Bollettini sulla sicurezza

I seguenti bollettini sulla sicurezza sono relativi ai prodotti Google Cloud.

Utilizza questo feed XML per iscriverti ai bollettini sulla sicurezza per questa pagina. Sottoscrivi

GCP-2023-028

Pubblicato: 19/09/2023

Descrizione

Descrizione Gravità Note

I clienti possono configurare Chronicle in modo da importare i dati dai bucket Cloud Storage di proprietà del cliente utilizzando un feed di importazione. Fino a poco tempo fa, Chronicle forniva un account di servizio condiviso che i clienti utilizzavano per concedere l'autorizzazione al bucket. Esiste un'opportunità tale che l'istanza Chronicle di un cliente potesse essere configurata per importare i dati dal bucket Cloud Storage di un altro cliente. Dopo aver eseguito un'analisi dell'impatto, non abbiamo rilevato alcuno sfruttamento attuale o precedente di questa vulnerabilità. La vulnerabilità era presente in tutte le versioni di Chronicle precedenti al 19 settembre 2023.

Che cosa devo fare?

Il 19 settembre 2023, Chronicle è stato aggiornato per risolvere questa vulnerabilità. Non è richiesta alcuna azione da parte del cliente.

Quali vulnerabilità vengono affrontate?

In precedenza, Chronicle forniva un account di servizio condiviso che i clienti utilizzavano per concedere l'autorizzazione a un bucket. Poiché diversi clienti hanno concesso allo stesso account di servizio Chronicle l'autorizzazione per il proprio bucket, esisteva un vettore di sfruttamento che consentiva al feed di un cliente di accedere al bucket di un altro cliente al momento della creazione o della modifica di un feed. Questo vettore di sfruttamento ha richiesto la conoscenza dell'URI del bucket. Ora, durante la creazione o la modifica dei feed, Chronicle utilizza account di servizio univoci per ogni cliente.

Alti

GCP-2023-027

Pubblicato: 11/09/2023
Descrizione Gravità Note

Gli aggiornamenti di VMware vCenter Server risolvono diverse vulnerabilità che danneggiano la memoria (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896)

Impatto dell'assistenza clienti

VMware vCenter Server (vCenter Server) e VMware Cloud Foundation (Cloud Foundation).

Che cosa devo fare?

I clienti non sono interessati e non è necessario alcun intervento da parte tua.

Medio

GCP-2023-026

Pubblicato: 06/09/2023

Descrizione

Descrizione Gravità Note

In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) in cui un utente che può creare pod sui nodi Windows potrebbe essere in grado di riassegnare i privilegi di amministratore su questi nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e sul proxy CSI Kubernetes.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Alti CVE-2023-3676, CVE-2023-3955, CVE-2023-3893

GCP-2023-025

Pubblicato: 08/08/2023
Descrizione Gravità Note

Intel ha recentemente annunciato l'introduzione dell'Intel Security Advisory INTEL-SA-00828 che interessa alcune delle sue famiglie di processori. Ti invitiamo a valutare i rischi in base all'avvertenza.

Impatto di Google Cloud VMware Engine

Il nostro parco risorse utilizza le famiglie di processori interessati. Nel nostro deployment, l'intero server è dedicato a un solo cliente. Di conseguenza, il nostro modello di deployment non aggiunge ulteriori rischi alla tua valutazione di questa vulnerabilità.

Stiamo collaborando con i nostri partner per ottenere le patch necessarie e implementeremo queste patch in modo prioritario su tutto il parco risorse utilizzando il processo di upgrade standard nelle prossime settimane.

Che cosa devo fare?

Non è necessario alcun intervento da parte tua; stiamo lavorando per eseguire l'upgrade di tutti i sistemi interessati.

Alti

GCP-2023-024

Pubblicato: 08/08/2023

Ultimo aggiornamento: 10/08/2023

Descrizione

Descrizione Gravità Note

Aggiornamento 10/08/2023: è stato aggiunto il numero di versione LTS di ChromeOS.


Intel ha divulgato una vulnerabilità in alcuni processori (CVE-2022-40982). Google ha adottato misure per mitigare il suo parco di server, incluso Google Cloud, per garantire che i clienti siano protetti.

I dettagli della vulnerabilità:

  • CVE-2022-40982 (Intel IPU 2023.3, "GDS" anche noto come "Downfall")

Che cosa devo fare?

Non è richiesta alcuna azione da parte del cliente.

Tutte le patch disponibili sono già state applicate al parco risorse di server Google per Google Cloud, incluso Google Compute Engine.

Al momento i seguenti prodotti richiedono aggiornamenti aggiuntivi da parte di partner e fornitori.

  • Google Cloud VMware Engine
  • Google Distributed Cloud Hosted
  • Google Distributed Cloud Edge
  • Soluzione Google Cloud Bare Metal
  • Evoluzione di core dei pacchetti

Google correggerà questi prodotti non appena queste patch saranno state rese disponibili e questo bollettino verrà aggiornato di conseguenza.

I clienti di Google Chromebook e ChromeOS Flex hanno ricevuto automaticamente le mitigazioni fornite da Intel in versione stabile (115), LTS (108), beta (116) e LTC (114). I clienti di Chromebook e ChromeOS Flex bloccati su una release precedente dovrebbero valutare la possibilità di sbloccare e passare a release stabile o LTS per assicurarsi che ricevano questa e altre correzioni di vulnerabilità.

Quali vulnerabilità vengono affrontate?

CVE-2022-40982 - Per ulteriori informazioni, consulta la pagina Intel Security Advisory INTEL-SA-00828.

Alti CVE-2022-40982

GCP-2023-023

Pubblicato: 08/08/2023

Descrizione

Descrizione Gravità Note

AMD ha divulgato una vulnerabilità in alcuni processori (CVE-2023-20569). Google ha adottato misure per mitigare il suo parco di server, incluso Google Cloud, per garantire che i clienti siano protetti.

I dettagli della vulnerabilità:

  • CVE-2023-20569 (AMD SB-7005 noto anche come "Inception")

Che cosa devo fare?

Gli utenti delle VM di Compute Engine dovrebbero prendere in considerazione le mitigazioni fornite dal sistema operativo se utilizzano l'esecuzione di codice non attendibile intra-istanza. Consigliamo ai clienti di contattare i fornitori di sistemi operativi per indicazioni più specifiche.

Le correzioni sono già state applicate al parco di server Google per Google Cloud, incluso Google Compute Engine.

Quali vulnerabilità vengono affrontate?

CVE-2023-20569 - Per ulteriori informazioni, consulta AMD SB-7005.

Moderata CVE-2023-20569

GCP-2023-022

Pubblicato: 2023-08-03

Descrizione

Descrizione Gravità Note

Google ha identificato una vulnerabilità nelle implementazioni gRPC C++ prima della release 1.57. Si tratta di una vulnerabilità Denial of Service all'interno dell'implementazione C++ di gRPC. Questi problemi sono stati risolti nelle release 1.53.2, 1.54.3, 1.55.2, 1.56.2 e 1.57.

Che cosa devo fare?

Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software:

  • Le versioni 1.53, 1.54, 1.55 e 1.56 di gRPC (C++, Python, Ruby) devono eseguire l'upgrade alle seguenti release di patch:
    • 1,53,2
    • 1,54,3
    • 1,55,2
    • 1,56,2
  • Le versioni 1.52 e precedenti di gRPC (C++, Python, Ruby) devono eseguire l'upgrade a una delle release patch approvate. Ad esempio, 1.53.2, 1.54.3, 1.53.4 e così via.

Quali vulnerabilità vengono affrontate?

Queste patch attenuano le seguenti vulnerabilità:

  • Vulnerabilità Denial-Of-Service nelle implementazioni gRPC C++: le richieste create appositamente possono causare l'interruzione della connessione tra un proxy e un backend.
Alti CVE-2023-33953

GCP-2023-021

Ultimo aggiornamento: 26/07/2023

Pubblicato:25/07/2023

Descrizione

Descrizione Gravità Note

I seguenti CVE espongono Anthos Service Mesh a vulnerabilità sfruttabili:

  • CVE-2023-35941: un client dannoso è in grado di creare credenziali con validità permanente in alcuni scenari specifici. Ad esempio, la combinazione di host e ora di scadenza nel payload HMAC può essere sempre valida nel controllo HMAC del filtro OAuth2.
  • CVE-2023-35942: i logger di accesso gRPC che utilizzano l'ambito globale del listener possono causare un arresto anomalo use-after-free quando il listener viene svuotato. Questa operazione può essere attivata da un aggiornamento LDS con la stessa configurazione del log degli accessi gRPC.
  • CVE-2023-35943: se l'intestazione origin è configurata per essere rimossa con request_headers_to_remove: origin, il filtro CORS segfault e l'arresto anomalo di Envoy.
  • CVE-2023-35944: gli utenti malintenzionati possono inviare richieste di schema miste per bypassare i controlli dello schema in Envoy. Ad esempio, se una richiesta con HTTP con schema misto viene inviata al filtro OAuth2, non supererà i controlli di corrispondenza esatta per HTTP e comunicherà all'endpoint remoto che lo schema è HTTPS, ignorando potenzialmente i controlli OAuth2 specifici per le richieste HTTP.

Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.

Alti

GCP-2023-020

Ultimo aggiornamento: 26/07/2023

Pubblicato: 24/07/2023

Descrizione

Descrizione Gravità Note

AMD ha rilasciato un aggiornamento del microcodice che risolve una vulnerabilità della sicurezza hardware (CVE-2023-20593). Google ha applicato le correzioni necessarie per questa vulnerabilità al proprio parco di server, inclusi i server per Google Cloud Platform. Il test indica che non c'è alcun impatto sulle prestazioni dei sistemi.

Che cosa devo fare?

Non è necessario alcun intervento da parte del cliente perché le correzioni sono già state applicate al parco server di Google per Google Cloud Platform.

Quali vulnerabilità vengono affrontate?

CVE-2023-20593 risolve una vulnerabilità in alcune CPU AMD. Ulteriori informazioni sono disponibili qui.

Alti CVE-2023-20593

GCP-2023-019

Pubblicato il:18/07/2023

Descrizione

Descrizione Gravità Note

In Envoy è stata scoperta una nuova vulnerabilità (CVE-2023-35945) in cui una risposta creata appositamente da un servizio upstream non attendibile può causare un denial of service a causa dell'esaurimento della memoria. Ciò è causato dal codec HTTP/2 di Envoy, che potrebbe far perdere una mappa di intestazioni e le strutture di contabilità alla ricezione di RST_STREAM immediatamente seguito dai frame GOAWAY da un server a monte.

Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.

Alti CVE-2023-35945

GCP-2023-018

Pubblicato: 27/06/2023

Descrizione

Descrizione Gravità Note

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-2235) che può portare a un'escalation dei privilegi sul nodo. I cluster GKE Autopilot sono interessati poiché i nodi GKE Autopilot utilizzano sempre le immagini dei nodi di Container-Optimized OS. Sono interessati i cluster GKE Standard con versione 1.25 o successive che eseguono immagini dei nodi di Container-Optimized OS.

I cluster GKE non sono interessati se eseguono solo immagini dei nodi Ubuntu, versioni in esecuzione precedenti alla 1.25 o se utilizzano GKE Sandbox.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Alti CVE-2023-2235

GCP-2023-017

Pubblicato: 26/06/2023

Ultimo aggiornamento: 11/07/2023

Descrizione

Descrizione Gravità Note

Aggiornamento 11/07/2023: sono state aggiornate le nuove versioni di GKE per includere le ultime versioni di Ubuntu che applicano la patch CVE-2023-31436.


Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-31436) che può portare a un'escalation dei privilegi sul nodo. Sono interessati i cluster GKE, inclusi quelli Autopilot. I cluster GKE che utilizzano GKE Sandbox non sono interessati.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Alti CVE-2023-31436

GCP-2023-016

Pubblicato: 26/06/2023

Descrizione

Descrizione Gravità Note

Sono state scoperte una serie di vulnerabilità in Envoy, che viene utilizzato in Anthos Service Mesh, per consentire a un utente malintenzionato di causare un Denial of Service o un arresto anomalo di Envoy. Questi sono stati segnalati separatamente come GCP-2023-002.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Alti CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-1}7487{/1

GCP-2023-015

Pubblicato: 20/06/2023

Descrizione

Descrizione Gravità Note

Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2023-0468, che potrebbe consentire a un utente senza privilegi di riassegnare i privilegi a root quando io_poll_get_ownership continuerà ad aumentare req->poll_refs su ogni io_poll_wake e poi overflow a 0, il che genererà due volte il file req-> e causerà un problema di refcount del file struct. Sono interessati i cluster GKE, inclusi quelli Autopilot, con Container-Optimized OS che utilizza il kernel Linux versione 5.15. I cluster GKE che utilizzano immagini Ubuntu o che utilizzano GKE Sandbox non sono interessati.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Medio CVE-CVE-2023-0468

GCP-2023-014

Ultimo aggiornamento: 11/08/2023
Pubblicato: 15/06/2023

Descrizione

Descrizione Gravità Note

Aggiornamento 11/08/2023: sono state aggiunte versioni patch per Cluster Anthos su VMware, Cluster Anthos on AWS, Anthos on Azure e Anthos on bare metal.


In Kubernetes sono stati rilevati due nuovi problemi di sicurezza, in cui gli utenti potrebbero essere in grado di avviare container che ignorano le limitazioni dei criteri quando utilizzano container temporanei e ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728).

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Medio CVE-2023-2727, CVE-2023-2728

GCP-2023-013

Pubblicato: 08/06/2023

Descrizione

Descrizione Gravità Note

Quando abiliti l'API Cloud Build in un progetto, Cloud Build crea automaticamente un account di servizio predefinito per eseguire le build per tuo conto. Questo account di servizio Cloud Build in precedenza disponeva dell'autorizzazione IAM logging.privateLogEntries.list, che consentiva alle build di accedere ai log privati per impostazione predefinita. Questa autorizzazione è stata ora revocata dall'account di servizio Cloud Build per ottemperare al principio di sicurezza del privilegio minimo.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Build.

Basso

GCP-2023-010

Pubblicato: 07/06/2023

Descrizione

Descrizione Gravità Note

Google ha identificato tre nuove vulnerabilità nell'implementazione di gRPC C ++. Questi dati verranno pubblicati a breve con i nomi CVE-2023-1428, CVE-2023-32731 e CVE-2023-32732.

Ad aprile, abbiamo identificato due vulnerabilità nelle release 1.53 e 1.54. Una era una vulnerabilità Denial of Service all'interno dell'implementazione C++ di gRPC, mentre l'altra era una vulnerabilità di esfiltrazione di dati remota. Questi problemi sono stati risolti nelle versioni 1.53.1, 1.54.2 e successive.

In precedenza, a marzo, i nostri team interni hanno scoperto una vulnerabilità Denial of Service nell'implementazione C++ di gRPC durante l'esecuzione delle attività di fuzzing di routine. È stato rilevato nella release gRPC 1.52 ed è stato corretto nelle release 1.52.2 e 1.53.

Che cosa devo fare?

Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software:

  • grpc (C++, Python, Ruby) versione 1.52, 1.53 e 1.54 deve essere aggiornato alle seguenti release di patch;
    • 1,52,2
    • 1,53,1
    • 1,54,2
  • grpc (C++, Python, Ruby) 1.51 e versioni precedenti non sono interessati, quindi gli utenti con queste versioni non possono intraprendere alcuna azione

Quali vulnerabilità vengono affrontate da queste patch?

Queste patch attenuano le seguenti vulnerabilità:

  • Le versioni 1.53.1, 1.54.2 e successive affrontano i seguenti problemi: Vulnerabilità Denial-Of-Service nell'implementazione di gRPC C++. Le richieste create appositamente possono causare la terminazione della connessione tra un proxy e un backend. Vulnerabilità dell'esfiltrazione di dati da remoto: la desincronizzazione nella tabella HPACK a causa delle limitazioni delle dimensioni dell'intestazione può causare la perdita di dati di intestazione da parte dei backend proxy da altri client connessi a un proxy.
  • 1.52.2, 1.53 e versioni successive affrontano i seguenti problemi: Vulnerabilità Denial of Service nell'implementazione C++ di gRPC. L'analisi di alcune richieste create in modo specifico può causare un arresto anomalo che ha impatto sul server.

Consigliamo di eseguire l'upgrade alle versioni più recenti dei seguenti pacchetti software, come elencato in precedenza.

Versione alta (CVE-2023-1428, CVE-2023-32731). Medio (CVE-2023-32732) CVE-2023-1428, CVE-2023-32731, CVE-023-32732

GCP-2023-009

Pubblicato: 06/06/2023

Descrizione

Descrizione Gravità Note

In secrets-store-csi-driver è stata scoperta una nuova vulnerabilità (CVE-2023-2878) in cui un attore con accesso ai log del driver potrebbe osservare i token dell'account di servizio.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Nessuno CVE-2023-2878

GCP-2023-008

Pubblicato: 05/06/2023

Descrizione

Descrizione Gravità Note

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-1872) che può portare a un'escalation dei privilegi per eseguire il root sul nodo.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Alti CVE-2023-1872

GCP-2023-007

Pubblicato: 02/06/2023

Descrizione

Descrizione Gravità Note

Di recente è stata scoperta una vulnerabilità in Cloud SQL per SQL Server che ha consentito agli account amministratore del cliente di creare trigger nel database tempdb e di utilizzarli per ottenere i privilegi sysadmin nell'istanza. I privilegi sysadmin darebbero all'utente malintenzionato l'accesso ai database di sistema e l'accesso parziale alla macchina che esegue l'istanza SQL Server.

Google Cloud ha risolto il problema applicando patch alla vulnerabilità di sicurezza entro il 1° marzo 2023. Google Cloud non ha rilevato istanze dei clienti compromesse.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud SQL.

Alti

GCP-2023-005

Pubblicato: 18/05/2023

Ultimo aggiornamento: 06/06/2023

Descrizione

Descrizione Gravità Note

Aggiornamento 06/06/2023: sono state aggiornate le nuove versioni di GKE per includere le versioni più recenti di Ubuntu che applicano la patch CVE-2023-1281 e CVE-2023-1829.


Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a un'escalation dei privilegi per eseguire il root sul nodo.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Alti CVE-2023-1281 CVE-2023-1829

GCP-2023-004

Pubblicato: 26/04/2023

Descrizione

Descrizione Gravità Note

In Trusted Platform Module (TPM) 2.0 sono state rilevate due vulnerabilità (CVE-2023-1017 e CVE-2023-1018).

Le vulnerabilità potrebbero aver consentito a un utente malintenzionato sofisticato di sfruttare una lettura/scrittura di 2 byte fuori dai limiti su alcune VM di Compute Engine.

Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Compute Engine.

Medio

GCP-2023-003

Pubblicato: 11/04/2023

Descrizione

Descrizione Gravità Note

Nel kernel Linux sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586, che potrebbero consentire a un utente senza privilegi di riassegnare i privilegi.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Alti CVE-2023-0240, CVE-2023-23586

GCP-2023-002

Descrizione

Descrizione Gravità Note

I seguenti CVE espongono Anthos Service Mesh a vulnerabilità sfruttabili:

  • CVE-2023-27496: se Envoy è in esecuzione con il filtro OAuth abilitato, un utente malintenzionato potrebbe creare una richiesta che potrebbe causare denial of service causando l'arresto anomalo di Envoy.
  • CVE-2023-27488: l'utente malintenzionato può utilizzare questa vulnerabilità per bypassare i controlli di autenticazione quando viene utilizzato ext_authz.
  • CVE-2023-27493: la configurazione di Envoy deve includere anche un'opzione per aggiungere intestazioni delle richieste generate utilizzando gli input della richiesta, ad esempio il certificato SAN del certificato peer.
  • CVE-2023-27492: gli utenti malintenzionati possono inviare corpi di richieste di grandi dimensioni per le route in cui è abilitato il filtro Lua e attivano gli arresti anomali.
  • CVE-2023-27491: gli utenti malintenzionati possono inviare richieste HTTP/2 o HTTP/3 appositamente progettate per attivare errori di analisi sul servizio upstream HTTP/1.
  • CVE-2023-27487: l'intestazione "x-envoy-original-path" deve essere un'intestazione interna, ma Envoy non rimuove questa intestazione dalla richiesta all'inizio dell'elaborazione della richiesta quando viene inviata da un client non attendibile.

Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.

Alti

GCP-2023-001

Pubblicato: 01/03/2023

Descrizione

Descrizione Gravità Note

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-4696) che può portare a un'escalation dei privilegi sul nodo.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Alti CVE-2022-4696

GCP-2022-026

Pubblicato: 11/01/2023

Descrizione

Descrizione Gravità Note

In OpenSSL v3.0.6 sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) che potrebbero causare un arresto anomalo.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Medio

GCP-2022-025

Pubblicato il: 21/12/2022
Ultimo aggiornamento: 19/01/2023

Descrizione

Descrizione Gravità Note

Aggiornamento 19/01/2023: sono state aggiunte informazioni relative alla disponibilità della versione di GKE 1.21.14-gke.14100.


In OpenSSL v3.0.6 sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) che potrebbero causare un arresto anomalo.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Medio

GCP-2022-024

Pubblicato: 09/11/2022

Ultimo aggiornamento: 19/01/2023

Descrizione

Descrizione Gravità Note

Aggiornamento 19/01/2023: sono state aggiunte informazioni relative alla disponibilità della versione di GKE 1.21.14-gke.14100.

Aggiornamento 16/12/2022: sono state aggiunte versioni patch per GKE e Cluster Anthos su VMware.


Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare a una rottura completa del container sul nodo.

Per istruzioni e ulteriori dettagli, consulta:

Alti

GCP-2022-023

Pubblicato: 04/11/2022

Descrizione

Descrizione Gravità Note

In Istio, utilizzato in Anthos Service Mesh, è stata rilevata una vulnerabilità di sicurezza, CVE-2022-39278, che consente a un utente malintenzionato di causare l'arresto anomalo del piano di controllo.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Alti CVE-2022-39278

GCP-2022-022

Pubblicato: 28/10/2022

Ultimo aggiornamento: 14/12/2022

Descrizione

Descrizione Gravità Note

Aggiornamento 14/12/2022: sono state aggiunte versioni patch per GKE e Cluster Anthos su VMware.


Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-20409, che potrebbe consentire a un utente senza privilegi di riassegnare il privilegio di esecuzione del sistema.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Alti CVE-2022-20409

GCP-2022-021

Pubblicato: 27/10/2022

Ultimo aggiornamento: 19/01/2023

Descrizione

Descrizione Gravità Note

Aggiornamento 19/01/2023: sono state aggiunte informazioni relative alla disponibilità della versione di GKE 1.21.14-gke.14100.

Aggiornamento 15/12/2022: sono state aggiornate informazioni relative alla versione 1.21.14-gke.9400 di Google Kubernetes Engine in attesa di implementazione e potrebbe essere sostituita da un numero di versione più recente.

Aggiornamento 22/11/2022: sono state aggiunte versioni patch per Cluster Anthos su VMware, Cluster Anthos on AWS e Anthos on Azure.


Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-3176, che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di eseguire l'analisi completa del container per eseguire il rooting sul nodo.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Alti CVE-2022-3176

GCP-2022-020

Pubblicato il: 05/10/2022

Ultimo aggiornamento: 12/10/2022

Descrizione

Descrizione Gravità Note

Il piano di controllo Istio istiod è vulnerabile a un errore di elaborazione delle richieste e ciò consente a un utente malintenzionato malintenzionato che invia un messaggio creato appositamente, causando l'arresto anomalo del piano di controllo quando il webhook di convalida per un cluster viene esposto pubblicamente. Questo endpoint viene gestito tramite la porta TLS 15017, ma non richiede alcuna autenticazione da parte dell'utente malintenzionato.

Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.

Alti CVE-2022-39278

GCP-2022-019

Pubblicato: 22/09/2022

Descrizione

Descrizione Gravità Note

Una vulnerabilità di analisi e gestione della memoria dei messaggi nelle implementazioni C++ e Python di Protocolbuffer può attivare un errore di esaurimento della memoria durante l'elaborazione di un messaggio creato appositamente. Questo potrebbe portare a un Denial of Service (DoS) sui servizi che utilizzano le librerie.

Che cosa devo fare?

Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software:

  • protobuf-cpp (3.18.3, 3.19.5, 3.20.2, 3.21.6)
  • protobuf-python (3.18.3, 3.19.5, 3.20.2, 4.21.6)

Quali vulnerabilità vengono affrontate da questa patch?

La patch attenua la seguente vulnerabilità:

Un piccolo messaggio appositamente creato che fa sì che il servizio in esecuzione allochi grandi quantità di RAM. Le dimensioni ridotte della richiesta consentono di sfruttare facilmente la vulnerabilità e di esaurire le risorse. I sistemi C++ e Python che utilizzano protobuf non attendibili sarebbero vulnerabili agli attacchi DoS se contengono un oggetto MessageSet nella loro richiesta RPC.

Medio CVE-2022-1941

GCP-2022-018

Pubblicato: 01/08/2022

Ultimo aggiornamento: 14/09/2022

Descrizione

Descrizione Gravità Note

Aggiornamento 14/09/2022: sono state aggiunte versioni patch per Cluster Anthos su VMware, Cluster Anthos on AWS e Anthos on Azure.


Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-2327) che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di eseguire un'analisi completa dei container per eseguire il rooting sul nodo.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Alti CVE-2022-2327

GCP-2022-017

Pubblicato il: 29/06/2022
Ultimo aggiornamento: 22/11/2022

Descrizione

Descrizione Gravità Note

Aggiornamento 22/11/2022: queste vulnerabilità non interessano i carichi di lavoro che utilizzano GKE Sandbox.


Aggiornamento 21/07/2022: informazioni aggiuntive su Cluster Anthos su VMware.


È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 e 5.11 del kernel Linux. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di eseguire un'analisi dettagliata dei container per eseguire il rooting sul nodo. Sono interessati solo i cluster che eseguono Container-Optimized OS. Le versioni di GKE Ubuntu utilizzano la versione 5.4 o 5.15 del kernel e non sono interessate.

Per istruzioni e ulteriori dettagli, consulta:

Alti CVE-2022-1786

GCP-2022-016

Pubblicato il: 23/06/2022
Ultimo aggiornamento: 22/11/2022

Descrizione

Descrizione Gravità Note

Aggiornamento 22/11/2022: i cluster Autopilot non sono interessati da CVE-2022-29581, ma sono vulnerabili a CVE-2022-29582 e CVE-2022-1116.


Nel kernel Linux sono state rilevate tre nuove vulnerabilità che danneggiano la memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di eseguire un'analisi dettagliata dei container per eseguire il rooting sul nodo. Sono interessati tutti i cluster Linux (Container-Optimized OS e Ubuntu).

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Alti

GCP-2022-015

Pubblicato il: 09/06/2022
Ultimo aggiornamento: 10/06/2022

Descrizione

Descrizione Gravità Note

Aggiornamento 10/06/2022: le versioni di Anthos Service Mesh sono state aggiornate. Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.


I seguenti CVE di Envoy e Istio espongono Anthos Service Mesh e Istio su GKE a vulnerabilità sfruttabili da remoto:

  • CVE-2022-31045: il piano dati Istio potrebbe accedere alla memoria in modo non sicuro quando sono abilitate le estensioni Metadata Exchange e Stats.
  • CVE-2022-29225: i dati possono superare i limiti intermedi del buffer se un utente malintenzionato malintenzionato supera un piccolo payload altamente compresso (attacco zip bomb).
  • CVE-2021-29224: potenziale dereferenziamento del puntatore null in GrpcHealthCheckerImpl.
  • CVE-2021-29226: il filtro OAuth consente l'esclusione banale.
  • CVE-2022-29228: il filtro OAuth può danneggiare la memoria (versioni precedenti) o attivare una funzione ASSERT() (versioni successive).
  • CVE-2022-29227: arresto anomalo dei reindirizzamenti interni per le richieste con corpo o trailer.

Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.

Critico

GCP-2022-014

Pubblicato il: 26/04/2022
Ultimo aggiornamento: 22/11/2022

Descrizione

Descrizione Gravità Note

Aggiornamento 22/11/2022: i cluster e i carichi di lavoro GKE Autopilot in esecuzione in GKE Sandbox non sono interessati.


Aggiornamento 12/05/2022: le versioni di Cluster Anthos on AWS e Anthos on Azure sono state aggiornate. Per istruzioni e ulteriori dettagli, consulta:

Nel kernel Linux sono state rilevate due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ciascuno di questi elementi può portare a un utente malintenzionato locale in grado di eseguire una container breakout, un'escalation dei privilegi sull'host o entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu). Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Alti CVE-2022-1055
CVE-2022-27666

GCP-2022-013

Pubblicato il: 11/04/2022
Ultimo aggiornamento: 22/04/2022

Descrizione

Descrizione Gravità Note

È stata scoperta una vulnerabilità di sicurezza, CVE-2022-23648, nella gestione del path traversal da parte di containerd nella specifica del volume delle immagini OCI. I container lanciati tramite l'implementazione del CRI di containerd con una configurazione delle immagini appositamente creata potrebbero ottenere l'accesso in lettura completo a file e directory arbitrari sull'host. Questa vulnerabilità può bypassare qualsiasi applicazione basata su criteri nella configurazione del container (incluso un criterio di sicurezza dei pod di Kubernetes).

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Medio CVE-2022-23648

GCP-2022-012

Pubblicato il: 07/04/2022
Ultimo aggiornamento: 22/11/2022

Descrizione

Descrizione Gravità Note

Aggiornamento 22/11/2022: per i cluster GKE in entrambe le modalità, Standard e Autopilot, i carichi di lavoro che utilizzano GKE Sandbox non sono interessati.


Nel kernel Linux 5.8 e versioni successive è stata scoperta una vulnerabilità di sicurezza, CVE-2022-0847, che può potenzialmente riassegnare i privilegi del container al root. Questa vulnerabilità interessa i seguenti prodotti:

  • Pool di nodi GKE 1.22 e versioni successive che utilizzano immagini Container-Optimized OS (Container-Optimized OS 93 e versioni successive)
  • Cluster Anthos su VMware v1.10 per immagini Container-Optimized OS
  • Cluster Anthos su AWS v1.21 e Cluster Anthos su AWS (generazione precedente) v1.19, v1.20, v1.21, che utilizzano Ubuntu
  • Cluster gestiti di Anthos on Azure v1.21 che utilizzano Ubuntu

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Alti CVE-2022-0847

GCP-2022-011

Pubblicato il: 22/03/2022
Ultimo aggiornamento: 11/08/2022

Descrizione

Descrizione Gravità

Aggiornamento dell'11/08/2022: sono state aggiunte ulteriori informazioni sulla configurazione SMT (Simultaneous Multi-Threading). La funzionalità SMT doveva essere disabilitata, ma è stata abilitata nelle versioni elencate.

Se hai abilitato manualmente la SMT per un pool di nodi con sandbox, la SMT rimarrà abilitata manualmente nonostante il problema.


Si è verificato un errore di configurazione con Simultaneous Multi-Threading (SMT), noto anche come Hyper-threading, nelle immagini GKE Sandbox. A causa di questa configurazione errata, i nodi sono potenzialmente esposti ad attacchi a canale laterale come il Microarchitectural Data Sampling (MDS) (per saperne di più, consulta la documentazione di GKE Sandbox). Sconsigliamo di utilizzare le seguenti versioni interessate:

  • 1.22.4-gke.1501
  • 1.22.6-gke.300
  • 1.23.2-gke.300
  • 1.23.3-gke.600

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE.

Medio

GCP-2022-010

Descrizione

Descrizione Gravità Note

Il seguente CVE di Istio espone Anthos Service Mesh a una vulnerabilità sfruttabile da remoto:

  • CVE-2022-24726: il piano di controllo Istio, "istiod", è vulnerabile a un errore di elaborazione delle richieste, consentendo a un utente malintenzionato malintenzionato che invia un messaggio appositamente creato che causa l'arresto anomalo del piano di controllo quando il webhook di convalida per un cluster viene esposto pubblicamente. Questo endpoint viene gestito sulla porta TLS 15017, ma non richiede alcuna autenticazione da parte dell'utente malintenzionato.

Per istruzioni e ulteriori dettagli, consulta il seguente bollettino sulla sicurezza:

Alti

GCP-2022-009

Pubblicato: 01/03/2022

Descrizione

Descrizione Gravità

Potrebbero essere stati utilizzati alcuni percorsi imprevisti per accedere alla VM del nodo nei cluster GKE Autopilot per riassegnare i privilegi nel cluster. Questi problemi sono stati risolti e non sono richieste ulteriori azioni. Le correzioni risolvono i problemi segnalati tramite il nostro Programma a premi per vulnerabilità.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE

Basso

GCP-2022-008

Pubblicato il: 23/02/2022
Ultimo aggiornamento: 28/04/2022

Descrizione

Descrizione Gravità Note

Aggiornamento 28/04/2022: sono state aggiunte versioni di Cluster Anthos su VMware che risolvono queste vulnerabilità. Per maggiori dettagli, consulta il Bollettino sulla sicurezza di Anthos clusters on VMware.


Il progetto Envoy ha recentemente scoperto un insieme di vulnerabilità. Tutti i problemi elencati di seguito sono stati risolti nella release 1.21.1 di Envoy.
  • CVE-2022-23606: quando un cluster viene eliminato tramite Cluster Discovery Service (CDS), tutte le connessioni inattive stabilite agli endpoint in quel cluster vengono disconnesse. Nella versione 1.19 di Envoy è stata introdotta per errore una ricorsione alla procedura di disconnessione delle connessioni inattive che possono causare l'esaurimento dello stack e la terminazione di processi anomali quando un cluster ha un numero elevato di connessioni inattive.
  • CVE-2022-21655: il codice di reindirizzamento interno di Envoy presuppone l'esistenza di una voce di route. Quando un reindirizzamento interno viene eseguito verso una route che ha una voce di risposta diretta e nessuna voce di route, comporta il deriferimento di un puntatore null e l'arresto anomalo.
  • CVE-2021-43826: quando Envoy è configurato per utilizzare tcp_proxy, che utilizza il tunneling upstream (su HTTP) e la terminazione TLS downstream, Envoy si arresta in modo anomalo se il client downstream si disconnette durante l'handshake TLS, mentre il flusso HTTP upstream è ancora in fase di definizione. La disconnessione downstream può essere avviata da client o server. Il client può disconnettersi per qualsiasi motivo. Il server può disconnettersi se, ad esempio, non dispone di crittografie TLS o se versioni del protocollo TLS compatibili con il client. Potrebbe essere possibile attivare questo arresto anomalo anche in altre configurazioni downstream.
  • CVE-2021-43825: l'invio di una risposta generata localmente deve interrompere l'ulteriore elaborazione dei dati delle richieste o delle risposte. Envoy tiene traccia della quantità di dati di richiesta e risposta nel buffer e interrompe la richiesta se la quantità di dati nel buffer supera il limite inviando 413 o 500 risposte. Tuttavia, quando la risposta generata localmente viene inviata a causa degli overflow del buffer interno mentre la risposta viene elaborata dalla catena dei filtri, l'operazione potrebbe non essere interrotta correttamente e comportare l'accesso a un blocco di memoria liberata.
  • CVE-2021-43824: Envoy si arresta in modo anomalo quando utilizzi il filtro JWT con una regola di corrispondenza "safe_regex" e una richiesta creata appositamente come "CONNECT host:porta HTTP/1.1". Quando raggiunge il filtro JWT, una regola "safe_regex" dovrebbe valutare il percorso dell'URL, ma non ne esiste nessuno, e Envoy ha un arresto anomalo con segfault.
  • CVE-2022-21654: Envoy consentirebbe erroneamente la ripresa delle sessioni TLS dopo la riconfigurazione delle impostazioni di convalida mTLS. Se un certificato client è stato consentito con la precedente configurazione, ma non consentito con la nuova configurazione, il client potrebbe riprendere la sessione TLS precedente anche se la configurazione attuale dovrebbe non consentirla. Sono interessate le modifiche alle seguenti impostazioni:
    • corrispondenza_oggetto_nome_alt
    • Modifiche ai CRL
    • consenti_certificato_scaduto
    • Verifica_catena di attendibilità
    • solo_verifica_foglia_cert_crl
  • CVE-2022-21657: Envoy non limita l'insieme di certificati che accetta dal peer, come client TLS o server TLS, solo ai certificati che contengono il valore expandKeyUsage necessario (rispettivamente id-kp-serverAuth e id-kp-clientAuth). Ciò significa che un peer può presentare un certificato email (ad es. id-kp-emailProtection), come certificato foglia o come CA nella catena, che verrà accettato per TLS. Questo problema è particolarmente negativo se combinato con CVE-2022-21656, poiché consente a una CA PKI web destinata esclusivamente all'utilizzo con S/MIME e quindi esente dall'audit o dalla supervisione, di emettere certificati TLS accettati da Envoy.
  • CVE-2022-21656: l'implementazione dello strumento di convalida utilizzata per implementare le routine di convalida dei certificati predefinite presenta un bug di "confusione tra tipi" durante l'elaborazione di subjectAltName. Questa elaborazione consente, ad esempio, di autenticare un nome RFC822Name o uniformResourceIndicator come nome di dominio. Questa confusione consente di aggirare i nameConstraints, elaborati dall'implementazione sottostante di OpenSSL/BoringSSL, esponendo la possibilità di rappresentazione di server arbitrari.
Per istruzioni dettagliate su prodotti specifici, consulta i seguenti bollettini sulla sicurezza:
Che cosa devo fare?
Gli utenti di Envoy che gestiscono i propri Envoy devono assicurarsi di utilizzare la release 1.21.1 di Envoy. Gli utenti di Envoy che gestiscono i propri Envoy creano i programmi binari da un'origine come GitHub e ne eseguono il deployment.

Gli utenti che eseguono Envoy gestiti (Google Cloud fornisce i programmi binari di Envoy) non devono intraprendere alcuna azione, per i quali i prodotti Google Cloud passeranno alla versione 1.21.1.
Alti CVE-2022-23606
CVE-2022-21655
CVE-2021-43826
CVE-2021-43825
CVE-2021-43824
CVE-2022-12-216

GCP-2022-007

Pubblicato: 22/02/2022

Descrizione

Descrizione Gravità Note

I seguenti CVE di Envoy e Istio espongono Anthos Service Mesh e Istio su GKE a vulnerabilità sfruttabili da remoto:

  • CVE-2022-23635: Istiod si arresta in modo anomalo alla ricezione di richieste con un'intestazione authorization appositamente creata.
  • CVE-2021-43824: potenziale deriferimento del puntatore nullo quando si utilizza una corrispondenza safe_regex del filtro JWT
  • CVE-2021-43825: use-after-free quando i filtri di risposta aumentano i dati di risposta e superano i limiti del buffer downstream.
  • CVE-2021-43826: use-after-free durante l'esecuzione del tunneling TCP su HTTP, se il downstream si disconnette durante la creazione della connessione a monte.
  • CVE-2022-21654: una gestione errata della configurazione consente il riutilizzo della sessione mTLS senza riconvalida dopo la modifica delle impostazioni di convalida.
  • CVE-2022-21655: gestione errata dei reindirizzamenti interni alle route con una voce di risposta diretta.
  • CVE-2022-23606: esaurimento dello stack quando un cluster viene eliminato tramite Cluster Discovery Service.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Alti

GCP-2022-006

Pubblicato il: 14/02/2022
Ultimo aggiornamento: 16/05/2022

Descrizione

Descrizione Gravità Note

Aggiornamento 16/05/2022: è stata aggiunta la versione 1.19.16-gke.7800 o successiva di GKE all'elenco delle versioni con codice per correggere questa vulnerabilità. Per maggiori dettagli, consulta il Bollettino sulla sicurezza di GKE.


Aggiornamento 12/05/2022: le versioni di GKE, Cluster Anthos su VMware, Cluster Anthos on AWS e Anthos on Azure sono state aggiornate. Per istruzioni e ulteriori dettagli, consulta:


È stata rilevata una vulnerabilità di sicurezza, CVE-2022-0492, nella funzione cgroup_release_agent_write del kernel Linux. L'attacco utilizza spazi dei nomi utente senza privilegi e, in determinate circostanze, questa vulnerabilità può essere sfruttata per l'container breakout.

Basso

Per istruzioni e ulteriori dettagli, consulta:

GCP-2022-005

Pubblicato il: 11/02/2022
Ultimo aggiornamento: 15/02/2022

Descrizione

Descrizione Gravità Note

È stata rilevata una vulnerabilità di sicurezza, CVE-2021-43527, in qualsiasi programma binario collegato alle versioni vulnerabili di libnss3 presenti nelle versioni NSS (Network Security Services) precedenti alla 3.73 o 3.68.1. Le applicazioni che utilizzano NSS per la convalida dei certificati o altre funzionalità TLS, X.509, OCSP o CRL potrebbero essere interessate, a seconda di come viene utilizzato/configurato l'NSS.

Per istruzioni e ulteriori dettagli, consulta:

Medio CVE-2021-43527

GCP-2022-004

Pubblicato: 04/02/2022

Descrizione

Descrizione Gravità Note

È stata scoperta una vulnerabilità di sicurezza, CVE-2021-4034, in pkexec, che fa parte del pacchetto Linux Policy Kit (polkit), che consente a un utente autenticato di eseguire un attacco con escalation dei privilegi. PolicyKit viene generalmente utilizzato solo sui sistemi desktop Linux per consentire agli utenti non root di eseguire azioni come il riavvio del sistema, l'installazione di pacchetti, il riavvio dei servizi e così via, come regolato da un criterio.

Per istruzioni e ulteriori dettagli, consulta:

Nessuno CVE-2021-4034

GCP-2022-002

Pubblicato il: 01/02/2022
Ultimo aggiornamento: 25/02/2022

Descrizione

Descrizione Gravità Note

Aggiornamento 25/02/2022: le versioni di GKE sono state aggiornate. Per istruzioni e ulteriori dettagli, consulta:

Aggiornamento 23/02/2022: le versioni di GKE e Cluster Anthos su VMware sono state aggiornate. Per istruzioni e ulteriori dettagli, consulta:


Aggiornamento del 4/02/2022: la data di inizio del lancio per le versioni delle patch di GKE era il 2 febbraio.


Nel kernel Linux sono state rilevate tre vulnerabilità di sicurezza, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185, ciascuna delle quali può portare a un'container breakout, un'escalation dei privilegi sull'host o entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi (COS e Ubuntu) su GKE, Cluster Anthos su VMware, Cluster Anthos on AWS (generazione attuale e precedente) e Anthos on Azure. I pod che utilizzano GKE Sandbox non sono vulnerabili a queste vulnerabilità. Per ulteriori dettagli, consulta le note di rilascio di COS.

Per istruzioni e ulteriori dettagli, consulta:

Alti

GCP-2022-001

Pubblicato: 06/01/2022

Descrizione

Descrizione Gravità Note

È stato rilevato un potenziale problema Denial of Service in protobuf-java nella procedura di analisi dei dati binari.

Che cosa devo fare?

Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software:

  • protobuf-java (3.16.1; 3.18.2; 3.19.2)
  • protobuf-kotlin (3.18.2; 3.19.2)
  • google-protobuf [Gemma JRuby] (3.19.2)

Gli utenti di Protobuf "javalite" (in genere Android) non sono interessati.

Quali vulnerabilità vengono affrontate da questa patch?

La patch attenua la seguente vulnerabilità:

Una debolezza dell'implementazione nel modo in cui i campi sconosciuti vengono analizzati in Java. Un payload dannoso di piccole dimensioni (circa 800 kB) può occupare l'analizzatore sintattico per diversi minuti, creando un numero elevato di oggetti di breve durata che causano pause frequenti e ripetute della garbage collection.

Alti CVE-2021-22569

GCP-2021-024

Pubblicato: 21/10/2021

Descrizione

Descrizione Gravità Note

È stato rilevato un problema di sicurezza nel controller ingress-nginx Kubernetes, CVE-2021-25742. Gli snippet personalizzati Ingress-nginx consentono di recuperare i token e i secret degli account di servizio ingress-nginx in tutti gli spazi dei nomi.

Per istruzioni e ulteriori dettagli, consulta:

Nessuno CVE-2021-25742

GCP-2021-019

Pubblicato: 29/09/2021

Descrizione

Descrizione Gravità Note

A causa di un problema noto, l'aggiornamento di una risorsa BackendConfig mediante l'API v1beta1 rimuove un criterio di sicurezza di Google Cloud Armor attivo dal suo servizio.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE.

Basso

GCP-2021-022

Pubblicato: 22/09/2021

Descrizione

Descrizione Gravità Note

È stata rilevata una vulnerabilità nel modulo LDAP di Anthos Identity Service (AIS) di Cluster Anthos su VMware versioni 1.8 e 1.8.1 in cui una chiave seed utilizzata nella generazione delle chiavi è prevedibile. Con questa vulnerabilità, un utente autenticato potrebbe aggiungere rivendicazioni arbitrarie e riassegnare i privilegi a tempo indeterminato.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Anthos clusters on VMware.

Alti

GCP-2021-021

Pubblicato: 22/09/2021

Descrizione

Descrizione Gravità Note

In Kubernetes è stata scoperta una vulnerabilità di sicurezza, CVE-2020-8561, in cui è possibile creare determinati webhook per reindirizzare le richieste kube-apiserver alle reti private del server API.

Per istruzioni e ulteriori dettagli, consulta:

Medio CVE-2020-8561

GCP-2021-023

Pubblicato: 21/09/2021

Descrizione

Descrizione Gravità Note

In base all'avviso per la sicurezza di VMware VMSA-2021-0020, VMware ha ricevuto report relativi a diverse vulnerabilità in vCenter. VMware ha reso disponibili aggiornamenti per risolvere queste vulnerabilità nei prodotti VMware interessati.

Abbiamo già applicato le patch fornite da VMware per lo stack vSphere a Google Cloud VMware Engine in base all'avviso sulla sicurezza di VMware. Questo aggiornamento risolve le vulnerabilità di sicurezza descritte in CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 e CVE-2021-22010. Altri problemi di sicurezza non critici verranno risolti nel prossimo upgrade dello stack VMware (come da preavviso inviato a luglio, ulteriori dettagli verranno forniti a breve sulle tempistiche specifiche dell'upgrade).

Impatto di VMware Engine

Dalle nostre indagini è emerso che non sono stati rilevati clienti interessati.

Che cosa devo fare?

Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni.

Critico

GCP-2021-020

Pubblicato: 17/09/2021

Descrizione

Descrizione Gravità Note

Alcuni bilanciatori del carico Google Cloud che eseguono il routing a un servizio di backend abilitato per Identity-Aware Proxy (IAP) potrebbero essere stati vulnerabili a una parte non attendibile in condizioni limitate. Consente di risolvere un problema segnalato tramite il nostro Programma di ricompense per le vulnerabilità.

Le condizioni erano le quali i server:
  • Erano bilanciatori del carico HTTP(S) e
  • È stato utilizzato un backend predefinito o un backend con una regola di mappatura dell'host con caratteri jolly (ovvero host="*")

Inoltre, un utente della tua organizzazione deve aver fatto clic su un link creato appositamente inviato da una parte non attendibile.

Il problema è stato risolto. A partire dal 17 settembre 2021, IAP è stato aggiornato per fornire cookie soltanto agli host autorizzati. Un host è considerato autorizzato se corrisponde ad almeno un SAN (Subject Alternative Name) in uno dei certificati installati sui bilanciatori del carico.

Cosa fare

Alcuni dei tuoi utenti potrebbero ricevere una risposta HTTP 401 Non autorizzato con un codice di errore IAP 52 durante il tentativo di accesso ad app o servizi. Questo codice di errore indica che il client ha inviato un'intestazione Host che non corrisponde a nessun nome alternativo del soggetto associato ai certificati SSL del bilanciatore del carico. L'amministratore del bilanciatore del carico deve aggiornare il certificato SSL per assicurarsi che l'elenco SAN (Subject Alternative Name) contenga tutti i nomi host tramite i quali gli utenti accedono alle app o ai servizi protetti da IAP. Scopri di più sui codici di errore IAP.

Alti

GCP-2021-018

Pubblicato il: 15/09/2021
Ultimo aggiornamento: 20/09/2021

Descrizione

Descrizione Gravità Note

In Kubernetes, CVE-2021-25741 è stato rilevato un problema di sicurezza che consente a un utente di creare un container con montaggi di volume del percorso secondario per accedere a file e directory all'esterno del volume, anche nel file system dell'host.

Per istruzioni e ulteriori dettagli, consulta:

Alti CVE-2021-25741

GCP-2021-017

Pubblicato il: 01/09/2021
Ultimo aggiornamento: 23/09/2021

Descrizione

Descrizione Gravità Note

Aggiornamento del 23/09/2021: i container in esecuzione all'interno di GKE Sandbox non sono interessati da questa vulnerabilità per gli attacchi provenienti dall'interno del container.


Nel kernel Linux sono state rilevate due vulnerabilità di sicurezza, CVE-2021-33909 e CVE-2021-33910, che possono causare un arresto anomalo del sistema operativo o un'escalation al rooting da parte di un utente senza privilegi. Questa vulnerabilità interessa tutti i sistemi operativi dei nodi GKE (COS e Ubuntu).

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Alti CVE-2021-33909, CVE-2021-33910

GCP-2021-016

Pubblicato: 24/08/2021

Descrizione

Descrizione Gravità Note

I seguenti CVE di Envoy e Istio espongono Anthos Service Mesh e Istio su GKE a vulnerabilità sfruttabili da remoto:

  • CVE-2021-39156: le richieste HTTP con un frammento (una sezione alla fine di un URI che inizia con un carattere #) nel percorso dell'URI potrebbero bypassare i criteri di autorizzazione basati sul percorso dell'URI di Istio.
  • CVE-2021-39155: le richieste HTTP potrebbero potenzialmente bypassare un criterio di autorizzazione di Istio quando si utilizzano regole basate su hosts o notHosts.
  • CVE-2021-32781: interessa le estensioni decompressor, json-transcoder o grpc-web di Envoy o le estensioni proprietarie che modificano e aumentano le dimensioni degli corpi di richieste o risposte. La modifica e l'aumento delle dimensioni del corpo dell'estensione di Envoy oltre le dimensioni del buffer interno potrebbero portare Envoy ad accedere alla memoria trasferita e a interrompersi in modo anomalo.
  • CVE-2021-32780: un servizio upstream non attendibile potrebbe causare l'arresto anomalo di Envoy inviando il frame GOAWAY seguito dal frame SETTINGS con il parametro SETTINGS_MAX_CONCURRENT_STREAMS impostato su 0. (Non applicabile a Istio su GKE)
  • CVE-2021-32778: un client Envoy che apre e reimposta un numero elevato di richieste HTTP/2 potrebbe causare un consumo eccessivo di CPU. (Non applicabile a Istio su GKE)
  • CVE-2021-32777: le richieste HTTP con più intestazioni di valori potrebbero eseguire un controllo incompleto dei criteri di autorizzazione quando viene usata l'estensione ext_authz.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Alti

GCP-2021-015

Pubblicato il: 13/07/2021
Ultimo aggiornamento: 15/07/2021

Descrizione

Descrizione Gravità Note

È stata scoperta una nuova vulnerabilità di sicurezza, CVE-2021-22555, in cui un utente malintenzionato con privilegi CAP_NET_ADMIN può causare il rooting di un'container breakout sull'host. Questa vulnerabilità interessa tutti i cluster GKE e Cluster Anthos su VMware che eseguono Linux 2.6.19 o versioni successive.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Alti CVE-2021-22555

GCP-2021-014

Pubblicato il: 05/07/2021

Descrizione

Descrizione Gravità Note

Microsoft ha pubblicato un bollettino sulla sicurezza relativo a una vulnerabilità RCE (Remote Code Execution), CVE-2021-34527, che interessa lo spooler di stampa nei server Windows. Il CERT Coordination Center (CERT/CC) ha pubblicato una nota di aggiornamento su una vulnerabilità correlata, soprannominata "PrintNightmare" che interessa anche gli spooler di stampa Windows - PrintNightmare, Critical Windows Print Spooler Vulnerability

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE.

Alti CVE-2021-34527

GCP-2021-012

Pubblicato il: 24/06/2021
Ultimo aggiornamento: 09/07/2021

Descrizione

Descrizione Gravità Note

Il progetto Istio ha annunciato di recente una vulnerabilità di sicurezza in cui è possibile accedere alle credenziali specificate nel campo Gateway e destinationRules da spazi dei nomi diversi.

Per istruzioni specifiche per i prodotti e ulteriori dettagli, consulta:

Alti CVE-2021-34824

GCP-2021-011

Pubblicato il: 04/06/2021
Ultimo aggiornamento: 19/10/2021

Descrizione

Descrizione Gravità Note

Aggiornamento del 19/10/2021:

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:


La community di sicurezza ha recentemente divulgato una nuova vulnerabilità di sicurezza (CVE-2021-30465) riscontrata in runc che potrebbe consentire l'accesso completo a un file system di nodi.

Per GKE, poiché lo sfruttamento di questa vulnerabilità richiede la possibilità di creare pod, la gravità di questa vulnerabilità è stata classificata su MEDIA.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE.

Medio CVE-2021-30465

GCP-2021-010

Pubblicato il: 25/05/2021

Descrizione

Descrizione Gravità Note

Secondo l'avviso sulla sicurezza di VMware VMSA-2021-0010, le vulnerabilità di esecuzione del codice remoto e di bypass dell'autenticazione nel client vSphere (HTML5) sono state segnalate privatamente a VMware. VMware ha reso disponibili aggiornamenti per risolvere queste vulnerabilità nei prodotti VMware interessati.

Abbiamo applicato le patch fornite da VMware per lo stack vSphere, in base all'avvertenza per la sicurezza VMware. Questo aggiornamento risolve le vulnerabilità di sicurezza descritte in CVE-2021-21985 e CVE-2021-21986. Le versioni delle immagini in esecuzione nel cloud privato di VMware Engine non riflettono al momento alcuna modifica per indicare le patch applicate. Ti garantiamo che sono state installate le patch appropriate e che il tuo ambiente è protetto da queste vulnerabilità.

Impatto di VMware Engine

Dalle nostre indagini è emerso che non sono stati riscontrati clienti interessati.

Che cosa devo fare?

Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni.

Critico

GCP-2021-008

Pubblicato: 17/05/2021

Descrizione

Descrizione Gravità Note

Istio contiene una vulnerabilità sfruttabile da remoto che consente a un client esterno di accedere a servizi imprevisti nel cluster, ignorando i controlli di autorizzazione, quando un gateway è configurato con la configurazione di routing AUTO_PASSTHROUGH.

Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.

Alti

CVE-2021-31921

GCP-2021-007

Pubblicato: 17/05/2021

Descrizione

Descrizione Gravità Note

Istio contiene una vulnerabilità sfruttabile in remoto per cui un percorso di richiesta HTTP con più barre o barre di escape (%2F o %5C) potrebbe bypassare un criterio di autorizzazione Istio quando vengono utilizzate regole di autorizzazione basate sul percorso.

Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.

Alti

CVE-2021-31920

GCP-2021-006

Pubblicato: 11/05/2021

Descrizione

Descrizione Gravità Note

Il progetto Istio di recente ha rivelato una nuova vulnerabilità di sicurezza (CVE-2021-31920) che interessa Istio.

Istio contiene una vulnerabilità sfruttabile da remoto per cui una richiesta HTTP con più barre o barre di escape può bypassare il criterio di autorizzazione di Istio quando vengono utilizzate le regole di autorizzazione basate sul percorso.

Per istruzioni e ulteriori dettagli, consulta:

Alti

CVE-2021-31920

GCP-2021-005

Pubblicato: 11/05/2021

Descrizione

Descrizione Gravità Note

Una vulnerabilità segnalata ha mostrato che Envoy non decodifica le sequenze di barre con caratteri di escape %2F e %5C nei percorsi degli URL HTTP nelle versioni 1.18.2 e precedenti di Envoy. Inoltre, alcuni prodotti basati su Envoy non consentono i controlli di normalizzazione dei percorsi. Un utente malintenzionato remoto potrebbe creare un percorso con barre di escape (ad esempio /something%2F..%2Fadmin,) per bypassare controllo dell'accesso dell'accesso (ad esempio, un blocco su /admin). Un server di backend potrebbe quindi decodificare le sequenze di barre e normalizzare il percorso per fornire a un utente malintenzionato l'accesso oltre l'ambito previsto dal criterio di controllo dell'accesso dell'accesso.

Che cosa devo fare?

Se i server di backend trattano i criteri / e %2F o \ e %5C in modo intercambiabile e viene configurata una corrispondenza basata sul percorso dell'URL, ti consigliamo di riconfigurare il server di backend in modo da non trattare \ e %2F o \ e %5C in modo intercambiabile, se possibile.

Quali cambiamenti di comportamento sono stati introdotti?

Le opzioni normalize_path e unisci barre adiacenti di Envoy sono state abilitate per risolvere altre vulnerabilità comuni relative alla confusione dei percorsi nei prodotti basati su Envoy.

Alti

CVE-2021-29492

GCP-2021-004

Pubblicato: 06/05/2021

Descrizione

Descrizione Gravità Note

I progetti Envoy e Istio hanno recentemente annunciato diverse nuove vulnerabilità di sicurezza (CVE-2021-28683, CVE-2021-28682 e CVE-2021-29258), che potrebbero consentire a un utente malintenzionato di causare l'arresto anomalo di Envoy.

I cluster Google Kubernetes Engine non eseguono Istio per impostazione predefinita e non sono vulnerabili. Se Istio è stato installato in un cluster e configurato in modo da esporre i servizi su internet, questi servizi potrebbero essere vulnerabili al denial of service.

Anthos on bare metal e Cluster Anthos su VMware utilizzano Envoy per impostazione predefinita per Ingress, i servizi Ingress potrebbero essere vulnerabili al denial of service.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Medio

GCP-2021-003

Pubblicato: 19/04/2021

Descrizione

Descrizione Gravità Note

Il progetto Kubernetes ha annunciato di recente una nuova vulnerabilità di sicurezza, CVE-2021-25735, che potrebbe consentire agli aggiornamenti dei nodi di bypassare un webhook di convalida di ammissione.

In uno scenario in cui un utente malintenzionato dispone di privilegi sufficienti e in cui è implementato un webhook di convalida dell'ammissione che utilizza le proprietà degli oggetti Node precedenti (ad esempio i campi in Node.NodeSpec), l'utente malintenzionato potrebbe aggiornare le proprietà di un nodo, che potrebbero causare la compromissione del cluster. Nessuno dei criteri applicati dai controller di ammissione integrati di GKE e Kubernetes è interessato, ma consigliamo ai clienti di verificare eventuali webhook di ammissione aggiuntivi che hanno installato.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Medio

CVE-2021-25735

GCP-2021-002

Pubblicato: 05/03/2021

Descrizione

Descrizione Gravità Note

In base all'avviso per la sicurezza VMware VMSA-2021-0002, VMware ha ricevuto report relativi a molteplici vulnerabilità in VMware ESXi e vSphere Client (HTML5). VMware ha reso disponibili aggiornamenti per risolvere queste vulnerabilità nei prodotti VMware interessati.

Abbiamo applicato le soluzioni alternative documentate ufficialmente per lo stack vSphere in base all'avviso sulla sicurezza VMware. Questo aggiornamento risolve le vulnerabilità di sicurezza descritte in CVE-2021-21972, CVE-2021-21973 e CVE-2021-21974.

Impatto di VMware Engine

Dalle nostre indagini è emerso che non sono stati riscontrati clienti interessati.

Che cosa devo fare?

Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni.

Critico

GCP-2021-001

Pubblicato: 28/01/2021

Descrizione

Descrizione Gravità Note

Di recente è stata scoperta una vulnerabilità nell'utilità Linux sudo, descritta in CVE-2021-3156, che potrebbe consentire a un utente malintenzionato con accesso senza privilegi alla shell locale su un sistema su cui è installato sudo di riassegnare i propri privilegi a root sul sistema.

L'infrastruttura sottostante che esegue Compute Engine non è interessata da questa vulnerabilità.

Tutti i cluster Google Kubernetes Engine (GKE), Cluster Anthos su VMware, Cluster Anthos on AWS e Anthos on bare metal non sono interessati da questa vulnerabilità.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Nessuno CVE-2021-3156

GCP-2020-015

Pubblicato il: 07/12/2020
Ultimo aggiornamento: 22/12/2020

Descrizione

Descrizione Gravità Note

Aggiornamento: 22/12/2021 Il comando per GKE nella sezione seguente deve utilizzare gcloud beta anziché il comando gcloud.


gcloud container clusters update –no-enable-service-externalips

Ultimo aggiornamento: 15/12/2021 Per GKE, è ora disponibile la seguente mitigazione:
  1. A partire dalla versione 1.21 di GKE, i servizi con ExternalIP sono bloccati da un controller di ammissione DenyServiceExternalIPs abilitato per impostazione predefinita per i nuovi cluster.
  2. I clienti che eseguono l'upgrade a GKE versione 1.21 possono bloccare i servizi con ExternalIP utilizzando il seguente comando:
    
    gcloud container clusters update –no-enable-service-externalips
    

Per maggiori informazioni, consulta la pagina Protezione della sicurezza del cluster.


Il progetto Kubernetes ha recentemente scoperto una nuova vulnerabilità di sicurezza, CVE-2020-8554, che potrebbe consentire a un utente malintenzionato che ha ottenuto le autorizzazioni per creare un servizio Kubernetes di tipo LoadBalancer o ClusterIP di intercettare il traffico di rete proveniente da altri pod nel cluster. Questa vulnerabilità di per sé non concede a un utente malintenzionato le autorizzazioni per creare un servizio Kubernetes.

Tutti i cluster Google Kubernetes Engine (GKE), Cluster Anthos su VMware e Cluster Anthos on AWS sono interessati da questa vulnerabilità.

Che cosa devo fare?

Per istruzioni e ulteriori dettagli, consulta:

Medio

CVE-2020-8554

GCP-2020-014

Pubblicato il: 20/10/2020
Ultimo aggiornamento: 20/10/2020

Descrizione

Descrizione Gravità Note

Il progetto Kubernetes ha recentemente scoperto diversi problemi che consentono l'esposizione dei dati segreti quando sono abilitate opzioni di logging dettagliate. I problemi sono:

  • CVE-2020-8563: perdite di secret nei log per kube-controller-manager del provider vSphere
  • CVE-2020-8564: i secret di configurazione Docker sono trapelati quando il file non è valido e loglevel >= 4
  • CVE-2020-8565: la correzione incompleta per CVE-2019-11250 in Kubernetes consente la perdita di token nei log quando logLevel >= 9. Scoperto da GKE Security.
  • CVE-2020-8566: adminSecret Ceph RBD esposti nei log quando loglevel >= 4

Che cosa devo fare?

A causa dei livelli di logging delle Preferenze di lettura predefiniti di GKE, non sono necessarie ulteriori azioni.

Nessuno

Impatto su Google Cloud

I dettagli per prodotto sono elencati di seguito.

Prodotto

Impatto

Google Kubernetes Engine (GKE)

Google Kubernetes Engine (GKE) non è interessato.

GKE On-Prem

GKE On-Prem non è interessato.

GKE su AWS

GKE su AWS non è interessato.

GCP-2020-013

Pubblicato: 29/09/2020

Descrizione

Microsoft ha divulgato la seguente vulnerabilità:

Vulnerabilità

Gravità

CVE

CVE-2020-1472: una vulnerabilità di Windows Server consente a utenti malintenzionati di utilizzare Netlogon Remote Protocol per eseguire un'applicazione creata appositamente su un dispositivo sulla rete.

Punteggio base NVD: 10 (critico)

CVE-2020-1472

Per ulteriori informazioni, consulta l'informativa di Microsoft.

Impatto su Google Cloud

L'infrastruttura che ospita Google Cloud e i prodotti Google non è interessata da questa vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.

Prodotto

Impatto

Compute Engine

CVE-2020-1472

Per la maggior parte dei clienti non sono richieste ulteriori azioni.

I clienti che utilizzano macchine virtuali Compute Engine che eseguono Windows Server devono assicurarsi che le proprie istanze siano state aggiornate con la patch di Windows più recente o utilizzare immagini di Windows Server pubblicate dopo il 17/08/2020 (v20200813 o versioni successive).

Google Kubernetes Engine

CVE-2020-1472

Per la maggior parte dei clienti non sono richieste ulteriori azioni.

Tutti i clienti che ospitano controller di dominio nei nodi Windows Server di GKE devono garantire che sia i nodi sia i carichi di lavoro containerizzati eseguiti su questi nodi abbiano l'immagine dei nodi Windows più recente, quando disponibile. Una nuova versione dell'immagine dei nodi verrà annunciata nelle note di rilascio di GKE a ottobre.

Managed Service for Microsoft Active Directory

CVE-2020-1472

Per la maggior parte dei clienti non sono richieste ulteriori azioni.

La patch di agosto rilasciata da Microsoft che include correzioni al protocollo NetLogon è stata applicata a tutti i controller di dominio Microsoft AD gestiti. Questa patch offre funzionalità per proteggere da potenziali sfruttamento. L'applicazione tempestiva delle patch è uno dei vantaggi principali dell'utilizzo di Managed Service for Microsoft Active Directory. Tutti i clienti che eseguono Microsoft Active Directory manualmente (e che non utilizzano il servizio gestito di Google Cloud) devono assicurarsi che le proprie istanze abbiano la patch Windows più recente o utilizzare immagini di Windows Server.

Google Workspace

Non è necessario alcun intervento da parte del cliente.

Questa vulnerabilità non influisce sul servizio.

Ambiente standard di App Engine

Non è necessario alcun intervento da parte del cliente.

Questa vulnerabilità non influisce sul servizio.

Ambiente flessibile di App Engine

Non è necessario alcun intervento da parte del cliente.

Questa vulnerabilità non influisce sul servizio.

Cloud Run

Non è necessario alcun intervento da parte del cliente.

Questa vulnerabilità non influisce sul servizio.

Cloud Functions

Non è necessario alcun intervento da parte del cliente.

Questa vulnerabilità non influisce sul servizio.

Cloud Composer

Non è necessario alcun intervento da parte del cliente.

Questa vulnerabilità non influisce sul servizio.

Dataflow

Non è necessario alcun intervento da parte del cliente.

Questa vulnerabilità non influisce sul servizio.

Dataproc

Non è necessario alcun intervento da parte del cliente.

Questa vulnerabilità non influisce sul servizio.

Cloud SQL

Non è necessario alcun intervento da parte del cliente.

Questa vulnerabilità non influisce sul servizio.

GCP-2020-012

Pubblicato il: 14/09/2020
Ultimo aggiornamento: 17/09/2020

Descrizione

Descrizione Gravità Note

Di recente è stata scoperta una vulnerabilità nel kernel Linux, descritta in CVE-2020-14386, che potrebbe consentire l'container escape per ottenere privilegi root sul nodo host.

Sono interessati tutti i nodi GKE. I pod in esecuzione in GKE Sandbox non sono in grado di sfruttare questa vulnerabilità.

Per istruzioni e ulteriori dettagli, consulta:


Quale vulnerabilità viene affrontata da questa patch?

La patch attenua la seguente vulnerabilità:

La vulnerabilità CVE-2020-14386, che consente ai container con CAP_NET_RAW
di scrivere da 1 a 10 byte di memoria del kernel, nonché di eseguire l'escape del container e ottenere privilegi root sul nodo host. Questa è classificata come vulnerabilità con gravità alta.

Alti

CVE-2020-14386

GCP-2020-011

Pubblicato: 24/07/2020

Descrizione

Descrizione Gravità Note

Di recente è stata scoperta una vulnerabilità di rete in Kubernetes, CVE-2020-8558. A volte i servizi comunicano con altre applicazioni in esecuzione all'interno dello stesso pod utilizzando l'interfaccia di loopback locale (127.0.0.1). Questa vulnerabilità consente a un utente malintenzionato con accesso alla rete del cluster di inviare il traffico all'interfaccia di loopback di pod e nodi adiacenti. I servizi che si basano sull'interfaccia di loopback non che sono accessibili all'esterno del pod potrebbero essere sfruttati.

Per istruzioni e ulteriori dettagli, consulta:

Basso (GKE e Cluster Anthos on AWS),
Medium (Cluster Anthos su VMware)

CVE-2020-8558

GCP-2020-010

Pubblicato: 27/07/2020

Descrizione

Microsoft ha divulgato la seguente vulnerabilità:

Vulnerabilità

Gravità

CVE

CVE-2020-1350: i server Windows che operano nella capacità di un server DNS possono essere sfruttati per eseguire codice non attendibile dall'account di sistema locale.

Punteggio base NVD: 10,0 (critico)

CVE-2020-1350

Per ulteriori informazioni, consulta l'informativa di Microsoft.

Impatto su Google Cloud

L'infrastruttura che ospita Google Cloud e i prodotti Google non è interessata da questa vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.

Prodotto

Impatto

Compute Engine

CVE-2020-1350

Per la maggior parte dei clienti non sono richieste ulteriori azioni.

I clienti che utilizzano macchine virtuali Compute Engine che eseguono Windows Server in una capacità di server DNS devono assicurarsi che le proprie istanze dispongano della patch di Windows più recente o utilizzare le immagini di Windows Server fornite dal 14/07/2020.

Google Kubernetes Engine

CVE-2020-1350

Per la maggior parte dei clienti non sono richieste ulteriori azioni.

I clienti che utilizzano GKE con un nodo Windows Server nella capacità di un server DNS devono aggiornare manualmente i nodi e i carichi di lavoro containerizzati eseguiti su tali nodi a una versione di Windows Server contenente la correzione.

Managed Service for Microsoft Active Directory

CVE-2020-1350

Per la maggior parte dei clienti non sono richieste ulteriori azioni.

Tutti i domini Microsoft AD gestiti sono stati aggiornati automaticamente con l'immagine con patch. Tutti i clienti che eseguono Microsoft Active Directory manualmente (e che non utilizzano Microsoft AD gestito) devono assicurarsi che le proprie istanze dispongano della patch di Windows più recente o utilizzare le immagini di Windows Server fornite dal 14/07/2020.

Google Workspace

Non è necessario alcun intervento da parte del cliente.

Questa vulnerabilità non influisce sul servizio.

Ambiente standard di App Engine

Non è necessario alcun intervento da parte del cliente.

Questa vulnerabilità non influisce sul servizio.

Ambiente flessibile di App Engine

Non è necessario alcun intervento da parte del cliente.

Questa vulnerabilità non influisce sul servizio.

Cloud Run

Non è necessario alcun intervento da parte del cliente.

Questa vulnerabilità non influisce sul servizio.

Cloud Functions

Non è necessario alcun intervento da parte del cliente.

Questa vulnerabilità non influisce sul servizio.

Cloud Composer

Non è necessario alcun intervento da parte del cliente.

Questa vulnerabilità non influisce sul servizio.

Dataflow

Non è necessario alcun intervento da parte del cliente.

Questa vulnerabilità non influisce sul servizio.

Dataproc

Non è necessario alcun intervento da parte del cliente.

Questa vulnerabilità non influisce sul servizio.

Cloud SQL

Non è necessario alcun intervento da parte del cliente.

Questa vulnerabilità non influisce sul servizio.

GCP-2020-009

Pubblicato il: 15/07/2020

Descrizione

Descrizione Gravità Note

Di recente, in Kubernetes è stata scoperta una vulnerabilità di escalation dei privilegi, CVE-2020-8559. Questa vulnerabilità consente a un utente malintenzionato che ha già compromesso un nodo di eseguire un comando in qualsiasi pod del cluster. L'utente malintenzionato potrebbe quindi utilizzare il nodo già compromesso per compromettere altri nodi e potenzialmente leggere informazioni o causare azioni dannose.

Tieni presente che, affinché un utente malintenzionato possa sfruttare questa vulnerabilità, un nodo nel tuo cluster deve essere già stato compromesso. Questa vulnerabilità, da sola, non compromette alcun nodo nel cluster.

Per istruzioni e ulteriori dettagli, consulta:

Medio

CVE-2020-8559

GCP-2020-008

Pubblicato: 19/06/2020

Descrizione

Descrizione Gravità Note

Descrizione

Le VM per cui è abilitato OS Login potrebbero essere soggette a vulnerabilità di riassegnazione dei privilegi. Queste vulnerabilità consentono agli utenti a cui sono state concesse autorizzazioni OS Login (ma non l'accesso amministrativo) la possibilità di riassegnare l'accesso root alla VM.

Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Compute Engine.

Alti

GCP-2020-007

Pubblicato: 2020-06-01

Descrizione

Descrizione Gravità Note

La vulnerabilità SSRF (Server Side Request Forgery), CVE-2020-8555, è stata scoperta di recente in Kubernetes, consentendo a determinati utenti autorizzati di divulgare fino a 500 byte di informazioni sensibili dalla rete host del piano di controllo. Il piano di controllo Google Kubernetes Engine (GKE) utilizza i controller di Kubernetes ed è quindi interessato da questa vulnerabilità. Ti consigliamo di eseguire l'upgrade del piano di controllo alla versione più recente della patch. Non è necessario un upgrade del nodo.

Per istruzioni e ulteriori dettagli, consulta:

Medio

CVE-2020-8555

GCP-2020-006

Pubblicato: 2020-06-01

Descrizione

Descrizione Gravità Note

Kubernetes ha divulgato una vulnerabilità che consente a un container con privilegi di reindirizzare il traffico dei nodi a un altro container. Questo attacco non può leggere o modificare il traffico TLS/SSH reciproco, ad esempio tra il server kubelet e il server API, oppure il traffico proveniente da applicazioni che utilizzano mTLS. Tutti i nodi di Google Kubernetes Engine (GKE) sono interessati da questa vulnerabilità e ti consigliamo di eseguire l'upgrade alla versione più recente della patch.

Per istruzioni e ulteriori dettagli, consulta:

Medio

Problema 91507 di Kubernetes

GCP-2020-005

Pubblicato: 2020-05-07

Descrizione

Vulnerabilità

Gravità

CVE

Recentemente è stata scoperta una vulnerabilità nel kernel Linux, descritta in CVE-2020-8835, che consente di uscire dai limiti del container per ottenere privilegi di utente root sul nodo host.

I nodi Ubuntu di Google Kubernetes Engine (GKE) che eseguono GKE 1.16 o 1.17 sono interessati da questa vulnerabilità e ti consigliamo di eseguire l'upgrade alla versione più recente della patch il prima possibile.

Consulta il Bollettino sulla sicurezza di GKE per istruzioni e ulteriori dettagli.

Alti

CVE-2020-8835

GCP-2020-004

Pubblicato il: 31/03/2020
Ultimo aggiornamento: 31/03/2020

Descrizione

Kubernetes ha divulgato le seguenti vulnerabilità:

Vulnerabilità

Gravità

CVE

CVE-2019-11254: si tratta di una vulnerabilità Denial of Service (DoS) che influisce sul server API.

Medio

CVE-2019-11254

Consulta il Bollettino sulla sicurezza Anthos clusters on VMware per istruzioni e dettagli.

GCP-2020-003

Pubblicato il: 31/03/2020
Ultimo aggiornamento: 31/03/2020

Descrizione

Kubernetes ha divulgato le seguenti vulnerabilità:

Vulnerabilità

Gravità

CVE

CVE-2019-11254: si tratta di una vulnerabilità Denial of Service (DoS) che influisce sul server API.

Medio

CVE-2019-11254

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE.

GCP-2020-002

Pubblicato il: 23/03/2020
Ultimo aggiornamento: 23/03/2020

Descrizione

Kubernetes ha divulgato le seguenti vulnerabilità:

Vulnerabilità

Gravità

CVE

CVE-2020-8551: questa è una vulnerabilità Denial of Service (DoS) che influisce su kubelet.

Medio

CVE-2020-8551

CVE-2020-8552: si tratta di una vulnerabilità Denial of Service (DoS) che influisce sul server API.

Medio

CVE-2020-8552

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE.

GCP-2020-001

Pubblicato il: 21/01/2020
Ultimo aggiornamento: 21/01/2020

Descrizione

Microsoft ha divulgato la seguente vulnerabilità:

Vulnerabilità

Gravità

CVE

CVE-2020-0601: questa vulnerabilità è nota anche come vulnerabilità di spoofing dell'API Windows Crypto. Potrebbe essere sfruttato per far sembrare attendibili file eseguibili dannosi o per consentire a un utente malintenzionato di condurre attacchi man in the middle e decriptare le informazioni riservate sulle connessioni degli utenti al software interessato.

Punteggio base NVD: 8,1 (Alta)

CVE-2020-0601

Per ulteriori informazioni, consulta l'informativa di Microsoft.

Impatto su Google Cloud

L'infrastruttura che ospita Google Cloud e i prodotti Google non è interessata da questa vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.

Prodotto

Impatto

Compute Engine

CVE-2020-0601

Per la maggior parte dei clienti non sono richieste ulteriori azioni.

I clienti che utilizzano macchine virtuali Compute Engine che eseguono Windows Server devono assicurarsi che le loro istanze abbiano la patch Windows più recente o utilizzare le immagini di Windows Server fornite dal 15/01/2020. Per ulteriori dettagli, consulta il Bollettino sulla sicurezza di Compute Engine.

Google Kubernetes Engine

CVE-2020-0601

Per la maggior parte dei clienti non sono richieste ulteriori azioni.

I clienti che utilizzano GKE con nodi Windows Server, sia i nodi che i carichi di lavoro containerizzati eseguiti su questi nodi, devono essere aggiornati a versioni con patch per mitigare questa vulnerabilità. Consulta il Bollettino sulla sicurezza di GKE per istruzioni e ulteriori dettagli.

Managed Service for Microsoft Active Directory

CVE-2020-0601

Per la maggior parte dei clienti non sono richieste ulteriori azioni.

Tutti i domini Microsoft AD gestiti sono stati aggiornati automaticamente con l'immagine con patch. Tutti i clienti che eseguono Microsoft Active Directory manualmente (e che non utilizzano Microsoft AD gestito) devono assicurarsi che le proprie istanze dispongano della patch di Windows più recente o utilizzare le immagini di Windows Server fornite dal 15/01/2020.

Google Workspace

Non è necessario alcun intervento da parte del cliente.

Questa vulnerabilità non influisce sul servizio.

Ambiente standard di App Engine

Non è necessario alcun intervento da parte del cliente.

Questa vulnerabilità non influisce sul servizio.

Ambiente flessibile di App Engine

Non è necessario alcun intervento da parte del cliente.

Questa vulnerabilità non influisce sul servizio.

Cloud Run

Non è necessario alcun intervento da parte del cliente.

Questa vulnerabilità non influisce sul servizio.

Cloud Functions

Non è necessario alcun intervento da parte del cliente.

Questa vulnerabilità non influisce sul servizio.

Cloud Composer

Non è necessario alcun intervento da parte del cliente.

Questa vulnerabilità non influisce sul servizio.

Dataflow

Non è necessario alcun intervento da parte del cliente.

Questa vulnerabilità non influisce sul servizio.

Dataproc

Non è necessario alcun intervento da parte del cliente.

Questa vulnerabilità non influisce sul servizio.

Cloud SQL

Non è necessario alcun intervento da parte del cliente.

Questa vulnerabilità non influisce sul servizio.

GCP-2019-001

Pubblicato il: 12/11/2019
Ultimo aggiornamento: 12/11/2019

Descrizione

Intel ha divulgato le seguenti vulnerabilità:

Vulnerabilità

Gravità

CVE

CVE-2019-11135 — Questa vulnerabilità, indicata come TSX Async Abort (TAA) può essere utilizzata per sfruttare l'esecuzione speculativa in una transazione TSX. Questa vulnerabilità può determinare un'esposizione dei dati attraverso le stesse strutture di dati della microarchitettura esposte dal Microarchitectural Data Sampling (MDS).

Medio

CVE-2019-11135

CVE-2018-12207 — Questa è una vulnerabilità di tipo Denial of Service (DoS) che interessa le macchine virtuali host (non ospiti). Questo problema è noto come "Machine Check Error on Page Size Change".

Medio

CVE-2018-12207

Per ulteriori informazioni, consulta le divulgazioni di Intel:

Impatto su Google Cloud

L'infrastruttura che ospita Google Cloud e i prodotti Google è protetta da queste vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.

Prodotto

Impatto

Compute Engine

CVE-2019-11135

Per la maggior parte dei clienti non è necessario alcun intervento aggiuntivo.

I clienti N2, C2 o M2 che eseguono codice non attendibile nei propri servizi multi-tenant all'interno delle macchine virtuali Compute Engine devono arrestare e avviare le loro VM per assicurarsi che dispongano delle più recenti misure di mitigazione per la sicurezza.

CVE-2018-12207

Per tutti i clienti non è necessario alcun intervento aggiuntivo.

Google Kubernetes Engine

CVE-2019-11135

Per la maggior parte dei clienti non è necessario alcun intervento aggiuntivo.

Se utilizzi pool di nodi con nodi N2, M2 o C2, e questi nodi eseguono codice non attendibile nei propri cluster GKE multi-tenant, devi riavviare i nodi. Se vuoi riavviare tutti i nodi del tuo pool di nodi, esegui l'upgrade del pool di nodi interessato.

CVE-2018-12207

Per tutti i clienti non è necessario alcun intervento aggiuntivo.

Ambiente standard di App Engine

Non è necessario alcun intervento aggiuntivo.

Ambiente flessibile di App Engine

CVE-2019-11135

Non è necessario alcun intervento aggiuntivo.

I clienti devono rivedere le best practice di Intel relative alla condivisione a livello di applicazione che può avvenire fra gli hyperthread all'interno di una VM flessibile.

CVE-2018-12207

Non è necessario alcun intervento aggiuntivo.

Cloud Run

Non è necessario alcun intervento aggiuntivo.

Cloud Functions

Non è necessario alcun intervento aggiuntivo.

Cloud Composer

Non è necessario alcun intervento aggiuntivo.

Dataflow

CVE-2019-11135

Per la maggior parte dei clienti non è necessario alcun intervento aggiuntivo.

I clienti Dataflow che eseguono numerosi carichi di lavoro non attendibili su VM N2, C2 o M2 di Compute Engine gestite da Dataflow, e che sono preoccupati di attacchi fra i guest, devono prendere in considerazione il riavvio di tutte le pipeline di gestione dei flussi attualmente in esecuzione. Facoltativamente, le pipeline batch possono essere annullate e rieseguite. Non è necessario alcun intervento sulle pipeline avviate dopo la data odierna.

CVE-2018-12207

Per tutti i clienti non è necessario alcun intervento aggiuntivo.

Dataproc

CVE-2019-11135

Per la maggior parte dei clienti non è necessario alcun intervento aggiuntivo.

I clienti Cloud Dataproc che eseguono più carichi di lavoro non attendibili sullo stesso cluster Cloud Dataproc eseguito su VM N2, C2 o M2 di Compute Engine, e che sono preoccupati di attacchi fra i guest, devono rieseguire il deployment dei cluster.

CVE-2018-12207

Per tutti i clienti non è necessario alcun intervento aggiuntivo.

Cloud SQL

Non è necessario alcun intervento aggiuntivo.