Bollettini sulla sicurezza

I seguenti bollettini sulla sicurezza sono relativi ai prodotti Google Cloud.

Utilizza questo feed XML per iscriverti ai bollettini sulla sicurezza per questa pagina.

GCP-2023-028

Pubblicato: 19/09/2023

Descrizione

Descrizione	Gravità	Note
I clienti possono configurare Chronicle in modo da importare i dati dai bucket Cloud Storage di proprietà del cliente utilizzando un feed di importazione. Fino a poco tempo fa, Chronicle forniva un account di servizio condiviso che i clienti utilizzavano per concedere l'autorizzazione al bucket. Esiste un'opportunità tale che l'istanza Chronicle di un cliente potesse essere configurata per importare i dati dal bucket Cloud Storage di un altro cliente. Dopo aver eseguito un'analisi dell'impatto, non abbiamo rilevato alcuno sfruttamento attuale o precedente di questa vulnerabilità. La vulnerabilità era presente in tutte le versioni di Chronicle precedenti al 19 settembre 2023. Che cosa devo fare? Il 19 settembre 2023, Chronicle è stato aggiornato per risolvere questa vulnerabilità. Non è richiesta alcuna azione da parte del cliente. Quali vulnerabilità vengono affrontate? In precedenza, Chronicle forniva un account di servizio condiviso che i clienti utilizzavano per concedere l'autorizzazione a un bucket. Poiché diversi clienti hanno concesso allo stesso account di servizio Chronicle l'autorizzazione per il proprio bucket, esisteva un vettore di sfruttamento che consentiva al feed di un cliente di accedere al bucket di un altro cliente al momento della creazione o della modifica di un feed. Questo vettore di sfruttamento ha richiesto la conoscenza dell'URI del bucket. Ora, durante la creazione o la modifica dei feed, Chronicle utilizza account di servizio univoci per ogni cliente.	Alti

Gravità

Note

I clienti possono configurare Chronicle in modo da importare i dati dai bucket Cloud Storage di proprietà del cliente utilizzando un feed di importazione. Fino a poco tempo fa, Chronicle forniva un account di servizio condiviso che i clienti utilizzavano per concedere l'autorizzazione al bucket. Esiste un'opportunità tale che l'istanza Chronicle di un cliente potesse essere configurata per importare i dati dal bucket Cloud Storage di un altro cliente. Dopo aver eseguito un'analisi dell'impatto, non abbiamo rilevato alcuno sfruttamento attuale o precedente di questa vulnerabilità. La vulnerabilità era presente in tutte le versioni di Chronicle precedenti al 19 settembre 2023.

Che cosa devo fare?

Il 19 settembre 2023, Chronicle è stato aggiornato per risolvere questa vulnerabilità. Non è richiesta alcuna azione da parte del cliente.

Quali vulnerabilità vengono affrontate?

In precedenza, Chronicle forniva un account di servizio condiviso che i clienti utilizzavano per concedere l'autorizzazione a un bucket. Poiché diversi clienti hanno concesso allo stesso account di servizio Chronicle l'autorizzazione per il proprio bucket, esisteva un vettore di sfruttamento che consentiva al feed di un cliente di accedere al bucket di un altro cliente al momento della creazione o della modifica di un feed. Questo vettore di sfruttamento ha richiesto la conoscenza dell'URI del bucket. Ora, durante la creazione o la modifica dei feed, Chronicle utilizza account di servizio univoci per ogni cliente.

Alti

GCP-2023-027

Pubblicato: 11/09/2023

Descrizione	Gravità	Note
Gli aggiornamenti di VMware vCenter Server risolvono diverse vulnerabilità che danneggiano la memoria (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896) Impatto dell'assistenza clienti VMware vCenter Server (vCenter Server) e VMware Cloud Foundation (Cloud Foundation). Che cosa devo fare? I clienti non sono interessati e non è necessario alcun intervento da parte tua.	Medio	CVE-2023-20893

Descrizione

Gravità

Note

Gli aggiornamenti di VMware vCenter Server risolvono diverse vulnerabilità che danneggiano la memoria (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896)

Impatto dell'assistenza clienti

VMware vCenter Server (vCenter Server) e VMware Cloud Foundation (Cloud Foundation).

Che cosa devo fare?

I clienti non sono interessati e non è necessario alcun intervento da parte tua.

Medio

CVE-2023-20893

GCP-2023-026

Pubblicato: 06/09/2023

Descrizione

Descrizione	Gravità	Note
In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) in cui un utente che può creare pod sui nodi Windows potrebbe essere in grado di riassegnare i privilegi di amministratore su questi nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e sul proxy CSI Kubernetes. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: Bollettino sulla sicurezza di GKE Bollettino sulla sicurezza Anthos clusters on VMware Cluster Anthos sul bollettino sulla sicurezza di AWS Bollettino sulla sicurezza Anthos on Azure Bollettino sulla sicurezza Anthos on bare metal	Alti	CVE-2023-3676, CVE-2023-3955, CVE-2023-3893

Gravità

Note

In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) in cui un utente che può creare pod sui nodi Windows potrebbe essere in grado di riassegnare i privilegi di amministratore su questi nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e sul proxy CSI Kubernetes.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Alti

CVE-2023-3676, CVE-2023-3955, CVE-2023-3893

GCP-2023-025

Pubblicato: 08/08/2023

Descrizione	Gravità	Note
Intel ha recentemente annunciato l'introduzione dell'Intel Security Advisory INTEL-SA-00828 che interessa alcune delle sue famiglie di processori. Ti invitiamo a valutare i rischi in base all'avvertenza. Impatto di Google Cloud VMware Engine Il nostro parco risorse utilizza le famiglie di processori interessati. Nel nostro deployment, l'intero server è dedicato a un solo cliente. Di conseguenza, il nostro modello di deployment non aggiunge ulteriori rischi alla tua valutazione di questa vulnerabilità. Stiamo collaborando con i nostri partner per ottenere le patch necessarie e implementeremo queste patch in modo prioritario su tutto il parco risorse utilizzando il processo di upgrade standard nelle prossime settimane. Che cosa devo fare? Non è necessario alcun intervento da parte tua; stiamo lavorando per eseguire l'upgrade di tutti i sistemi interessati.	Alti	CVE-2022-40982

Descrizione

Gravità

Note

Intel ha recentemente annunciato l'introduzione dell'Intel Security Advisory INTEL-SA-00828 che interessa alcune delle sue famiglie di processori. Ti invitiamo a valutare i rischi in base all'avvertenza.

Impatto di Google Cloud VMware Engine

Il nostro parco risorse utilizza le famiglie di processori interessati. Nel nostro deployment, l'intero server è dedicato a un solo cliente. Di conseguenza, il nostro modello di deployment non aggiunge ulteriori rischi alla tua valutazione di questa vulnerabilità.

Stiamo collaborando con i nostri partner per ottenere le patch necessarie e implementeremo queste patch in modo prioritario su tutto il parco risorse utilizzando il processo di upgrade standard nelle prossime settimane.

Che cosa devo fare?

Non è necessario alcun intervento da parte tua; stiamo lavorando per eseguire l'upgrade di tutti i sistemi interessati.

Alti

CVE-2022-40982

GCP-2023-024

Pubblicato: 08/08/2023

Ultimo aggiornamento: 10/08/2023

Descrizione

Descrizione	Gravità	Note
Aggiornamento 10/08/2023: è stato aggiunto il numero di versione LTS di ChromeOS. Intel ha divulgato una vulnerabilità in alcuni processori (CVE-2022-40982). Google ha adottato misure per mitigare il suo parco di server, incluso Google Cloud, per garantire che i clienti siano protetti. I dettagli della vulnerabilità: CVE-2022-40982 (Intel IPU 2023.3, "GDS" anche noto come "Downfall") Che cosa devo fare? Non è richiesta alcuna azione da parte del cliente. Tutte le patch disponibili sono già state applicate al parco risorse di server Google per Google Cloud, incluso Google Compute Engine. Al momento i seguenti prodotti richiedono aggiornamenti aggiuntivi da parte di partner e fornitori. Google Cloud VMware Engine Google Distributed Cloud Hosted Google Distributed Cloud Edge Soluzione Google Cloud Bare Metal Evoluzione di core dei pacchetti Google correggerà questi prodotti non appena queste patch saranno state rese disponibili e questo bollettino verrà aggiornato di conseguenza. I clienti di Google Chromebook e ChromeOS Flex hanno ricevuto automaticamente le mitigazioni fornite da Intel in versione stabile (115), LTS (108), beta (116) e LTC (114). I clienti di Chromebook e ChromeOS Flex bloccati su una release precedente dovrebbero valutare la possibilità di sbloccare e passare a release stabile o LTS per assicurarsi che ricevano questa e altre correzioni di vulnerabilità. Quali vulnerabilità vengono affrontate? CVE-2022-40982 - Per ulteriori informazioni, consulta la pagina Intel Security Advisory INTEL-SA-00828.	Alti	CVE-2022-40982

Gravità

Note

Aggiornamento 10/08/2023: è stato aggiunto il numero di versione LTS di ChromeOS.

Intel ha divulgato una vulnerabilità in alcuni processori (CVE-2022-40982). Google ha adottato misure per mitigare il suo parco di server, incluso Google Cloud, per garantire che i clienti siano protetti.

I dettagli della vulnerabilità:

CVE-2022-40982 (Intel IPU 2023.3, "GDS" anche noto come "Downfall")

Che cosa devo fare?

Non è richiesta alcuna azione da parte del cliente.

Tutte le patch disponibili sono già state applicate al parco risorse di server Google per Google Cloud, incluso Google Compute Engine.

Al momento i seguenti prodotti richiedono aggiornamenti aggiuntivi da parte di partner e fornitori.

Google Cloud VMware Engine
Google Distributed Cloud Hosted
Google Distributed Cloud Edge
Soluzione Google Cloud Bare Metal
Evoluzione di core dei pacchetti

Google correggerà questi prodotti non appena queste patch saranno state rese disponibili e questo bollettino verrà aggiornato di conseguenza.

I clienti di Google Chromebook e ChromeOS Flex hanno ricevuto automaticamente le mitigazioni fornite da Intel in versione stabile (115), LTS (108), beta (116) e LTC (114). I clienti di Chromebook e ChromeOS Flex bloccati su una release precedente dovrebbero valutare la possibilità di sbloccare e passare a release stabile o LTS per assicurarsi che ricevano questa e altre correzioni di vulnerabilità.

Quali vulnerabilità vengono affrontate?

CVE-2022-40982 - Per ulteriori informazioni, consulta la pagina Intel Security Advisory INTEL-SA-00828.

Alti

CVE-2022-40982

GCP-2023-023

Pubblicato: 08/08/2023

Descrizione

Descrizione	Gravità	Note
AMD ha divulgato una vulnerabilità in alcuni processori (CVE-2023-20569). Google ha adottato misure per mitigare il suo parco di server, incluso Google Cloud, per garantire che i clienti siano protetti. I dettagli della vulnerabilità: CVE-2023-20569 (AMD SB-7005 noto anche come "Inception") Che cosa devo fare? Gli utenti delle VM di Compute Engine dovrebbero prendere in considerazione le mitigazioni fornite dal sistema operativo se utilizzano l'esecuzione di codice non attendibile intra-istanza. Consigliamo ai clienti di contattare i fornitori di sistemi operativi per indicazioni più specifiche. Le correzioni sono già state applicate al parco di server Google per Google Cloud, incluso Google Compute Engine. Quali vulnerabilità vengono affrontate? CVE-2023-20569 - Per ulteriori informazioni, consulta AMD SB-7005.	Moderata	CVE-2023-20569

Gravità

Note

AMD ha divulgato una vulnerabilità in alcuni processori (CVE-2023-20569). Google ha adottato misure per mitigare il suo parco di server, incluso Google Cloud, per garantire che i clienti siano protetti.

I dettagli della vulnerabilità:

CVE-2023-20569 (AMD SB-7005 noto anche come "Inception")

Che cosa devo fare?

Gli utenti delle VM di Compute Engine dovrebbero prendere in considerazione le mitigazioni fornite dal sistema operativo se utilizzano l'esecuzione di codice non attendibile intra-istanza. Consigliamo ai clienti di contattare i fornitori di sistemi operativi per indicazioni più specifiche.

Le correzioni sono già state applicate al parco di server Google per Google Cloud, incluso Google Compute Engine.

Quali vulnerabilità vengono affrontate?

CVE-2023-20569 - Per ulteriori informazioni, consulta AMD SB-7005.

Moderata

CVE-2023-20569

GCP-2023-022

Pubblicato: 2023-08-03

Descrizione

Descrizione	Gravità	Note
Google ha identificato una vulnerabilità nelle implementazioni gRPC C++ prima della release 1.57. Si tratta di una vulnerabilità Denial of Service all'interno dell'implementazione C++ di gRPC. Questi problemi sono stati risolti nelle release 1.53.2, 1.54.3, 1.55.2, 1.56.2 e 1.57. Che cosa devo fare? Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software: Le versioni 1.53, 1.54, 1.55 e 1.56 di gRPC (C++, Python, Ruby) devono eseguire l'upgrade alle seguenti release di patch: 1,53,2 1,54,3 1,55,2 1,56,2 Le versioni 1.52 e precedenti di gRPC (C++, Python, Ruby) devono eseguire l'upgrade a una delle release patch approvate. Ad esempio, 1.53.2, 1.54.3, 1.53.4 e così via. Quali vulnerabilità vengono affrontate? Queste patch attenuano le seguenti vulnerabilità: Vulnerabilità Denial-Of-Service nelle implementazioni gRPC C++: le richieste create appositamente possono causare l'interruzione della connessione tra un proxy e un backend.	Alti	CVE-2023-33953

Gravità

Note

Google ha identificato una vulnerabilità nelle implementazioni gRPC C++ prima della release 1.57. Si tratta di una vulnerabilità Denial of Service all'interno dell'implementazione C++ di gRPC. Questi problemi sono stati risolti nelle release 1.53.2, 1.54.3, 1.55.2, 1.56.2 e 1.57.

Che cosa devo fare?

Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software:

Le versioni 1.53, 1.54, 1.55 e 1.56 di gRPC (C++, Python, Ruby) devono eseguire l'upgrade alle seguenti release di patch:

1,53,2
1,54,3
1,55,2
1,56,2

Le versioni 1.52 e precedenti di gRPC (C++, Python, Ruby) devono eseguire l'upgrade a una delle release patch approvate. Ad esempio, 1.53.2, 1.54.3, 1.53.4 e così via.

Quali vulnerabilità vengono affrontate?

Queste patch attenuano le seguenti vulnerabilità:

Vulnerabilità Denial-Of-Service nelle implementazioni gRPC C++: le richieste create appositamente possono causare l'interruzione della connessione tra un proxy e un backend.

Alti

CVE-2023-33953

GCP-2023-021

Ultimo aggiornamento: 26/07/2023

Pubblicato:25/07/2023

Descrizione

Descrizione Gravità Note

Descrizione	Gravità	Note
I seguenti CVE espongono Anthos Service Mesh a vulnerabilità sfruttabili: CVE-2023-35941: un client dannoso è in grado di creare credenziali con validità permanente in alcuni scenari specifici. Ad esempio, la combinazione di host e ora di scadenza nel payload HMAC può essere sempre valida nel controllo HMAC del filtro OAuth2. CVE-2023-35942: i logger di accesso gRPC che utilizzano l'ambito globale del listener possono causare un arresto anomalo use-after-free quando il listener viene svuotato. Questa operazione può essere attivata da un aggiornamento LDS con la stessa configurazione del log degli accessi gRPC. CVE-2023-35943: se l'intestazione `origin` è configurata per essere rimossa con `request_headers_to_remove: origin`, il filtro CORS `segfault` e l'arresto anomalo di Envoy. CVE-2023-35944: gli utenti malintenzionati possono inviare richieste di schema miste per bypassare i controlli dello schema in Envoy. Ad esempio, se una richiesta con HTTP con schema misto viene inviata al filtro OAuth2, non supererà i controlli di corrispondenza esatta per HTTP e comunicherà all'endpoint remoto che lo schema è HTTPS, ignorando potenzialmente i controlli OAuth2 specifici per le richieste HTTP. Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.	Alti	CVE-2023-35941 CVE-2023-35942 CVE-2023-35943 CVE-2023-35944

I seguenti CVE espongono Anthos Service Mesh a vulnerabilità sfruttabili:

CVE-2023-35941: un client dannoso è in grado di creare credenziali con validità permanente in alcuni scenari specifici. Ad esempio, la combinazione di host e ora di scadenza nel payload HMAC può essere sempre valida nel controllo HMAC del filtro OAuth2.
CVE-2023-35942: i logger di accesso gRPC che utilizzano l'ambito globale del listener possono causare un arresto anomalo use-after-free quando il listener viene svuotato. Questa operazione può essere attivata da un aggiornamento LDS con la stessa configurazione del log degli accessi gRPC.
CVE-2023-35943: se l'intestazione origin è configurata per essere rimossa con request_headers_to_remove: origin, il filtro CORS segfault e l'arresto anomalo di Envoy.
CVE-2023-35944: gli utenti malintenzionati possono inviare richieste di schema miste per bypassare i controlli dello schema in Envoy. Ad esempio, se una richiesta con HTTP con schema misto viene inviata al filtro OAuth2, non supererà i controlli di corrispondenza esatta per HTTP e comunicherà all'endpoint remoto che lo schema è HTTPS, ignorando potenzialmente i controlli OAuth2 specifici per le richieste HTTP.

Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.

Alti

GCP-2023-020

Ultimo aggiornamento: 26/07/2023

Pubblicato: 24/07/2023

Descrizione

Descrizione	Gravità	Note
AMD ha rilasciato un aggiornamento del microcodice che risolve una vulnerabilità della sicurezza hardware (CVE-2023-20593). Google ha applicato le correzioni necessarie per questa vulnerabilità al proprio parco di server, inclusi i server per Google Cloud Platform. Il test indica che non c'è alcun impatto sulle prestazioni dei sistemi. Che cosa devo fare? Non è necessario alcun intervento da parte del cliente perché le correzioni sono già state applicate al parco server di Google per Google Cloud Platform. Quali vulnerabilità vengono affrontate? CVE-2023-20593 risolve una vulnerabilità in alcune CPU AMD. Ulteriori informazioni sono disponibili qui.	Alti	CVE-2023-20593

Gravità

Note

AMD ha rilasciato un aggiornamento del microcodice che risolve una vulnerabilità della sicurezza hardware (CVE-2023-20593). Google ha applicato le correzioni necessarie per questa vulnerabilità al proprio parco di server, inclusi i server per Google Cloud Platform. Il test indica che non c'è alcun impatto sulle prestazioni dei sistemi.

Che cosa devo fare?

Non è necessario alcun intervento da parte del cliente perché le correzioni sono già state applicate al parco server di Google per Google Cloud Platform.

Quali vulnerabilità vengono affrontate?

CVE-2023-20593 risolve una vulnerabilità in alcune CPU AMD. Ulteriori informazioni sono disponibili qui.

Alti

CVE-2023-20593

GCP-2023-019

Pubblicato il:18/07/2023

Descrizione

Descrizione Gravità Note

Descrizione	Gravità	Note
In Envoy è stata scoperta una nuova vulnerabilità (CVE-2023-35945) in cui una risposta creata appositamente da un servizio upstream non attendibile può causare un denial of service a causa dell'esaurimento della memoria. Ciò è causato dal codec HTTP/2 di Envoy, che potrebbe far perdere una mappa di intestazioni e le strutture di contabilità alla ricezione di `RST_STREAM` immediatamente seguito dai frame `GOAWAY` da un server a monte. Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.	Alti	CVE-2023-35945

In Envoy è stata scoperta una nuova vulnerabilità (CVE-2023-35945) in cui una risposta creata appositamente da un servizio upstream non attendibile può causare un denial of service a causa dell'esaurimento della memoria. Ciò è causato dal codec HTTP/2 di Envoy, che potrebbe far perdere una mappa di intestazioni e le strutture di contabilità alla ricezione di RST_STREAM immediatamente seguito dai frame GOAWAY da un server a monte.

Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.

Alti

CVE-2023-35945

GCP-2023-018

Pubblicato: 27/06/2023

Descrizione

Descrizione	Gravità	Note
Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-2235) che può portare a un'escalation dei privilegi sul nodo. I cluster GKE Autopilot sono interessati poiché i nodi GKE Autopilot utilizzano sempre le immagini dei nodi di Container-Optimized OS. Sono interessati i cluster GKE Standard con versione 1.25 o successive che eseguono immagini dei nodi di Container-Optimized OS. I cluster GKE non sono interessati se eseguono solo immagini dei nodi Ubuntu, versioni in esecuzione precedenti alla 1.25 o se utilizzano GKE Sandbox. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: Bollettino sulla sicurezza di GKE Bollettino sulla sicurezza Anthos clusters on VMware Cluster Anthos sul bollettino sulla sicurezza di AWS Bollettino sulla sicurezza Anthos on Azure Bollettino sulla sicurezza Anthos on bare metal	Alti	CVE-2023-2235

Gravità

Note

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-2235) che può portare a un'escalation dei privilegi sul nodo. I cluster GKE Autopilot sono interessati poiché i nodi GKE Autopilot utilizzano sempre le immagini dei nodi di Container-Optimized OS. Sono interessati i cluster GKE Standard con versione 1.25 o successive che eseguono immagini dei nodi di Container-Optimized OS.

I cluster GKE non sono interessati se eseguono solo immagini dei nodi Ubuntu, versioni in esecuzione precedenti alla 1.25 o se utilizzano GKE Sandbox.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Alti

CVE-2023-2235

GCP-2023-017

Pubblicato: 26/06/2023

Ultimo aggiornamento: 11/07/2023

Descrizione

Descrizione	Gravità	Note
Aggiornamento 11/07/2023: sono state aggiornate le nuove versioni di GKE per includere le ultime versioni di Ubuntu che applicano la patch CVE-2023-31436. Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-31436) che può portare a un'escalation dei privilegi sul nodo. Sono interessati i cluster GKE, inclusi quelli Autopilot. I cluster GKE che utilizzano GKE Sandbox non sono interessati. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: Bollettino sulla sicurezza di GKE Bollettino sulla sicurezza Anthos clusters on VMware Cluster Anthos sul bollettino sulla sicurezza di AWS Bollettino sulla sicurezza Anthos on Azure Bollettino sulla sicurezza Anthos on bare metal	Alti	CVE-2023-31436

Gravità

Note

Aggiornamento 11/07/2023: sono state aggiornate le nuove versioni di GKE per includere le ultime versioni di Ubuntu che applicano la patch CVE-2023-31436.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-31436) che può portare a un'escalation dei privilegi sul nodo. Sono interessati i cluster GKE, inclusi quelli Autopilot. I cluster GKE che utilizzano GKE Sandbox non sono interessati.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Alti

CVE-2023-31436

GCP-2023-016

Pubblicato: 26/06/2023

Descrizione

Descrizione	Gravità	Note
Sono state scoperte una serie di vulnerabilità in Envoy, che viene utilizzato in Anthos Service Mesh, per consentire a un utente malintenzionato di causare un Denial of Service o un arresto anomalo di Envoy. Questi sono stati segnalati separatamente come GCP-2023-002. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: Bollettino sulla sicurezza di GKE Bollettino sulla sicurezza Anthos clusters on VMware Cluster Anthos sul bollettino sulla sicurezza di AWS Bollettino sulla sicurezza Anthos on Azure Bollettino sulla sicurezza Anthos on bare metal	Alti	CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-1}7487{/1

Gravità

Note

Sono state scoperte una serie di vulnerabilità in Envoy, che viene utilizzato in Anthos Service Mesh, per consentire a un utente malintenzionato di causare un Denial of Service o un arresto anomalo di Envoy. Questi sono stati segnalati separatamente come GCP-2023-002.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Alti

CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-1}7487{/1

GCP-2023-015

Pubblicato: 20/06/2023

Descrizione

Descrizione	Gravità	Note
Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2023-0468, che potrebbe consentire a un utente senza privilegi di riassegnare i privilegi a root quando io_poll_get_ownership continuerà ad aumentare req->poll_refs su ogni io_poll_wake e poi overflow a 0, il che genererà due volte il file req-> e causerà un problema di refcount del file struct. Sono interessati i cluster GKE, inclusi quelli Autopilot, con Container-Optimized OS che utilizza il kernel Linux versione 5.15. I cluster GKE che utilizzano immagini Ubuntu o che utilizzano GKE Sandbox non sono interessati. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: Bollettino sulla sicurezza di GKE Bollettino sulla sicurezza Anthos clusters on VMware Cluster Anthos sul bollettino sulla sicurezza di AWS Bollettino sulla sicurezza Anthos on Azure Bollettino sulla sicurezza Anthos on bare metal	Medio	CVE-CVE-2023-0468

Gravità

Note

Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2023-0468, che potrebbe consentire a un utente senza privilegi di riassegnare i privilegi a root quando io_poll_get_ownership continuerà ad aumentare req->poll_refs su ogni io_poll_wake e poi overflow a 0, il che genererà due volte il file req-> e causerà un problema di refcount del file struct. Sono interessati i cluster GKE, inclusi quelli Autopilot, con Container-Optimized OS che utilizza il kernel Linux versione 5.15. I cluster GKE che utilizzano immagini Ubuntu o che utilizzano GKE Sandbox non sono interessati.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Medio

CVE-CVE-2023-0468

GCP-2023-014

Ultimo aggiornamento: 11/08/2023
Pubblicato: 15/06/2023

Descrizione

Descrizione	Gravità	Note
Aggiornamento 11/08/2023: sono state aggiunte versioni patch per Cluster Anthos su VMware, Cluster Anthos on AWS, Anthos on Azure e Anthos on bare metal. In Kubernetes sono stati rilevati due nuovi problemi di sicurezza, in cui gli utenti potrebbero essere in grado di avviare container che ignorano le limitazioni dei criteri quando utilizzano container temporanei e ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728). Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: Bollettino sulla sicurezza di GKE Bollettino sulla sicurezza Anthos clusters on VMware Cluster Anthos sul bollettino sulla sicurezza di AWS Bollettino sulla sicurezza Anthos on Azure Bollettino sulla sicurezza Anthos on bare metal	Medio	CVE-2023-2727, CVE-2023-2728

Gravità

Note

Aggiornamento 11/08/2023: sono state aggiunte versioni patch per Cluster Anthos su VMware, Cluster Anthos on AWS, Anthos on Azure e Anthos on bare metal.

In Kubernetes sono stati rilevati due nuovi problemi di sicurezza, in cui gli utenti potrebbero essere in grado di avviare container che ignorano le limitazioni dei criteri quando utilizzano container temporanei e ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728).

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Medio

CVE-2023-2727, CVE-2023-2728

GCP-2023-013

Pubblicato: 08/06/2023

Descrizione

Descrizione Gravità Note

Descrizione	Gravità	Note
Quando abiliti l'API Cloud Build in un progetto, Cloud Build crea automaticamente un account di servizio predefinito per eseguire le build per tuo conto. Questo account di servizio Cloud Build in precedenza disponeva dell'autorizzazione IAM `logging.privateLogEntries.list`, che consentiva alle build di accedere ai log privati per impostazione predefinita. Questa autorizzazione è stata ora revocata dall'account di servizio Cloud Build per ottemperare al principio di sicurezza del privilegio minimo. Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Build.	Basso

Quando abiliti l'API Cloud Build in un progetto, Cloud Build crea automaticamente un account di servizio predefinito per eseguire le build per tuo conto. Questo account di servizio Cloud Build in precedenza disponeva dell'autorizzazione IAM logging.privateLogEntries.list, che consentiva alle build di accedere ai log privati per impostazione predefinita. Questa autorizzazione è stata ora revocata dall'account di servizio Cloud Build per ottemperare al principio di sicurezza del privilegio minimo.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Build.

Basso

GCP-2023-010

Pubblicato: 07/06/2023

Descrizione

Descrizione	Gravità	Note
Google ha identificato tre nuove vulnerabilità nell'implementazione di gRPC C ++. Questi dati verranno pubblicati a breve con i nomi CVE-2023-1428, CVE-2023-32731 e CVE-2023-32732. Ad aprile, abbiamo identificato due vulnerabilità nelle release 1.53 e 1.54. Una era una vulnerabilità Denial of Service all'interno dell'implementazione C++ di gRPC, mentre l'altra era una vulnerabilità di esfiltrazione di dati remota. Questi problemi sono stati risolti nelle versioni 1.53.1, 1.54.2 e successive. In precedenza, a marzo, i nostri team interni hanno scoperto una vulnerabilità Denial of Service nell'implementazione C++ di gRPC durante l'esecuzione delle attività di fuzzing di routine. È stato rilevato nella release gRPC 1.52 ed è stato corretto nelle release 1.52.2 e 1.53. Che cosa devo fare? Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software: grpc (C++, Python, Ruby) versione 1.52, 1.53 e 1.54 deve essere aggiornato alle seguenti release di patch; 1,52,2 1,53,1 1,54,2 grpc (C++, Python, Ruby) 1.51 e versioni precedenti non sono interessati, quindi gli utenti con queste versioni non possono intraprendere alcuna azione Quali vulnerabilità vengono affrontate da queste patch? Queste patch attenuano le seguenti vulnerabilità: Le versioni 1.53.1, 1.54.2 e successive affrontano i seguenti problemi: Vulnerabilità Denial-Of-Service nell'implementazione di gRPC C++. Le richieste create appositamente possono causare la terminazione della connessione tra un proxy e un backend. Vulnerabilità dell'esfiltrazione di dati da remoto: la desincronizzazione nella tabella HPACK a causa delle limitazioni delle dimensioni dell'intestazione può causare la perdita di dati di intestazione da parte dei backend proxy da altri client connessi a un proxy. 1.52.2, 1.53 e versioni successive affrontano i seguenti problemi: Vulnerabilità Denial of Service nell'implementazione C++ di gRPC. L'analisi di alcune richieste create in modo specifico può causare un arresto anomalo che ha impatto sul server. Consigliamo di eseguire l'upgrade alle versioni più recenti dei seguenti pacchetti software, come elencato in precedenza.	Versione alta (CVE-2023-1428, CVE-2023-32731). Medio (CVE-2023-32732)	CVE-2023-1428, CVE-2023-32731, CVE-023-32732

Gravità

Note

Google ha identificato tre nuove vulnerabilità nell'implementazione di gRPC C ++. Questi dati verranno pubblicati a breve con i nomi CVE-2023-1428, CVE-2023-32731 e CVE-2023-32732.

Ad aprile, abbiamo identificato due vulnerabilità nelle release 1.53 e 1.54. Una era una vulnerabilità Denial of Service all'interno dell'implementazione C++ di gRPC, mentre l'altra era una vulnerabilità di esfiltrazione di dati remota. Questi problemi sono stati risolti nelle versioni 1.53.1, 1.54.2 e successive.

In precedenza, a marzo, i nostri team interni hanno scoperto una vulnerabilità Denial of Service nell'implementazione C++ di gRPC durante l'esecuzione delle attività di fuzzing di routine. È stato rilevato nella release gRPC 1.52 ed è stato corretto nelle release 1.52.2 e 1.53.

Che cosa devo fare?

Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software:

grpc (C++, Python, Ruby) versione 1.52, 1.53 e 1.54 deve essere aggiornato alle seguenti release di patch;

1,52,2
1,53,1
1,54,2

grpc (C++, Python, Ruby) 1.51 e versioni precedenti non sono interessati, quindi gli utenti con queste versioni non possono intraprendere alcuna azione

Quali vulnerabilità vengono affrontate da queste patch?

Queste patch attenuano le seguenti vulnerabilità:

Le versioni 1.53.1, 1.54.2 e successive affrontano i seguenti problemi: Vulnerabilità Denial-Of-Service nell'implementazione di gRPC C++. Le richieste create appositamente possono causare la terminazione della connessione tra un proxy e un backend. Vulnerabilità dell'esfiltrazione di dati da remoto: la desincronizzazione nella tabella HPACK a causa delle limitazioni delle dimensioni dell'intestazione può causare la perdita di dati di intestazione da parte dei backend proxy da altri client connessi a un proxy.
1.52.2, 1.53 e versioni successive affrontano i seguenti problemi: Vulnerabilità Denial of Service nell'implementazione C++ di gRPC. L'analisi di alcune richieste create in modo specifico può causare un arresto anomalo che ha impatto sul server.

Consigliamo di eseguire l'upgrade alle versioni più recenti dei seguenti pacchetti software, come elencato in precedenza.

Versione alta (CVE-2023-1428, CVE-2023-32731). Medio (CVE-2023-32732)

CVE-2023-1428, CVE-2023-32731, CVE-023-32732

GCP-2023-009

Pubblicato: 06/06/2023

Descrizione

Descrizione	Gravità	Note
In secrets-store-csi-driver è stata scoperta una nuova vulnerabilità (CVE-2023-2878) in cui un attore con accesso ai log del driver potrebbe osservare i token dell'account di servizio. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: Bollettino sulla sicurezza di GKE Bollettino sulla sicurezza Anthos clusters on VMware Cluster Anthos sul bollettino sulla sicurezza di AWS Bollettino sulla sicurezza Anthos on Azure Bollettino sulla sicurezza Anthos on bare metal	Nessuno	CVE-2023-2878

Gravità

Note

In secrets-store-csi-driver è stata scoperta una nuova vulnerabilità (CVE-2023-2878) in cui un attore con accesso ai log del driver potrebbe osservare i token dell'account di servizio.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Nessuno

CVE-2023-2878

GCP-2023-008

Pubblicato: 05/06/2023

Descrizione

Descrizione	Gravità	Note
Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-1872) che può portare a un'escalation dei privilegi per eseguire il root sul nodo. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: Bollettino sulla sicurezza di GKE Bollettino sulla sicurezza Anthos clusters on VMware Cluster Anthos sul bollettino sulla sicurezza di AWS Bollettino sulla sicurezza Anthos on Azure Bollettino sulla sicurezza Anthos on bare metal	Alti	CVE-2023-1872

Gravità

Note

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-1872) che può portare a un'escalation dei privilegi per eseguire il root sul nodo.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Alti

CVE-2023-1872

GCP-2023-007

Pubblicato: 02/06/2023

Descrizione

Descrizione Gravità Note

Descrizione	Gravità	Note
Di recente è stata scoperta una vulnerabilità in Cloud SQL per SQL Server che ha consentito agli account amministratore del cliente di creare trigger nel database `tempdb` e di utilizzarli per ottenere i privilegi `sysadmin` nell'istanza. I privilegi `sysadmin` darebbero all'utente malintenzionato l'accesso ai database di sistema e l'accesso parziale alla macchina che esegue l'istanza SQL Server. Google Cloud ha risolto il problema applicando patch alla vulnerabilità di sicurezza entro il 1° marzo 2023. Google Cloud non ha rilevato istanze dei clienti compromesse. Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud SQL.	Alti

Di recente è stata scoperta una vulnerabilità in Cloud SQL per SQL Server che ha consentito agli account amministratore del cliente di creare trigger nel database tempdb e di utilizzarli per ottenere i privilegi sysadmin nell'istanza. I privilegi sysadmin darebbero all'utente malintenzionato l'accesso ai database di sistema e l'accesso parziale alla macchina che esegue l'istanza SQL Server.

Google Cloud ha risolto il problema applicando patch alla vulnerabilità di sicurezza entro il 1° marzo 2023. Google Cloud non ha rilevato istanze dei clienti compromesse.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud SQL.

Alti

GCP-2023-005

Pubblicato: 18/05/2023

Ultimo aggiornamento: 06/06/2023

Descrizione

Descrizione	Gravità	Note
Aggiornamento 06/06/2023: sono state aggiornate le nuove versioni di GKE per includere le versioni più recenti di Ubuntu che applicano la patch CVE-2023-1281 e CVE-2023-1829. Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a un'escalation dei privilegi per eseguire il root sul nodo. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: Bollettino sulla sicurezza di GKE Bollettino sulla sicurezza Anthos clusters on VMware Cluster Anthos sul bollettino sulla sicurezza di AWS Bollettino sulla sicurezza Anthos on Azure Bollettino sulla sicurezza Anthos on bare metal	Alti	CVE-2023-1281 CVE-2023-1829

Gravità

Note

Aggiornamento 06/06/2023: sono state aggiornate le nuove versioni di GKE per includere le versioni più recenti di Ubuntu che applicano la patch CVE-2023-1281 e CVE-2023-1829.

Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a un'escalation dei privilegi per eseguire il root sul nodo.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Alti

CVE-2023-1281 CVE-2023-1829

GCP-2023-004

Pubblicato: 26/04/2023

Descrizione

Descrizione	Gravità	Note
In Trusted Platform Module (TPM) 2.0 sono state rilevate due vulnerabilità (CVE-2023-1017 e CVE-2023-1018). Le vulnerabilità potrebbero aver consentito a un utente malintenzionato sofisticato di sfruttare una lettura/scrittura di 2 byte fuori dai limiti su alcune VM di Compute Engine. Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Compute Engine.	Medio	CVE-2023-1017 CVE-2023-1018

Gravità

Note

In Trusted Platform Module (TPM) 2.0 sono state rilevate due vulnerabilità (CVE-2023-1017 e CVE-2023-1018).

Le vulnerabilità potrebbero aver consentito a un utente malintenzionato sofisticato di sfruttare una lettura/scrittura di 2 byte fuori dai limiti su alcune VM di Compute Engine.

Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Compute Engine.

Medio

GCP-2023-003

Pubblicato: 11/04/2023

Descrizione

Descrizione	Gravità	Note
Nel kernel Linux sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586, che potrebbero consentire a un utente senza privilegi di riassegnare i privilegi. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: Bollettino sulla sicurezza di GKE Bollettino sulla sicurezza Anthos clusters on VMware Cluster Anthos sul bollettino sulla sicurezza di AWS Bollettino sulla sicurezza Anthos on Azure Bollettino sulla sicurezza Anthos on bare metal	Alti	CVE-2023-0240, CVE-2023-23586

Gravità

Note

Nel kernel Linux sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586, che potrebbero consentire a un utente senza privilegi di riassegnare i privilegi.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Alti

CVE-2023-0240, CVE-2023-23586

GCP-2023-002

Descrizione

Descrizione	Gravità	Note
I seguenti CVE espongono Anthos Service Mesh a vulnerabilità sfruttabili: CVE-2023-27496: se Envoy è in esecuzione con il filtro OAuth abilitato, un utente malintenzionato potrebbe creare una richiesta che potrebbe causare denial of service causando l'arresto anomalo di Envoy. CVE-2023-27488: l'utente malintenzionato può utilizzare questa vulnerabilità per bypassare i controlli di autenticazione quando viene utilizzato ext_authz. CVE-2023-27493: la configurazione di Envoy deve includere anche un'opzione per aggiungere intestazioni delle richieste generate utilizzando gli input della richiesta, ad esempio il certificato SAN del certificato peer. CVE-2023-27492: gli utenti malintenzionati possono inviare corpi di richieste di grandi dimensioni per le route in cui è abilitato il filtro Lua e attivano gli arresti anomali. CVE-2023-27491: gli utenti malintenzionati possono inviare richieste HTTP/2 o HTTP/3 appositamente progettate per attivare errori di analisi sul servizio upstream HTTP/1. CVE-2023-27487: l'intestazione "x-envoy-original-path" deve essere un'intestazione interna, ma Envoy non rimuove questa intestazione dalla richiesta all'inizio dell'elaborazione della richiesta quando viene inviata da un client non attendibile. Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.	Alti	CVE-2023-27496 CVE-2023-27488 CVE-2023-27493 CVE-2023-27492 CVE-2023-27491 CVE-2023-27487

Gravità

Note

I seguenti CVE espongono Anthos Service Mesh a vulnerabilità sfruttabili:

CVE-2023-27496: se Envoy è in esecuzione con il filtro OAuth abilitato, un utente malintenzionato potrebbe creare una richiesta che potrebbe causare denial of service causando l'arresto anomalo di Envoy.
CVE-2023-27488: l'utente malintenzionato può utilizzare questa vulnerabilità per bypassare i controlli di autenticazione quando viene utilizzato ext_authz.
CVE-2023-27493: la configurazione di Envoy deve includere anche un'opzione per aggiungere intestazioni delle richieste generate utilizzando gli input della richiesta, ad esempio il certificato SAN del certificato peer.
CVE-2023-27492: gli utenti malintenzionati possono inviare corpi di richieste di grandi dimensioni per le route in cui è abilitato il filtro Lua e attivano gli arresti anomali.
CVE-2023-27491: gli utenti malintenzionati possono inviare richieste HTTP/2 o HTTP/3 appositamente progettate per attivare errori di analisi sul servizio upstream HTTP/1.
CVE-2023-27487: l'intestazione "x-envoy-original-path" deve essere un'intestazione interna, ma Envoy non rimuove questa intestazione dalla richiesta all'inizio dell'elaborazione della richiesta quando viene inviata da un client non attendibile.

Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.

Alti

GCP-2023-001

Pubblicato: 01/03/2023

Descrizione

Descrizione	Gravità	Note
Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-4696) che può portare a un'escalation dei privilegi sul nodo. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: Bollettino sulla sicurezza di GKE Bollettino sulla sicurezza Anthos clusters on VMware Cluster Anthos sul bollettino sulla sicurezza di AWS Bollettino sulla sicurezza Anthos on Azure Bollettino sulla sicurezza Anthos on bare metal	Alti	CVE-2022-4696

Gravità

Note

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-4696) che può portare a un'escalation dei privilegi sul nodo.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Alti

CVE-2022-4696

GCP-2022-026

Pubblicato: 11/01/2023

Descrizione

Descrizione	Gravità	Note
In OpenSSL v3.0.6 sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) che potrebbero causare un arresto anomalo. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: Bollettino sulla sicurezza di GKE Bollettino sulla sicurezza Anthos clusters on VMware Cluster Anthos sul bollettino sulla sicurezza di AWS Bollettino sulla sicurezza Anthos on Azure Bollettino sulla sicurezza Anthos on bare metal	Medio	CVE-2022-3786 CVE-2022-3602

Gravità

Note

In OpenSSL v3.0.6 sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) che potrebbero causare un arresto anomalo.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Medio

GCP-2022-025

Pubblicato il: 21/12/2022
Ultimo aggiornamento: 19/01/2023

Descrizione

Descrizione	Gravità	Note
Aggiornamento 19/01/2023: sono state aggiunte informazioni relative alla disponibilità della versione di GKE 1.21.14-gke.14100. In OpenSSL v3.0.6 sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) che potrebbero causare un arresto anomalo. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: Bollettino sulla sicurezza di GKE Bollettino sulla sicurezza Anthos clusters on VMware Cluster Anthos sul bollettino sulla sicurezza di AWS Bollettino sulla sicurezza Anthos on Azure Bollettino sulla sicurezza Anthos on bare metal	Medio	CVE-2022-3786 CVE-2022-3602

Gravità

Note

Aggiornamento 19/01/2023: sono state aggiunte informazioni relative alla disponibilità della versione di GKE 1.21.14-gke.14100.

In OpenSSL v3.0.6 sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) che potrebbero causare un arresto anomalo.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Medio

GCP-2022-024

Pubblicato: 09/11/2022

Ultimo aggiornamento: 19/01/2023

Descrizione

Descrizione	Gravità	Note
Aggiornamento 19/01/2023: sono state aggiunte informazioni relative alla disponibilità della versione di GKE 1.21.14-gke.14100. Aggiornamento 16/12/2022: sono state aggiunte versioni patch per GKE e Cluster Anthos su VMware. Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare a una rottura completa del container sul nodo. Per istruzioni e ulteriori dettagli, consulta: Bollettino sulla sicurezza di GKE Bollettino sulla sicurezza Anthos clusters on VMware Cluster Anthos sul bollettino sulla sicurezza di AWS Bollettino sulla sicurezza Anthos on Azure Bollettino sulla sicurezza Anthos on bare metal	Alti	CVE-2022-2585 CVE-2022-2588

Gravità

Note

Aggiornamento 19/01/2023: sono state aggiunte informazioni relative alla disponibilità della versione di GKE 1.21.14-gke.14100.

Aggiornamento 16/12/2022: sono state aggiunte versioni patch per GKE e Cluster Anthos su VMware.

Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare a una rottura completa del container sul nodo.

Per istruzioni e ulteriori dettagli, consulta:

Alti

GCP-2022-023

Pubblicato: 04/11/2022

Descrizione

Descrizione	Gravità	Note
In Istio, utilizzato in Anthos Service Mesh, è stata rilevata una vulnerabilità di sicurezza, CVE-2022-39278, che consente a un utente malintenzionato di causare l'arresto anomalo del piano di controllo. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: Bollettino sulla sicurezza di GKE Bollettino sulla sicurezza Anthos clusters on VMware Cluster Anthos sul bollettino sulla sicurezza di AWS Bollettino sulla sicurezza Anthos on Azure Bollettino sulla sicurezza Anthos on bare metal	Alti	CVE-2022-39278

Gravità

Note

In Istio, utilizzato in Anthos Service Mesh, è stata rilevata una vulnerabilità di sicurezza, CVE-2022-39278, che consente a un utente malintenzionato di causare l'arresto anomalo del piano di controllo.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Alti

CVE-2022-39278

GCP-2022-022

Pubblicato: 28/10/2022

Ultimo aggiornamento: 14/12/2022

Descrizione

Descrizione	Gravità	Note
Aggiornamento 14/12/2022: sono state aggiunte versioni patch per GKE e Cluster Anthos su VMware. Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-20409, che potrebbe consentire a un utente senza privilegi di riassegnare il privilegio di esecuzione del sistema. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: Bollettino sulla sicurezza di GKE Bollettino sulla sicurezza Anthos clusters on VMware Cluster Anthos sul bollettino sulla sicurezza di AWS Bollettino sulla sicurezza Anthos on Azure Bollettino sulla sicurezza Anthos on bare metal	Alti	CVE-2022-20409

Gravità

Note

Aggiornamento 14/12/2022: sono state aggiunte versioni patch per GKE e Cluster Anthos su VMware.

Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-20409, che potrebbe consentire a un utente senza privilegi di riassegnare il privilegio di esecuzione del sistema.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Alti

CVE-2022-20409

GCP-2022-021

Pubblicato: 27/10/2022

Ultimo aggiornamento: 19/01/2023

Descrizione

Descrizione	Gravità	Note
Aggiornamento 19/01/2023: sono state aggiunte informazioni relative alla disponibilità della versione di GKE 1.21.14-gke.14100. Aggiornamento 15/12/2022: sono state aggiornate informazioni relative alla versione 1.21.14-gke.9400 di Google Kubernetes Engine in attesa di implementazione e potrebbe essere sostituita da un numero di versione più recente. Aggiornamento 22/11/2022: sono state aggiunte versioni patch per Cluster Anthos su VMware, Cluster Anthos on AWS e Anthos on Azure. Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-3176, che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di eseguire l'analisi completa del container per eseguire il rooting sul nodo. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: Bollettino sulla sicurezza di GKE Bollettino sulla sicurezza Anthos clusters on VMware Cluster Anthos sul bollettino sulla sicurezza di AWS Bollettino sulla sicurezza Anthos on Azure Bollettino sulla sicurezza Anthos on bare metal	Alti	CVE-2022-3176

Gravità

Note

Aggiornamento 19/01/2023: sono state aggiunte informazioni relative alla disponibilità della versione di GKE 1.21.14-gke.14100.

Aggiornamento 15/12/2022: sono state aggiornate informazioni relative alla versione 1.21.14-gke.9400 di Google Kubernetes Engine in attesa di implementazione e potrebbe essere sostituita da un numero di versione più recente.

Aggiornamento 22/11/2022: sono state aggiunte versioni patch per Cluster Anthos su VMware, Cluster Anthos on AWS e Anthos on Azure.

Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-3176, che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di eseguire l'analisi completa del container per eseguire il rooting sul nodo.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Alti

CVE-2022-3176

GCP-2022-020

Pubblicato il: 05/10/2022

Ultimo aggiornamento: 12/10/2022

Descrizione

Descrizione Gravità Note

Descrizione	Gravità	Note
Il piano di controllo Istio `istiod` è vulnerabile a un errore di elaborazione delle richieste e ciò consente a un utente malintenzionato malintenzionato che invia un messaggio creato appositamente, causando l'arresto anomalo del piano di controllo quando il webhook di convalida per un cluster viene esposto pubblicamente. Questo endpoint viene gestito tramite la porta TLS 15017, ma non richiede alcuna autenticazione da parte dell'utente malintenzionato. Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.	Alti	CVE-2022-39278

Il piano di controllo Istio istiod è vulnerabile a un errore di elaborazione delle richieste e ciò consente a un utente malintenzionato malintenzionato che invia un messaggio creato appositamente, causando l'arresto anomalo del piano di controllo quando il webhook di convalida per un cluster viene esposto pubblicamente. Questo endpoint viene gestito tramite la porta TLS 15017, ma non richiede alcuna autenticazione da parte dell'utente malintenzionato.

Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.

Alti

CVE-2022-39278

GCP-2022-019

Pubblicato: 22/09/2022

Descrizione

Descrizione Gravità Note

Descrizione	Gravità	Note
Una vulnerabilità di analisi e gestione della memoria dei messaggi nelle implementazioni C++ e Python di Protocolbuffer può attivare un errore di esaurimento della memoria durante l'elaborazione di un messaggio creato appositamente. Questo potrebbe portare a un Denial of Service (DoS) sui servizi che utilizzano le librerie. Che cosa devo fare? Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software: protobuf-cpp (3.18.3, 3.19.5, 3.20.2, 3.21.6) protobuf-python (3.18.3, 3.19.5, 3.20.2, 4.21.6) Quali vulnerabilità vengono affrontate da questa patch? La patch attenua la seguente vulnerabilità: Un piccolo messaggio appositamente creato che fa sì che il servizio in esecuzione allochi grandi quantità di RAM. Le dimensioni ridotte della richiesta consentono di sfruttare facilmente la vulnerabilità e di esaurire le risorse. I sistemi C++ e Python che utilizzano protobuf non attendibili sarebbero vulnerabili agli attacchi DoS se contengono un oggetto `MessageSet` nella loro richiesta RPC.	Medio	CVE-2022-1941

Una vulnerabilità di analisi e gestione della memoria dei messaggi nelle implementazioni C++ e Python di Protocolbuffer può attivare un errore di esaurimento della memoria durante l'elaborazione di un messaggio creato appositamente. Questo potrebbe portare a un Denial of Service (DoS) sui servizi che utilizzano le librerie.

Che cosa devo fare?

Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software:

protobuf-cpp (3.18.3, 3.19.5, 3.20.2, 3.21.6)
protobuf-python (3.18.3, 3.19.5, 3.20.2, 4.21.6)

Quali vulnerabilità vengono affrontate da questa patch?

La patch attenua la seguente vulnerabilità:

Un piccolo messaggio appositamente creato che fa sì che il servizio in esecuzione allochi grandi quantità di RAM. Le dimensioni ridotte della richiesta consentono di sfruttare facilmente la vulnerabilità e di esaurire le risorse. I sistemi C++ e Python che utilizzano protobuf non attendibili sarebbero vulnerabili agli attacchi DoS se contengono un oggetto MessageSet nella loro richiesta RPC.

Medio

CVE-2022-1941

GCP-2022-018

Pubblicato: 01/08/2022

Ultimo aggiornamento: 14/09/2022

Descrizione

Descrizione	Gravità	Note
Aggiornamento 14/09/2022: sono state aggiunte versioni patch per Cluster Anthos su VMware, Cluster Anthos on AWS e Anthos on Azure. Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-2327) che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di eseguire un'analisi completa dei container per eseguire il rooting sul nodo. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: Bollettino sulla sicurezza di GKE Bollettino sulla sicurezza Anthos clusters on VMware Cluster Anthos sul bollettino sulla sicurezza di AWS Bollettino sulla sicurezza Anthos on Azure Bollettino sulla sicurezza Anthos on bare metal	Alti	CVE-2022-2327

Gravità

Note

Aggiornamento 14/09/2022: sono state aggiunte versioni patch per Cluster Anthos su VMware, Cluster Anthos on AWS e Anthos on Azure.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-2327) che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di eseguire un'analisi completa dei container per eseguire il rooting sul nodo.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Alti

CVE-2022-2327

GCP-2022-017

Pubblicato il: 29/06/2022
Ultimo aggiornamento: 22/11/2022

Descrizione

Descrizione	Gravità	Note
Aggiornamento 22/11/2022: queste vulnerabilità non interessano i carichi di lavoro che utilizzano GKE Sandbox. Aggiornamento 21/07/2022: informazioni aggiuntive su Cluster Anthos su VMware. È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 e 5.11 del kernel Linux. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di eseguire un'analisi dettagliata dei container per eseguire il rooting sul nodo. Sono interessati solo i cluster che eseguono Container-Optimized OS. Le versioni di GKE Ubuntu utilizzano la versione 5.4 o 5.15 del kernel e non sono interessate. Per istruzioni e ulteriori dettagli, consulta: Bollettino sulla sicurezza di GKE Bollettino sulla sicurezza Anthos clusters on VMware Cluster Anthos sul bollettino sulla sicurezza di AWS Bollettino sulla sicurezza Anthos on Azure Bollettino sulla sicurezza Anthos on bare metal	Alti	CVE-2022-1786

Gravità

Note

Aggiornamento 22/11/2022: queste vulnerabilità non interessano i carichi di lavoro che utilizzano GKE Sandbox.

Aggiornamento 21/07/2022: informazioni aggiuntive su Cluster Anthos su VMware.

È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 e 5.11 del kernel Linux. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di eseguire un'analisi dettagliata dei container per eseguire il rooting sul nodo. Sono interessati solo i cluster che eseguono Container-Optimized OS. Le versioni di GKE Ubuntu utilizzano la versione 5.4 o 5.15 del kernel e non sono interessate.

Per istruzioni e ulteriori dettagli, consulta:

Alti

CVE-2022-1786

GCP-2022-016

Pubblicato il: 23/06/2022
Ultimo aggiornamento: 22/11/2022

Descrizione

Descrizione	Gravità	Note
Aggiornamento 22/11/2022: i cluster Autopilot non sono interessati da CVE-2022-29581, ma sono vulnerabili a CVE-2022-29582 e CVE-2022-1116. Nel kernel Linux sono state rilevate tre nuove vulnerabilità che danneggiano la memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di eseguire un'analisi dettagliata dei container per eseguire il rooting sul nodo. Sono interessati tutti i cluster Linux (Container-Optimized OS e Ubuntu). Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: Bollettino sulla sicurezza di GKE Bollettino sulla sicurezza Anthos clusters on VMware Cluster Anthos sul bollettino sulla sicurezza di AWS Bollettino sulla sicurezza Anthos on Azure Bollettino sulla sicurezza Anthos on bare metal	Alti	CVE-2022-29581 CVE-2022-29582 CVE-2022-1116

Gravità

Note

Aggiornamento 22/11/2022: i cluster Autopilot non sono interessati da CVE-2022-29581, ma sono vulnerabili a CVE-2022-29582 e CVE-2022-1116.

Nel kernel Linux sono state rilevate tre nuove vulnerabilità che danneggiano la memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di eseguire un'analisi dettagliata dei container per eseguire il rooting sul nodo. Sono interessati tutti i cluster Linux (Container-Optimized OS e Ubuntu).

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Alti

GCP-2022-015

Pubblicato il: 09/06/2022
Ultimo aggiornamento: 10/06/2022

Descrizione

Descrizione	Gravità	Note
Aggiornamento 10/06/2022: le versioni di Anthos Service Mesh sono state aggiornate. Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh. I seguenti CVE di Envoy e Istio espongono Anthos Service Mesh e Istio su GKE a vulnerabilità sfruttabili da remoto: CVE-2022-31045: il piano dati Istio potrebbe accedere alla memoria in modo non sicuro quando sono abilitate le estensioni Metadata Exchange e Stats. CVE-2022-29225: i dati possono superare i limiti intermedi del buffer se un utente malintenzionato malintenzionato supera un piccolo payload altamente compresso (attacco zip bomb). CVE-2021-29224: potenziale dereferenziamento del puntatore null in GrpcHealthCheckerImpl. CVE-2021-29226: il filtro OAuth consente l'esclusione banale. CVE-2022-29228: il filtro OAuth può danneggiare la memoria (versioni precedenti) o attivare una funzione ASSERT() (versioni successive). CVE-2022-29227: arresto anomalo dei reindirizzamenti interni per le richieste con corpo o trailer. Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.	Critico	CVE-2022-31045 CVE-2022-29225 CVE-2021-29224 CVE-2021-29226 CVE-2022-29228 CVE-2022-29227

Gravità

Note

Aggiornamento 10/06/2022: le versioni di Anthos Service Mesh sono state aggiornate. Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.

I seguenti CVE di Envoy e Istio espongono Anthos Service Mesh e Istio su GKE a vulnerabilità sfruttabili da remoto:

CVE-2022-31045: il piano dati Istio potrebbe accedere alla memoria in modo non sicuro quando sono abilitate le estensioni Metadata Exchange e Stats.
CVE-2022-29225: i dati possono superare i limiti intermedi del buffer se un utente malintenzionato malintenzionato supera un piccolo payload altamente compresso (attacco zip bomb).
CVE-2021-29224: potenziale dereferenziamento del puntatore null in GrpcHealthCheckerImpl.
CVE-2021-29226: il filtro OAuth consente l'esclusione banale.
CVE-2022-29228: il filtro OAuth può danneggiare la memoria (versioni precedenti) o attivare una funzione ASSERT() (versioni successive).
CVE-2022-29227: arresto anomalo dei reindirizzamenti interni per le richieste con corpo o trailer.

Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.

Critico

GCP-2022-014

Pubblicato il: 26/04/2022
Ultimo aggiornamento: 22/11/2022

Descrizione

Descrizione	Gravità	Note
Aggiornamento 22/11/2022: i cluster e i carichi di lavoro GKE Autopilot in esecuzione in GKE Sandbox non sono interessati. Aggiornamento 12/05/2022: le versioni di Cluster Anthos on AWS e Anthos on Azure sono state aggiornate. Per istruzioni e ulteriori dettagli, consulta: Cluster Anthos sul bollettino sulla sicurezza di AWS Bollettino sulla sicurezza Anthos on bare metal Nel kernel Linux sono state rilevate due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ciascuno di questi elementi può portare a un utente malintenzionato locale in grado di eseguire una container breakout, un'escalation dei privilegi sull'host o entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu). Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza: Bollettino sulla sicurezza di GKE Bollettino sulla sicurezza Anthos clusters on VMware Cluster Anthos sul bollettino sulla sicurezza di AWS Bollettino sulla sicurezza Anthos on Azure Bollettino sulla sicurezza Anthos on bare metal	Alti	CVE-2022-1055 CVE-2022-27666

Gravità

Note

Aggiornamento 22/11/2022: i cluster e i carichi di lavoro GKE Autopilot in esecuzione in GKE Sandbox non sono interessati.

Aggiornamento 12/05/2022: le versioni di Cluster Anthos on AWS e Anthos on Azure sono state aggiornate. Per istruzioni e ulteriori dettagli, consulta:

Nel kernel Linux sono state rilevate due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ciascuno di questi elementi può portare a un utente malintenzionato locale in grado di eseguire una container breakout, un'escalation dei privilegi sull'host o entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu). Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Alti

CVE-2022-1055
CVE-2022-27666

GCP-2022-013

Pubblicato il: 11/04/2022
Ultimo aggiornamento: 22/04/2022

Descrizione

Descrizione	Gravità	Note
È stata scoperta una vulnerabilità di sicurezza, CVE-2022-23648, nella gestione del path traversal da parte di containerd nella specifica del volume delle immagini OCI. I container lanciati tramite l'implementazione del CRI di containerd con una configurazione delle immagini appositamente creata potrebbero ottenere l'accesso in lettura completo a file e directory arbitrari sull'host. Questa vulnerabilità può bypassare qualsiasi applicazione basata su criteri nella configurazione del container (incluso un criterio di sicurezza dei pod di Kubernetes). Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza: Bollettino sulla sicurezza di GKE Bollettino sulla sicurezza Anthos clusters on VMware Cluster Anthos sul bollettino sulla sicurezza di AWS Bollettino sulla sicurezza Anthos on Azure Bollettino sulla sicurezza Anthos on bare metal	Medio	CVE-2022-23648

Gravità

Note

È stata scoperta una vulnerabilità di sicurezza, CVE-2022-23648, nella gestione del path traversal da parte di containerd nella specifica del volume delle immagini OCI. I container lanciati tramite l'implementazione del CRI di containerd con una configurazione delle immagini appositamente creata potrebbero ottenere l'accesso in lettura completo a file e directory arbitrari sull'host. Questa vulnerabilità può bypassare qualsiasi applicazione basata su criteri nella configurazione del container (incluso un criterio di sicurezza dei pod di Kubernetes).

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Medio

CVE-2022-23648

GCP-2022-012

Pubblicato il: 07/04/2022
Ultimo aggiornamento: 22/11/2022

Descrizione

Descrizione	Gravità	Note
Aggiornamento 22/11/2022: per i cluster GKE in entrambe le modalità, Standard e Autopilot, i carichi di lavoro che utilizzano GKE Sandbox non sono interessati. Nel kernel Linux 5.8 e versioni successive è stata scoperta una vulnerabilità di sicurezza, CVE-2022-0847, che può potenzialmente riassegnare i privilegi del container al root. Questa vulnerabilità interessa i seguenti prodotti: Pool di nodi GKE 1.22 e versioni successive che utilizzano immagini Container-Optimized OS (Container-Optimized OS 93 e versioni successive) Cluster Anthos su VMware v1.10 per immagini Container-Optimized OS Cluster Anthos su AWS v1.21 e Cluster Anthos su AWS (generazione precedente) v1.19, v1.20, v1.21, che utilizzano Ubuntu Cluster gestiti di Anthos on Azure v1.21 che utilizzano Ubuntu Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza: Bollettino sulla sicurezza di GKE Bollettino sulla sicurezza Anthos clusters on VMware Cluster Anthos sul bollettino sulla sicurezza di AWS Bollettino sulla sicurezza Anthos on Azure Bollettino sulla sicurezza Anthos on bare metal	Alti	CVE-2022-0847

Gravità

Note

Aggiornamento 22/11/2022: per i cluster GKE in entrambe le modalità, Standard e Autopilot, i carichi di lavoro che utilizzano GKE Sandbox non sono interessati.

Nel kernel Linux 5.8 e versioni successive è stata scoperta una vulnerabilità di sicurezza, CVE-2022-0847, che può potenzialmente riassegnare i privilegi del container al root. Questa vulnerabilità interessa i seguenti prodotti:

Pool di nodi GKE 1.22 e versioni successive che utilizzano immagini Container-Optimized OS (Container-Optimized OS 93 e versioni successive)
Cluster Anthos su VMware v1.10 per immagini Container-Optimized OS
Cluster Anthos su AWS v1.21 e Cluster Anthos su AWS (generazione precedente) v1.19, v1.20, v1.21, che utilizzano Ubuntu
Cluster gestiti di Anthos on Azure v1.21 che utilizzano Ubuntu

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Alti

CVE-2022-0847

GCP-2022-011

Pubblicato il: 22/03/2022
Ultimo aggiornamento: 11/08/2022

Descrizione

Descrizione	Gravità
Aggiornamento dell'11/08/2022: sono state aggiunte ulteriori informazioni sulla configurazione SMT (Simultaneous Multi-Threading). La funzionalità SMT doveva essere disabilitata, ma è stata abilitata nelle versioni elencate. Se hai abilitato manualmente la SMT per un pool di nodi con sandbox, la SMT rimarrà abilitata manualmente nonostante il problema. Si è verificato un errore di configurazione con Simultaneous Multi-Threading (SMT), noto anche come Hyper-threading, nelle immagini GKE Sandbox. A causa di questa configurazione errata, i nodi sono potenzialmente esposti ad attacchi a canale laterale come il Microarchitectural Data Sampling (MDS) (per saperne di più, consulta la documentazione di GKE Sandbox). Sconsigliamo di utilizzare le seguenti versioni interessate: 1.22.4-gke.1501 1.22.6-gke.300 1.23.2-gke.300 1.23.3-gke.600 Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE.	Medio

Gravità

Aggiornamento dell'11/08/2022: sono state aggiunte ulteriori informazioni sulla configurazione SMT (Simultaneous Multi-Threading). La funzionalità SMT doveva essere disabilitata, ma è stata abilitata nelle versioni elencate.

Se hai abilitato manualmente la SMT per un pool di nodi con sandbox, la SMT rimarrà abilitata manualmente nonostante il problema.

Si è verificato un errore di configurazione con Simultaneous Multi-Threading (SMT), noto anche come Hyper-threading, nelle immagini GKE Sandbox. A causa di questa configurazione errata, i nodi sono potenzialmente esposti ad attacchi a canale laterale come il Microarchitectural Data Sampling (MDS) (per saperne di più, consulta la documentazione di GKE Sandbox). Sconsigliamo di utilizzare le seguenti versioni interessate:

1.22.4-gke.1501
1.22.6-gke.300
1.23.2-gke.300
1.23.3-gke.600

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE.

Medio

GCP-2022-010

Descrizione

Descrizione	Gravità	Note
Il seguente CVE di Istio espone Anthos Service Mesh a una vulnerabilità sfruttabile da remoto: CVE-2022-24726: il piano di controllo Istio, "istiod", è vulnerabile a un errore di elaborazione delle richieste, consentendo a un utente malintenzionato malintenzionato che invia un messaggio appositamente creato che causa l'arresto anomalo del piano di controllo quando il webhook di convalida per un cluster viene esposto pubblicamente. Questo endpoint viene gestito sulla porta TLS 15017, ma non richiede alcuna autenticazione da parte dell'utente malintenzionato. Per istruzioni e ulteriori dettagli, consulta il seguente bollettino sulla sicurezza: Bollettino sulla sicurezza di Anthos Service Mesh.	Alti	CVE-2022-24726

Gravità

Note

Il seguente CVE di Istio espone Anthos Service Mesh a una vulnerabilità sfruttabile da remoto:

CVE-2022-24726: il piano di controllo Istio, "istiod", è vulnerabile a un errore di elaborazione delle richieste, consentendo a un utente malintenzionato malintenzionato che invia un messaggio appositamente creato che causa l'arresto anomalo del piano di controllo quando il webhook di convalida per un cluster viene esposto pubblicamente. Questo endpoint viene gestito sulla porta TLS 15017, ma non richiede alcuna autenticazione da parte dell'utente malintenzionato.

Per istruzioni e ulteriori dettagli, consulta il seguente bollettino sulla sicurezza:

Bollettino sulla sicurezza di Anthos Service Mesh.

Alti

CVE-2022-24726

GCP-2022-009

Pubblicato: 01/03/2022

Descrizione

Descrizione	Gravità
Potrebbero essere stati utilizzati alcuni percorsi imprevisti per accedere alla VM del nodo nei cluster GKE Autopilot per riassegnare i privilegi nel cluster. Questi problemi sono stati risolti e non sono richieste ulteriori azioni. Le correzioni risolvono i problemi segnalati tramite il nostro Programma a premi per vulnerabilità. Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE	Basso

Gravità

Potrebbero essere stati utilizzati alcuni percorsi imprevisti per accedere alla VM del nodo nei cluster GKE Autopilot per riassegnare i privilegi nel cluster. Questi problemi sono stati risolti e non sono richieste ulteriori azioni. Le correzioni risolvono i problemi segnalati tramite il nostro Programma a premi per vulnerabilità.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE

Basso

GCP-2022-008

Pubblicato il: 23/02/2022
Ultimo aggiornamento: 28/04/2022

Descrizione

Descrizione	Gravità	Note
Aggiornamento 28/04/2022: sono state aggiunte versioni di Cluster Anthos su VMware che risolvono queste vulnerabilità. Per maggiori dettagli, consulta il Bollettino sulla sicurezza di Anthos clusters on VMware. Il progetto Envoy ha recentemente scoperto un insieme di vulnerabilità. Tutti i problemi elencati di seguito sono stati risolti nella release 1.21.1 di Envoy. CVE-2022-23606: quando un cluster viene eliminato tramite Cluster Discovery Service (CDS), tutte le connessioni inattive stabilite agli endpoint in quel cluster vengono disconnesse. Nella versione 1.19 di Envoy è stata introdotta per errore una ricorsione alla procedura di disconnessione delle connessioni inattive che possono causare l'esaurimento dello stack e la terminazione di processi anomali quando un cluster ha un numero elevato di connessioni inattive. CVE-2022-21655: il codice di reindirizzamento interno di Envoy presuppone l'esistenza di una voce di route. Quando un reindirizzamento interno viene eseguito verso una route che ha una voce di risposta diretta e nessuna voce di route, comporta il deriferimento di un puntatore null e l'arresto anomalo. CVE-2021-43826: quando Envoy è configurato per utilizzare tcp_proxy, che utilizza il tunneling upstream (su HTTP) e la terminazione TLS downstream, Envoy si arresta in modo anomalo se il client downstream si disconnette durante l'handshake TLS, mentre il flusso HTTP upstream è ancora in fase di definizione. La disconnessione downstream può essere avviata da client o server. Il client può disconnettersi per qualsiasi motivo. Il server può disconnettersi se, ad esempio, non dispone di crittografie TLS o se versioni del protocollo TLS compatibili con il client. Potrebbe essere possibile attivare questo arresto anomalo anche in altre configurazioni downstream. CVE-2021-43825: l'invio di una risposta generata localmente deve interrompere l'ulteriore elaborazione dei dati delle richieste o delle risposte. Envoy tiene traccia della quantità di dati di richiesta e risposta nel buffer e interrompe la richiesta se la quantità di dati nel buffer supera il limite inviando 413 o 500 risposte. Tuttavia, quando la risposta generata localmente viene inviata a causa degli overflow del buffer interno mentre la risposta viene elaborata dalla catena dei filtri, l'operazione potrebbe non essere interrotta correttamente e comportare l'accesso a un blocco di memoria liberata. CVE-2021-43824: Envoy si arresta in modo anomalo quando utilizzi il filtro JWT con una regola di corrispondenza "safe_regex" e una richiesta creata appositamente come "CONNECT host:porta HTTP/1.1". Quando raggiunge il filtro JWT, una regola "safe_regex" dovrebbe valutare il percorso dell'URL, ma non ne esiste nessuno, e Envoy ha un arresto anomalo con segfault. CVE-2022-21654: Envoy consentirebbe erroneamente la ripresa delle sessioni TLS dopo la riconfigurazione delle impostazioni di convalida mTLS. Se un certificato client è stato consentito con la precedente configurazione, ma non consentito con la nuova configurazione, il client potrebbe riprendere la sessione TLS precedente anche se la configurazione attuale dovrebbe non consentirla. Sono interessate le modifiche alle seguenti impostazioni: corrispondenza_oggetto_nome_alt Modifiche ai CRL consenti_certificato_scaduto Verifica_catena di attendibilità solo_verifica_foglia_cert_crl CVE-2022-21657: Envoy non limita l'insieme di certificati che accetta dal peer, come client TLS o server TLS, solo ai certificati che contengono il valore expandKeyUsage necessario (rispettivamente id-kp-serverAuth e id-kp-clientAuth). Ciò significa che un peer può presentare un certificato email (ad es. id-kp-emailProtection), come certificato foglia o come CA nella catena, che verrà accettato per TLS. Questo problema è particolarmente negativo se combinato con CVE-2022-21656, poiché consente a una CA PKI web destinata esclusivamente all'utilizzo con S/MIME e quindi esente dall'audit o dalla supervisione, di emettere certificati TLS accettati da Envoy. CVE-2022-21656: l'implementazione dello strumento di convalida utilizzata per implementare le routine di convalida dei certificati predefinite presenta un bug di "confusione tra tipi" durante l'elaborazione di subjectAltName. Questa elaborazione consente, ad esempio, di autenticare un nome RFC822Name o uniformResourceIndicator come nome di dominio. Questa confusione consente di aggirare i nameConstraints, elaborati dall'implementazione sottostante di OpenSSL/BoringSSL, esponendo la possibilità di rappresentazione di server arbitrari. Per istruzioni dettagliate su prodotti specifici, consulta i seguenti bollettini sulla sicurezza: Bollettino sulla sicurezza di Anthos Service Mesh Bollettino sulla sicurezza Istio su GKE GKE Cluster Anthos su VMware Anthos su Bare Metal Che cosa devo fare? Gli utenti di Envoy che gestiscono i propri Envoy devono assicurarsi di utilizzare la release 1.21.1 di Envoy. Gli utenti di Envoy che gestiscono i propri Envoy creano i programmi binari da un'origine come GitHub e ne eseguono il deployment. Gli utenti che eseguono Envoy gestiti (Google Cloud fornisce i programmi binari di Envoy) non devono intraprendere alcuna azione, per i quali i prodotti Google Cloud passeranno alla versione 1.21.1.	Alti	CVE-2022-23606 CVE-2022-21655 CVE-2021-43826 CVE-2021-43825 CVE-2021-43824 CVE-2022-12-216

Gravità

Note

Aggiornamento 28/04/2022: sono state aggiunte versioni di Cluster Anthos su VMware che risolvono queste vulnerabilità. Per maggiori dettagli, consulta il Bollettino sulla sicurezza di Anthos clusters on VMware.

Il progetto Envoy ha recentemente scoperto un insieme di vulnerabilità. Tutti i problemi elencati di seguito sono stati risolti nella release 1.21.1 di Envoy.

CVE-2022-23606: quando un cluster viene eliminato tramite Cluster Discovery Service (CDS), tutte le connessioni inattive stabilite agli endpoint in quel cluster vengono disconnesse. Nella versione 1.19 di Envoy è stata introdotta per errore una ricorsione alla procedura di disconnessione delle connessioni inattive che possono causare l'esaurimento dello stack e la terminazione di processi anomali quando un cluster ha un numero elevato di connessioni inattive.
CVE-2022-21655: il codice di reindirizzamento interno di Envoy presuppone l'esistenza di una voce di route. Quando un reindirizzamento interno viene eseguito verso una route che ha una voce di risposta diretta e nessuna voce di route, comporta il deriferimento di un puntatore null e l'arresto anomalo.
CVE-2021-43826: quando Envoy è configurato per utilizzare tcp_proxy, che utilizza il tunneling upstream (su HTTP) e la terminazione TLS downstream, Envoy si arresta in modo anomalo se il client downstream si disconnette durante l'handshake TLS, mentre il flusso HTTP upstream è ancora in fase di definizione. La disconnessione downstream può essere avviata da client o server. Il client può disconnettersi per qualsiasi motivo. Il server può disconnettersi se, ad esempio, non dispone di crittografie TLS o se versioni del protocollo TLS compatibili con il client. Potrebbe essere possibile attivare questo arresto anomalo anche in altre configurazioni downstream.
CVE-2021-43825: l'invio di una risposta generata localmente deve interrompere l'ulteriore elaborazione dei dati delle richieste o delle risposte. Envoy tiene traccia della quantità di dati di richiesta e risposta nel buffer e interrompe la richiesta se la quantità di dati nel buffer supera il limite inviando 413 o 500 risposte. Tuttavia, quando la risposta generata localmente viene inviata a causa degli overflow del buffer interno mentre la risposta viene elaborata dalla catena dei filtri, l'operazione potrebbe non essere interrotta correttamente e comportare l'accesso a un blocco di memoria liberata.
CVE-2021-43824: Envoy si arresta in modo anomalo quando utilizzi il filtro JWT con una regola di corrispondenza "safe_regex" e una richiesta creata appositamente come "CONNECT host:porta HTTP/1.1". Quando raggiunge il filtro JWT, una regola "safe_regex" dovrebbe valutare il percorso dell'URL, ma non ne esiste nessuno, e Envoy ha un arresto anomalo con segfault.
CVE-2022-21654: Envoy consentirebbe erroneamente la ripresa delle sessioni TLS dopo la riconfigurazione delle impostazioni di convalida mTLS. Se un certificato client è stato consentito con la precedente configurazione, ma non consentito con la nuova configurazione, il client potrebbe riprendere la sessione TLS precedente anche se la configurazione attuale dovrebbe non consentirla. Sono interessate le modifiche alle seguenti impostazioni:
- corrispondenza_oggetto_nome_alt
- Modifiche ai CRL
- consenti_certificato_scaduto
- Verifica_catena di attendibilità
- solo_verifica_foglia_cert_crl
CVE-2022-21657: Envoy non limita l'insieme di certificati che accetta dal peer, come client TLS o server TLS, solo ai certificati che contengono il valore expandKeyUsage necessario (rispettivamente id-kp-serverAuth e id-kp-clientAuth). Ciò significa che un peer può presentare un certificato email (ad es. id-kp-emailProtection), come certificato foglia o come CA nella catena, che verrà accettato per TLS. Questo problema è particolarmente negativo se combinato con CVE-2022-21656, poiché consente a una CA PKI web destinata esclusivamente all'utilizzo con S/MIME e quindi esente dall'audit o dalla supervisione, di emettere certificati TLS accettati da Envoy.
CVE-2022-21656: l'implementazione dello strumento di convalida utilizzata per implementare le routine di convalida dei certificati predefinite presenta un bug di "confusione tra tipi" durante l'elaborazione di subjectAltName. Questa elaborazione consente, ad esempio, di autenticare un nome RFC822Name o uniformResourceIndicator come nome di dominio. Questa confusione consente di aggirare i nameConstraints, elaborati dall'implementazione sottostante di OpenSSL/BoringSSL, esponendo la possibilità di rappresentazione di server arbitrari.

Per istruzioni dettagliate su prodotti specifici, consulta i seguenti bollettini sulla sicurezza:

Bollettino sulla sicurezza di Anthos Service Mesh

Bollettino sulla sicurezza Istio su GKE

Che cosa devo fare?
Gli utenti di Envoy che gestiscono i propri Envoy devono assicurarsi di utilizzare la release 1.21.1 di Envoy. Gli utenti di Envoy che gestiscono i propri Envoy creano i programmi binari da un'origine come GitHub e ne eseguono il deployment.

Gli utenti che eseguono Envoy gestiti (Google Cloud fornisce i programmi binari di Envoy) non devono intraprendere alcuna azione, per i quali i prodotti Google Cloud passeranno alla versione 1.21.1.

Alti

CVE-2022-23606
CVE-2022-21655
CVE-2021-43826
CVE-2021-43825
CVE-2021-43824
CVE-2022-12-216

GCP-2022-007

Pubblicato: 22/02/2022

Descrizione

Descrizione Gravità Note

Descrizione	Gravità	Note
I seguenti CVE di Envoy e Istio espongono Anthos Service Mesh e Istio su GKE a vulnerabilità sfruttabili da remoto: CVE-2022-23635: Istiod si arresta in modo anomalo alla ricezione di richieste con un'intestazione `authorization` appositamente creata. CVE-2021-43824: potenziale deriferimento del puntatore nullo quando si utilizza una corrispondenza `safe_regex` del filtro JWT CVE-2021-43825: use-after-free quando i filtri di risposta aumentano i dati di risposta e superano i limiti del buffer downstream. CVE-2021-43826: use-after-free durante l'esecuzione del tunneling TCP su HTTP, se il downstream si disconnette durante la creazione della connessione a monte. CVE-2022-21654: una gestione errata della configurazione consente il riutilizzo della sessione mTLS senza riconvalida dopo la modifica delle impostazioni di convalida. CVE-2022-21655: gestione errata dei reindirizzamenti interni alle route con una voce di risposta diretta. CVE-2022-23606: esaurimento dello stack quando un cluster viene eliminato tramite Cluster Discovery Service. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza: Bollettino sulla sicurezza di Anthos Service Mesh. Bollettino sulla sicurezza di Istio su GKE.	Alti	CVE-2022-23635 CVE-2021-43824 CVE-2021-43825 CVE-2021-43826 CVE-2022-21654 CVE-2022-21655 CVE-2022-23606

I seguenti CVE di Envoy e Istio espongono Anthos Service Mesh e Istio su GKE a vulnerabilità sfruttabili da remoto:

CVE-2022-23635: Istiod si arresta in modo anomalo alla ricezione di richieste con un'intestazione authorization appositamente creata.
CVE-2021-43824: potenziale deriferimento del puntatore nullo quando si utilizza una corrispondenza safe_regex del filtro JWT
CVE-2021-43825: use-after-free quando i filtri di risposta aumentano i dati di risposta e superano i limiti del buffer downstream.
CVE-2021-43826: use-after-free durante l'esecuzione del tunneling TCP su HTTP, se il downstream si disconnette durante la creazione della connessione a monte.
CVE-2022-21654: una gestione errata della configurazione consente il riutilizzo della sessione mTLS senza riconvalida dopo la modifica delle impostazioni di convalida.
CVE-2022-21655: gestione errata dei reindirizzamenti interni alle route con una voce di risposta diretta.
CVE-2022-23606: esaurimento dello stack quando un cluster viene eliminato tramite Cluster Discovery Service.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Alti

GCP-2022-006

Pubblicato il: 14/02/2022
Ultimo aggiornamento: 16/05/2022

Descrizione

Descrizione Gravità Note

Descrizione	Gravità	Note
Aggiornamento 16/05/2022: è stata aggiunta la versione 1.19.16-gke.7800 o successiva di GKE all'elenco delle versioni con codice per correggere questa vulnerabilità. Per maggiori dettagli, consulta il Bollettino sulla sicurezza di GKE. Aggiornamento 12/05/2022: le versioni di GKE, Cluster Anthos su VMware, Cluster Anthos on AWS e Anthos on Azure sono state aggiornate. Per istruzioni e ulteriori dettagli, consulta: Bollettino sulla sicurezza di GKE Bollettino sulla sicurezza Anthos clusters on VMware Cluster Anthos sul bollettino sulla sicurezza di AWS Bollettino sulla sicurezza Anthos on Azure È stata rilevata una vulnerabilità di sicurezza, CVE-2022-0492, nella funzione `cgroup_release_agent_write` del kernel Linux. L'attacco utilizza spazi dei nomi utente senza privilegi e, in determinate circostanze, questa vulnerabilità può essere sfruttata per l'container breakout.	Basso	Per istruzioni e ulteriori dettagli, consulta: Bollettino sulla sicurezza di GKE Bollettino sulla sicurezza Anthos clusters on VMware Cluster Anthos sul bollettino sulla sicurezza di AWS Bollettino sulla sicurezza Anthos on Azure

Aggiornamento 16/05/2022: è stata aggiunta la versione 1.19.16-gke.7800 o successiva di GKE all'elenco delle versioni con codice per correggere questa vulnerabilità. Per maggiori dettagli, consulta il Bollettino sulla sicurezza di GKE.

Aggiornamento 12/05/2022: le versioni di GKE, Cluster Anthos su VMware, Cluster Anthos on AWS e Anthos on Azure sono state aggiornate. Per istruzioni e ulteriori dettagli, consulta:

È stata rilevata una vulnerabilità di sicurezza, CVE-2022-0492, nella funzione cgroup_release_agent_write del kernel Linux. L'attacco utilizza spazi dei nomi utente senza privilegi e, in determinate circostanze, questa vulnerabilità può essere sfruttata per l'container breakout.

Basso

Per istruzioni e ulteriori dettagli, consulta:

GCP-2022-005

Pubblicato il: 11/02/2022
Ultimo aggiornamento: 15/02/2022

Descrizione

Descrizione	Gravità	Note
È stata rilevata una vulnerabilità di sicurezza, CVE-2021-43527, in qualsiasi programma binario collegato alle versioni vulnerabili di libnss3 presenti nelle versioni NSS (Network Security Services) precedenti alla 3.73 o 3.68.1. Le applicazioni che utilizzano NSS per la convalida dei certificati o altre funzionalità TLS, X.509, OCSP o CRL potrebbero essere interessate, a seconda di come viene utilizzato/configurato l'NSS. Per istruzioni e ulteriori dettagli, consulta: Bollettino sulla sicurezza di GKE Bollettino sulla sicurezza Anthos clusters on VMware Bollettino sulla sicurezza Anthos on Azure	Medio	CVE-2021-43527

Gravità

Note

È stata rilevata una vulnerabilità di sicurezza, CVE-2021-43527, in qualsiasi programma binario collegato alle versioni vulnerabili di libnss3 presenti nelle versioni NSS (Network Security Services) precedenti alla 3.73 o 3.68.1. Le applicazioni che utilizzano NSS per la convalida dei certificati o altre funzionalità TLS, X.509, OCSP o CRL potrebbero essere interessate, a seconda di come viene utilizzato/configurato l'NSS.

Per istruzioni e ulteriori dettagli, consulta:

Medio

CVE-2021-43527

GCP-2022-004

Pubblicato: 04/02/2022

Descrizione

Descrizione	Gravità	Note
È stata scoperta una vulnerabilità di sicurezza, CVE-2021-4034, in pkexec, che fa parte del pacchetto Linux Policy Kit (polkit), che consente a un utente autenticato di eseguire un attacco con escalation dei privilegi. PolicyKit viene generalmente utilizzato solo sui sistemi desktop Linux per consentire agli utenti non root di eseguire azioni come il riavvio del sistema, l'installazione di pacchetti, il riavvio dei servizi e così via, come regolato da un criterio. Per istruzioni e ulteriori dettagli, consulta: Bollettino sulla sicurezza di GKE Bollettino sulla sicurezza Anthos clusters on VMware Bollettino sulla sicurezza Anthos on Azure	Nessuno	CVE-2021-4034

Gravità

Note

È stata scoperta una vulnerabilità di sicurezza, CVE-2021-4034, in pkexec, che fa parte del pacchetto Linux Policy Kit (polkit), che consente a un utente autenticato di eseguire un attacco con escalation dei privilegi. PolicyKit viene generalmente utilizzato solo sui sistemi desktop Linux per consentire agli utenti non root di eseguire azioni come il riavvio del sistema, l'installazione di pacchetti, il riavvio dei servizi e così via, come regolato da un criterio.

Per istruzioni e ulteriori dettagli, consulta:

Nessuno

CVE-2021-4034

GCP-2022-002

Pubblicato il: 01/02/2022
Ultimo aggiornamento: 25/02/2022

Descrizione

Descrizione	Gravità	Note
Aggiornamento 25/02/2022: le versioni di GKE sono state aggiornate. Per istruzioni e ulteriori dettagli, consulta: Bollettino sulla sicurezza di GKE Aggiornamento 23/02/2022: le versioni di GKE e Cluster Anthos su VMware sono state aggiornate. Per istruzioni e ulteriori dettagli, consulta: Bollettino sulla sicurezza di GKE Bollettino sulla sicurezza Anthos clusters on VMware Aggiornamento del 4/02/2022: la data di inizio del lancio per le versioni delle patch di GKE era il 2 febbraio. Nota: queste versioni potrebbero non essere immediatamente disponibili nei tuoi cluster. Le implementazioni sono iniziate il 2 febbraio e il completamento richiede almeno quattro giorni lavorativi in tutte le zone di Google Cloud. Nel kernel Linux sono state rilevate tre vulnerabilità di sicurezza, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185, ciascuna delle quali può portare a un'container breakout, un'escalation dei privilegi sull'host o entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi (COS e Ubuntu) su GKE, Cluster Anthos su VMware, Cluster Anthos on AWS (generazione attuale e precedente) e Anthos on Azure. I pod che utilizzano GKE Sandbox non sono vulnerabili a queste vulnerabilità. Per ulteriori dettagli, consulta le note di rilascio di COS. Per istruzioni e ulteriori dettagli, consulta: Bollettino sulla sicurezza di GKE Bollettino sulla sicurezza Anthos clusters on VMware	Alti	CVE-2021-4154 CVE-2021-22600 CVE-2022-0185

Gravità

Note

Aggiornamento 25/02/2022: le versioni di GKE sono state aggiornate. Per istruzioni e ulteriori dettagli, consulta:

Bollettino sulla sicurezza di GKE

Aggiornamento 23/02/2022: le versioni di GKE e Cluster Anthos su VMware sono state aggiornate. Per istruzioni e ulteriori dettagli, consulta:

Aggiornamento del 4/02/2022: la data di inizio del lancio per le versioni delle patch di GKE era il 2 febbraio.

Nel kernel Linux sono state rilevate tre vulnerabilità di sicurezza, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185, ciascuna delle quali può portare a un'container breakout, un'escalation dei privilegi sull'host o entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi (COS e Ubuntu) su GKE, Cluster Anthos su VMware, Cluster Anthos on AWS (generazione attuale e precedente) e Anthos on Azure. I pod che utilizzano GKE Sandbox non sono vulnerabili a queste vulnerabilità. Per ulteriori dettagli, consulta le note di rilascio di COS.

Per istruzioni e ulteriori dettagli, consulta:

Alti

GCP-2022-001

Pubblicato: 06/01/2022

Descrizione

Descrizione Gravità Note

Descrizione	Gravità	Note
È stato rilevato un potenziale problema Denial of Service in `protobuf-java` nella procedura di analisi dei dati binari. Che cosa devo fare? Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software: `protobuf-java` (3.16.1; 3.18.2; 3.19.2) `protobuf-kotlin` (3.18.2; 3.19.2) `google-protobuf` [Gemma JRuby] (3.19.2) Gli utenti di Protobuf "javalite" (in genere Android) non sono interessati. Quali vulnerabilità vengono affrontate da questa patch? La patch attenua la seguente vulnerabilità: Una debolezza dell'implementazione nel modo in cui i campi sconosciuti vengono analizzati in Java. Un payload dannoso di piccole dimensioni (circa 800 kB) può occupare l'analizzatore sintattico per diversi minuti, creando un numero elevato di oggetti di breve durata che causano pause frequenti e ripetute della garbage collection.	Alti	CVE-2021-22569

È stato rilevato un potenziale problema Denial of Service in protobuf-java nella procedura di analisi dei dati binari.

Che cosa devo fare?

Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software:

protobuf-java (3.16.1; 3.18.2; 3.19.2)
protobuf-kotlin (3.18.2; 3.19.2)
google-protobuf [Gemma JRuby] (3.19.2)

Gli utenti di Protobuf "javalite" (in genere Android) non sono interessati.

Quali vulnerabilità vengono affrontate da questa patch?

La patch attenua la seguente vulnerabilità:

Una debolezza dell'implementazione nel modo in cui i campi sconosciuti vengono analizzati in Java. Un payload dannoso di piccole dimensioni (circa 800 kB) può occupare l'analizzatore sintattico per diversi minuti, creando un numero elevato di oggetti di breve durata che causano pause frequenti e ripetute della garbage collection.

Alti

CVE-2021-22569

GCP-2021-024

Pubblicato: 21/10/2021

Descrizione

Gravità

Note

È stato rilevato un problema di sicurezza nel controller ingress-nginx Kubernetes, CVE-2021-25742. Gli snippet personalizzati Ingress-nginx consentono di recuperare i token e i secret degli account di servizio ingress-nginx in tutti gli spazi dei nomi.

Per istruzioni e ulteriori dettagli, consulta:

Nessuno

CVE-2021-25742

GCP-2021-019

Pubblicato: 29/09/2021

Descrizione

Descrizione Gravità Note

A causa di un problema noto, l'aggiornamento di una risorsa BackendConfig mediante l'API v1beta1 rimuove un criterio di sicurezza di Google Cloud Armor attivo dal suo servizio.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE.

Basso

GCP-2021-022

Pubblicato: 22/09/2021

Descrizione

Gravità

Note

È stata rilevata una vulnerabilità nel modulo LDAP di Anthos Identity Service (AIS) di Cluster Anthos su VMware versioni 1.8 e 1.8.1 in cui una chiave seed utilizzata nella generazione delle chiavi è prevedibile. Con questa vulnerabilità, un utente autenticato potrebbe aggiungere rivendicazioni arbitrarie e riassegnare i privilegi a tempo indeterminato.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Anthos clusters on VMware.

Alti

GCP-2021-021

Pubblicato: 22/09/2021

Descrizione

Gravità

Note

In Kubernetes è stata scoperta una vulnerabilità di sicurezza, CVE-2020-8561, in cui è possibile creare determinati webhook per reindirizzare le richieste kube-apiserver alle reti private del server API.

Per istruzioni e ulteriori dettagli, consulta:

Medio

CVE-2020-8561

GCP-2021-023

Pubblicato: 21/09/2021

Descrizione

Gravità

Note

In base all'avviso per la sicurezza di VMware VMSA-2021-0020, VMware ha ricevuto report relativi a diverse vulnerabilità in vCenter. VMware ha reso disponibili aggiornamenti per risolvere queste vulnerabilità nei prodotti VMware interessati.

Abbiamo già applicato le patch fornite da VMware per lo stack vSphere a Google Cloud VMware Engine in base all'avviso sulla sicurezza di VMware. Questo aggiornamento risolve le vulnerabilità di sicurezza descritte in CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 e CVE-2021-22010. Altri problemi di sicurezza non critici verranno risolti nel prossimo upgrade dello stack VMware (come da preavviso inviato a luglio, ulteriori dettagli verranno forniti a breve sulle tempistiche specifiche dell'upgrade).

Impatto di VMware Engine

Dalle nostre indagini è emerso che non sono stati rilevati clienti interessati.

Che cosa devo fare?

Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni.

Critico

GCP-2021-020

Pubblicato: 17/09/2021

Descrizione

Descrizione Gravità Note

Alcuni bilanciatori del carico Google Cloud che eseguono il routing a un servizio di backend abilitato per Identity-Aware Proxy (IAP) potrebbero essere stati vulnerabili a una parte non attendibile in condizioni limitate. Consente di risolvere un problema segnalato tramite il nostro Programma di ricompense per le vulnerabilità.

Le condizioni erano le quali i server:

Erano bilanciatori del carico HTTP(S) e
È stato utilizzato un backend predefinito o un backend con una regola di mappatura dell'host con caratteri jolly (ovvero host="*")

Inoltre, un utente della tua organizzazione deve aver fatto clic su un link creato appositamente inviato da una parte non attendibile.

Il problema è stato risolto. A partire dal 17 settembre 2021, IAP è stato aggiornato per fornire cookie soltanto agli host autorizzati. Un host è considerato autorizzato se corrisponde ad almeno un SAN (Subject Alternative Name) in uno dei certificati installati sui bilanciatori del carico.

Cosa fare

Alcuni dei tuoi utenti potrebbero ricevere una risposta HTTP 401 Non autorizzato con un codice di errore IAP 52 durante il tentativo di accesso ad app o servizi. Questo codice di errore indica che il client ha inviato un'intestazione Host che non corrisponde a nessun nome alternativo del soggetto associato ai certificati SSL del bilanciatore del carico. L'amministratore del bilanciatore del carico deve aggiornare il certificato SSL per assicurarsi che l'elenco SAN (Subject Alternative Name) contenga tutti i nomi host tramite i quali gli utenti accedono alle app o ai servizi protetti da IAP. Scopri di più sui codici di errore IAP.

Alti

GCP-2021-018

Pubblicato il: 15/09/2021
Ultimo aggiornamento: 20/09/2021

Descrizione

Gravità

Note

In Kubernetes, CVE-2021-25741 è stato rilevato un problema di sicurezza che consente a un utente di creare un container con montaggi di volume del percorso secondario per accedere a file e directory all'esterno del volume, anche nel file system dell'host.

Per istruzioni e ulteriori dettagli, consulta:

Alti

CVE-2021-25741

GCP-2021-017

Pubblicato il: 01/09/2021
Ultimo aggiornamento: 23/09/2021

Descrizione

Gravità

Note

Aggiornamento del 23/09/2021: i container in esecuzione all'interno di GKE Sandbox non sono interessati da questa vulnerabilità per gli attacchi provenienti dall'interno del container.

Nel kernel Linux sono state rilevate due vulnerabilità di sicurezza, CVE-2021-33909 e CVE-2021-33910, che possono causare un arresto anomalo del sistema operativo o un'escalation al rooting da parte di un utente senza privilegi. Questa vulnerabilità interessa tutti i sistemi operativi dei nodi GKE (COS e Ubuntu).

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Alti

CVE-2021-33909, CVE-2021-33910

GCP-2021-016

Pubblicato: 24/08/2021

Descrizione

Descrizione Gravità Note

I seguenti CVE di Envoy e Istio espongono Anthos Service Mesh e Istio su GKE a vulnerabilità sfruttabili da remoto:

CVE-2021-39156: le richieste HTTP con un frammento (una sezione alla fine di un URI che inizia con un carattere #) nel percorso dell'URI potrebbero bypassare i criteri di autorizzazione basati sul percorso dell'URI di Istio.
CVE-2021-39155: le richieste HTTP potrebbero potenzialmente bypassare un criterio di autorizzazione di Istio quando si utilizzano regole basate su hosts o notHosts.
CVE-2021-32781: interessa le estensioni decompressor, json-transcoder o grpc-web di Envoy o le estensioni proprietarie che modificano e aumentano le dimensioni degli corpi di richieste o risposte. La modifica e l'aumento delle dimensioni del corpo dell'estensione di Envoy oltre le dimensioni del buffer interno potrebbero portare Envoy ad accedere alla memoria trasferita e a interrompersi in modo anomalo.
CVE-2021-32780: un servizio upstream non attendibile potrebbe causare l'arresto anomalo di Envoy inviando il frame GOAWAY seguito dal frame SETTINGS con il parametro SETTINGS_MAX_CONCURRENT_STREAMS impostato su 0. (Non applicabile a Istio su GKE)
CVE-2021-32778: un client Envoy che apre e reimposta un numero elevato di richieste HTTP/2 potrebbe causare un consumo eccessivo di CPU. (Non applicabile a Istio su GKE)
CVE-2021-32777: le richieste HTTP con più intestazioni di valori potrebbero eseguire un controllo incompleto dei criteri di autorizzazione quando viene usata l'estensione ext_authz.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Alti

GCP-2021-015

Pubblicato il: 13/07/2021
Ultimo aggiornamento: 15/07/2021

Descrizione

Descrizione Gravità Note

È stata scoperta una nuova vulnerabilità di sicurezza, CVE-2021-22555, in cui un utente malintenzionato con privilegi CAP_NET_ADMIN può causare il rooting di un'container breakout sull'host. Questa vulnerabilità interessa tutti i cluster GKE e Cluster Anthos su VMware che eseguono Linux 2.6.19 o versioni successive.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Alti

CVE-2021-22555

GCP-2021-014

Pubblicato il: 05/07/2021

Descrizione

Gravità

Note

Microsoft ha pubblicato un bollettino sulla sicurezza relativo a una vulnerabilità RCE (Remote Code Execution), CVE-2021-34527, che interessa lo spooler di stampa nei server Windows. Il CERT Coordination Center (CERT/CC) ha pubblicato una nota di aggiornamento su una vulnerabilità correlata, soprannominata "PrintNightmare" che interessa anche gli spooler di stampa Windows - PrintNightmare, Critical Windows Print Spooler Vulnerability

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE.

Alti

CVE-2021-34527

GCP-2021-012

Pubblicato il: 24/06/2021
Ultimo aggiornamento: 09/07/2021

Descrizione

Gravità

Note

Il progetto Istio ha annunciato di recente una vulnerabilità di sicurezza in cui è possibile accedere alle credenziali specificate nel campo Gateway e destinationRules da spazi dei nomi diversi.

Per istruzioni specifiche per i prodotti e ulteriori dettagli, consulta:

Bollettino sulla sicurezza di Anthos Service Mesh.
Bollettino sulla sicurezza Anthos GCP-2021-012 per informazioni specifiche su Google Kubernetes Engine, Anthos on bare metal e Cluster Anthos su VMware.

Alti

CVE-2021-34824

GCP-2021-011

Pubblicato il: 04/06/2021
Ultimo aggiornamento: 19/10/2021

Descrizione

Descrizione Gravità Note

Aggiornamento del 19/10/2021:

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

La community di sicurezza ha recentemente divulgato una nuova vulnerabilità di sicurezza (CVE-2021-30465) riscontrata in runc che potrebbe consentire l'accesso completo a un file system di nodi.

Per GKE, poiché lo sfruttamento di questa vulnerabilità richiede la possibilità di creare pod, la gravità di questa vulnerabilità è stata classificata su MEDIA.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE.

Medio

CVE-2021-30465

GCP-2021-010

Pubblicato il: 25/05/2021

Descrizione

Gravità

Note

Secondo l'avviso sulla sicurezza di VMware VMSA-2021-0010, le vulnerabilità di esecuzione del codice remoto e di bypass dell'autenticazione nel client vSphere (HTML5) sono state segnalate privatamente a VMware. VMware ha reso disponibili aggiornamenti per risolvere queste vulnerabilità nei prodotti VMware interessati.

Abbiamo applicato le patch fornite da VMware per lo stack vSphere, in base all'avvertenza per la sicurezza VMware. Questo aggiornamento risolve le vulnerabilità di sicurezza descritte in CVE-2021-21985 e CVE-2021-21986. Le versioni delle immagini in esecuzione nel cloud privato di VMware Engine non riflettono al momento alcuna modifica per indicare le patch applicate. Ti garantiamo che sono state installate le patch appropriate e che il tuo ambiente è protetto da queste vulnerabilità.

Impatto di VMware Engine

Dalle nostre indagini è emerso che non sono stati riscontrati clienti interessati.

Che cosa devo fare?

Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni.

Critico

GCP-2021-008

Pubblicato: 17/05/2021

Descrizione

Descrizione Gravità Note

Istio contiene una vulnerabilità sfruttabile da remoto che consente a un client esterno di accedere a servizi imprevisti nel cluster, ignorando i controlli di autorizzazione, quando un gateway è configurato con la configurazione di routing AUTO_PASSTHROUGH.

Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.

Alti

CVE-2021-31921

GCP-2021-007

Pubblicato: 17/05/2021

Descrizione

Descrizione Gravità Note

Istio contiene una vulnerabilità sfruttabile in remoto per cui un percorso di richiesta HTTP con più barre o barre di escape (%2F o %5C) potrebbe bypassare un criterio di autorizzazione Istio quando vengono utilizzate regole di autorizzazione basate sul percorso.

Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.

Alti

CVE-2021-31920

GCP-2021-006

Pubblicato: 11/05/2021

Descrizione

Gravità

Note

Il progetto Istio di recente ha rivelato una nuova vulnerabilità di sicurezza (CVE-2021-31920) che interessa Istio.

Istio contiene una vulnerabilità sfruttabile da remoto per cui una richiesta HTTP con più barre o barre di escape può bypassare il criterio di autorizzazione di Istio quando vengono utilizzate le regole di autorizzazione basate sul percorso.

Per istruzioni e ulteriori dettagli, consulta:

Bollettino sulla sicurezza di GKE

Alti

CVE-2021-31920

GCP-2021-005

Pubblicato: 11/05/2021

Descrizione

Descrizione Gravità Note

Una vulnerabilità segnalata ha mostrato che Envoy non decodifica le sequenze di barre con caratteri di escape %2F e %5C nei percorsi degli URL HTTP nelle versioni 1.18.2 e precedenti di Envoy. Inoltre, alcuni prodotti basati su Envoy non consentono i controlli di normalizzazione dei percorsi. Un utente malintenzionato remoto potrebbe creare un percorso con barre di escape (ad esempio /something%2F..%2Fadmin,) per bypassare controllo dell'accesso dell'accesso (ad esempio, un blocco su /admin). Un server di backend potrebbe quindi decodificare le sequenze di barre e normalizzare il percorso per fornire a un utente malintenzionato l'accesso oltre l'ambito previsto dal criterio di controllo dell'accesso dell'accesso.

Che cosa devo fare?

Se i server di backend trattano i criteri / e %2F o \ e %5C in modo intercambiabile e viene configurata una corrispondenza basata sul percorso dell'URL, ti consigliamo di riconfigurare il server di backend in modo da non trattare \ e %2F o \ e %5C in modo intercambiabile, se possibile.

Quali cambiamenti di comportamento sono stati introdotti?

Le opzioni normalize_path e unisci barre adiacenti di Envoy sono state abilitate per risolvere altre vulnerabilità comuni relative alla confusione dei percorsi nei prodotti basati su Envoy.

Alti

CVE-2021-29492

GCP-2021-004

Pubblicato: 06/05/2021

Descrizione

Gravità

Note

I progetti Envoy e Istio hanno recentemente annunciato diverse nuove vulnerabilità di sicurezza (CVE-2021-28683, CVE-2021-28682 e CVE-2021-29258), che potrebbero consentire a un utente malintenzionato di causare l'arresto anomalo di Envoy.

I cluster Google Kubernetes Engine non eseguono Istio per impostazione predefinita e non sono vulnerabili. Se Istio è stato installato in un cluster e configurato in modo da esporre i servizi su internet, questi servizi potrebbero essere vulnerabili al denial of service.

Anthos on bare metal e Cluster Anthos su VMware utilizzano Envoy per impostazione predefinita per Ingress, i servizi Ingress potrebbero essere vulnerabili al denial of service.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Medio

GCP-2021-003

Pubblicato: 19/04/2021

Descrizione

Descrizione Gravità Note

Il progetto Kubernetes ha annunciato di recente una nuova vulnerabilità di sicurezza, CVE-2021-25735, che potrebbe consentire agli aggiornamenti dei nodi di bypassare un webhook di convalida di ammissione.

In uno scenario in cui un utente malintenzionato dispone di privilegi sufficienti e in cui è implementato un webhook di convalida dell'ammissione che utilizza le proprietà degli oggetti Node precedenti (ad esempio i campi in Node.NodeSpec), l'utente malintenzionato potrebbe aggiornare le proprietà di un nodo, che potrebbero causare la compromissione del cluster. Nessuno dei criteri applicati dai controller di ammissione integrati di GKE e Kubernetes è interessato, ma consigliamo ai clienti di verificare eventuali webhook di ammissione aggiuntivi che hanno installato.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Medio

CVE-2021-25735

GCP-2021-002

Pubblicato: 05/03/2021

Descrizione

Gravità

Note

In base all'avviso per la sicurezza VMware VMSA-2021-0002, VMware ha ricevuto report relativi a molteplici vulnerabilità in VMware ESXi e vSphere Client (HTML5). VMware ha reso disponibili aggiornamenti per risolvere queste vulnerabilità nei prodotti VMware interessati.

Abbiamo applicato le soluzioni alternative documentate ufficialmente per lo stack vSphere in base all'avviso sulla sicurezza VMware. Questo aggiornamento risolve le vulnerabilità di sicurezza descritte in CVE-2021-21972, CVE-2021-21973 e CVE-2021-21974.

Impatto di VMware Engine

Dalle nostre indagini è emerso che non sono stati riscontrati clienti interessati.

Che cosa devo fare?

Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni.

Critico

GCP-2021-001

Pubblicato: 28/01/2021

Descrizione

Descrizione Gravità Note

Di recente è stata scoperta una vulnerabilità nell'utilità Linux sudo, descritta in CVE-2021-3156, che potrebbe consentire a un utente malintenzionato con accesso senza privilegi alla shell locale su un sistema su cui è installato sudo di riassegnare i propri privilegi a root sul sistema.

L'infrastruttura sottostante che esegue Compute Engine non è interessata da questa vulnerabilità.

Tutti i cluster Google Kubernetes Engine (GKE), Cluster Anthos su VMware, Cluster Anthos on AWS e Anthos on bare metal non sono interessati da questa vulnerabilità.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Nessuno

CVE-2021-3156

GCP-2020-015

Pubblicato il: 07/12/2020
Ultimo aggiornamento: 22/12/2020

Descrizione

Descrizione Gravità Note

Aggiornamento: 22/12/2021 Il comando per GKE nella sezione seguente deve utilizzare gcloud beta anziché il comando gcloud.


gcloud container clusters update –no-enable-service-externalips

Ultimo aggiornamento: 15/12/2021 Per GKE, è ora disponibile la seguente mitigazione:

A partire dalla versione 1.21 di GKE, i servizi con ExternalIP sono bloccati da un controller di ammissione DenyServiceExternalIPs abilitato per impostazione predefinita per i nuovi cluster.
I clienti che eseguono l'upgrade a GKE versione 1.21 possono bloccare i servizi con ExternalIP utilizzando il seguente comando:
```
gcloud container clusters update –no-enable-service-externalips
```

Per maggiori informazioni, consulta la pagina Protezione della sicurezza del cluster.

Il progetto Kubernetes ha recentemente scoperto una nuova vulnerabilità di sicurezza, CVE-2020-8554, che potrebbe consentire a un utente malintenzionato che ha ottenuto le autorizzazioni per creare un servizio Kubernetes di tipo LoadBalancer o ClusterIP di intercettare il traffico di rete proveniente da altri pod nel cluster. Questa vulnerabilità di per sé non concede a un utente malintenzionato le autorizzazioni per creare un servizio Kubernetes.

Tutti i cluster Google Kubernetes Engine (GKE), Cluster Anthos su VMware e Cluster Anthos on AWS sono interessati da questa vulnerabilità.

Che cosa devo fare?

Per istruzioni e ulteriori dettagli, consulta:

Medio

CVE-2020-8554

GCP-2020-014

Pubblicato il: 20/10/2020
Ultimo aggiornamento: 20/10/2020

Descrizione

Gravità

Note

Il progetto Kubernetes ha recentemente scoperto diversi problemi che consentono l'esposizione dei dati segreti quando sono abilitate opzioni di logging dettagliate. I problemi sono:

CVE-2020-8563: perdite di secret nei log per kube-controller-manager del provider vSphere
CVE-2020-8564: i secret di configurazione Docker sono trapelati quando il file non è valido e loglevel >= 4
CVE-2020-8565: la correzione incompleta per CVE-2019-11250 in Kubernetes consente la perdita di token nei log quando logLevel >= 9. Scoperto da GKE Security.
CVE-2020-8566: adminSecret Ceph RBD esposti nei log quando loglevel >= 4

Che cosa devo fare?

A causa dei livelli di logging delle Preferenze di lettura predefiniti di GKE, non sono necessarie ulteriori azioni.

Nessuno

Impatto su Google Cloud

I dettagli per prodotto sono elencati di seguito.

Prodotto	Impatto
Google Kubernetes Engine (GKE)	Google Kubernetes Engine (GKE) non è interessato.
GKE On-Prem	GKE On-Prem non è interessato.
GKE su AWS	GKE su AWS non è interessato.

GCP-2020-013

Pubblicato: 29/09/2020

Descrizione

Microsoft ha divulgato la seguente vulnerabilità:

Vulnerabilità	Gravità	CVE
CVE-2020-1472: una vulnerabilità di Windows Server consente a utenti malintenzionati di utilizzare Netlogon Remote Protocol per eseguire un'applicazione creata appositamente su un dispositivo sulla rete.	Punteggio base NVD: 10 (critico)	CVE-2020-1472

Per ulteriori informazioni, consulta l'informativa di Microsoft.

Impatto su Google Cloud

L'infrastruttura che ospita Google Cloud e i prodotti Google non è interessata da questa vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.

Prodotto	Impatto
Compute Engine	CVE-2020-1472 Per la maggior parte dei clienti non sono richieste ulteriori azioni. I clienti che utilizzano macchine virtuali Compute Engine che eseguono Windows Server devono assicurarsi che le proprie istanze siano state aggiornate con la patch di Windows più recente o utilizzare immagini di Windows Server pubblicate dopo il 17/08/2020 (v20200813 o versioni successive).
Google Kubernetes Engine	CVE-2020-1472 Per la maggior parte dei clienti non sono richieste ulteriori azioni. Tutti i clienti che ospitano controller di dominio nei nodi Windows Server di GKE devono garantire che sia i nodi sia i carichi di lavoro containerizzati eseguiti su questi nodi abbiano l'immagine dei nodi Windows più recente, quando disponibile. Una nuova versione dell'immagine dei nodi verrà annunciata nelle note di rilascio di GKE a ottobre.
Managed Service for Microsoft Active Directory	CVE-2020-1472 Per la maggior parte dei clienti non sono richieste ulteriori azioni. La patch di agosto rilasciata da Microsoft che include correzioni al protocollo NetLogon è stata applicata a tutti i controller di dominio Microsoft AD gestiti. Questa patch offre funzionalità per proteggere da potenziali sfruttamento. L'applicazione tempestiva delle patch è uno dei vantaggi principali dell'utilizzo di Managed Service for Microsoft Active Directory. Tutti i clienti che eseguono Microsoft Active Directory manualmente (e che non utilizzano il servizio gestito di Google Cloud) devono assicurarsi che le proprie istanze abbiano la patch Windows più recente o utilizzare immagini di Windows Server.
Google Workspace	Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio.
Ambiente standard di App Engine	Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio.
Ambiente flessibile di App Engine	Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio.
Cloud Run	Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio.
Cloud Functions	Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio.
Cloud Composer	Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio.
Dataflow	Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio.
Dataproc	Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio.
Cloud SQL	Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio.

GCP-2020-012

Pubblicato il: 14/09/2020
Ultimo aggiornamento: 17/09/2020

Descrizione

Gravità

Note

Di recente è stata scoperta una vulnerabilità nel kernel Linux, descritta in CVE-2020-14386, che potrebbe consentire l'container escape per ottenere privilegi root sul nodo host.

Sono interessati tutti i nodi GKE. I pod in esecuzione in GKE Sandbox non sono in grado di sfruttare questa vulnerabilità.

Per istruzioni e ulteriori dettagli, consulta:

Quale vulnerabilità viene affrontata da questa patch?

La patch attenua la seguente vulnerabilità:

La vulnerabilità CVE-2020-14386, che consente ai container con CAP_NET_RAW
di scrivere da 1 a 10 byte di memoria del kernel, nonché di eseguire l'escape del container e ottenere privilegi root sul nodo host. Questa è classificata come vulnerabilità con gravità alta.

Alti

CVE-2020-14386

GCP-2020-011

Pubblicato: 24/07/2020

Descrizione

Gravità

Note

Di recente è stata scoperta una vulnerabilità di rete in Kubernetes, CVE-2020-8558. A volte i servizi comunicano con altre applicazioni in esecuzione all'interno dello stesso pod utilizzando l'interfaccia di loopback locale (127.0.0.1). Questa vulnerabilità consente a un utente malintenzionato con accesso alla rete del cluster di inviare il traffico all'interfaccia di loopback di pod e nodi adiacenti. I servizi che si basano sull'interfaccia di loopback non che sono accessibili all'esterno del pod potrebbero essere sfruttati.

Per istruzioni e ulteriori dettagli, consulta:

Basso (GKE e Cluster Anthos on AWS),
Medium (Cluster Anthos su VMware)

CVE-2020-8558

GCP-2020-010

Pubblicato: 27/07/2020

Descrizione

Microsoft ha divulgato la seguente vulnerabilità:

Vulnerabilità	Gravità	CVE
CVE-2020-1350: i server Windows che operano nella capacità di un server DNS possono essere sfruttati per eseguire codice non attendibile dall'account di sistema locale.	Punteggio base NVD: 10,0 (critico)	CVE-2020-1350

Per ulteriori informazioni, consulta l'informativa di Microsoft.

Impatto su Google Cloud

L'infrastruttura che ospita Google Cloud e i prodotti Google non è interessata da questa vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.

Prodotto	Impatto
Compute Engine	CVE-2020-1350 Per la maggior parte dei clienti non sono richieste ulteriori azioni. I clienti che utilizzano macchine virtuali Compute Engine che eseguono Windows Server in una capacità di server DNS devono assicurarsi che le proprie istanze dispongano della patch di Windows più recente o utilizzare le immagini di Windows Server fornite dal 14/07/2020.
Google Kubernetes Engine	CVE-2020-1350 Per la maggior parte dei clienti non sono richieste ulteriori azioni. I clienti che utilizzano GKE con un nodo Windows Server nella capacità di un server DNS devono aggiornare manualmente i nodi e i carichi di lavoro containerizzati eseguiti su tali nodi a una versione di Windows Server contenente la correzione.
Managed Service for Microsoft Active Directory	CVE-2020-1350 Per la maggior parte dei clienti non sono richieste ulteriori azioni. Tutti i domini Microsoft AD gestiti sono stati aggiornati automaticamente con l'immagine con patch. Tutti i clienti che eseguono Microsoft Active Directory manualmente (e che non utilizzano Microsoft AD gestito) devono assicurarsi che le proprie istanze dispongano della patch di Windows più recente o utilizzare le immagini di Windows Server fornite dal 14/07/2020.
Google Workspace	Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio.
Ambiente standard di App Engine	Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio.
Ambiente flessibile di App Engine	Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio.
Cloud Run	Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio.
Cloud Functions	Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio.
Cloud Composer	Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio.
Dataflow	Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio.
Dataproc	Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio.
Cloud SQL	Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio.

GCP-2020-009

Pubblicato il: 15/07/2020

Descrizione

Gravità

Note

Di recente, in Kubernetes è stata scoperta una vulnerabilità di escalation dei privilegi, CVE-2020-8559. Questa vulnerabilità consente a un utente malintenzionato che ha già compromesso un nodo di eseguire un comando in qualsiasi pod del cluster. L'utente malintenzionato potrebbe quindi utilizzare il nodo già compromesso per compromettere altri nodi e potenzialmente leggere informazioni o causare azioni dannose.

Tieni presente che, affinché un utente malintenzionato possa sfruttare questa vulnerabilità, un nodo nel tuo cluster deve essere già stato compromesso. Questa vulnerabilità, da sola, non compromette alcun nodo nel cluster.

Per istruzioni e ulteriori dettagli, consulta:

Medio

CVE-2020-8559

GCP-2020-008

Pubblicato: 19/06/2020

Descrizione

Gravità

Note

Descrizione

Le VM per cui è abilitato OS Login potrebbero essere soggette a vulnerabilità di riassegnazione dei privilegi. Queste vulnerabilità consentono agli utenti a cui sono state concesse autorizzazioni OS Login (ma non l'accesso amministrativo) la possibilità di riassegnare l'accesso root alla VM.

Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Compute Engine.

Alti

GCP-2020-007

Pubblicato: 2020-06-01

Descrizione

Gravità

Note

La vulnerabilità SSRF (Server Side Request Forgery), CVE-2020-8555, è stata scoperta di recente in Kubernetes, consentendo a determinati utenti autorizzati di divulgare fino a 500 byte di informazioni sensibili dalla rete host del piano di controllo. Il piano di controllo Google Kubernetes Engine (GKE) utilizza i controller di Kubernetes ed è quindi interessato da questa vulnerabilità. Ti consigliamo di eseguire l'upgrade del piano di controllo alla versione più recente della patch. Non è necessario un upgrade del nodo.

Per istruzioni e ulteriori dettagli, consulta:

Medio

CVE-2020-8555

GCP-2020-006

Pubblicato: 2020-06-01

Descrizione

Gravità

Note

Kubernetes ha divulgato una vulnerabilità che consente a un container con privilegi di reindirizzare il traffico dei nodi a un altro container. Questo attacco non può leggere o modificare il traffico TLS/SSH reciproco, ad esempio tra il server kubelet e il server API, oppure il traffico proveniente da applicazioni che utilizzano mTLS. Tutti i nodi di Google Kubernetes Engine (GKE) sono interessati da questa vulnerabilità e ti consigliamo di eseguire l'upgrade alla versione più recente della patch.

Per istruzioni e ulteriori dettagli, consulta:

Medio

Problema 91507 di Kubernetes

GCP-2020-005

Pubblicato: 2020-05-07

Descrizione

Vulnerabilità

Gravità

CVE

Recentemente è stata scoperta una vulnerabilità nel kernel Linux, descritta in CVE-2020-8835, che consente di uscire dai limiti del container per ottenere privilegi di utente root sul nodo host.

I nodi Ubuntu di Google Kubernetes Engine (GKE) che eseguono GKE 1.16 o 1.17 sono interessati da questa vulnerabilità e ti consigliamo di eseguire l'upgrade alla versione più recente della patch il prima possibile.

Consulta il Bollettino sulla sicurezza di GKE per istruzioni e ulteriori dettagli.

Alti

CVE-2020-8835

GCP-2020-004

Pubblicato il: 31/03/2020
Ultimo aggiornamento: 31/03/2020

Descrizione

Kubernetes ha divulgato le seguenti vulnerabilità:

Vulnerabilità	Gravità	CVE
CVE-2019-11254: si tratta di una vulnerabilità Denial of Service (DoS) che influisce sul server API.	Medio	CVE-2019-11254

Consulta il Bollettino sulla sicurezza Anthos clusters on VMware per istruzioni e dettagli.

GCP-2020-003

Pubblicato il: 31/03/2020
Ultimo aggiornamento: 31/03/2020

Descrizione

Kubernetes ha divulgato le seguenti vulnerabilità:

Vulnerabilità	Gravità	CVE
CVE-2019-11254: si tratta di una vulnerabilità Denial of Service (DoS) che influisce sul server API.	Medio	CVE-2019-11254

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE.

GCP-2020-002

Pubblicato il: 23/03/2020
Ultimo aggiornamento: 23/03/2020

Descrizione

Kubernetes ha divulgato le seguenti vulnerabilità:

Vulnerabilità	Gravità	CVE
CVE-2020-8551: questa è una vulnerabilità Denial of Service (DoS) che influisce su kubelet.	Medio	CVE-2020-8551
CVE-2020-8552: si tratta di una vulnerabilità Denial of Service (DoS) che influisce sul server API.	Medio	CVE-2020-8552

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE.

GCP-2020-001

Pubblicato il: 21/01/2020
Ultimo aggiornamento: 21/01/2020

Descrizione

Microsoft ha divulgato la seguente vulnerabilità:

Vulnerabilità	Gravità	CVE
CVE-2020-0601: questa vulnerabilità è nota anche come vulnerabilità di spoofing dell'API Windows Crypto. Potrebbe essere sfruttato per far sembrare attendibili file eseguibili dannosi o per consentire a un utente malintenzionato di condurre attacchi man in the middle e decriptare le informazioni riservate sulle connessioni degli utenti al software interessato.	Punteggio base NVD: 8,1 (Alta)	CVE-2020-0601

Per ulteriori informazioni, consulta l'informativa di Microsoft.

Impatto su Google Cloud

L'infrastruttura che ospita Google Cloud e i prodotti Google non è interessata da questa vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.

Prodotto	Impatto
Compute Engine	CVE-2020-0601 Per la maggior parte dei clienti non sono richieste ulteriori azioni. I clienti che utilizzano macchine virtuali Compute Engine che eseguono Windows Server devono assicurarsi che le loro istanze abbiano la patch Windows più recente o utilizzare le immagini di Windows Server fornite dal 15/01/2020. Per ulteriori dettagli, consulta il Bollettino sulla sicurezza di Compute Engine.
Google Kubernetes Engine	CVE-2020-0601 Per la maggior parte dei clienti non sono richieste ulteriori azioni. I clienti che utilizzano GKE con nodi Windows Server, sia i nodi che i carichi di lavoro containerizzati eseguiti su questi nodi, devono essere aggiornati a versioni con patch per mitigare questa vulnerabilità. Consulta il Bollettino sulla sicurezza di GKE per istruzioni e ulteriori dettagli.
Managed Service for Microsoft Active Directory	CVE-2020-0601 Per la maggior parte dei clienti non sono richieste ulteriori azioni. Tutti i domini Microsoft AD gestiti sono stati aggiornati automaticamente con l'immagine con patch. Tutti i clienti che eseguono Microsoft Active Directory manualmente (e che non utilizzano Microsoft AD gestito) devono assicurarsi che le proprie istanze dispongano della patch di Windows più recente o utilizzare le immagini di Windows Server fornite dal 15/01/2020.
Google Workspace	Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio.
Ambiente standard di App Engine	Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio.
Ambiente flessibile di App Engine	Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio.
Cloud Run	Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio.
Cloud Functions	Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio.
Cloud Composer	Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio.
Dataflow	Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio.
Dataproc	Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio.
Cloud SQL	Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio.

GCP-2019-001

Pubblicato il: 12/11/2019
Ultimo aggiornamento: 12/11/2019

Descrizione

Intel ha divulgato le seguenti vulnerabilità:

Vulnerabilità	Gravità	CVE
CVE-2019-11135 — Questa vulnerabilità, indicata come TSX Async Abort (TAA) può essere utilizzata per sfruttare l'esecuzione speculativa in una transazione TSX. Questa vulnerabilità può determinare un'esposizione dei dati attraverso le stesse strutture di dati della microarchitettura esposte dal Microarchitectural Data Sampling (MDS).	Medio	CVE-2019-11135
CVE-2018-12207 — Questa è una vulnerabilità di tipo Denial of Service (DoS) che interessa le macchine virtuali host (non ospiti). Questo problema è noto come "Machine Check Error on Page Size Change".	Medio	CVE-2018-12207

Per ulteriori informazioni, consulta le divulgazioni di Intel:

Impatto su Google Cloud

L'infrastruttura che ospita Google Cloud e i prodotti Google è protetta da queste vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.

Prodotto	Impatto
Compute Engine	CVE-2019-11135 Per la maggior parte dei clienti non è necessario alcun intervento aggiuntivo. I clienti N2, C2 o M2 che eseguono codice non attendibile nei propri servizi multi-tenant all'interno delle macchine virtuali Compute Engine devono arrestare e avviare le loro VM per assicurarsi che dispongano delle più recenti misure di mitigazione per la sicurezza. Nota: per ulteriori dettagli, vedere il Bollettino sulla sicurezza di Compute Engine. CVE-2018-12207 Per tutti i clienti non è necessario alcun intervento aggiuntivo.
Google Kubernetes Engine	CVE-2019-11135 Per la maggior parte dei clienti non è necessario alcun intervento aggiuntivo. Se utilizzi pool di nodi con nodi N2, M2 o C2, e questi nodi eseguono codice non attendibile nei propri cluster GKE multi-tenant, devi riavviare i nodi. Se vuoi riavviare tutti i nodi del tuo pool di nodi, esegui l'upgrade del pool di nodi interessato. Nota: puoi specificare la stessa versione GKE per l'upgrade del tuo pool di nodi. Per ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE. CVE-2018-12207 Per tutti i clienti non è necessario alcun intervento aggiuntivo.
Ambiente standard di App Engine	Non è necessario alcun intervento aggiuntivo.
Ambiente flessibile di App Engine	CVE-2019-11135 Non è necessario alcun intervento aggiuntivo. I clienti devono rivedere le best practice di Intel relative alla condivisione a livello di applicazione che può avvenire fra gli hyperthread all'interno di una VM flessibile. CVE-2018-12207 Non è necessario alcun intervento aggiuntivo.
Cloud Run	Non è necessario alcun intervento aggiuntivo.
Cloud Functions	Non è necessario alcun intervento aggiuntivo.
Cloud Composer	Non è necessario alcun intervento aggiuntivo.
Dataflow	CVE-2019-11135 Per la maggior parte dei clienti non è necessario alcun intervento aggiuntivo. I clienti Dataflow che eseguono numerosi carichi di lavoro non attendibili su VM N2, C2 o M2 di Compute Engine gestite da Dataflow, e che sono preoccupati di attacchi fra i guest, devono prendere in considerazione il riavvio di tutte le pipeline di gestione dei flussi attualmente in esecuzione. Facoltativamente, le pipeline batch possono essere annullate e rieseguite. Non è necessario alcun intervento sulle pipeline avviate dopo la data odierna. CVE-2018-12207 Per tutti i clienti non è necessario alcun intervento aggiuntivo.
Dataproc	CVE-2019-11135 Per la maggior parte dei clienti non è necessario alcun intervento aggiuntivo. I clienti Cloud Dataproc che eseguono più carichi di lavoro non attendibili sullo stesso cluster Cloud Dataproc eseguito su VM N2, C2 o M2 di Compute Engine, e che sono preoccupati di attacchi fra i guest, devono rieseguire il deployment dei cluster. CVE-2018-12207 Per tutti i clienti non è necessario alcun intervento aggiuntivo.
Cloud SQL	Non è necessario alcun intervento aggiuntivo.