I seguenti bollettini di sicurezza sono correlati ai prodotti Google Cloud.
Utilizza questo feed XML per iscriverti ai bollettini di sicurezza per questa pagina.
GCP-2022-018
Data di pubblicazione: 01/08/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel Linux è stata rilevata una nuova vulnerabilità (CVE-2022-2327) che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di raggiungere un attacco completo del container per eseguire il root nel nodo. Per istruzioni e maggiori dettagli, consulta i seguenti bollettini: | Alte | CVE-2022-2327 |
GCP-2022-017
Data di pubblicazione: 29-06-2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 21-07-2022: informazioni aggiuntive sui cluster Anthos su VMware. Una nuova vulnerabilità (CVE-2022-1786) è stata rilevata nelle versioni del kernel Linux 5.10 e 5.11. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di eseguire il peering di container completo per eseguire il root nel nodo. Sono interessati solo i cluster che eseguono Container-Optimized OS. Le versioni di GKE Ubuntu utilizzano la versione 5.4 o 5.15 del kernel e non sono interessate. Per istruzioni e maggiori dettagli, consulta i seguenti articoli: |
Alte | CVE-2022-1786 |
GCP-2022-016
Data di pubblicazione: 23-06-2022
Ultimo aggiornamento: 29-07-2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel Linux sono state scoperte tre nuove vulnerabilità di corruzione della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di eseguire il deployment completo di un container per eseguire il root nel nodo. Sono interessati tutti i cluster Linux (Container-Optimized OS e Ubuntu). Per istruzioni e maggiori dettagli, consulta i seguenti bollettini: |
Alte |
GCP-2022-015
Data di pubblicazione: 09-06-2022
Ultimo aggiornamento: 10-06-2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 10-06-2022: le versioni di Anthos Service Mesh sono state aggiornate. Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh. I seguenti CVE Envoy e Istio espongono Anthos Service Mesh e Istio su GKE a vulnerabilità sfruttabili da remoto:
Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh. |
Critico |
GCP-2022-014
Data di pubblicazione: 26-04-2022
Ultimo aggiornamento: 12-05-2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 2022-05-12: I cluster Anthos su AWS e Anthos su Azure sono stati aggiornati. Per le istruzioni e ulteriori dettagli, consulta: Nel kernel Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno può portare un utente malintenzionato locale a eseguire un'interruzione del container, un'escalation dei privilegi sull'host o entrambi. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu). Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini di sicurezza: |
Alte |
CVE-2022-1055 CVE-2022-27666 |
GCP-2022-013
Data di pubblicazione: 11/04/2022
Ultimo aggiornamento: 22/04/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stata rilevata una vulnerabilità di sicurezza, CVE-2022-23648 nella gestione dell'attraversamento del percorso di containerd nella specifica del volume delle immagini OCI. I container lanciati tramite un'implementazione CRI di containerd con una configurazione dell'immagine appositamente creata potrebbero ottenere l'accesso completo in lettura a file e directory arbitrari sull'host. Questa vulnerabilità può ignorare qualsiasi applicazione basata su criteri nella configurazione del container (incluso un criterio di sicurezza dei pod di Kubernetes). Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini di sicurezza: |
Medie | CVE-2022-23648 |
GCP-2022-012
Data di pubblicazione: 07-04-2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Una vulnerabilità di sicurezza, CVE-2022-0847, è stata rilevata nel kernel Linux versione 5.8 e successive che può potenzialmente riassegnare i privilegi dei container al root. Questa vulnerabilità interessa i seguenti prodotti:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini di sicurezza: |
Alte | CVE-2022-0847 |
GCP-2022-011
Data di pubblicazione: 22-03-2022
Descrizione
Descrizione | Gravità |
---|---|
Si è verificato un errore di configurazione con il multi-threading (SMT) simultaneo, noto anche come iper-threading, nelle immagini di GKE Sandbox. L'errore di configurazione comporta la presenza di nodi potenzialmente esposti ad attacchi ai canali secondari, ad esempio Microarchitectural Data Sampling (VMS). Per saperne di più, consulta la documentazione di GKE Sandbox. Sconsigliamo di utilizzare le seguenti versioni interessate:
Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di GKE. |
Medie |
GCP 2022-010
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Il seguente CVE Istio espone Anthos Service Mesh a una vulnerabilità sfruttabile da remoto:
Per istruzioni e altri dettagli, consulta il seguente bollettino sulla sicurezza: |
Alte |
GCP 2022-009
Data di pubblicazione: 01-03-2022Descrizione
Descrizione | Gravità |
---|---|
Alcuni percorsi imprevisti per accedere alla VM del nodo nei cluster GKE Autopilot potrebbero essere stati utilizzati per riassegnare i privilegi nel cluster. Questi problemi sono stati risolti e non sono richieste ulteriori azioni. Le correzioni risolvono i problemi segnalati tramite il nostro Vulnerability Reward Program. Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di GKE |
Basse |
GCP-2022-008
Data di pubblicazione: 23-02-2022
Ultimo aggiornamento: 28-04-2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 28-04-2022: sono state aggiunte versioni dei cluster Anthos su VMware che risolvono queste vulnerabilità. Per maggiori dettagli, consulta il Bollettino sulla sicurezza di Anthos su VMware. Di recente il progetto Envoy ha rilevato una serie di vulnerabilità. Tutti i problemi elencati di seguito sono stati risolti nella versione 1.21.1 di Envoy.
Che cosa devo fare? Gli utenti di Envoy che gestiscono i propri Envoy devono assicurarsi di utilizzare la versione 1.21.1 di Envoy. Gli utenti che gestiscono i propri Envoy inviano i programmi binari da un'origine come GitHub e ne eseguono il deployment. Non sono presenti azioni da parte di utenti che eseguono Envoy gestiti (GCP fornisce i programmi binari di Envoy), per i quali i prodotti Cloud passeranno alla 1.21.1. |
Alte |
CVE-2022-23606 CVE-2022-21655 CVE-2021-43826 CVE-2021-43825 CVE-2021-43824 CVE-212-216-21622222222222222222222222222222121212121212121242255557 |
GCP-2022-007
Data di pubblicazione: 22-02-2022Descrizione
Descrizione | Gravità | Note |
---|---|---|
I seguenti CVE Envoy e Istio espongono Anthos Service Mesh e Istio su GKE a vulnerabilità sfruttabili da remoto:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini di sicurezza: |
Alte |
GCP-2022-006
Data di pubblicazione: 14-02-2022Ultimo aggiornamento: 16-05-2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 16-05-2022: è stato aggiunto GKE versione 1.19.16-gke.7800 o successiva all'elenco delle versioni con codice per correggere questa vulnerabilità. Per maggiori dettagli, consulta il Bollettino sulla sicurezza di GKE. Aggiornamento 12/05/2022: sono state aggiornate le versioni di GKE, Cluster Anthos su VMware, Cluster Anthos su AWS e Anthos su Azure. Per le istruzioni e ulteriori dettagli, consulta:
È stata rilevata una vulnerabilità di sicurezza, CVE-2022-0492, nella funzione |
Basse |
Per istruzioni e maggiori dettagli, consulta i seguenti articoli: |
GCP-2022-005
Data di pubblicazione: 11-02-2022Ultimo aggiornamento: 15-02-2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stata rilevata una vulnerabilità di sicurezza CVE-2021-43527 in qualsiasi programma binario che rimanda alle versioni vulnerabili di libnss3 presenti nelle versioni NSS (Network Security Services) precedenti alla 3.73 o alla 3.68.1. Le applicazioni che utilizzano NSS per la convalida dei certificati o altre funzionalità di TLS, X.509, OCSP o CRL potrebbero essere interessate, a seconda di come viene utilizzato/configurato NSS. Per istruzioni e maggiori dettagli, consulta i seguenti articoli: |
Medie | CVE-2021-43527 |
GCP-2022-004
Data di pubblicazione: 04-02-2022Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stata rilevata una vulnerabilità di sicurezza CVE-2021-4034 in pkexec, una parte del pacchetto di criteri Linux (polkit), che consente a un utente autenticato di eseguire un attacco di riassegnazione dei privilegi. PolicyKit viene generalmente utilizzato solo sui sistemi desktop Linux per consentire agli utenti non root di eseguire azioni come il riavvio del sistema, l'installazione di pacchetti, il riavvio di servizi e così via, come regolato da un criterio. Per istruzioni e maggiori dettagli, consulta i seguenti articoli: |
Nessuna | CVE-2021-4034 |
GCP-2022-002
Data di pubblicazione: 01-02-2022Ultimo aggiornamento: 25-02-2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 25-02-2022: le versioni di GKE sono state aggiornate. Per le istruzioni e ulteriori dettagli, consulta: Aggiornamento 23-02-2022: sono stati aggiornati i cluster GKE e Anthos sulle versioni VMware. Per le istruzioni e ulteriori dettagli, consulta: Aggiornamento 04-02-2022: la data di inizio dell'implementazione delle versioni delle patch GKE era il 2 febbraio. Nel kernel Linux sono state rilevate tre vulnerabilità di sicurezza, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185, ciascuna delle quali può causare un interruzione del container, un'escalation dei privilegi sull'host o entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi (COS e Ubuntu) su GKE, i cluster Anthos su VMware, i cluster Anthos su AWS (generazione attuale e precedente) e Anthos su Azure. I pod che utilizzano GKE Sandbox non sono vulnerabili a queste vulnerabilità. Per maggiori dettagli, consulta le note di rilascio di COS. Per istruzioni e maggiori dettagli, consulta i seguenti articoli: |
Alte |
GCP-2022-001
Data di pubblicazione: 06-01-2022Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stato rilevato un potenziale problema
Denial of Service in Che cosa devo fare? Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software:
I protobuf "javalite" gli utenti (in genere Android) non sono interessati. Quali vulnerabilità vengono gestite da questa patch? La patch attenua la seguente vulnerabilità: Una vulnerabilità di implementazione del modo in cui i campi sconosciuti vengono analizzati in Java. Un piccolo payload dannoso di circa 800 kB può occupare l'analizzatore sintattico per diversi minuti creando un numero elevato di oggetti di breve durata che causano frequenti e ripetute sospensioni della spazzatura. |
Alte | CVE-2021-22569 |
GCP-2021-024
Data di pubblicazione: 21-10-2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stato rilevato un problema di sicurezza nel controller ingress-nginx Kubernetes, CVE-2021-25742. Gli snippet personalizzati Ingress-nginx consentono il recupero dei token e dei secret dell'account di servizio ingress-nginx in tutti gli spazi dei nomi. Per istruzioni e maggiori dettagli, consulta i seguenti articoli: | Nessuna | CVE-2021-25742 |
GCP-2021-019
Data di pubblicazione: 29/09/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Esiste un problema noto per cui l'aggiornamento di una risorsa Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di GKE. |
Basse |
GCP-2021-022
Data di pubblicazione: 22-09-2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stata rilevata una vulnerabilità nel modulo LDAP di Anthos Identity Service (AIS) dei cluster Anthos sulle versioni VMware 1.8 e 1.8.1, dove una chiave di origine utilizzata per generare le chiavi è prevedibile. Con questa vulnerabilità, un utente autenticato potrebbe aggiungere rivendicazioni arbitrarie e riassegnare i privilegi a tempo indeterminato. Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di Anthos su VMware. |
Alte |
GCP-2021-021
Data di pubblicazione: 22-09-2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
In Kubernetes è stata rilevata una vulnerabilità di sicurezza CVE-2020-8561, in cui è possibile effettuare determinati webhook per reindirizzare le richieste kube-apiserver a reti private di quel server API. Per istruzioni e maggiori dettagli, consulta i seguenti articoli: |
Medie | CVE-2020-8561 |
GCP-2021-023
Data di pubblicazione: 21-09-2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Secondo l'avviso di sicurezza VMware VMSA-2021-0020, VMware ha ricevuto report di più vulnerabilità in vCenter. VMware ha reso disponibili aggiornamenti per porre rimedio a queste vulnerabilità nei prodotti VMware interessati. Abbiamo già applicato le patch fornite da VMware per lo stack vSphere a Google Cloud VMware Engine in base all'avviso sulla sicurezza VMware. Questo aggiornamento riguarda le vulnerabilità di sicurezza descritte in CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 e CVE-2021-22010. Altri problemi di sicurezza non critici verranno risolti nel prossimo upgrade dello stack VMware (come indicato nell'avviso inviato a luglio, a breve verranno forniti maggiori dettagli sulla tempistica specifica dell'upgrade). Impatto di VMware EngineIn base alle nostre indagini, nessun cliente è stato interessato. Che cosa devo fare?Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni. |
Critico |
GCP-2021-020
Data di pubblicazione: 17-09-2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Alcuni bilanciatori del carico di Google Cloud che eseguono il routing a un servizio di backend abilitato per Identity-Aware Proxy (IAP) potrebbero essere vulnerabili a una parte non attendibile in condizioni limitate. Risolve un problema segnalato tramite il nostro Vulnerability Reward Program. Le condizioni erano che i server:
Inoltre, un utente della tua organizzazione deve aver fatto clic su un link creato specificamente da un utente non attendibile. Il problema è stato risolto. A partire dal 17 settembre 2021, IAP è stato aggiornato per emettere cookie solo negli host autorizzati. Un host è considerato autorizzato se corrisponde ad almeno un Nome alternativo del soggetto (SAN) in uno dei certificati installati sui tuoi bilanciatori del carico. Cosa fare
Alcuni utenti potrebbero riscontrare una risposta HTTP 401 non autorizzata con un codice di errore IAP 52 durante il tentativo di accedere ad app o servizi. Questo codice di errore indica che il client ha inviato un'intestazione |
Alte |
GCP-2021-018
Data di pubblicazione: 15-09-2021Ultimo aggiornamento: 20-09-2021
Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stato rilevato un problema di sicurezza in Kubernetes, CVE-2021-25741, in cui un utente potrebbe essere in grado di creare un container con montaggi di volume del percorso secondario per accedere ai file e a directory esterne al volume, anche nel file system dell'host. Per istruzioni e maggiori dettagli, consulta i seguenti articoli: |
Alte | CVE-2021-25741 |
GCP-2021-017
Data di pubblicazione: 01/09/2021Ultimo aggiornamento: 23/09/2021
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 23-09-2021: i container in esecuzione all'interno di Sandbox di GKE non sono interessati da questa vulnerabilità per gli attacchi che si verificano all'interno del container. Nel kernel Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2021-33909 e CVE-2021-33910, che possono causare un arresto anomalo del sistema operativo o un'escalation al root di un utente senza privilegi. Questa vulnerabilità interessa tutti i sistemi operativi dei nodi GKE (COS e Ubuntu). Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini di sicurezza: |
Alte | CVE-2021-33909, CVE-2021-33910 |
GCP-2021-016
Data di pubblicazione: 24-08-2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
I seguenti CVE Envoy e Istio espongono Anthos Service Mesh e Istio su GKE a vulnerabilità sfruttabili da remoto:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini di sicurezza: |
Alte |
GCP-2021-015
Data di pubblicazione: 13-07-2021Ultimo aggiornamento: 15-07-2021
Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stata rilevata una nuova vulnerabilità di sicurezza, CVE-2021-22555, in cui un utente malintenzionato con privilegi di Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini di sicurezza: |
Alte | CVE-2021-22555 |
GCP-2021-014
Data di pubblicazione: 05-07-2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Microsoft ha pubblicato un bollettino sulla sicurezza in una vulnerabilità di esecuzione del codice remoto (RCE), CVE-2021-34527, che interessa lo spooler di stampa nei server Windows. Il CERT Coordination Center (CERT/CC) ha pubblicato una nota di aggiornamento su una vulnerabilità correlata, soprannominata "PrintNightmare", che interessa anche gli spooler di stampa di Windows - PrintNightmare, Critical Windows Print Spooler Vulnerability. Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di GKE. |
Alte | CVE-2021-34527 |
GCP-2021-012
Data di pubblicazione: 24-06-2021Ultimo aggiornamento: 09-07-2021
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Il progetto Istio ha recentemente annunciato una vulnerabilità di sicurezza in cui è possibile accedere alle credenziali specificate nel campo Gateway e DestinationRule credentialName da diversi spazi dei nomi. Per istruzioni specifiche per il prodotto e ulteriori dettagli, consulta:
|
Alte | CVE-2021-34824 |
GCP-2021-011
Data di pubblicazione: 04-06-2021Ultimo aggiornamento: 19/10/2021
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 19-10-2021: Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini di sicurezza:
La community di sicurezza ha recentemente rivelato una nuova vulnerabilità di sicurezza (CVE-2021-30465)
trovata in Per GKE, poiché l'utilizzo di questa vulnerabilità richiede la capacità di creare pod, abbiamo valutato la gravità di questa vulnerabilità in MEDIUM. Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di GKE. |
Medie | CVE-2021-30465 |
GCP 2021-010
Data di pubblicazione: 25-05-2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Secondo l'avviso di sicurezza VMware VMSA-2021-0010, l'esecuzione di codice da remoto e l'autenticazione ignorano le vulnerabilità in vSphere Client (HTML5) sono state segnalate privatamente a VMware. VMware ha reso disponibili aggiornamenti per porre rimedio a queste vulnerabilità nei prodotti VMware interessati. Abbiamo applicato le patch fornite da VMware per lo stack vSphere in base all'avviso di sicurezza VMware. Questo aggiornamento riguarda le vulnerabilità di sicurezza descritte in CVE-2021-21985 e CVE-2021-21986. Le versioni dell'immagine in esecuzione nel cloud privato di VMware Engine non riflettono alcuna modifica in questo momento per indicare le patch applicate. Ti garantiamo che sono state installate patch appropriate e che il tuo ambiente è protetto da queste vulnerabilità. Impatto di VMware EngineIn base alle nostre indagini, nessun cliente è stato interessato. Che cosa devo fare?Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni. |
Critico |
GCP-2021-008
Data di pubblicazione: 17-05-2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Istio contiene una vulnerabilità sfruttabile da remoto e un client esterno può accedere ai servizi imprevisti nel cluster, bypassando i controlli di autorizzazione quando un gateway è configurato con configurazione del routing Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh. |
Alte |
CVE-2021-31921 |
GCP-2021-007
Data di pubblicazione: 17-05-2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Istio contiene una vulnerabilità sfruttabile da remoto, per cui un percorso di richiesta HTTP con più barre o caratteri di escape ( Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh. |
Alte |
CVE-2021-31920 |
GCP-2021-006
Data di pubblicazione: 11-05-2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Di recente il progetto Istio ha reso nota una nuova vulnerabilità di sicurezza (CVE-2021-31920) che interessa Istio. Istio contiene una vulnerabilità sfruttabile da remoto, per cui una richiesta HTTP con più barre o caratteri di escape può ignorare il criterio di autorizzazione di Istio quando vengono utilizzate regole di autorizzazione basate sul percorso. Per istruzioni e maggiori dettagli, consulta i seguenti articoli: |
Alte |
CVE-2021-31920 |
GCP-2021-005
Data di pubblicazione: 11-05-2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Una vulnerabilità segnalata ha mostrato che Envoy non decodifica le sequenze di barre con escape Che cosa devo fare?
Se i server di backend trattano Quali modifiche di comportamento sono state introdotte?Le opzioni normalize_path e unione delle barre adiacenti di Envoy sono state abilitate per risolvere altre vulnerabilità comuni di confusione sui percorsi nei prodotti basati su Envoy. |
Alte |
CVE-2021-29492 |
GCP-2021-004
Data di pubblicazione: 06-05-2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
I progetti Envoy e Istio hanno annunciato di recente diverse nuove vulnerabilità di sicurezza (CVE-2021-28683, CVE-2021-28682 e CVE-2021-29258), che potrebbero consentire a un utente malintenzionato di causare un arresto anomalo di Envoy. I cluster Google Kubernetes Engine non eseguono Istio per impostazione predefinita e non sono vulnerabili. Se Istio è stato installato in un cluster e configurato per esporre i servizi a Internet, tali servizi potrebbero essere vulnerabili all'operazione denial of service. I cluster Anthos su Bare Metal e Anthos su VMware utilizzano Envoy per impostazione predefinita per Ingress; pertanto, i servizi Ingress potrebbero essere vulnerabili agli attacchi DoS. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini di sicurezza: |
Medie |
GCP-2021-003
Data di pubblicazione: 19/04/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Il progetto Kubernetes ha annunciato di recente una nuova vulnerabilità di sicurezza, CVE-2021-25735, che potrebbe consentire agli aggiornamenti dei nodi di ignorare un webhook di ammissione in convalida.
In uno scenario in cui un utente malintenzionato ha privilegi
sufficienti e viene implementato un webhook di ammissione in convalida che
utilizza le precedenti proprietà dell'oggetto Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini di sicurezza: |
Medie |
GCP-2021-002
Data di pubblicazione: 05-03-2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Secondo l'avviso di sicurezza VMware VMSA-2021-0002, VMware ha ricevuto report di più vulnerabilità in VMware ESXi e vSphere Client (HTML5). VMware ha reso disponibili aggiornamenti per porre rimedio a queste vulnerabilità nei prodotti VMware interessati. Abbiamo applicato le soluzioni alternative ufficialmente documentate per lo stack vSphere in base all'avviso di sicurezza di VMware. Questo aggiornamento riguarda le vulnerabilità di sicurezza descritte in CVE-2021-21972, CVE-2021-21973 e CVE-2021-21974. Impatto di VMware EngineIn base alle nostre indagini, nessun cliente è stato interessato. Che cosa devo fare?Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni. |
Critico |
GCP-2021-001
Data di pubblicazione: 28-01-2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Di recente è stata rilevata una vulnerabilità nell'utilità Linux L'infrastruttura sottostante che esegue Compute Engine non è interessata da questa vulnerabilità. Tutti i cluster Google Kubernetes Engine (GKE), Anthos su VMware, cluster Anthos su AWS e Anthos su Bare Metal non sono interessati da questa vulnerabilità. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini di sicurezza: |
Nessuna | CVE-2021-3156 |
GCP 2020-015
Data di pubblicazione: 07-12-2020Ultimo aggiornamento: 22-12-2020
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento: 22-12-2021 Il comando per GKE
nella sezione seguente deve utilizzare
gcloud container clusters update –no-enable-service-externalips Aggiornamento: 15-12-2021 Per GKE è ora disponibile la seguente mitigazione:
Per maggiori informazioni, consulta la pagina sulla protezione della sicurezza del cluster. Il progetto Kubernetes ha scoperto di recente una nuova vulnerabilità di sicurezza, CVE-2020-8554, che potrebbe consentire a un utente malintenzionato che ha ottenuto le autorizzazioni per creare un servizio Kubernetes di tipo LoadBalancer o ClusterIP per intercettare il traffico di rete proveniente da altri pod nel cluster. Questa vulnerabilità da sola non concede a un utente malintenzionato le autorizzazioni per creare un servizio Kubernetes. Tutti i cluster Google Kubernetes Engine (GKE), Anthos su VMware e Anthos su cluster AWS sono interessati da questa vulnerabilità. Che cosa devo fare?Per istruzioni e ulteriori dettagli, consulta: |
Medie |
CVE-2020-8554 |
GCP 2020-014
Data di pubblicazione: 20-10-2020Aggiornamento: 20-10-2020
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Il progetto Kubernetes ha rilevato di recente diversi problemi che consentono l'esposizione dei dati segreti quando sono abilitate le opzioni di logging dettagliato. I problemi sono:
Che cosa devo fare?Non sono richieste ulteriori azioni a causa dei livelli di logging dettagliati predefiniti di GKE. |
Nessuna |
Impatto su Google Cloud
Di seguito sono riportati i dettagli per prodotto.
Prodotto |
Impatto |
---|---|
Google Kubernetes Engine (GKE) non è interessato. |
|
GKE On-Prem non è interessato. |
|
GKE su AWS non è interessato. |
GCP 2020-013
Data di pubblicazione: 29-09-2020Descrizione
Microsoft ha divulgato la seguente vulnerabilità:
Vulnerabilità |
Gravità |
CVE |
---|---|---|
CVE-2020-1472: una vulnerabilità in Windows Server consente agli utenti malintenzionati di utilizzare Netlogon Remote Protocol per eseguire un'applicazione appositamente creata su un dispositivo sulla rete. |
Punteggio base NVD: 10 (Critico) |
Per ulteriori informazioni, consulta l'informativa di Microsoft.
Impatto su Google Cloud
L'infrastruttura che ospita i prodotti Google Cloud e Google non è interessata da questa vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.
Prodotto |
Impatto |
---|---|
Compute Engine |
CVE-2020-1472 |
Google Kubernetes Engine |
CVE-2020-1472 |
Managed Service per Microsoft Active Directory |
CVE-2020-1472 |
Google Workspace |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Ambiente standard di App Engine |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Ambiente flessibile di App Engine |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Cloud Run |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Cloud Functions |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Cloud Composer |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Dataflow |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Dataproc |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Cloud SQL |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
GCP-2020-012
Data di pubblicazione: 14-09-2020Ultimo aggiornamento: 17-09-2020
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Di recente è stata rilevata una vulnerabilità nel kernel Linux, descritta in CVE-2020-14386, che potrebbe consentire all'escape del container di ottenere privilegi root sul nodo host. Tutti i nodi GKE sono interessati. I pod in esecuzione in GKE Sandbox non sono in grado di sfruttare questa vulnerabilità. Per istruzioni e maggiori dettagli, consulta i seguenti articoli:
Quale vulnerabilità viene affrontata da questa patch? La patch mitiga la seguente vulnerabilità: La vulnerabilità CVE-2020-14386, che consente ai container con CAP_NET_RAW di scrivere da 1 a 10 byte di memoria del kernel, ed eventualmente eseguire l'escape del container e ottenere i privilegi root sul nodo host. Questa è classificata come vulnerabilità di gravità elevata. |
Alte |
GCP-2020-011
Data di pubblicazione: 24-07-2020Descrizione
Descrizione | Gravità | Note |
---|---|---|
In Kubernetes è stata rilevata di recente una vulnerabilità di rete, CVE-2020-8558. A volte i servizi comunicano con altre applicazioni in esecuzione all'interno dello stesso pod utilizzando l'interfaccia di loopback locale (127.0.0.1). Questa vulnerabilità consente a un utente malintenzionato con accesso alla rete del cluster di inviare traffico all'interfaccia di loopback di pod e nodi adiacenti. È possibile utilizzare servizi che dipendono dall'interfaccia di loopback non accessibile al di fuori del loro pod. Per istruzioni e maggiori dettagli, consulta i seguenti articoli: |
Basso (cluster GKE e Anthos su AWS), |
GCP 2020-010
Data di pubblicazione: 27-07-2020Descrizione
Microsoft ha divulgato la seguente vulnerabilità:
Vulnerabilità |
Gravità |
CVE |
---|---|---|
CVE-2020-1350: i server Windows che forniscono la capacità di un server DNS possono essere sfruttati per eseguire codice non attendibile dall'account di sistema locale. |
Punteggio base NVD: 10.0 (Critico) |
Per ulteriori informazioni, consulta l'informativa di Microsoft.
Impatto su Google Cloud
L'infrastruttura che ospita i prodotti Google Cloud e Google non è interessata da questa vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.
Prodotto |
Impatto |
---|---|
Compute Engine |
CVE-2020-1350 |
Google Kubernetes Engine |
CVE-2020-1350 |
Managed Service per Microsoft Active Directory |
CVE-2020-1350 |
Google Workspace |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Ambiente standard di App Engine |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Ambiente flessibile di App Engine |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Cloud Run |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Cloud Functions |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Cloud Composer |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Dataflow |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Dataproc |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Cloud SQL |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
GCP 2020-009
Data di pubblicazione: 15-07-2020Descrizione
Descrizione | Gravità | Note |
---|---|---|
In Kubernetes è stata recentemente rilevata una vulnerabilità di escalation dei privilegi CVE-2020-8559. Questa vulnerabilità consente a un utente malintenzionato che ha già compromesso un nodo di eseguire un comando in qualsiasi pod del cluster. L'utente malintenzionato può quindi utilizzare il nodo già compromesso per compromettere altri nodi e potenzialmente leggere informazioni o causare azioni dannose. Ricorda che, per impedire a un utente malintenzionato di sfruttare questa vulnerabilità, un nodo nel tuo cluster deve essere già stato compromesso. Questa vulnerabilità, da sola, non comprometterà i nodi nel cluster. Per istruzioni e maggiori dettagli, consulta i seguenti articoli: |
Medie |
GCP-2020-008
Data di pubblicazione: 19-06-2020Descrizione
Descrizione | Gravità | Note |
---|---|---|
DescrizioneLe VM per cui è abilitato OS Login potrebbero essere suscettibili di privilegi di vulnerabilità dei privilegi. Queste vulnerabilità offrono agli utenti cui sono concesse le autorizzazioni di accesso al sistema operativo (ma non a cui viene concesso l'accesso amministrativo) la possibilità di riassegnare l'accesso root nella VM. Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di Compute Engine.
|
Alte |
GCP-2020-007
Data di pubblicazione: 01-06-2020Descrizione
Descrizione | Gravità | Note |
---|---|---|
La vulnerabilità Server Side Request Forgery (SSRF), CVE-2020-8555, è stata recentemente scoperta in Kubernetes, consentendo a determinati utenti autorizzati di divulgare fino a 500 byte di informazioni sensibili dalla rete dell'host del piano di controllo. Il piano di controllo di Google Kubernetes Engine (GKE) utilizza controller di Kubernetes e viene quindi interessato da questa vulnerabilità. Ti consigliamo di eseguire l'upgrade del piano di controllo all'ultima versione della patch. Non è necessario eseguire l'upgrade di un nodo. Per istruzioni e maggiori dettagli, consulta i seguenti articoli: |
Medie |
GCP-2020-006
Data di pubblicazione: 01-06-2020Descrizione
Descrizione | Gravità | Note |
---|---|---|
Kubernetes ha divulgato una vulnerabilità che consente a un container con privilegi di reindirizzare il traffico dei nodi a un altro container. Il traffico reciproco TLS/SSH, ad esempio tra il kubelet e il server API o il traffico da applicazioni che utilizzano mTLS, non può essere letto o modificato da questo attacco. Tutti i nodi di Google Kubernetes Engine (GKE) sono interessati da questa vulnerabilità e ti consigliamo di eseguire l'upgrade alla versione più recente della patch. Per istruzioni e maggiori dettagli, consulta i seguenti articoli: |
Medie |
GCP-2020-005
Data di pubblicazione: 07-05-2020Descrizione
Vulnerabilità |
Gravità |
CVE |
---|---|---|
Recentemente è stata scoperta una vulnerabilità nel kernel Linux, descritta in CVE-2020-8835, che consente di uscire dai limiti del container per ottenere privilegi di utente root sul nodo host. I nodi di Google Kubernetes Engine (GKE) Ubuntu che eseguono GKE 1.16 o 1.17 sono interessati da questa vulnerabilità e ti consigliamo di eseguire l'upgrade alla versione più recente della patch il prima possibile. Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza GKE. |
Alte |
GCP-2020-004
Data di pubblicazione: 31-03-2020Ultimo aggiornamento: 31-03-2020
Descrizione
Kubernetes ha divulgato le seguenti vulnerabilità:
Vulnerabilità |
Gravità |
CVE |
---|---|---|
CVE-2019-11254: Si tratta di una vulnerabilità denial of service (DoS) che influisce sul server API. |
Medie |
Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cluster Anthos su VMware.
GCP-2020-003
Data di pubblicazione: 31-03-2020Ultimo aggiornamento: 31-03-2020
Descrizione
Kubernetes ha divulgato le seguenti vulnerabilità:
Vulnerabilità |
Gravità |
CVE |
---|---|---|
CVE-2019-11254: Si tratta di una vulnerabilità denial of service (DoS) che influisce sul server API. |
Medie |
Per istruzioni e dettagli, consulta il Bollettino sulla sicurezza di GKE.
GCP-2020-002
Data di pubblicazione: 23-03-2020Ultimo aggiornamento: 23-03-2020
Descrizione
Kubernetes ha divulgato le seguenti vulnerabilità:
Vulnerabilità |
Gravità |
CVE |
---|---|---|
CVE-2020-8551: Si tratta di una vulnerabilità di tipo Denial of Service (DoS) che influisce sul kubelet. |
Medie |
|
CVE-2020-8552: Si tratta di una vulnerabilità denial of service (DoS) che influisce sul server API. |
Medie |
Per istruzioni e dettagli, consulta il Bollettino sulla sicurezza di GKE.
GCP-2020-001
Data di pubblicazione: 21-01-2020Aggiornamento: 21-01-2020
Descrizione
Microsoft ha divulgato la seguente vulnerabilità:
Vulnerabilità |
Gravità |
CVE |
---|---|---|
CVE-2020-0601 — Questa vulnerabilità è nota anche come vulnerabilità di Spoofing dell'API Windows Crypto. Potrebbe essere sfruttato per far apparire eseguibili dannosi o consentire all'utente malintenzionato di eseguire attacchi man in the middle e decriptare le informazioni riservate sulle connessioni utente al software interessato. |
Punteggio base NVD: 8,1 (Alta) |
Per ulteriori informazioni, consulta l'informativa di Microsoft.
Impatto su Google Cloud
L'infrastruttura che ospita i prodotti Google Cloud e Google non è interessata da questa vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.
Prodotto |
Impatto |
---|---|
Compute Engine |
CVE-2020-0601 |
Google Kubernetes Engine |
CVE-2020-0601 |
Managed Service per Microsoft Active Directory |
CVE-2020-0601 |
Google Workspace |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Ambiente standard di App Engine |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Ambiente flessibile di App Engine |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Cloud Run |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Cloud Functions |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Cloud Composer |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Dataflow |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Dataproc |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Cloud SQL |
Non è richiesta alcuna azione da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
GCP-2019-001
Data di pubblicazione: 12-11-2019Aggiornamento: 12-11-2019
Descrizione
Intel ha divulgato le seguenti vulnerabilità:
Vulnerabilità |
Gravità |
CVE |
---|---|---|
CVE-2019-11135 — Questa vulnerabilità, indicata come TSX Async Abort (TAA) può essere utilizzata per sfruttare l'esecuzione speculativa in una transazione TSX. Questa vulnerabilità può determinare un'esposizione dei dati attraverso le stesse strutture di dati della microarchitettura esposte dal Microarchitectural Data Sampling (MDS). |
Medie |
|
CVE-2018-12207 — Questa è una vulnerabilità di tipo Denial of Service (DoS) che interessa le macchine virtuali host (non ospiti). Questo problema è noto come "Machine Check Error on Page Size Change". |
Medie |
Per ulteriori informazioni, consulta le divulgazioni di Intel:
Impatto su Google Cloud
L'infrastruttura che ospita Google Cloud e i prodotti Google è protetta da queste vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.
Prodotto |
Impatto |
---|---|
Compute Engine |
CVE-2019-11135 CVE-2018-12207 |
Google Kubernetes Engine |
CVE-2019-11135 CVE-2018-12207 |
Ambiente standard di App Engine |
Non è necessario alcun intervento aggiuntivo. |
Ambiente flessibile di App Engine |
CVE-2019-11135 CVE-2018-12207 |
Cloud Run |
Non è necessario alcun intervento aggiuntivo. |
Cloud Functions |
Non è necessario alcun intervento aggiuntivo. |
Cloud Composer |
Non è necessario alcun intervento aggiuntivo. |
Dataflow |
CVE-2019-11135 CVE-2018-12207 |
Dataproc |
CVE-2019-11135 CVE-2018-12207 |
Cloud SQL |
Non è necessario alcun intervento aggiuntivo. |