware למחסנית vSphere, בהתאם לייעוץ בנושא אבטחה של VMware. עדכון זה מתייחס לנקודות החולשה באבטחה שמפורטות ב-CVE-2021-22005,‏ CVE-2021-22006,‏ CVE-2021-22007,‏ CVE-2021-22008 ו-CVE-2021-22010. בעיות אבטחה אחרות שהן לא קריטיות יטופלו בשדרוג הקרוב של סטאק VMware (בהתאם להודעה מראש שנשלחה בחודש יולי). בקרוב יפורסמו פרטים נוספים לגבי לוחות הזמנים הספציפיים של השדרוג.

ההשפעה על VMware Engine

לפי הבדיקות שלנו, לא היתה השפעה על אף לקוח.

פעולות מומלצות

מאחר שהאשכולות של VMware Engine לא מושפעים מנקודת החולשה הזו, אין צורך לבצע פעולות נוספות.

קריטית

GCP-2021-020

תאריך פרסום: 17 בספטמבר 2021

תיאור

תיאור רמת סיכון הערות

יכול להיות שחלק מתהליכי הניתוב של מאזני העומסים ב-Google Cloud אל השירות לקצה העורפי שמופעל על ידי שרת proxy לאימות זהויות (IAP) נחשפו לגורם לא מהימן, בתנאים מוגבלים. הדבר קשור לבעיה שדווחה דרך תוכנית התמריצים שלנו לאיתור נקודות חולשה.

התנאים היו שהשרתים:
  • היו מאזני עומסים מסוג HTTP(S) וגם
  • השתמשו בברירת מחדל של קצה עורפי או בקצה עורפי עם כלל למיפוי מארחים באמצעות תווים כלליים לחיפוש (כלומר, host="*"‎).

בנוסף, כנראה שמשתמש בארגון שלכם לחץ על קישור שנוצר במיוחד על ידי צד לא מהימן.

הבעיה נפתרה. נכון ל-17 בספטמבר 2021, בוצע עדכון ב-IAP ליצירת קובצי cookie למארחים מורשים בלבד. מארח מוגדר כמורשה אם הוא תואם לפחות לאחד מ-Subject Alternative Names‏ (SAN) באחד מהאישורים שמותקנים במאזני העומסים שלכם.

פעולות מומלצות

חלק מהמשתמשים עשויים לקבל תגובה לא מורשית מסוג HTTP 401 עם קוד שגיאה 52 של IAP, כשהם מנסים לגשת לאפליקציות או לשירותים. קוד השגיאה מתקבל כאשר הלקוחות שולחים כותרת Host שלא תואמת לאף Subject Alternative Names שקשור לאישורי SSL של מאזן העומסים. האדמין של מאזן העומסים צריך לעדכן את אישורי ה-SSL כדי לוודא שברשימת Subject Alternative Name‏ (SAN) מופיעים כל שמות המארחים שבאמצעותם המשתמשים נכנסים לאפליקציות או לשירותים שמוגנים על ידי IAP. למידע נוסף על קודי שגיאה של IAP

גבוהה

GCP-2021-018

תאריך פרסום: 15 בספטמבר 2021
תאריך עדכון: 20 בספטמבר 2021

תיאור

תיאור רמת סיכון הערות

התגלתה ב-Kubernetes בעיית אבטחה, CVE-2021-25741, שבה ייתכן שמשתמשים יוכלו ליצור קונטיינר עם תושבות של נפח אחסון בנתיב משני כדי לגשת לקבצים ולספריות מחוץ לנפח האחסון, כולל מערכת הקבצים של המארח.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

גבוהה CVE-2021-25741

GCP-2021-017

תאריך פרסום: 1 בספטמבר 2021
תאריך עדכון: 23 בספטמבר 2021

תיאור

תיאור רמת סיכון הערות

עדכון מ-23 בספטמבר 2021: קונטיינרים שפועלים בתוך GKE Sandbox לא מושפעים מנקודת החולשה הזו בנוגע למתקפות שנוצרות מתוך הקונטיינר.


שתי נקודות חולשה באבטחה, CVE-2021-33909 ו-CVE-2021-33910,‏ התגלו בליבה של Linux ועלולות לגרום לקריסה של מערכות הפעלה או לאפשר למשתמשים לא מורשים להסלים הרשאות (privilege escalation) להרשאות root. נקודת החולשה הזו משפיעה על כל מערכות ההפעלה של צומתי GKE‏ (COS ו-Ubuntu).

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

גבוהה CVE-2021-33909, CVE-2021-33910

GCP-2021-016

תאריך פרסום: 24 באוגוסט 2021

תיאור

תיאור רמת סיכון הערות

ה-CVE הבאות של Envoy ו-Istio חושפות את Anthos Service Mesh ואת Istio ב-GKE לנקודות חולשה שאפשר לנצל מרחוק:

  • CVE-2021-39156:‏ בקשות HTTP עם מקטע (קטע בסוף URI שמתחיל בתו #) בנתיב ה-URI עלולות לעקוף את מדיניות ההרשאה מבוססת-הנתיב URI של Istio.
  • CVE-2021-39155:‏ בקשות HTTP עלולות לעקוף את מדיניות ההרשאה של Istio במהלך שימוש בכללים המבוססים על hosts או על notHosts.
  • CVE-2021-32781:‏ השפעה על התוספים או התוספים הקנייניים decompressor,‏ json-transcoder ו-grpc-web של Envoy שמשנים ומגדילים את גוף הבקשה או התשובה. שינוי והגדלת הגוף בתוסף של Envoy מעבר לשטח האחסון הזמני הפנימי עלולים לגרום ל-Envoy לגשת לזיכרון שההקצאה שלו בוטלה ולהיסגר בצורה חריגה.
  • CVE-2021-32780:‏ שירות upstream לא מהימן עלול לגרום ל-Envoy להיסגר בצורה חריגה על ידי שליחת המסגרת GOAWAY ואחריה המסגרת SETTINGS כשהפרמטר SETTINGS_MAX_CONCURRENT_STREAMS מוגדר ל-0. (לא רלוונטי ל-Istio ב-GKE)
  • CVE-2021-32778:‏ לקוח Envoy שפותח ואז מאתחל מספר גדול של בקשות HTTP/2 עלול לגרום לשימוש חריג במעבד (CPU). (לא רלוונטי ל-Istio ב-GKE)
  • CVE-2021-32777:‏ בקשות HTTP עם כותרות עם ערכים מרובים עלולות לבצע בדיקה חלקית של מדיניות הרשאה כשנעשה שימוש בתוסף ext_authz.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

גבוהה

GCP-2021-015

תאריך פרסום: 13 ביולי 2021
תאריך עדכון: 15 ביולי 2021

תיאור

תיאור רמת סיכון הערות

התגלתה נקודת חולשה חדשה באבטחה, CVE-2021-22555,‏ שבה גורם זדוני עם ההרשאות CAP_NET_ADMIN עלול לגרום לפירצה בקונטיינר שמאפשרת גישה להרשאות root במארח. נקודת החולשה הזו משפיעה על כל אשכולות GKE ואשכולות Anthos ב-VMware בגרסאות 2.6.19 ואילך של Linux.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

גבוהה CVE-2021-22555

GCP-2021-014

תאריך פרסום: 5 ביולי 2021

תיאור

תיאור רמת סיכון הערות

Microsoft פרסמה עדכון אבטחה דחוף בקשר לנקודת החולשה CVE-2021-34527 בביצוע קוד מרחוק ‏(RCE), שמשפיעה על שמירת מסמכים שנשלחו להדפסה בשרתי Windows. בנוסף, פורסם עדכון חדש יותר על ידי CERT Coordination Center ‏(CERT/CC) בקשר לנקודת חולשה דומה עם הכינוי PrintNightmare, שגם משפיעה על שמירת מסמכים שנשלחו להדפסה ב-Windows:‏ PrintNightmare, נקודת חולשה קריטית בשמירת מסמכים שנשלחו להדפסה ב-Windows

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-GKE.

גבוהה CVE-2021-34527

GCP-2021-012

תאריך פרסום: 24 ביוני 2021
תאריך עדכון: 9 ביולי 2021

תיאור

תיאור רמת סיכון הערות

דווח לאחרונה בפרויקט Istio על נקודת חולשה באבטחה שבה אפשר לקבל גישה לפרטי כניסה שצוינו ב-Gateway ובשדה DestinationRule credentialName field ממרחבי שמות שונים.

להוראות בקשר למוצרים ספציפיים ולפרטים נוספים, קראו את העדכונים הבאים:

גבוהה CVE-2021-34824

GCP-2021-011

תאריך פרסום: 4 ביוני 2021
תאריך עדכון: 19 באוקטובר 2021

תיאור

תיאור רמת סיכון הערות

עדכון מתאריך 19 באוקטובר 2021:

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:


קהילת האבטחה חשפה לאחרונה נקודת חולשה חדשה באבטחה (CVE-2021-30465) שהתגלתה ב-runc ועלולה לאפשר גישה מלאה למערכת הקבצים של צמתים.

ב-GKE, כדי לנצל את נקודת החולשה הזו נדרשת יכולת ליצור Pods, ולכן הגדרנו את רמת הסיכון של נקודת החולשה הזו כבינונית.

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-GKE.

בינונית CVE-2021-30465

GCP-2021-010

תאריך פרסום: 25 במאי 2021

תיאור

תיאור רמת סיכון הערות

לפי הייעוץ בנושא אבטחה VMSA-2021-0010 של VMware,‏ נקודות החולשה של ביצוע קוד מרחוק ועקיפת האימות ב-vSphere Client‏ (HTML5) דווחו באופן פרטי ל-VMware. VMware פרסמה עדכונים כדי לתקן את נקודות החולשה האלה במוצרי VMware שמושפעים מהן.

יישמנו את התיקונים שסופקו על ידי VMware לסטאק vSphere,‏ בהתאם לייעוץ בנושא אבטחה של VMware. עדכון זה מתייחס לנקודות החולשה באבטחה שמפורטות ב-CVE-2021-21985 ו-CVE-2021-21986. גרסאות התמונה שפועלות בענן הפרטי של VMware Engine לא משקפות שינוי כלשהו בשלב זה כדי לציין את התיקונים שיושמו. אין לכם מה לדאוג, כי התיקונים המתאימים הותקנו והסביבה שלכם מאובטחת מפני נקודות החולשה האלה.

ההשפעה על VMware Engine

לפי הבדיקות שלנו, לא היתה השפעה על אף לקוח.

פעולות מומלצות

מאחר שהאשכולות של VMware Engine לא מושפעים מנקודת החולשה הזו, אין צורך לבצע פעולות נוספות.

קריטית

GCP-2021-008

תאריך פרסום: 17 במאי 2021

תיאור

תיאור רמת סיכון הערות

Istio כולל נקודת חולשה שאפשר לנצל מרחוק, שבה לקוח חיצוני יכול לגשת לשירותים בלתי צפויים באשכול תוך עקיפה של בדיקות ההרשאה, כאשר יש שער שמוגדר באמצעות הגדרת הניתוב AUTO_PASSTHROUGH.

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-Anthos Service Mesh.

גבוהה

CVE-2021-31921

GCP-2021-007

תאריך פרסום: 17 במאי 2021

תיאור

תיאור רמת סיכון הערות

Istio כולל נקודת חולשה שאפשר לנצל מרחוק, שבה נתיב של בקשת HTTP שמכיל כמה קווים נטויים או תווים של קו נטוי עם תווי בריחה (escape)‏ (%2F או %5C) עלול לעקוף את מדיניות האימות של Istio כשמשתמשים בכללי אימות מבוססי-נתיב.

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-Anthos Service Mesh.

גבוהה

CVE-2021-31920

GCP-2021-006

תאריך פרסום: 11 במאי 2021

תיאור

תיאור רמת סיכון הערות

בפרויקט Istio חשפו לאחרונה נקודת חולשה חדשה באבטחה (CVE-2021-31920) שמשפיעה על Istio.

Istio כולל נקודת חולשה שאפשר לנצל מרחוק, שבה נתיב של בקשת HTTP שמכיל כמה קווים נטויים או תווים של קו נטוי עם תווי בריחה (escape)‏ ( או ) עלול לעקוף את מדיניות האימות כשמשתמשים בכללי אימות מבוססי-נתיב.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

גבוהה

CVE-2021-31920

GCP-2021-005

תאריך פרסום: 11 במאי 2021

תיאור

תיאור רמת סיכון הערות

בנקודת חולשה שדווחה נמצא שב-Envoy אין פענוח של רצפי קו נטוי עם תווי בריחה (escape)‏ %2F ו-%5C שנמצאים בנתיבי כתובות ה-URL מסוג HTTP בגרסה 1.18.2 ובגרסאות קודמות של Envoy. בנוסף, בחלק מהמוצרים המבוססים על Envoy לא מופעלים אמצעי בקרה לנורמליזציה של נתיבים. גורם שמתקיף מרחוק עלול ליצור נתיב שמכיל קווים נטויים עם תווי בריחה (לדוגמה, /something%2F..%2Fadmin,), כדי לעקוף את בקרת הגישה (לדוגמה, חסימה של /admin). לאחר מכן, שרת עורפי יוכל לפענח רצפים של קווים נטויים ולבצע נורמליזציה לנתיב כדי לספק לגורם המתקיף גישה מעבר להיקף שהוקצה על ידי מדיניות בקרת הגישה.

פעולות מומלצות

אם השרתים העורפיים מתייחסים ל-/ ו-%2F או ל-\ ו-%5C כתווים שניתנים להחלפה והוגדרה התאמה שמבוססת על נתיב כתובת ה-URL,‏ מומלץ להגדיר מחדש את השרת העורפי כך שלא יתייחס ל-\ ו-%2F או ל-\ ו-%5C כתווים שניתנים להחלפה, אם זה אפשרי.

אילו שינויים התנהגותיים התגלו?

האפשרויות normalize_path ו-merge adjacent slashes (מיזוג קווים נטויים צמודים) של Envoy הופעלו כדי לטפל בנקודות חולשה שכיחות אחרות שקשורות לבלבול בין נתיבים במוצרים המבוססים על Envoy.

גבוהה

CVE-2021-29492

GCP-2021-004

תאריך פרסום: 6 במאי 2021

תיאור

תיאור רמת סיכון הערות

בפרויקטים Envoy ו-Istioדיווחו לאחרונה על מספר נקודות חולשה חדשות באבטחה (CVE-2021-28683,‏ CVE-2021-28682 ו-CVE-2021-29258), שעלולות לאפשר לתוקף לגרום לקריסת Envoy.

אשכולות של Google Kubernetes Engine לא מריצים את Istio כברירת מחדל ואין להם נקודות חולשה. אם Istio הותקן באשכול והוגדר לחשוף שירותים לאינטרנט, השירותים האלה עלולים להיות חשופים להתקפת מניעת שירות (DoS).

Anthos בשרת פיזי ואשכולות Anthos ב-VMware משתמשים ב-Envoy כברירת מחדל בשביל Ingress, כך ששירותי Ingress עלולים להיות חשופים להתקפת מניעת שירות (DoS).

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

בינונית

GCP-2021-003

תאריך פרסום: 19 באפריל 2021

תיאור

תיאור רמת סיכון הערות

בפרויקט Kubernetesדיווחו לאחרונה על נקודת חולשה חדשה באבטחה, CVE-2021-25735,‏ שעלולה לאפשר לעדכוני צמתים לעקוף את Validating Admission Webhook.

בתרחיש שבו לתוקף יש מספיק הרשאות והתבצעה הטמעה של Validating Admission Webhook שמשתמש במאפיינים ישנים לאובייקט Node (לדוגמה, שדות ב-Node.NodeSpec), התוקף יכול לעדכן את המאפיינים של צומת ולגרום לפגיעה באשכול. אין השפעה על אף אחד מכללי המדיניות שנאכפים על ידי אמצעי בקרת הכניסה המובנים של GKE ו-Kubernetes, אבל מומלץ ללקוחות לבדוק את כל ה-Admission Webhooks הנוספים שהם התקינו.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

בינונית

CVE-2021-25735

GCP-2021-002

תאריך פרסום: 5 במרץ 2021

תיאור

תיאור רמת סיכון הערות

לפי הייעוץ בנושא אבטחה VMSA-2021-0002 של VMware,‏ התקבלו ב-VMware דיווחים על מספר נקודות חולשה ב-VMware ESXi וב-vSphere Client‏ (HTML5). VMware פרסמה עדכונים כדי לתקן את נקודות החולשה האלה במוצרי VMware שמושפעים מהן.

יישמנו את הפתרונות הזמניים הרשמיים שפורסמו למחסנית vSphere, בהתאם לייעוץ בנושא אבטחה של VMware. עדכון זה מתייחס לנקודות החולשה באבטחה שמפורטות ב-CVE-2021-21972,‏ CVE-2021-21973 ו-CVE-2021-21974.

ההשפעה על VMware Engine

לפי הבדיקות שלנו, לא היתה השפעה על אף לקוח.

פעולות מומלצות

מאחר שהאשכולות של VMware Engine לא מושפעים מנקודת החולשה הזו, אין צורך לבצע פעולות נוספות.

קריטית

GCP-2021-001

תאריך פרסום: 28 בינואר 2021

תיאור

תיאור רמת סיכון הערות

לאחרונה התגלתה נקודת חולשה בכלי sudo של Linux, כפי שמפורט ב-CVE-2021-3156,‏ שעלולה לאפשר לתוקף עם גישה לא מורשית למעטפת מקומית במערכת שבה מותקן sudo להסלים את ההרשאות שלו (privilege escalation) להרשאות root.

התשתית שעליה מריצים את Compute Engine לא מושפעת מנקודת החולשה הזו.

Google Kubernetes Engine‏ (GKE), אשכולות Anthos ב-VMware,‏ אשכולות Anthos ב-AWS ואשכולות Anthos בשרת פיזי לא מושפעים מנקודת החולשה הזו.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

אין CVE-2021-3156

GCP-2020-015

תאריך פרסום: 7 בדצמבר 2020
תאריך עדכון: 22 בדצמבר 2020

תיאור

תיאור רמת סיכון הערות

עדכון מתאריך 22 בדצמבר 2021: בפקודה ל-GKE שמופיעה בקטע הבא צריך להשתמש ב-gcloud beta במקום בפקודה gcloud.


gcloud container clusters update –no-enable-service-externalips

עדכון מתאריך 15 בדצמבר 2021: מעכשיו אפשר לבצע את הפעולות הבאות כדי למזער את ההשפעה על GKE:
  1. החל מגרסה 1.21 של GKE,‏ אמצעי אישור הבקשות DenyServiceExternalIPs, הפועל כברירת מחדל לאשכולות חדשים חוסם שירותים עם כתובות IP חיצוניות.
  2. לקוחות שמשדרגים לגרסה 1.21 של GKE יכולים לחסום שירותים עם כתובות IP חיצוניות באמצעות הפקודה הבאה:
    
    gcloud container clusters update –no-enable-service-externalips
    

לפרטים נוספים, תוכלו לקרוא על הקשחת האבטחה באשכול.


בפרויקט Kubernetes גילו לאחרונה נקודת חולשה חדשה באבטחה, CVE-2020-8554,‏ שעלולה לאפשר לתוקף עם הרשאות ליצירת שירותי Kubernetes מסוג LoadBalancer או ClusterIP ליירט תנועה ברשת שנוצרת מ-Pods אחרים באשכול. נקודת החולשה הזו בפני עצמה לא מעניקה לתוקף הרשאות ליצור שירותי Kubernetes.

Google Kubernetes Engine‏ (GKE), אשכולות Anthos ב-VMware ואשכולות Anthos באשכולות AWS מושפעים מנקודת החולשה הזו.

פעולות מומלצות

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

בינונית

CVE-2020-8554

GCP-2020-014

תאריך פרסום: 20 באוקטובר 2020
תאריך עדכון: 20 באוקטובר 2020

תיאור

תיאור רמת סיכון הערות

בפרויקט Kubernetes גילו לאחרונה מספר בעיות שמאפשרות לחשוף נתונים סודיים בזמן שפועלות אפשרויות של רישום מפורט (verbose) ביומן. אלה הבעיות:

  • CVE-2020-8563:‏ דליפת מידע סודי מהיומנים של kube-controller-manager ב-vSphere Provider
  • CVE-2020-8564:‏ דליפת מידע סודי בקשר להגדרות ב-Docker כאשר הקובץ לא תקין ו-logLevel >= 4
  • CVE-2020-8565:‏ תיקון חלקי של CVE-2019-11250 ב-Kubernetes שמאפשר דליפת אסימונים מהיומנים כאשר logLevel >= 9. הבעיה הזו התגלתה על ידי GKE Security
  • CVE-2020-8566:‏ חשיפה של Ceph RBD adminSecrets מהיומנים כאשר logLevel >= 4

פעולות מומלצות

אין צורך לבצע פעולות נוספות בגלל רמות ברירת המחדל של הרישום המפורט (verbose) ביומן ב-GKE.

אין

ההשפעה על Google Cloud

ההשפעה על כל מוצר מפורטת בהמשך.

מוצר

השפעה

Google Kubernetes Engine (GKE)

אין השפעה על Google Kubernetes Engine (GKE).

GKE On-Prem

אין השפעה על GKE On-Prem.

GKE ב-AWS

אין השפעה על GKE ב-AWS.

GCP-2020-013

תאריך פרסום: 29 בספטמבר 2020

תיאור

Microsoft חשפה את נקודת החולשה הבאה:

נקודת חולשה

רמת סיכון

CVE

CVE-2020-1472:‏ נקודת חולשה בשרת Windows מאפשרת לתוקפים להשתמש ב-Netlogon Remote Protocol כדי להריץ אפליקציה שנוצרה במיוחד על מכשיר ברשת.

ציון בסיס של NVD:‏ 10 (קריטית)

CVE-2020-1472

למידע נוסף, קראו את הדיווח של Microsoft.

ההשפעה על Google Cloud

התשתית שמארחת את המוצרים של Google Cloud ו-Google לא מושפעת מנקודת החולשה הזו. ריכזנו כאן מידע נוסף מפורט על כל מוצר ומוצר.

מוצר

השפעה

Compute Engine

CVE-2020-1472

אצל רוב הלקוחות לא נדרשת פעולה נוספת.

לקוחות שמשתמשים במכונות וירטואליות של Compute Engine שמריצות שרת Windows צריכים לוודא שהם עדכנו את המכונות עם התיקון האחרון של Windows או להשתמש בתמונות משרת Windows שפורסמו לאחר 17 באוגוסט 2020 (החל מגרסה 20200813).

Google Kubernetes Engine

CVE-2020-1472

אצל רוב הלקוחות לא נדרשת פעולה נוספת.

לקוחות שמארחים בקרי דומיין בצמתים של שרתי Windows ב-GKE צריכים לוודא שגם הצמתים וגם עומסי העבודה בקונטיינרים שמריצים בצמתים האלה כוללים את תמונת הצומת העדכנית ביותר של Windows, ברגע שהיא זמינה. במהלך אוקטובר נעדכן בדף ההערות למוצר של GKE על גרסה חדשה של תמונת צומת.

שירות מנוהל של Microsoft Active Directory

CVE-2020-1472

אצל רוב הלקוחות לא נדרשת פעולה נוספת.

התיקון שפורסם באוגוסט על ידי Microsoft וכולל תיקונים לפרוטוקול NetLogon הותקן בכל בקרי הדומיין המנוהלים של Microsoft AD. התיקון הזה מגן מפני ניצול פוטנציאלי. התקנת תיקונים בזמן היא אחד מהיתרונות המרכזיים של השימוש בשירות המנוהל ל-Microsoft Active Directory. לקוחות שמריצים את Microsoft Active Directory באופן ידני (ולא משתמשים בשירות המנוהל של Google Cloud)‏ צריכים לוודא שהמכונות שלהם כוללות את התיקון האחרון של Windows או להשתמש בתמונות של שרת Windows.

Google Workspace

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

הסביבה הסטנדרטית של App Engine

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

הסביבה הגמישה של App Engine

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

Cloud Run

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

Cloud Functions

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

Cloud Composer

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

Dataflow

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

Dataproc

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

Cloud SQL

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

GCP-2020-012

תאריך פרסום: 14 בספטמבר 2020
תאריך עדכון: 17 בספטמבר 2020

תיאור

תיאור רמת סיכון הערות

לאחרונה התגלתה נקודת חולשה בליבה של Linux, כפי שמפורט ב-CVE-2020-14386, שעלולה לאפשר לנתיבי בריחה מהקונטיינר לקבל הרשאות root בצומת המארח.

ההשפעה היא על כל צומתי ה-GKE. Pods שפועלים ב-GKE Sandbox לא יכולים לנצל את נקודת החולשה הזו.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:


אילו נקודות חולשה טופלו במסגרת התיקון?

התיקון פותר את נקודת החולשה הבאה:

נקודת החולשה CVE-2020-14386, שמאפשרת לקונטיינרים עם CAP_NET_RAW
לכתוב בין 1 ל-10 בייטים של זיכרון ליבה, ואולי גם ליצור נתיב בריחה מהקונטיינר ולקבל הרשאות root בצומת המארח. נקודת החולשה הזו היא ברמת סיכון גבוהה.

גבוהה

CVE-2020-14386

GCP-2020-011

תאריך פרסום: 24 ביולי 2020

תיאור

תיאור רמת סיכון הערות

לאחרונה התגלתה ב-Kubernetes נקודת חולשה ברשת, CVE-2020-8558. שירותים לפעמים מתקשרים עם אפליקציות אחרות שמריצים בתוך אותו Pod באמצעות ממשק הלולאה החוזרת (loopback) המקומי (127.0.0.1). נקודת החולשה הזו מאפשרת לתוקף עם גישה לרשת של האשכול לשלוח תעבורת נתונים לממשק הלולאה החוזרת של צמתים ו-Pods סמוכים. כך אפשר לנצל לרעה שירותים שמסתמכים על כך שממשק הלולאה החוזרת לא נגיש מחוץ ל-Pod.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

נמוכה (GKE ואשכולות Anthos ב-AWS),
בינונית (אשכולות Anthos ב-VMware)

CVE-2020-8558

GCP-2020-010

תאריך פרסום: 27 ביולי 2020

תיאור

Microsoft חשפה את נקודת החולשה הבאה:

נקודת חולשה

רמת סיכון

CVE

CVE-2020-1350:‏ אפשר לנצל שרתי Windows Servers שפועלים בתור שרת DNS, כך שהם יריצו קודים לא מהימנים בחשבון המערכת המקומי (Local System Account).

ציון בסיס של NVD:‏ 10.0 (קריטית)

CVE-2020-1350

למידע נוסף, קראו את הדיווח של Microsoft.

ההשפעה על Google Cloud

התשתית שמארחת את המוצרים של Google Cloud ו-Google לא מושפעת מנקודת החולשה הזו. ריכזנו כאן מידע נוסף מפורט על כל מוצר ומוצר.

מוצר

השפעה

Compute Engine

CVE-2020-1350

אצל רוב הלקוחות לא נדרשת פעולה נוספת.

לקוחות שמשתמשים במכונות וירטואליות של Compute Engine שמריצות שרת Windows בתור שרת DNS צריכים לוודא שהמכונות שלהם כוללות את התיקון האחרון של Windows או להשתמש בתמונות של שרת Windows שסופקו החל מ-14 ביולי 2020.

Google Kubernetes Engine

CVE-2020-1350

אצל רוב הלקוחות לא נדרשת פעולה נוספת.

לקוחות שמשתמשים ב-GKE עם צומת של שרת Windows בתור שרת DNS צריכים לעדכן באופן ידני את הצמתים ואת עומסי העבודה בקונטיינרים שפועלים בצמתים האלה לגרסה של שרת Windows שכוללת את התיקון.

שירות מנוהל של Microsoft Active Directory

CVE-2020-1350

אצל רוב הלקוחות לא נדרשת פעולה נוספת.

התמונה המתוקנת עודכנה אוטומטית בכל הדומיינים המנוהלים של Microsoft AD. לקוחות שמריצים את Microsoft Active Directory באופן ידני (ולא משתמשים בשירות המנוהל של Microsoft AD) צריכים לוודא שהמכונות שלהם כוללות את התיקון האחרון של Windows או להשתמש בתמונות של שרת Windows שסופקו החל מ-14 ביולי 2020.

Google Workspace

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

הסביבה הסטנדרטית של App Engine

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

הסביבה הגמישה של App Engine

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

Cloud Run

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

Cloud Functions

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

Cloud Composer

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

Dataflow

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

Dataproc

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

Cloud SQL

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

GCP-2020-009

תאריך פרסום: 15 ביולי 2020

תיאור

תיאור רמת סיכון הערות

לאחרונה התגלתה ב-Kubernetes נקודת חולשה של הסלמת הרשאות (privilege escalation), CVE-2020-8559. נקודת החולשה הזו מאפשרת לתוקף שכבר פרץ לצומת לבצע פקודות בכל Pod באשכול. לכן, התוקף יכול להשתמש בצומת שכבר נמצא בסיכון כדי לפגוע בצמתים אחרים ולקרוא מידע או לגרום לפעולות הרסניות.

חשוב לזכור שהתוקף יוכל לנצל את נקודת החולשה הזו רק אם הצומת באשכול כבר נמצא בסיכון. נקודת החולשה הזו בפני עצמה לא מסכנת צמתים באשכול.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

בינונית

CVE-2020-8559

GCP-2020-008

תאריך פרסום: 19 ביוני 2020

תיאור

תיאור רמת סיכון הערות

תיאור

מכונות וירטואליות שמופעל בהן OS Login עלולות להיות חשופות לנקודות חולשה של הסלמת הרשאות (privilege escalation). נקודות החולשה האלה מאפשרות למשתמשים שהוענקו להם הרשאות OS Login‏ (אבל לא הוענקה להם הרשאת אדמין) להסלים הרשאות (privilege escalation) להרשאות root במכונה הווירטואלית.

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף של Compute Engine.

גבוהה

GCP-2020-007

תאריך פרסום: 1 ביוני 2020

תיאור

תיאור רמת סיכון הערות

לאחרונה התגלתה ב-Kubernetes נקודת החולשה CVE-2020-8555 של Server Side Request Forgery (‏SSRF), שמאפשרת למשתמשים מורשים מסוימים להדליף עד 500 בייטים של מידע רגיש מהרשת המארחת של רמת הבקרה. רמת הבקרה של Google Kubernetes Engine‏ (GKE) משתמשת באמצעי הבקרה מ-Kubernetes, ולכן היא מושפעת מנקודת החולשה הזו. מומלץ לשדרג את רמת הבקרה לגרסה האחרונה עם התיקון. לא צריך לשדרג צמתים.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

בינונית

CVE-2020-8555

GCP-2020-006

תאריך פרסום: 1 ביוני 2020

תיאור

תיאור רמת סיכון הערות

ב-Kubernetes חשפו נקודת חולשה שמאפשרת לקונטיינר מורשה להפנות תעבורת נתונים של צומת לקונטיינר אחר. במתקפה הזו אי אפשר לקרוא או לשנות תעבורת נתונים הדדית של TLS/SSH, למשל בין ה-kubelet ושרת ה-API או תעבורת נתונים מאפליקציות באמצעות mTLS. כל הצמתים של Google Kubernetes Engine‏ (GKE) מושפעים מנקודת החולשה הזו, ומומלץ לשדרג אותם לגרסה האחרונה עם התיקון.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

בינונית

בעיה 91507 ב-Kubernetes

GCP-2020-005

תאריך פרסום: 7 במאי 2020

תיאור

נקודת חולשה

רמת סיכון

CVE

לאחרונה התגלתה נקודת חולשה בליבה של Linux, כפי שמפורט ב-CVE-2020-8835, שמאפשרת לנתיבי בריחה מהקונטיינר לקבל הרשאות root בצומת המארח.

צמתי Ubuntu של Google Kubernetes Engine‏ (GKE) שמריצים בגרסה 1.16 או 1.17 של GKE מושפעים מנקודת החולשה הזו. מומלץ לשדרג לגרסה האחרונה עם התיקון.

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-GKE.

גבוהה

CVE-2020-8835

GCP-2020-004

תאריך פרסום: 31 במרץ 2020
תאריך עדכון: 31 במרץ 2020

תיאור

ב-Kubernetes חשפו את נקודות החולשה הבאות:

נקודת חולשה

רמת סיכון

CVE

CVE-2019-11254:‏ זוהי נקודת חולשה של התקפת מניעת שירות (DoS) שמשפיעה על שרת ה-API.

בינונית

CVE-2019-11254

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף לאשכולות Anthos ב-VMware.

GCP-2020-003

תאריך פרסום: 31 במרץ 2020
תאריך עדכון: 31 במרץ 2020

תיאור

ב-Kubernetes חשפו את נקודות החולשה הבאות:

נקודת חולשה

רמת סיכון

CVE

CVE-2019-11254:‏ זוהי נקודת חולשה של התקפת מניעת שירות (DoS) שמשפיעה על שרת ה-API.

בינונית

CVE-2019-11254

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-GKE.

GCP-2020-002

תאריך פרסום: 23 במרץ 2020
תאריך עדכון: 23 במרץ 2020

תיאור

ב-Kubernetes חשפו את נקודות החולשה הבאות:

נקודת חולשה

רמת סיכון

CVE

CVE-2020-8551:‏ זוהי נקודת חולשה של התקפת מניעת שירות (DoS) שמשפיעה על ה-kubelet.

בינונית

CVE-2020-8551

CVE-2020-8552:‏ זוהי נקודת חולשה של התקפת מניעת שירות (DoS) שמשפיעה על שרת ה-API.

בינונית

CVE-2020-8552

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-GKE.

GCP-2020-001

תאריך פרסום: 21 בינואר 2020
תאריך עדכון: 21 בינואר 2020

תיאור

Microsoft חשפה את נקודת החולשה הבאה:

נקודת חולשה

רמת סיכון

CVE

CVE-2020-0601: נקודת החולשה הזו נקראת גם Windows Crypto API Spoofing Vulnerability. אפשר לנצל אותה כדי לגרום לקובצי הפעלה זדוניים להיראות מהימנים או לאפשר לתוקף לערוך התקפות אדם בתווך ולפענח מידע סודי לגבי חיבורי משתמשים לתוכנה המושפעת.

ציון בסיס של NVD:‏ 8.1 (גבוהה)

CVE-2020-0601

למידע נוסף, קראו את הדיווח של Microsoft.

ההשפעה על Google Cloud

התשתית שמארחת את המוצרים של Google Cloud ו-Google לא מושפעת מנקודת החולשה הזו. ריכזנו כאן מידע נוסף מפורט על כל מוצר ומוצר.

מוצר

השפעה

Compute Engine

CVE-2020-0601

אצל רוב הלקוחות לא נדרשת פעולה נוספת.

לקוחות שמשתמשים במכונות וירטואליות של Compute Engine שמריצות שרת Windows צריכים לוודא שהמכונות שלהם כוללות את התיקון האחרון של Windows או להשתמש בתמונות של שרת Windows שסופקו החל מ-15 בינואר 2020. לפרטים נוספים ראו עדכון אבטחה דחוף של Compute Engine.

Google Kubernetes Engine

CVE-2020-0601

אצל רוב הלקוחות לא נדרשת פעולה נוספת.

כדי לתקן את נקודת החולשה הזו, לקוחות שמשתמשים ב-GKE עם צמתים של שרתי Windows צריכים לעדכן לגרסה עם התיקון גם את הצמתים וגם את עומסי העבודה בקונטיינרים שפועלים בצמתים האלה. להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-GKE.

שירות מנוהל של Microsoft Active Directory

CVE-2020-0601

אצל רוב הלקוחות לא נדרשת פעולה נוספת.

התמונה המתוקנת עודכנה אוטומטית בכל הדומיינים המנוהלים של Microsoft AD. לקוחות שמריצים את Microsoft Active Directory באופן ידני (ולא משתמשים בשירות המנוהל של Microsoft AD) צריכים לוודא שהמכונות שלהם כוללות את התיקון האחרון של Windows או להשתמש בתמונות של שרת Windows שסופקו החל מ-15 בינואר 2020.

Google Workspace

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

הסביבה הסטנדרטית של App Engine

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

הסביבה הגמישה של App Engine

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

Cloud Run

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

Cloud Functions

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

Cloud Composer

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

Dataflow

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

Dataproc

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

Cloud SQL

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

GCP-2019-001

תאריך פרסום: 12 בנובמבר 2019
תאריך עדכון: 12 בנובמבר 2019

תיאור

‏Intel דיווחה על נקודות החולשה הבאות:

נקודת חולשה

רמת סיכון

CVE

CVE-2019-11135: אפשר להשתמש בנקודת החולשה הזו שמכונה TSX Async Abort (‏TAA) כדי לנצל ביצוע ספקולטיבי בטרנזקציות של TSX. נקודת החולשה הזו עלולה לאפשר חשיפה של נתונים דרך אותם מבני נתונים במיקרו-ארכיטקטורה שנחשפו על ידי דגימת נתונים של מיקרו-ארכיטקטורה (MDS).

בינונית

CVE-2019-11135

CVE-2018-12207:‏ זוהי נקודת חולשה של התקפת מניעת שירות (DoS) שמשפיעה על מארחים של מכונות וירטואליות (לא על אורחים). הבעיה הזו נקראת Machine Check Error on Page Size Change'‏

בינונית

CVE-2018-12207

למידע נוסף, קראו את הדיווחים של Intel:

ההשפעה על Google Cloud

התשתית שמארחת את המוצרים של Google Cloud ו-Google מוגנת מפני נקודות החולשה האלה. ריכזנו כאן מידע נוסף מפורט על כל מוצר ומוצר.

מוצר

השפעה

Compute Engine

CVE-2019-11135

אצל רוב הלקוחות לא נדרשת פעולה נוספת.

לקוחות N2,‏ C2 ו-M2 שמריצים קודים לא מהימנים בשירותים מרובי-הדיירים שלהם בתוך מכונות וירטואליות של Compute Engine, צריכים להפסיק ולהפעיל מחדש את המכונות הווירטואליות כדי לוודא שהן מעודכנות עם תיקוני האבטחה האחרונים.

CVE-2018-12207

אצל כל הלקוחות לא נדרשת פעולה נוספת.

Google Kubernetes Engine

CVE-2019-11135

אצל רוב הלקוחות לא נדרשת פעולה נוספת.

אם אתם משתמשים במאגרי צמתים עם צמתים מסוג N2,‏ M2 ו-C2, והצמתים האלה מריצים קודים לא מהימנים בתוך אשכולות GKE מרובי-דיירים, עליכם להפעיל מחדש את הצמתים שלכם. אם אתם רוצים להפעיל מחדש את כל הצמתים במאגר, תצטרכו לשדרג את מאגר הצמתים שהושפע.

CVE-2018-12207

אצל כל הלקוחות לא נדרשת פעולה נוספת.

הסביבה הסטנדרטית של App Engine

לא נדרשת כל פעולה נוספת.

הסביבה הגמישה של App Engine

CVE-2019-11135

לא נדרשת כל פעולה נוספת.

כדאי ללקוחות לקרוא את השיטות המומלצות של Intel בקשר לשיתוף ברמת האפליקציה, שעשויה להתרחש בין hyper-threads בתוך Flex VM.

CVE-2018-12207

לא נדרשת כל פעולה נוספת.

Cloud Run

לא נדרשת כל פעולה נוספת.

Cloud Functions

לא נדרשת כל פעולה נוספת.

Cloud Composer

לא נדרשת כל פעולה נוספת.

Dataflow

CVE-2019-11135

אצל רוב הלקוחות לא נדרשת פעולה נוספת.

ללקוחות Dataflow שמריצים מספר עומסי עבודה לא מהימנים במכונות וירטואליות מסוג N2,‏ C2 ו- M2 של Compute Engine המנוהלות על ידי Dataflow, וחוששים ממתקפות פנימיות של אורחים, כדאי להפעיל מחדש את כל צינורות עיבוד הנתונים בזמן אמת שהם מריצים כרגע. הם גם יכולים לבטל את כל צינורות עיבודי נתונים בבת אחת ולהפעיל אותם מחדש. לא נדרשת כל פעולה נוספת לגבי צינורות עיבוד נתונים שיופעלו מהיום והלאה.

CVE-2018-12207

אצל כל הלקוחות לא נדרשת פעולה נוספת.

Dataproc

CVE-2019-11135

אצל רוב הלקוחות לא נדרשת פעולה נוספת.

ללקוחות Cloud Dataproc שמפעילים מספר עומסי עבודה לא מהימנים באותו אשכול של Cloud Dataproc במכונות וירטואליות מסוג N2,‏ C2 ו- M2 של Compute Engine, ומודאגים ממתקפות פנימיות של אורחים, כדאי לפרוס מחדש את האשכולות.

CVE-2018-12207

אצל כל הלקוחות לא נדרשת פעולה נוספת.

Cloud SQL

לא נדרשת כל פעולה נוספת.