I seguenti bollettini sulla sicurezza sono relativi ai prodotti Google Cloud.
Utilizza questo feed XML per iscriverti ai bollettini sulla sicurezza per questa pagina.
GCP-2023-028
Pubblicato: 19/09/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
I clienti possono configurare Chronicle in modo da importare i dati dai bucket Cloud Storage di proprietà del cliente utilizzando un feed di importazione. Fino a poco tempo fa, Chronicle forniva un account di servizio condiviso che i clienti utilizzavano per concedere l'autorizzazione al bucket. Esiste un'opportunità tale che l'istanza Chronicle di un cliente potesse essere configurata per importare i dati dal bucket Cloud Storage di un altro cliente. Dopo aver eseguito un'analisi dell'impatto, non abbiamo rilevato alcuno sfruttamento attuale o precedente di questa vulnerabilità. La vulnerabilità era presente in tutte le versioni di Chronicle precedenti al 19 settembre 2023. Che cosa devo fare? Il 19 settembre 2023, Chronicle è stato aggiornato per risolvere questa vulnerabilità. Non è richiesta alcuna azione da parte del cliente. Quali vulnerabilità vengono affrontate? In precedenza, Chronicle forniva un account di servizio condiviso che i clienti utilizzavano per concedere l'autorizzazione a un bucket. Poiché diversi clienti hanno concesso allo stesso account di servizio Chronicle l'autorizzazione per il proprio bucket, esisteva un vettore di sfruttamento che consentiva al feed di un cliente di accedere al bucket di un altro cliente al momento della creazione o della modifica di un feed. Questo vettore di sfruttamento ha richiesto la conoscenza dell'URI del bucket. Ora, durante la creazione o la modifica dei feed, Chronicle utilizza account di servizio univoci per ogni cliente. |
Alti |
GCP-2023-027
Pubblicato: 11/09/2023Descrizione | Gravità | Note |
---|---|---|
Gli aggiornamenti di VMware vCenter Server risolvono diverse vulnerabilità che danneggiano la memoria (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896) Impatto dell'assistenza clientiVMware vCenter Server (vCenter Server) e VMware Cloud Foundation (Cloud Foundation). Che cosa devo fare?I clienti non sono interessati e non è necessario alcun intervento da parte tua. |
Medio |
GCP-2023-026
Pubblicato: 06/09/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) in cui un utente che può creare pod sui nodi Windows potrebbe essere in grado di riassegnare i privilegi di amministratore su questi nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e sul proxy CSI Kubernetes. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alti | CVE-2023-3676, CVE-2023-3955, CVE-2023-3893 |
GCP-2023-025
Pubblicato: 08/08/2023Descrizione | Gravità | Note |
---|---|---|
Intel ha recentemente annunciato l'introduzione dell'Intel Security Advisory INTEL-SA-00828 che interessa alcune delle sue famiglie di processori. Ti invitiamo a valutare i rischi in base all'avvertenza. Impatto di Google Cloud VMware EngineIl nostro parco risorse utilizza le famiglie di processori interessati. Nel nostro deployment, l'intero server è dedicato a un solo cliente. Di conseguenza, il nostro modello di deployment non aggiunge ulteriori rischi alla tua valutazione di questa vulnerabilità. Stiamo collaborando con i nostri partner per ottenere le patch necessarie e implementeremo queste patch in modo prioritario su tutto il parco risorse utilizzando il processo di upgrade standard nelle prossime settimane. Che cosa devo fare?Non è necessario alcun intervento da parte tua; stiamo lavorando per eseguire l'upgrade di tutti i sistemi interessati. |
Alti |
GCP-2023-024
Pubblicato: 08/08/2023
Ultimo aggiornamento: 10/08/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 10/08/2023: è stato aggiunto il numero di versione LTS di ChromeOS. Intel ha divulgato una vulnerabilità in alcuni processori (CVE-2022-40982). Google ha adottato misure per mitigare il suo parco di server, incluso Google Cloud, per garantire che i clienti siano protetti. I dettagli della vulnerabilità:
Che cosa devo fare?
Non è richiesta alcuna azione da parte del cliente. Tutte le patch disponibili sono già state applicate al parco risorse di server Google per Google Cloud, incluso Google Compute Engine. Al momento i seguenti prodotti richiedono aggiornamenti aggiuntivi da parte di partner e fornitori.
Google correggerà questi prodotti non appena queste patch saranno state rese disponibili e questo bollettino verrà aggiornato di conseguenza. I clienti di Google Chromebook e ChromeOS Flex hanno ricevuto automaticamente le mitigazioni fornite da Intel in versione stabile (115), LTS (108), beta (116) e LTC (114). I clienti di Chromebook e ChromeOS Flex bloccati su una release precedente dovrebbero valutare la possibilità di sbloccare e passare a release stabile o LTS per assicurarsi che ricevano questa e altre correzioni di vulnerabilità. Quali vulnerabilità vengono affrontate? CVE-2022-40982 - Per ulteriori informazioni, consulta la pagina Intel Security Advisory INTEL-SA-00828. |
Alti | CVE-2022-40982 |
GCP-2023-023
Pubblicato: 08/08/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
AMD ha divulgato una vulnerabilità in alcuni processori (CVE-2023-20569). Google ha adottato misure per mitigare il suo parco di server, incluso Google Cloud, per garantire che i clienti siano protetti. I dettagli della vulnerabilità:
Che cosa devo fare?
Gli utenti delle VM di Compute Engine dovrebbero prendere in considerazione le mitigazioni fornite dal sistema operativo se utilizzano l'esecuzione di codice non attendibile intra-istanza. Consigliamo ai clienti di contattare i fornitori di sistemi operativi per indicazioni più specifiche. Le correzioni sono già state applicate al parco di server Google per Google Cloud, incluso Google Compute Engine. Quali vulnerabilità vengono affrontate? CVE-2023-20569 - Per ulteriori informazioni, consulta AMD SB-7005. |
Moderata | CVE-2023-20569 |
GCP-2023-022
Pubblicato: 2023-08-03
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Google ha identificato una vulnerabilità nelle implementazioni gRPC C++ prima della release 1.57. Si tratta di una vulnerabilità Denial of Service all'interno dell'implementazione C++ di gRPC. Questi problemi sono stati risolti nelle release 1.53.2, 1.54.3, 1.55.2, 1.56.2 e 1.57. Che cosa devo fare? Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software:
Quali vulnerabilità vengono affrontate? Queste patch attenuano le seguenti vulnerabilità:
| Alti | CVE-2023-33953 |
GCP-2023-021
Ultimo aggiornamento: 26/07/2023
Pubblicato:25/07/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
I seguenti CVE espongono Anthos Service Mesh a vulnerabilità sfruttabili:
Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh. |
Alti |
GCP-2023-020
Ultimo aggiornamento: 26/07/2023
Pubblicato: 24/07/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
AMD ha rilasciato un aggiornamento del microcodice che risolve una vulnerabilità della sicurezza hardware (CVE-2023-20593). Google ha applicato le correzioni necessarie per questa vulnerabilità al proprio parco di server, inclusi i server per Google Cloud Platform. Il test indica che non c'è alcun impatto sulle prestazioni dei sistemi. Che cosa devo fare? Non è necessario alcun intervento da parte del cliente perché le correzioni sono già state applicate al parco server di Google per Google Cloud Platform. Quali vulnerabilità vengono affrontate? CVE-2023-20593 risolve una vulnerabilità in alcune CPU AMD. Ulteriori informazioni sono disponibili qui. | Alti | CVE-2023-20593 |
GCP-2023-019
Pubblicato il:18/07/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
In Envoy è stata scoperta una nuova vulnerabilità (CVE-2023-35945) in cui una risposta creata appositamente da un servizio upstream non attendibile può causare un denial of service a causa dell'esaurimento della memoria. Ciò è causato dal codec HTTP/2 di Envoy, che potrebbe far perdere una mappa di intestazioni e le strutture di contabilità alla ricezione di Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh. | Alti | CVE-2023-35945 |
GCP-2023-018
Pubblicato: 27/06/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-2235) che può portare a un'escalation dei privilegi sul nodo. I cluster GKE Autopilot sono interessati poiché i nodi GKE Autopilot utilizzano sempre le immagini dei nodi di Container-Optimized OS. Sono interessati i cluster GKE Standard con versione 1.25 o successive che eseguono immagini dei nodi di Container-Optimized OS. I cluster GKE non sono interessati se eseguono solo immagini dei nodi Ubuntu, versioni in esecuzione precedenti alla 1.25 o se utilizzano GKE Sandbox. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alti | CVE-2023-2235 |
GCP-2023-017
Pubblicato: 26/06/2023
Ultimo aggiornamento: 11/07/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 11/07/2023: sono state aggiornate le nuove versioni di GKE per includere le ultime versioni di Ubuntu che applicano la patch CVE-2023-31436. Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-31436) che può portare a un'escalation dei privilegi sul nodo. Sono interessati i cluster GKE, inclusi quelli Autopilot. I cluster GKE che utilizzano GKE Sandbox non sono interessati. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alti | CVE-2023-31436 |
GCP-2023-016
Pubblicato: 26/06/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Sono state scoperte una serie di vulnerabilità in Envoy, che viene utilizzato in Anthos Service Mesh, per consentire a un utente malintenzionato di causare un Denial of Service o un arresto anomalo di Envoy. Questi sono stati segnalati separatamente come GCP-2023-002. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alti | CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-1}7487{/1 |
GCP-2023-015
Pubblicato: 20/06/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2023-0468, che potrebbe consentire a un utente senza privilegi di riassegnare i privilegi a root quando io_poll_get_ownership continuerà ad aumentare req->poll_refs su ogni io_poll_wake e poi overflow a 0, il che genererà due volte il file req-> e causerà un problema di refcount del file struct. Sono interessati i cluster GKE, inclusi quelli Autopilot, con Container-Optimized OS che utilizza il kernel Linux versione 5.15. I cluster GKE che utilizzano immagini Ubuntu o che utilizzano GKE Sandbox non sono interessati. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Medio | CVE-CVE-2023-0468 |
GCP-2023-014
Ultimo aggiornamento: 11/08/2023
Pubblicato: 15/06/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 11/08/2023: sono state aggiunte versioni patch per Cluster Anthos su VMware, Cluster Anthos on AWS, Anthos on Azure e Anthos on bare metal. In Kubernetes sono stati rilevati due nuovi problemi di sicurezza, in cui gli utenti potrebbero essere in grado di avviare container che ignorano le limitazioni dei criteri quando utilizzano container temporanei e ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728). Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Medio | CVE-2023-2727, CVE-2023-2728 |
GCP-2023-013
Pubblicato: 08/06/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Quando abiliti l'API Cloud Build in un progetto, Cloud Build crea automaticamente un account di servizio predefinito per eseguire le build per tuo conto. Questo account di servizio Cloud Build
in precedenza disponeva dell'autorizzazione IAM
Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Build. |
Basso |
GCP-2023-010
Pubblicato: 07/06/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Google ha identificato tre nuove vulnerabilità nell'implementazione di gRPC C ++. Questi dati verranno pubblicati a breve con i nomi CVE-2023-1428, CVE-2023-32731 e CVE-2023-32732. Ad aprile, abbiamo identificato due vulnerabilità nelle release 1.53 e 1.54. Una era una vulnerabilità Denial of Service all'interno dell'implementazione C++ di gRPC, mentre l'altra era una vulnerabilità di esfiltrazione di dati remota. Questi problemi sono stati risolti nelle versioni 1.53.1, 1.54.2 e successive. In precedenza, a marzo, i nostri team interni hanno scoperto una vulnerabilità Denial of Service nell'implementazione C++ di gRPC durante l'esecuzione delle attività di fuzzing di routine. È stato rilevato nella release gRPC 1.52 ed è stato corretto nelle release 1.52.2 e 1.53. Che cosa devo fare?Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software:
Quali vulnerabilità vengono affrontate da queste patch?Queste patch attenuano le seguenti vulnerabilità:
Consigliamo di eseguire l'upgrade alle versioni più recenti dei seguenti pacchetti software, come elencato in precedenza. |
Versione alta (CVE-2023-1428, CVE-2023-32731). Medio (CVE-2023-32732) | CVE-2023-1428, CVE-2023-32731, CVE-023-32732 |
GCP-2023-009
Pubblicato: 06/06/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
In secrets-store-csi-driver è stata scoperta una nuova vulnerabilità (CVE-2023-2878) in cui un attore con accesso ai log del driver potrebbe osservare i token dell'account di servizio. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Nessuno | CVE-2023-2878 |
GCP-2023-008
Pubblicato: 05/06/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-1872) che può portare a un'escalation dei privilegi per eseguire il root sul nodo. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alti | CVE-2023-1872 |
GCP-2023-007
Pubblicato: 02/06/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Di recente è stata scoperta una vulnerabilità in Cloud SQL per SQL Server che ha consentito agli account amministratore del cliente di creare trigger nel database Google Cloud ha risolto il problema applicando patch alla vulnerabilità di sicurezza entro il 1° marzo 2023. Google Cloud non ha rilevato istanze dei clienti compromesse. Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud SQL. |
Alti |
GCP-2023-005
Pubblicato: 18/05/2023
Ultimo aggiornamento: 06/06/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 06/06/2023: sono state aggiornate le nuove versioni di GKE per includere le versioni più recenti di Ubuntu che applicano la patch CVE-2023-1281 e CVE-2023-1829. Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a un'escalation dei privilegi per eseguire il root sul nodo. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alti | CVE-2023-1281 CVE-2023-1829 |
GCP-2023-004
Pubblicato: 26/04/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
In Trusted Platform Module (TPM) 2.0 sono state rilevate due vulnerabilità (CVE-2023-1017 e CVE-2023-1018). Le vulnerabilità potrebbero aver consentito a un utente malintenzionato sofisticato di sfruttare una lettura/scrittura di 2 byte fuori dai limiti su alcune VM di Compute Engine. Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Compute Engine. |
Medio |
GCP-2023-003
Pubblicato: 11/04/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel Linux sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586, che potrebbero consentire a un utente senza privilegi di riassegnare i privilegi. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alti | CVE-2023-0240, CVE-2023-23586 |
GCP-2023-002
Descrizione
Descrizione | Gravità | Note |
---|---|---|
I seguenti CVE espongono Anthos Service Mesh a vulnerabilità sfruttabili:
Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh. |
Alti |
GCP-2023-001
Pubblicato: 01/03/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-4696) che può portare a un'escalation dei privilegi sul nodo. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alti | CVE-2022-4696 |
GCP-2022-026
Pubblicato: 11/01/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
In OpenSSL v3.0.6 sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) che potrebbero causare un arresto anomalo. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Medio |
GCP-2022-025
Pubblicato il: 21/12/2022
Ultimo aggiornamento: 19/01/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 19/01/2023: sono state aggiunte informazioni relative alla disponibilità della versione di GKE 1.21.14-gke.14100. In OpenSSL v3.0.6 sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) che potrebbero causare un arresto anomalo. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Medio |
GCP-2022-024
Pubblicato: 09/11/2022
Ultimo aggiornamento: 19/01/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 19/01/2023: sono state aggiunte informazioni relative alla disponibilità della versione di GKE 1.21.14-gke.14100. Aggiornamento 16/12/2022: sono state aggiunte versioni patch per GKE e Cluster Anthos su VMware. Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare a una rottura completa del container sul nodo. Per istruzioni e ulteriori dettagli, consulta: |
Alti |
GCP-2022-023
Pubblicato: 04/11/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
In Istio, utilizzato in Anthos Service Mesh, è stata rilevata una vulnerabilità di sicurezza, CVE-2022-39278, che consente a un utente malintenzionato di causare l'arresto anomalo del piano di controllo. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alti | CVE-2022-39278 |
GCP-2022-022
Pubblicato: 28/10/2022
Ultimo aggiornamento: 14/12/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 14/12/2022: sono state aggiunte versioni patch per GKE e Cluster Anthos su VMware. Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-20409, che potrebbe consentire a un utente senza privilegi di riassegnare il privilegio di esecuzione del sistema. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alti | CVE-2022-20409 |
GCP-2022-021
Pubblicato: 27/10/2022
Ultimo aggiornamento: 19/01/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 19/01/2023: sono state aggiunte informazioni relative alla disponibilità della versione di GKE 1.21.14-gke.14100. Aggiornamento 15/12/2022: sono state aggiornate informazioni relative alla versione 1.21.14-gke.9400 di Google Kubernetes Engine in attesa di implementazione e potrebbe essere sostituita da un numero di versione più recente. Aggiornamento 22/11/2022: sono state aggiunte versioni patch per Cluster Anthos su VMware, Cluster Anthos on AWS e Anthos on Azure. Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-3176, che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di eseguire l'analisi completa del container per eseguire il rooting sul nodo. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alti | CVE-2022-3176 |
GCP-2022-020
Pubblicato il: 05/10/2022
Ultimo aggiornamento: 12/10/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Il piano di controllo Istio Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh. |
Alti | CVE-2022-39278 |
GCP-2022-019
Pubblicato: 22/09/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Una vulnerabilità di analisi e gestione della memoria dei messaggi nelle implementazioni C++ e Python di Protocolbuffer può attivare un errore di esaurimento della memoria durante l'elaborazione di un messaggio creato appositamente. Questo potrebbe portare a un Denial of Service (DoS) sui servizi che utilizzano le librerie. Che cosa devo fare?Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software:
Quali vulnerabilità vengono affrontate da questa patch?La patch attenua la seguente vulnerabilità:
Un piccolo messaggio appositamente creato che fa sì che il servizio in esecuzione
allochi grandi quantità di RAM. Le dimensioni ridotte della richiesta consentono di sfruttare facilmente la vulnerabilità e di esaurire le risorse. I sistemi C++ e Python che utilizzano protobuf non attendibili
sarebbero vulnerabili agli attacchi DoS se contengono un
oggetto |
Medio | CVE-2022-1941 |
GCP-2022-018
Pubblicato: 01/08/2022
Ultimo aggiornamento: 14/09/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 14/09/2022: sono state aggiunte versioni patch per Cluster Anthos su VMware, Cluster Anthos on AWS e Anthos on Azure. Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-2327) che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di eseguire un'analisi completa dei container per eseguire il rooting sul nodo. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: | Alti | CVE-2022-2327 |
GCP-2022-017
Pubblicato il: 29/06/2022
Ultimo aggiornamento: 22/11/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 22/11/2022: queste vulnerabilità non interessano i carichi di lavoro che utilizzano GKE Sandbox. Aggiornamento 21/07/2022: informazioni aggiuntive su Cluster Anthos su VMware. È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 e 5.11 del kernel Linux. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di eseguire un'analisi dettagliata dei container per eseguire il rooting sul nodo. Sono interessati solo i cluster che eseguono Container-Optimized OS. Le versioni di GKE Ubuntu utilizzano la versione 5.4 o 5.15 del kernel e non sono interessate. Per istruzioni e ulteriori dettagli, consulta: |
Alti | CVE-2022-1786 |
GCP-2022-016
Pubblicato il: 23/06/2022
Ultimo aggiornamento: 22/11/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 22/11/2022: i cluster Autopilot non sono interessati da CVE-2022-29581, ma sono vulnerabili a CVE-2022-29582 e CVE-2022-1116. Nel kernel Linux sono state rilevate tre nuove vulnerabilità che danneggiano la memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di eseguire un'analisi dettagliata dei container per eseguire il rooting sul nodo. Sono interessati tutti i cluster Linux (Container-Optimized OS e Ubuntu). Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alti |
GCP-2022-015
Pubblicato il: 09/06/2022
Ultimo aggiornamento: 10/06/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 10/06/2022: le versioni di Anthos Service Mesh sono state aggiornate. Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh. I seguenti CVE di Envoy e Istio espongono Anthos Service Mesh e Istio su GKE a vulnerabilità sfruttabili da remoto:
Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh. |
Critico |
GCP-2022-014
Pubblicato il: 26/04/2022
Ultimo aggiornamento: 22/11/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 22/11/2022: i cluster e i carichi di lavoro GKE Autopilot in esecuzione in GKE Sandbox non sono interessati. Aggiornamento 12/05/2022: le versioni di Cluster Anthos on AWS e Anthos on Azure sono state aggiornate. Per istruzioni e ulteriori dettagli, consulta:
Nel kernel Linux sono state rilevate due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ciascuno di questi elementi può portare a un utente malintenzionato locale in grado di eseguire una container breakout, un'escalation dei privilegi sull'host o entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu). Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza: |
Alti |
CVE-2022-1055 CVE-2022-27666 |
GCP-2022-013
Pubblicato il: 11/04/2022
Ultimo aggiornamento: 22/04/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2022-23648, nella gestione del path traversal da parte di containerd nella specifica del volume delle immagini OCI. I container lanciati tramite l'implementazione del CRI di containerd con una configurazione delle immagini appositamente creata potrebbero ottenere l'accesso in lettura completo a file e directory arbitrari sull'host. Questa vulnerabilità può bypassare qualsiasi applicazione basata su criteri nella configurazione del container (incluso un criterio di sicurezza dei pod di Kubernetes). Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza: |
Medio | CVE-2022-23648 |
GCP-2022-012
Pubblicato il: 07/04/2022
Ultimo aggiornamento: 22/11/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 22/11/2022: per i cluster GKE in entrambe le modalità, Standard e Autopilot, i carichi di lavoro che utilizzano GKE Sandbox non sono interessati. Nel kernel Linux 5.8 e versioni successive è stata scoperta una vulnerabilità di sicurezza, CVE-2022-0847, che può potenzialmente riassegnare i privilegi del container al root. Questa vulnerabilità interessa i seguenti prodotti:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza: |
Alti | CVE-2022-0847 |
GCP-2022-011
Pubblicato il: 22/03/2022
Ultimo aggiornamento: 11/08/2022
Descrizione
Descrizione | Gravità |
---|---|
Aggiornamento dell'11/08/2022: sono state aggiunte ulteriori informazioni sulla configurazione SMT (Simultaneous Multi-Threading). La funzionalità SMT doveva essere disabilitata, ma è stata abilitata nelle versioni elencate. Se hai abilitato manualmente la SMT per un pool di nodi con sandbox, la SMT rimarrà abilitata manualmente nonostante il problema. Si è verificato un errore di configurazione con Simultaneous Multi-Threading (SMT), noto anche come Hyper-threading, nelle immagini GKE Sandbox. A causa di questa configurazione errata, i nodi sono potenzialmente esposti ad attacchi a canale laterale come il Microarchitectural Data Sampling (MDS) (per saperne di più, consulta la documentazione di GKE Sandbox). Sconsigliamo di utilizzare le seguenti versioni interessate:
Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE. |
Medio |
GCP-2022-010
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Il seguente CVE di Istio espone Anthos Service Mesh a una vulnerabilità sfruttabile da remoto:
Per istruzioni e ulteriori dettagli, consulta il seguente bollettino sulla sicurezza: |
Alti |
GCP-2022-009
Pubblicato: 01/03/2022Descrizione
Descrizione | Gravità |
---|---|
Potrebbero essere stati utilizzati alcuni percorsi imprevisti per accedere alla VM del nodo nei cluster GKE Autopilot per riassegnare i privilegi nel cluster. Questi problemi sono stati risolti e non sono richieste ulteriori azioni. Le correzioni risolvono i problemi segnalati tramite il nostro Programma a premi per vulnerabilità. Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE |
Basso |
GCP-2022-008
Pubblicato il: 23/02/2022
Ultimo aggiornamento: 28/04/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 28/04/2022: sono state aggiunte versioni di Cluster Anthos su VMware che risolvono queste vulnerabilità. Per maggiori dettagli, consulta il Bollettino sulla sicurezza di Anthos clusters on VMware. Il progetto Envoy ha recentemente scoperto un insieme di vulnerabilità. Tutti i problemi elencati di seguito sono stati risolti nella release 1.21.1 di Envoy.
Che cosa devo fare? Gli utenti di Envoy che gestiscono i propri Envoy devono assicurarsi di utilizzare la release 1.21.1 di Envoy. Gli utenti di Envoy che gestiscono i propri Envoy creano i programmi binari da un'origine come GitHub e ne eseguono il deployment. Gli utenti che eseguono Envoy gestiti (Google Cloud fornisce i programmi binari di Envoy) non devono intraprendere alcuna azione, per i quali i prodotti Google Cloud passeranno alla versione 1.21.1. |
Alti |
CVE-2022-23606 CVE-2022-21655 CVE-2021-43826 CVE-2021-43825 CVE-2021-43824 CVE-2022-12-216 |
GCP-2022-007
Pubblicato: 22/02/2022Descrizione
Descrizione | Gravità | Note |
---|---|---|
I seguenti CVE di Envoy e Istio espongono Anthos Service Mesh e Istio su GKE a vulnerabilità sfruttabili da remoto:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza: |
Alti |
GCP-2022-006
Pubblicato il: 14/02/2022Ultimo aggiornamento: 16/05/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 16/05/2022: è stata aggiunta la versione 1.19.16-gke.7800 o successiva di GKE all'elenco delle versioni con codice per correggere questa vulnerabilità. Per maggiori dettagli, consulta il Bollettino sulla sicurezza di GKE. Aggiornamento 12/05/2022: le versioni di GKE, Cluster Anthos su VMware, Cluster Anthos on AWS e Anthos on Azure sono state aggiornate. Per istruzioni e ulteriori dettagli, consulta:
È stata rilevata una vulnerabilità di sicurezza, CVE-2022-0492, nella funzione |
Basso |
Per istruzioni e ulteriori dettagli, consulta: |
GCP-2022-005
Pubblicato il: 11/02/2022Ultimo aggiornamento: 15/02/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stata rilevata una vulnerabilità di sicurezza, CVE-2021-43527, in qualsiasi programma binario collegato alle versioni vulnerabili di libnss3 presenti nelle versioni NSS (Network Security Services) precedenti alla 3.73 o 3.68.1. Le applicazioni che utilizzano NSS per la convalida dei certificati o altre funzionalità TLS, X.509, OCSP o CRL potrebbero essere interessate, a seconda di come viene utilizzato/configurato l'NSS. Per istruzioni e ulteriori dettagli, consulta: |
Medio | CVE-2021-43527 |
GCP-2022-004
Pubblicato: 04/02/2022Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2021-4034, in pkexec, che fa parte del pacchetto Linux Policy Kit (polkit), che consente a un utente autenticato di eseguire un attacco con escalation dei privilegi. PolicyKit viene generalmente utilizzato solo sui sistemi desktop Linux per consentire agli utenti non root di eseguire azioni come il riavvio del sistema, l'installazione di pacchetti, il riavvio dei servizi e così via, come regolato da un criterio. Per istruzioni e ulteriori dettagli, consulta: |
Nessuno | CVE-2021-4034 |
GCP-2022-002
Pubblicato il: 01/02/2022Ultimo aggiornamento: 25/02/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 25/02/2022: le versioni di GKE sono state aggiornate. Per istruzioni e ulteriori dettagli, consulta: Aggiornamento 23/02/2022: le versioni di GKE e Cluster Anthos su VMware sono state aggiornate. Per istruzioni e ulteriori dettagli, consulta: Aggiornamento del 4/02/2022: la data di inizio del lancio per le versioni delle patch di GKE era il 2 febbraio. Nel kernel Linux sono state rilevate tre vulnerabilità di sicurezza, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185, ciascuna delle quali può portare a un'container breakout, un'escalation dei privilegi sull'host o entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi (COS e Ubuntu) su GKE, Cluster Anthos su VMware, Cluster Anthos on AWS (generazione attuale e precedente) e Anthos on Azure. I pod che utilizzano GKE Sandbox non sono vulnerabili a queste vulnerabilità. Per ulteriori dettagli, consulta le note di rilascio di COS. Per istruzioni e ulteriori dettagli, consulta: |
Alti |
GCP-2022-001
Pubblicato: 06/01/2022Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stato rilevato un potenziale problema Denial of Service in Che cosa devo fare? Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software:
Gli utenti di Protobuf "javalite" (in genere Android) non sono interessati. Quali vulnerabilità vengono affrontate da questa patch? La patch attenua la seguente vulnerabilità: Una debolezza dell'implementazione nel modo in cui i campi sconosciuti vengono analizzati in Java. Un payload dannoso di piccole dimensioni (circa 800 kB) può occupare l'analizzatore sintattico per diversi minuti, creando un numero elevato di oggetti di breve durata che causano pause frequenti e ripetute della garbage collection. |
Alti | CVE-2021-22569 |
GCP-2021-024
Pubblicato: 21/10/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stato rilevato un problema di sicurezza nel controller ingress-nginx Kubernetes, CVE-2021-25742. Gli snippet personalizzati Ingress-nginx consentono di recuperare i token e i secret degli account di servizio ingress-nginx in tutti gli spazi dei nomi. Per istruzioni e ulteriori dettagli, consulta: | Nessuno | CVE-2021-25742 |
GCP-2021-019
Pubblicato: 29/09/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
A causa di un problema noto, l'aggiornamento di una risorsa Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE. |
Basso |
GCP-2021-022
Pubblicato: 22/09/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stata rilevata una vulnerabilità nel modulo LDAP di Anthos Identity Service (AIS) di Cluster Anthos su VMware versioni 1.8 e 1.8.1 in cui una chiave seed utilizzata nella generazione delle chiavi è prevedibile. Con questa vulnerabilità, un utente autenticato potrebbe aggiungere rivendicazioni arbitrarie e riassegnare i privilegi a tempo indeterminato. Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Anthos clusters on VMware. |
Alti |
GCP-2021-021
Pubblicato: 22/09/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
In Kubernetes è stata scoperta una vulnerabilità di sicurezza, CVE-2020-8561, in cui è possibile creare determinati webhook per reindirizzare le richieste kube-apiserver alle reti private del server API. Per istruzioni e ulteriori dettagli, consulta: |
Medio | CVE-2020-8561 |
GCP-2021-023
Pubblicato: 21/09/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
In base all'avviso per la sicurezza di VMware VMSA-2021-0020, VMware ha ricevuto report relativi a diverse vulnerabilità in vCenter. VMware ha reso disponibili aggiornamenti per risolvere queste vulnerabilità nei prodotti VMware interessati. Abbiamo già applicato le patch fornite da VMware per lo stack vSphere a Google Cloud VMware Engine in base all'avviso sulla sicurezza di VMware. Questo aggiornamento risolve le vulnerabilità di sicurezza descritte in CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 e CVE-2021-22010. Altri problemi di sicurezza non critici verranno risolti nel prossimo upgrade dello stack VMware (come da preavviso inviato a luglio, ulteriori dettagli verranno forniti a breve sulle tempistiche specifiche dell'upgrade). Impatto di VMware EngineDalle nostre indagini è emerso che non sono stati rilevati clienti interessati. Che cosa devo fare?Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni. |
Critico |
GCP-2021-020
Pubblicato: 17/09/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Alcuni bilanciatori del carico Google Cloud che eseguono il routing a un servizio di backend abilitato per Identity-Aware Proxy (IAP) potrebbero essere stati vulnerabili a una parte non attendibile in condizioni limitate. Consente di risolvere un problema segnalato tramite il nostro Programma di ricompense per le vulnerabilità. Le condizioni erano le quali i server:
Inoltre, un utente della tua organizzazione deve aver fatto clic su un link creato appositamente inviato da una parte non attendibile. Il problema è stato risolto. A partire dal 17 settembre 2021, IAP è stato aggiornato per fornire cookie soltanto agli host autorizzati. Un host è considerato autorizzato se corrisponde ad almeno un SAN (Subject Alternative Name) in uno dei certificati installati sui bilanciatori del carico. Cosa fare
Alcuni dei tuoi utenti potrebbero ricevere una risposta HTTP 401 Non autorizzato con un codice di errore IAP 52 durante il tentativo di accesso ad app o servizi. Questo codice di errore indica che il client ha inviato un'intestazione |
Alti |
GCP-2021-018
Pubblicato il: 15/09/2021Ultimo aggiornamento: 20/09/2021
Descrizione
Descrizione | Gravità | Note |
---|---|---|
In Kubernetes, CVE-2021-25741 è stato rilevato un problema di sicurezza che consente a un utente di creare un container con montaggi di volume del percorso secondario per accedere a file e directory all'esterno del volume, anche nel file system dell'host. Per istruzioni e ulteriori dettagli, consulta: |
Alti | CVE-2021-25741 |
GCP-2021-017
Pubblicato il: 01/09/2021Ultimo aggiornamento: 23/09/2021
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 23/09/2021: i container in esecuzione all'interno di GKE Sandbox non sono interessati da questa vulnerabilità per gli attacchi provenienti dall'interno del container. Nel kernel Linux sono state rilevate due vulnerabilità di sicurezza, CVE-2021-33909 e CVE-2021-33910, che possono causare un arresto anomalo del sistema operativo o un'escalation al rooting da parte di un utente senza privilegi. Questa vulnerabilità interessa tutti i sistemi operativi dei nodi GKE (COS e Ubuntu). Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza: |
Alti | CVE-2021-33909, CVE-2021-33910 |
GCP-2021-016
Pubblicato: 24/08/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
I seguenti CVE di Envoy e Istio espongono Anthos Service Mesh e Istio su GKE a vulnerabilità sfruttabili da remoto:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza: |
Alti |
GCP-2021-015
Pubblicato il: 13/07/2021Ultimo aggiornamento: 15/07/2021
Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stata scoperta una nuova vulnerabilità di sicurezza, CVE-2021-22555, in cui un utente malintenzionato con privilegi Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza: |
Alti | CVE-2021-22555 |
GCP-2021-014
Pubblicato il: 05/07/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Microsoft ha pubblicato un bollettino sulla sicurezza relativo a una vulnerabilità RCE (Remote Code Execution), CVE-2021-34527, che interessa lo spooler di stampa nei server Windows. Il CERT Coordination Center (CERT/CC) ha pubblicato una nota di aggiornamento su una vulnerabilità correlata, soprannominata "PrintNightmare" che interessa anche gli spooler di stampa Windows - PrintNightmare, Critical Windows Print Spooler Vulnerability Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE. |
Alti | CVE-2021-34527 |
GCP-2021-012
Pubblicato il: 24/06/2021Ultimo aggiornamento: 09/07/2021
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Il progetto Istio ha annunciato di recente una vulnerabilità di sicurezza in cui è possibile accedere alle credenziali specificate nel campo Gateway e destinationRules da spazi dei nomi diversi. Per istruzioni specifiche per i prodotti e ulteriori dettagli, consulta:
|
Alti | CVE-2021-34824 |
GCP-2021-011
Pubblicato il: 04/06/2021Ultimo aggiornamento: 19/10/2021
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 19/10/2021: Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:
La community di sicurezza ha recentemente divulgato una nuova vulnerabilità di sicurezza
(CVE-2021-30465)
riscontrata in Per GKE, poiché lo sfruttamento di questa vulnerabilità richiede la possibilità di creare pod, la gravità di questa vulnerabilità è stata classificata su MEDIA. Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE. |
Medio | CVE-2021-30465 |
GCP-2021-010
Pubblicato il: 25/05/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Secondo l'avviso sulla sicurezza di VMware VMSA-2021-0010, le vulnerabilità di esecuzione del codice remoto e di bypass dell'autenticazione nel client vSphere (HTML5) sono state segnalate privatamente a VMware. VMware ha reso disponibili aggiornamenti per risolvere queste vulnerabilità nei prodotti VMware interessati. Abbiamo applicato le patch fornite da VMware per lo stack vSphere, in base all'avvertenza per la sicurezza VMware. Questo aggiornamento risolve le vulnerabilità di sicurezza descritte in CVE-2021-21985 e CVE-2021-21986. Le versioni delle immagini in esecuzione nel cloud privato di VMware Engine non riflettono al momento alcuna modifica per indicare le patch applicate. Ti garantiamo che sono state installate le patch appropriate e che il tuo ambiente è protetto da queste vulnerabilità. Impatto di VMware EngineDalle nostre indagini è emerso che non sono stati riscontrati clienti interessati. Che cosa devo fare?Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni. |
Critico |
GCP-2021-008
Pubblicato: 17/05/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Istio contiene una vulnerabilità sfruttabile da remoto che consente a un client esterno di accedere a servizi imprevisti nel cluster, ignorando i controlli di autorizzazione, quando un gateway è configurato con la configurazione di routing Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh. |
Alti |
CVE-2021-31921 |
GCP-2021-007
Pubblicato: 17/05/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Istio contiene una vulnerabilità sfruttabile in remoto per cui un percorso di richiesta HTTP con più barre o barre di escape ( Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh. |
Alti |
CVE-2021-31920 |
GCP-2021-006
Pubblicato: 11/05/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Il progetto Istio di recente ha rivelato una nuova vulnerabilità di sicurezza (CVE-2021-31920) che interessa Istio. Istio contiene una vulnerabilità sfruttabile da remoto per cui una richiesta HTTP con più barre o barre di escape può bypassare il criterio di autorizzazione di Istio quando vengono utilizzate le regole di autorizzazione basate sul percorso. Per istruzioni e ulteriori dettagli, consulta: |
Alti |
CVE-2021-31920 |
GCP-2021-005
Pubblicato: 11/05/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Una vulnerabilità segnalata ha mostrato che Envoy non decodifica le sequenze di barre con caratteri di escape Che cosa devo fare?
Se i server di backend trattano i criteri Quali cambiamenti di comportamento sono stati introdotti?Le opzioni normalize_path e unisci barre adiacenti di Envoy sono state abilitate per risolvere altre vulnerabilità comuni relative alla confusione dei percorsi nei prodotti basati su Envoy. |
Alti |
CVE-2021-29492 |
GCP-2021-004
Pubblicato: 06/05/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
I progetti Envoy e Istio hanno recentemente annunciato diverse nuove vulnerabilità di sicurezza (CVE-2021-28683, CVE-2021-28682 e CVE-2021-29258), che potrebbero consentire a un utente malintenzionato di causare l'arresto anomalo di Envoy. I cluster Google Kubernetes Engine non eseguono Istio per impostazione predefinita e non sono vulnerabili. Se Istio è stato installato in un cluster e configurato in modo da esporre i servizi su internet, questi servizi potrebbero essere vulnerabili al denial of service. Anthos on bare metal e Cluster Anthos su VMware utilizzano Envoy per impostazione predefinita per Ingress, i servizi Ingress potrebbero essere vulnerabili al denial of service. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza: |
Medio |
GCP-2021-003
Pubblicato: 19/04/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Il progetto Kubernetes ha annunciato di recente una nuova vulnerabilità di sicurezza, CVE-2021-25735, che potrebbe consentire agli aggiornamenti dei nodi di bypassare un webhook di convalida di ammissione.
In uno scenario in cui un utente malintenzionato dispone di privilegi sufficienti e in cui è implementato un webhook di convalida dell'ammissione che utilizza le proprietà degli oggetti Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza: |
Medio |
GCP-2021-002
Pubblicato: 05/03/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
In base all'avviso per la sicurezza VMware VMSA-2021-0002, VMware ha ricevuto report relativi a molteplici vulnerabilità in VMware ESXi e vSphere Client (HTML5). VMware ha reso disponibili aggiornamenti per risolvere queste vulnerabilità nei prodotti VMware interessati. Abbiamo applicato le soluzioni alternative documentate ufficialmente per lo stack vSphere in base all'avviso sulla sicurezza VMware. Questo aggiornamento risolve le vulnerabilità di sicurezza descritte in CVE-2021-21972, CVE-2021-21973 e CVE-2021-21974. Impatto di VMware EngineDalle nostre indagini è emerso che non sono stati riscontrati clienti interessati. Che cosa devo fare?Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni. |
Critico |
GCP-2021-001
Pubblicato: 28/01/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Di recente è stata scoperta una vulnerabilità nell'utilità Linux L'infrastruttura sottostante che esegue Compute Engine non è interessata da questa vulnerabilità. Tutti i cluster Google Kubernetes Engine (GKE), Cluster Anthos su VMware, Cluster Anthos on AWS e Anthos on bare metal non sono interessati da questa vulnerabilità. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza: |
Nessuno | CVE-2021-3156 |
GCP-2020-015
Pubblicato il: 07/12/2020Ultimo aggiornamento: 22/12/2020
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento: 22/12/2021 Il comando per GKE
nella sezione seguente deve utilizzare
gcloud container clusters update –no-enable-service-externalips Ultimo aggiornamento: 15/12/2021 Per GKE, è ora disponibile la seguente mitigazione:
Per maggiori informazioni, consulta la pagina Protezione della sicurezza del cluster. Il progetto Kubernetes ha recentemente scoperto una nuova vulnerabilità di sicurezza, CVE-2020-8554, che potrebbe consentire a un utente malintenzionato che ha ottenuto le autorizzazioni per creare un servizio Kubernetes di tipo LoadBalancer o ClusterIP di intercettare il traffico di rete proveniente da altri pod nel cluster. Questa vulnerabilità di per sé non concede a un utente malintenzionato le autorizzazioni per creare un servizio Kubernetes. Tutti i cluster Google Kubernetes Engine (GKE), Cluster Anthos su VMware e Cluster Anthos on AWS sono interessati da questa vulnerabilità. Che cosa devo fare?Per istruzioni e ulteriori dettagli, consulta: |
Medio |
CVE-2020-8554 |
GCP-2020-014
Pubblicato il: 20/10/2020Ultimo aggiornamento: 20/10/2020
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Il progetto Kubernetes ha recentemente scoperto diversi problemi che consentono l'esposizione dei dati segreti quando sono abilitate opzioni di logging dettagliate. I problemi sono:
Che cosa devo fare?A causa dei livelli di logging delle Preferenze di lettura predefiniti di GKE, non sono necessarie ulteriori azioni. |
Nessuno |
Impatto su Google Cloud
I dettagli per prodotto sono elencati di seguito.
Prodotto |
Impatto |
---|---|
Google Kubernetes Engine (GKE) non è interessato. |
|
GKE On-Prem non è interessato. |
|
GKE su AWS non è interessato. |
GCP-2020-013
Pubblicato: 29/09/2020Descrizione
Microsoft ha divulgato la seguente vulnerabilità:
Vulnerabilità |
Gravità |
CVE |
---|---|---|
CVE-2020-1472: una vulnerabilità di Windows Server consente a utenti malintenzionati di utilizzare Netlogon Remote Protocol per eseguire un'applicazione creata appositamente su un dispositivo sulla rete. |
Punteggio base NVD: 10 (critico) |
Per ulteriori informazioni, consulta l'informativa di Microsoft.
Impatto su Google Cloud
L'infrastruttura che ospita Google Cloud e i prodotti Google non è interessata da questa vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.
Prodotto |
Impatto |
---|---|
Compute Engine |
CVE-2020-1472 |
Google Kubernetes Engine |
CVE-2020-1472 |
Managed Service for Microsoft Active Directory |
CVE-2020-1472 |
Google Workspace |
Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio. |
Ambiente standard di App Engine |
Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio. |
Ambiente flessibile di App Engine |
Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio. |
Cloud Run |
Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio. |
Cloud Functions |
Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio. |
Cloud Composer |
Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio. |
Dataflow |
Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio. |
Dataproc |
Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio. |
Cloud SQL |
Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio. |
GCP-2020-012
Pubblicato il: 14/09/2020Ultimo aggiornamento: 17/09/2020
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Di recente è stata scoperta una vulnerabilità nel kernel Linux, descritta in CVE-2020-14386, che potrebbe consentire l'container escape per ottenere privilegi root sul nodo host. Sono interessati tutti i nodi GKE. I pod in esecuzione in GKE Sandbox non sono in grado di sfruttare questa vulnerabilità. Per istruzioni e ulteriori dettagli, consulta:
Quale vulnerabilità viene affrontata da questa patch? La patch attenua la seguente vulnerabilità: La vulnerabilità CVE-2020-14386, che consente ai container con CAP_NET_RAW di scrivere da 1 a 10 byte di memoria del kernel, nonché di eseguire l'escape del container e ottenere privilegi root sul nodo host. Questa è classificata come vulnerabilità con gravità alta. |
Alti |
GCP-2020-011
Pubblicato: 24/07/2020Descrizione
Descrizione | Gravità | Note |
---|---|---|
Di recente è stata scoperta una vulnerabilità di rete in Kubernetes, CVE-2020-8558. A volte i servizi comunicano con altre applicazioni in esecuzione all'interno dello stesso pod utilizzando l'interfaccia di loopback locale (127.0.0.1). Questa vulnerabilità consente a un utente malintenzionato con accesso alla rete del cluster di inviare il traffico all'interfaccia di loopback di pod e nodi adiacenti. I servizi che si basano sull'interfaccia di loopback non che sono accessibili all'esterno del pod potrebbero essere sfruttati. Per istruzioni e ulteriori dettagli, consulta: |
Basso (GKE e Cluster Anthos on AWS), |
GCP-2020-010
Pubblicato: 27/07/2020Descrizione
Microsoft ha divulgato la seguente vulnerabilità:
Vulnerabilità |
Gravità |
CVE |
---|---|---|
CVE-2020-1350: i server Windows che operano nella capacità di un server DNS possono essere sfruttati per eseguire codice non attendibile dall'account di sistema locale. |
Punteggio base NVD: 10,0 (critico) |
Per ulteriori informazioni, consulta l'informativa di Microsoft.
Impatto su Google Cloud
L'infrastruttura che ospita Google Cloud e i prodotti Google non è interessata da questa vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.
Prodotto |
Impatto |
---|---|
Compute Engine |
CVE-2020-1350 |
Google Kubernetes Engine |
CVE-2020-1350 |
Managed Service for Microsoft Active Directory |
CVE-2020-1350 |
Google Workspace |
Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio. |
Ambiente standard di App Engine |
Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio. |
Ambiente flessibile di App Engine |
Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio. |
Cloud Run |
Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio. |
Cloud Functions |
Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio. |
Cloud Composer |
Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio. |
Dataflow |
Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio. |
Dataproc |
Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio. |
Cloud SQL |
Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio. |
GCP-2020-009
Pubblicato il: 15/07/2020Descrizione
Descrizione | Gravità | Note |
---|---|---|
Di recente, in Kubernetes è stata scoperta una vulnerabilità di escalation dei privilegi, CVE-2020-8559. Questa vulnerabilità consente a un utente malintenzionato che ha già compromesso un nodo di eseguire un comando in qualsiasi pod del cluster. L'utente malintenzionato potrebbe quindi utilizzare il nodo già compromesso per compromettere altri nodi e potenzialmente leggere informazioni o causare azioni dannose. Tieni presente che, affinché un utente malintenzionato possa sfruttare questa vulnerabilità, un nodo nel tuo cluster deve essere già stato compromesso. Questa vulnerabilità, da sola, non compromette alcun nodo nel cluster. Per istruzioni e ulteriori dettagli, consulta: |
Medio |
GCP-2020-008
Pubblicato: 19/06/2020Descrizione
Descrizione | Gravità | Note |
---|---|---|
DescrizioneLe VM per cui è abilitato OS Login potrebbero essere soggette a vulnerabilità di riassegnazione dei privilegi. Queste vulnerabilità consentono agli utenti a cui sono state concesse autorizzazioni OS Login (ma non l'accesso amministrativo) la possibilità di riassegnare l'accesso root alla VM. Per le istruzioni e altri dettagli, consulta il Bollettino sulla sicurezza di Compute Engine.
|
Alti |
GCP-2020-007
Pubblicato: 2020-06-01Descrizione
Descrizione | Gravità | Note |
---|---|---|
La vulnerabilità SSRF (Server Side Request Forgery), CVE-2020-8555, è stata scoperta di recente in Kubernetes, consentendo a determinati utenti autorizzati di divulgare fino a 500 byte di informazioni sensibili dalla rete host del piano di controllo. Il piano di controllo Google Kubernetes Engine (GKE) utilizza i controller di Kubernetes ed è quindi interessato da questa vulnerabilità. Ti consigliamo di eseguire l'upgrade del piano di controllo alla versione più recente della patch. Non è necessario un upgrade del nodo. Per istruzioni e ulteriori dettagli, consulta: |
Medio |
GCP-2020-006
Pubblicato: 2020-06-01Descrizione
Descrizione | Gravità | Note |
---|---|---|
Kubernetes ha divulgato una vulnerabilità che consente a un container con privilegi di reindirizzare il traffico dei nodi a un altro container. Questo attacco non può leggere o modificare il traffico TLS/SSH reciproco, ad esempio tra il server kubelet e il server API, oppure il traffico proveniente da applicazioni che utilizzano mTLS. Tutti i nodi di Google Kubernetes Engine (GKE) sono interessati da questa vulnerabilità e ti consigliamo di eseguire l'upgrade alla versione più recente della patch. Per istruzioni e ulteriori dettagli, consulta: |
Medio |
GCP-2020-005
Pubblicato: 2020-05-07Descrizione
Vulnerabilità |
Gravità |
CVE |
---|---|---|
Recentemente è stata scoperta una vulnerabilità nel kernel Linux, descritta in CVE-2020-8835, che consente di uscire dai limiti del container per ottenere privilegi di utente root sul nodo host. I nodi Ubuntu di Google Kubernetes Engine (GKE) che eseguono GKE 1.16 o 1.17 sono interessati da questa vulnerabilità e ti consigliamo di eseguire l'upgrade alla versione più recente della patch il prima possibile. Consulta il Bollettino sulla sicurezza di GKE per istruzioni e ulteriori dettagli. |
Alti |
GCP-2020-004
Pubblicato il: 31/03/2020Ultimo aggiornamento: 31/03/2020
Descrizione
Kubernetes ha divulgato le seguenti vulnerabilità:
Vulnerabilità |
Gravità |
CVE |
---|---|---|
CVE-2019-11254: si tratta di una vulnerabilità Denial of Service (DoS) che influisce sul server API. |
Medio |
Consulta il Bollettino sulla sicurezza Anthos clusters on VMware per istruzioni e dettagli.
GCP-2020-003
Pubblicato il: 31/03/2020Ultimo aggiornamento: 31/03/2020
Descrizione
Kubernetes ha divulgato le seguenti vulnerabilità:
Vulnerabilità |
Gravità |
CVE |
---|---|---|
CVE-2019-11254: si tratta di una vulnerabilità Denial of Service (DoS) che influisce sul server API. |
Medio |
Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE.
GCP-2020-002
Pubblicato il: 23/03/2020Ultimo aggiornamento: 23/03/2020
Descrizione
Kubernetes ha divulgato le seguenti vulnerabilità:
Vulnerabilità |
Gravità |
CVE |
---|---|---|
CVE-2020-8551: questa è una vulnerabilità Denial of Service (DoS) che influisce su kubelet. |
Medio |
|
CVE-2020-8552: si tratta di una vulnerabilità Denial of Service (DoS) che influisce sul server API. |
Medio |
Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE.
GCP-2020-001
Pubblicato il: 21/01/2020Ultimo aggiornamento: 21/01/2020
Descrizione
Microsoft ha divulgato la seguente vulnerabilità:
Vulnerabilità |
Gravità |
CVE |
---|---|---|
CVE-2020-0601: questa vulnerabilità è nota anche come vulnerabilità di spoofing dell'API Windows Crypto. Potrebbe essere sfruttato per far sembrare attendibili file eseguibili dannosi o per consentire a un utente malintenzionato di condurre attacchi man in the middle e decriptare le informazioni riservate sulle connessioni degli utenti al software interessato. |
Punteggio base NVD: 8,1 (Alta) |
Per ulteriori informazioni, consulta l'informativa di Microsoft.
Impatto su Google Cloud
L'infrastruttura che ospita Google Cloud e i prodotti Google non è interessata da questa vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.
Prodotto |
Impatto |
---|---|
Compute Engine |
CVE-2020-0601 |
Google Kubernetes Engine |
CVE-2020-0601 |
Managed Service for Microsoft Active Directory |
CVE-2020-0601 |
Google Workspace |
Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio. |
Ambiente standard di App Engine |
Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio. |
Ambiente flessibile di App Engine |
Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio. |
Cloud Run |
Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio. |
Cloud Functions |
Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio. |
Cloud Composer |
Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio. |
Dataflow |
Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio. |
Dataproc |
Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio. |
Cloud SQL |
Non è necessario alcun intervento da parte del cliente. Questa vulnerabilità non influisce sul servizio. |
GCP-2019-001
Pubblicato il: 12/11/2019Ultimo aggiornamento: 12/11/2019
Descrizione
Intel ha divulgato le seguenti vulnerabilità:
Vulnerabilità |
Gravità |
CVE |
---|---|---|
CVE-2019-11135 — Questa vulnerabilità, indicata come TSX Async Abort (TAA) può essere utilizzata per sfruttare l'esecuzione speculativa in una transazione TSX. Questa vulnerabilità può determinare un'esposizione dei dati attraverso le stesse strutture di dati della microarchitettura esposte dal Microarchitectural Data Sampling (MDS). |
Medio |
|
CVE-2018-12207 — Questa è una vulnerabilità di tipo Denial of Service (DoS) che interessa le macchine virtuali host (non ospiti). Questo problema è noto come "Machine Check Error on Page Size Change". |
Medio |
Per ulteriori informazioni, consulta le divulgazioni di Intel:
Impatto su Google Cloud
L'infrastruttura che ospita Google Cloud e i prodotti Google è protetta da queste vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.
Prodotto |
Impatto |
---|---|
Compute Engine |
CVE-2019-11135 CVE-2018-12207 |
Google Kubernetes Engine |
CVE-2019-11135 CVE-2018-12207 |
Ambiente standard di App Engine |
Non è necessario alcun intervento aggiuntivo. |
Ambiente flessibile di App Engine |
CVE-2019-11135 CVE-2018-12207 |
Cloud Run |
Non è necessario alcun intervento aggiuntivo. |
Cloud Functions |
Non è necessario alcun intervento aggiuntivo. |
Cloud Composer |
Non è necessario alcun intervento aggiuntivo. |
Dataflow |
CVE-2019-11135 CVE-2018-12207 |
Dataproc |
CVE-2019-11135 CVE-2018-12207 |
Cloud SQL |
Non è necessario alcun intervento aggiuntivo. |