Bollettini sulla sicurezza

I seguenti bollettini di sicurezza sono correlati ai prodotti Google Cloud.

Utilizza questo feed XML per iscriverti ai bollettini di sicurezza per questa pagina. Iscriviti

GCP-2022-018

Data di pubblicazione: 01/08/2022

Descrizione

Descrizione Gravità Note

Nel kernel Linux è stata rilevata una nuova vulnerabilità (CVE-2022-2327) che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di raggiungere un attacco completo del container per eseguire il root nel nodo.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

Alte CVE-2022-2327

GCP-2022-017

Data di pubblicazione: 29-06-2022

Descrizione

Descrizione Gravità Note

Aggiornamento 21-07-2022: informazioni aggiuntive sui cluster Anthos su VMware.


Una nuova vulnerabilità (CVE-2022-1786) è stata rilevata nelle versioni del kernel Linux 5.10 e 5.11. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di eseguire il peering di container completo per eseguire il root nel nodo. Sono interessati solo i cluster che eseguono Container-Optimized OS. Le versioni di GKE Ubuntu utilizzano la versione 5.4 o 5.15 del kernel e non sono interessate.

Per istruzioni e maggiori dettagli, consulta i seguenti articoli:

Alte CVE-2022-1786

GCP-2022-016

Data di pubblicazione: 23-06-2022

Ultimo aggiornamento: 29-07-2022

Descrizione

Descrizione Gravità Note

Nel kernel Linux sono state scoperte tre nuove vulnerabilità di corruzione della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di eseguire il deployment completo di un container per eseguire il root nel nodo. Sono interessati tutti i cluster Linux (Container-Optimized OS e Ubuntu).

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

Alte

GCP-2022-015

Data di pubblicazione: 09-06-2022
Ultimo aggiornamento: 10-06-2022

Descrizione

Descrizione Gravità Note

Aggiornamento 10-06-2022: le versioni di Anthos Service Mesh sono state aggiornate. Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.


I seguenti CVE Envoy e Istio espongono Anthos Service Mesh e Istio su GKE a vulnerabilità sfruttabili da remoto:

  • CVE-2022-31045: Il piano dati di Istio può potenzialmente accedere alla memoria in modo non sicuro quando le estensioni Scambio metadati e Statistiche sono abilitate.
  • CVE-2022-29225: i dati possono superare i limiti di buffer intermedi se un utente malintenzionato supera un piccolo payload molto compresso (attacco bomba ZIP).
  • CVE-2021-29224: Riferimento potenzialmente nullo in GrpcHealthCheckerImpl.
  • CVE-2021-29226: il filtro OAuth consente l'elusione banale.
  • CVE-2022-29228: il filtro OAuth può danneggiare la memoria (versioni precedenti) o attivare un ASSERT() (versioni successive).
  • CVE-2022-29227: arresto anomalo dei reindirizzamenti interni per le richieste con corpo o trailer.

Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.

Critico

GCP-2022-014

Data di pubblicazione: 26-04-2022
Ultimo aggiornamento: 12-05-2022

Descrizione

Descrizione Gravità Note

Aggiornamento 2022-05-12: I cluster Anthos su AWS e Anthos su Azure sono stati aggiornati. Per le istruzioni e ulteriori dettagli, consulta:

Nel kernel Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno può portare un utente malintenzionato locale a eseguire un'interruzione del container, un'escalation dei privilegi sull'host o entrambi. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu). Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini di sicurezza:

Alte CVE-2022-1055
CVE-2022-27666

GCP-2022-013

Data di pubblicazione: 11/04/2022
Ultimo aggiornamento: 22/04/2022

Descrizione

Descrizione Gravità Note

È stata rilevata una vulnerabilità di sicurezza, CVE-2022-23648 nella gestione dell'attraversamento del percorso di containerd nella specifica del volume delle immagini OCI. I container lanciati tramite un'implementazione CRI di containerd con una configurazione dell'immagine appositamente creata potrebbero ottenere l'accesso completo in lettura a file e directory arbitrari sull'host. Questa vulnerabilità può ignorare qualsiasi applicazione basata su criteri nella configurazione del container (incluso un criterio di sicurezza dei pod di Kubernetes).

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini di sicurezza:

Medie CVE-2022-23648

GCP-2022-012

Data di pubblicazione: 07-04-2022

Descrizione

Descrizione Gravità Note

Una vulnerabilità di sicurezza, CVE-2022-0847, è stata rilevata nel kernel Linux versione 5.8 e successive che può potenzialmente riassegnare i privilegi dei container al root. Questa vulnerabilità interessa i seguenti prodotti:

  • Pool di nodi GKE versioni 1.22 e successive che utilizzano immagini di Container-Optimized OS (Container-Optimized OS 93 e versioni successive)
  • Cluster Anthos su VMware v1.10 per le immagini del sistema operativo ottimizzato per i container
  • Cluster Anthos su AWS v1.21 e cluster Anthos su AWS (generazione precedente) v1.19, v1.20, v1.21, che utilizzano Ubuntu
  • Cluster gestiti di Anthos su Azure v1.21 che utilizzano Ubuntu

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini di sicurezza:

Alte CVE-2022-0847

GCP-2022-011

Data di pubblicazione: 22-03-2022

Descrizione

Descrizione Gravità

Si è verificato un errore di configurazione con il multi-threading (SMT) simultaneo, noto anche come iper-threading, nelle immagini di GKE Sandbox. L'errore di configurazione comporta la presenza di nodi potenzialmente esposti ad attacchi ai canali secondari, ad esempio Microarchitectural Data Sampling (VMS). Per saperne di più, consulta la documentazione di GKE Sandbox. Sconsigliamo di utilizzare le seguenti versioni interessate:

  • 1.22.4-gke.1501
  • 1.22.6-gke.300
  • 1.23.2-gke.300
  • 1.23.3-gke.600

Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di GKE.

Medie

GCP 2022-010

Descrizione

Descrizione Gravità Note

Il seguente CVE Istio espone Anthos Service Mesh a una vulnerabilità sfruttabile da remoto:

  • CVE-2022-24726: Il piano di controllo di Istio, "istiod", è vulnerabile a un errore di elaborazione delle richieste, consentendo a un utente malintenzionato che invia un messaggio creato appositamente che comporta l'arresto anomalo del piano di controllo quando il webhook di convalida di un cluster viene esposto pubblicamente. Questo endpoint viene gestito sulla porta TLS 15017 ma non richiede alcuna autenticazione da parte dell'utente malintenzionato.

Per istruzioni e altri dettagli, consulta il seguente bollettino sulla sicurezza:

Alte

GCP 2022-009

Data di pubblicazione: 01-03-2022

Descrizione

Descrizione Gravità

Alcuni percorsi imprevisti per accedere alla VM del nodo nei cluster GKE Autopilot potrebbero essere stati utilizzati per riassegnare i privilegi nel cluster. Questi problemi sono stati risolti e non sono richieste ulteriori azioni. Le correzioni risolvono i problemi segnalati tramite il nostro Vulnerability Reward Program.

Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di GKE

Basse

GCP-2022-008

Data di pubblicazione: 23-02-2022
Ultimo aggiornamento: 28-04-2022

Descrizione

Descrizione Gravità Note

Aggiornamento 28-04-2022: sono state aggiunte versioni dei cluster Anthos su VMware che risolvono queste vulnerabilità. Per maggiori dettagli, consulta il Bollettino sulla sicurezza di Anthos su VMware.


Di recente il progetto Envoy ha rilevato una serie di vulnerabilità. Tutti i problemi elencati di seguito sono stati risolti nella versione 1.21.1 di Envoy.
  • CVE-2022-23606: quando un cluster viene eliminato tramite Cluster Discovery Service (CDS), tutte le connessioni inattive stabilite agli endpoint in quel cluster vengono disconnesse. In la versione 1.19 di reCAPTCHA è stata introdotta per errore una procedura per scollegare le connessioni inattive che può causare l'esaurimento dello stack e la terminazione anomala dei processi quando un cluster ha un numero elevato di connessioni inattive.
  • CVE-2022-21655: il codice di reindirizzamento interno di Envoy presume che esista una voce di route. Quando viene eseguito un reindirizzamento interno a una route con una voce di risposta diretta e nessuna voce di percorso, verrà causato il mancato riferimento di un puntatore nullo e l'arresto anomalo.
  • CVE-2021-43826: quando Envoy è configurato per utilizzare tcp_proxy che utilizza il tunneling a monte (su HTTP) e la terminazione TLS a valle, Envoy si arresta in modo anomalo se il client a valle si disconnette durante l'handshake TLS mentre il flusso HTTP a monte è ancora in fase di creazione. La disconnessione a valle può essere avviata dal client o dal server. Il client può disconnettersi per qualsiasi motivo. Il server potrebbe disconnettersi se, ad esempio, non ha crittografia TLS o versioni del protocollo TLS compatibili con il client. Potrebbe essere possibile attivare questo arresto anomalo anche in altre configurazioni downstream.
  • CVE-2021-43825: l'invio di una risposta generata localmente deve interrompere l'ulteriore elaborazione dei dati della richiesta o della risposta. Envoy monitora la quantità di dati nel buffer e di risposta e interrompe la richiesta se la quantità di dati nel buffer supera il limite inviando 413 o 500 risposte. Tuttavia, quando viene inviata una risposta generata a livello locale a causa di overflow del buffer interno mentre la risposta viene elaborata dalla catena di filtri, l'operazione potrebbe non essere interrotta correttamente e determinare l'accesso a un blocco di memoria liberato.
  • CVE-2021-43824: Envoy esegue l'arresto anomalo quando si utilizza il filtro JWT con una regola di corrispondenza "safe_regex" e una richiesta creata appositamente, come "CONNECT host:port HTTP/1.1". Quando raggiungi il filtro JWT, una regola "safe_regex" dovrebbe valutare il percorso dell'URL ma non ce n'è nessuno qui e Envoy si arresta in modo anomalo con segfault.
  • CVE-2022-21654: Envoy consentirebbe in modo errato la ripresa delle sessioni TLS dopo che le impostazioni di convalida mTLS erano state riconfigurate. Se un certificato client è stato consentito con la vecchia configurazione ma non consentito con la nuova configurazione, il client potrebbe riprendere la sessione TLS precedente anche se la configurazione attuale dovrebbe impedire tale operazione. Sono interessate le modifiche alle seguenti impostazioni:
    • match_subject_alt_names
    • Modifiche CRL
    • allow_expiration_certificate
    • Verifica_catena_trust
    • only_verify_leaf_cert_crl
  • CVE-2022-21657: Envoy non limita l'insieme di certificati accettati dal peer, sia come client TLS che come server TLS, solo ai certificati che contengono il valore extensionKeyUsage necessario (id-kp-serverAuth e id-kp-clientAuth, rispettivamente). Ciò significa che un peer può presentare un certificato email (ad es. id-kp-emailProtection), come certificato foglia o come CA nella catena e sarà accettato per TLS. Ciò è particolarmente dannoso se combinato con CVE-2022-21656 , in quanto consente a una CA PKI web destinata solo all'uso con S/MIME, e quindi esente da controllo o supervisione, di emettere certificati TLS che saranno accettati da Envoy.
  • CVE-2022-21656: l'implementazione dello strumento di convalida utilizzata per implementare le routine di convalida dei certificati predefinite presenta una " & confusione; tipo di confusione" bug durante l'elaborazione subjectAltNames. Questa elaborazione consente, ad esempio, che un rfc822Name o un uniformResourceIndicator vengano autenticati come nome di dominio. Questa confusione consente di ignorare i nameConstraints, elaborati dall'implementazione sottostante OpenSSL/BoringSSL, esponendo così la possibilità di rappresentazione dei server arbitrari.
Per istruzioni dettagliate sui prodotti specifici, consulta i seguenti bollettini di sicurezza:
Che cosa devo fare?
Gli utenti di Envoy che gestiscono i propri Envoy devono assicurarsi di utilizzare la versione 1.21.1 di Envoy. Gli utenti che gestiscono i propri Envoy inviano i programmi binari da un'origine come GitHub e ne eseguono il deployment.

Non sono presenti azioni da parte di utenti che eseguono Envoy gestiti (GCP fornisce i programmi binari di Envoy), per i quali i prodotti Cloud passeranno alla 1.21.1.
Alte CVE-2022-23606
CVE-2022-21655
CVE-2021-43826
CVE-2021-43825
CVE-2021-43824
CVE-212-216-21622222222222222222222222222222121212121212121242255557

GCP-2022-007

Data di pubblicazione: 22-02-2022

Descrizione

Descrizione Gravità Note

I seguenti CVE Envoy e Istio espongono Anthos Service Mesh e Istio su GKE a vulnerabilità sfruttabili da remoto:

  • CVE-2022-23635: Si verifica un arresto anomalo di Istio alla ricezione delle richieste con un'intestazione authorization appositamente creata.
  • CVE-2021-43824: Potenziale riferimento al suggerimento null quando si utilizza la corrispondenza del filtro JWT safe_regex
  • CVE-2021-43825: Use-after-free quando i filtri di risposta aumentano i dati di risposta e i dati superano i limiti di buffer a valle.
  • CVE-2021-43826: utilizzo senza interruzioni durante il tunneling TCP su HTTP, se a valle si disconnette durante la creazione di una connessione a monte.
  • CVE-2022-21654: la gestione della configurazione errata consente il riutilizzo della sessione mTLS senza riconvalida dopo la modifica delle impostazioni di convalida.
  • CVE-2022-21655: gestione errata dei reindirizzamenti interni alle route con voce di risposta diretta.
  • CVE-2022-23606: esaurimento dello stack quando un cluster viene eliminato tramite Cluster Discovery Service.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini di sicurezza:

Alte

GCP-2022-006

Data di pubblicazione: 14-02-2022
Ultimo aggiornamento: 16-05-2022

Descrizione

Descrizione Gravità Note

Aggiornamento 16-05-2022: è stato aggiunto GKE versione 1.19.16-gke.7800 o successiva all'elenco delle versioni con codice per correggere questa vulnerabilità. Per maggiori dettagli, consulta il Bollettino sulla sicurezza di GKE.


Aggiornamento 12/05/2022: sono state aggiornate le versioni di GKE, Cluster Anthos su VMware, Cluster Anthos su AWS e Anthos su Azure. Per le istruzioni e ulteriori dettagli, consulta:


È stata rilevata una vulnerabilità di sicurezza, CVE-2022-0492, nella funzione cgroup_release_agent_write del kernel Linux. L'attacco utilizza spazi dei nomi utente senza privilegi e, in determinate circostanze, questa vulnerabilità può essere sfruttata per l'analisi dei container.

Basse

Per istruzioni e maggiori dettagli, consulta i seguenti articoli:

GCP-2022-005

Data di pubblicazione: 11-02-2022
Ultimo aggiornamento: 15-02-2022

Descrizione

Descrizione Gravità Note

È stata rilevata una vulnerabilità di sicurezza CVE-2021-43527 in qualsiasi programma binario che rimanda alle versioni vulnerabili di libnss3 presenti nelle versioni NSS (Network Security Services) precedenti alla 3.73 o alla 3.68.1. Le applicazioni che utilizzano NSS per la convalida dei certificati o altre funzionalità di TLS, X.509, OCSP o CRL potrebbero essere interessate, a seconda di come viene utilizzato/configurato NSS.

Per istruzioni e maggiori dettagli, consulta i seguenti articoli:

Medie CVE-2021-43527

GCP-2022-004

Data di pubblicazione: 04-02-2022

Descrizione

Descrizione Gravità Note

È stata rilevata una vulnerabilità di sicurezza CVE-2021-4034 in pkexec, una parte del pacchetto di criteri Linux (polkit), che consente a un utente autenticato di eseguire un attacco di riassegnazione dei privilegi. PolicyKit viene generalmente utilizzato solo sui sistemi desktop Linux per consentire agli utenti non root di eseguire azioni come il riavvio del sistema, l'installazione di pacchetti, il riavvio di servizi e così via, come regolato da un criterio.

Per istruzioni e maggiori dettagli, consulta i seguenti articoli:

Nessuna CVE-2021-4034

GCP-2022-002

Data di pubblicazione: 01-02-2022
Ultimo aggiornamento: 25-02-2022

Descrizione

Descrizione Gravità Note

Aggiornamento 25-02-2022: le versioni di GKE sono state aggiornate. Per le istruzioni e ulteriori dettagli, consulta:

Aggiornamento 23-02-2022: sono stati aggiornati i cluster GKE e Anthos sulle versioni VMware. Per le istruzioni e ulteriori dettagli, consulta:


Aggiornamento 04-02-2022: la data di inizio dell'implementazione delle versioni delle patch GKE era il 2 febbraio.


Nel kernel Linux sono state rilevate tre vulnerabilità di sicurezza, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185, ciascuna delle quali può causare un interruzione del container, un'escalation dei privilegi sull'host o entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi (COS e Ubuntu) su GKE, i cluster Anthos su VMware, i cluster Anthos su AWS (generazione attuale e precedente) e Anthos su Azure. I pod che utilizzano GKE Sandbox non sono vulnerabili a queste vulnerabilità. Per maggiori dettagli, consulta le note di rilascio di COS.

Per istruzioni e maggiori dettagli, consulta i seguenti articoli:

Alte

GCP-2022-001

Data di pubblicazione: 06-01-2022

Descrizione

Descrizione Gravità Note

È stato rilevato un potenziale problema Denial of Service in protobuf-java nella procedura di analisi dei dati binari.

Che cosa devo fare?

Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software:

  • protobuf-java (3.16.1, 3.18.2, 3.19.2)
  • protobuf-kotlin (3.18.2, 3.19.2)
  • google-protobuf [Perla juru] (3.19.2)

I protobuf "javalite" gli utenti (in genere Android) non sono interessati.

Quali vulnerabilità vengono gestite da questa patch?

La patch attenua la seguente vulnerabilità:

Una vulnerabilità di implementazione del modo in cui i campi sconosciuti vengono analizzati in Java. Un piccolo payload dannoso di circa 800 kB può occupare l'analizzatore sintattico per diversi minuti creando un numero elevato di oggetti di breve durata che causano frequenti e ripetute sospensioni della spazzatura.

Alte CVE-2021-22569

GCP-2021-024

Data di pubblicazione: 21-10-2021

Descrizione

Descrizione Gravità Note

È stato rilevato un problema di sicurezza nel controller ingress-nginx Kubernetes, CVE-2021-25742. Gli snippet personalizzati Ingress-nginx consentono il recupero dei token e dei secret dell'account di servizio ingress-nginx in tutti gli spazi dei nomi.

Per istruzioni e maggiori dettagli, consulta i seguenti articoli:

Nessuna CVE-2021-25742

GCP-2021-019

Data di pubblicazione: 29/09/2021

Descrizione

Descrizione Gravità Note

Esiste un problema noto per cui l'aggiornamento di una risorsa BackendConfig utilizzando l'API v1beta1 rimuove un criterio di sicurezza attivo di Google Cloud Armor dal suo servizio.

Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di GKE.

Basse

GCP-2021-022

Data di pubblicazione: 22-09-2021

Descrizione

Descrizione Gravità Note

È stata rilevata una vulnerabilità nel modulo LDAP di Anthos Identity Service (AIS) dei cluster Anthos sulle versioni VMware 1.8 e 1.8.1, dove una chiave di origine utilizzata per generare le chiavi è prevedibile. Con questa vulnerabilità, un utente autenticato potrebbe aggiungere rivendicazioni arbitrarie e riassegnare i privilegi a tempo indeterminato.

Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di Anthos su VMware.

Alte

GCP-2021-021

Data di pubblicazione: 22-09-2021

Descrizione

Descrizione Gravità Note

In Kubernetes è stata rilevata una vulnerabilità di sicurezza CVE-2020-8561, in cui è possibile effettuare determinati webhook per reindirizzare le richieste kube-apiserver a reti private di quel server API.

Per istruzioni e maggiori dettagli, consulta i seguenti articoli:

Medie CVE-2020-8561

GCP-2021-023

Data di pubblicazione: 21-09-2021

Descrizione

Descrizione Gravità Note

Secondo l'avviso di sicurezza VMware VMSA-2021-0020, VMware ha ricevuto report di più vulnerabilità in vCenter. VMware ha reso disponibili aggiornamenti per porre rimedio a queste vulnerabilità nei prodotti VMware interessati.

Abbiamo già applicato le patch fornite da VMware per lo stack vSphere a Google Cloud VMware Engine in base all'avviso sulla sicurezza VMware. Questo aggiornamento riguarda le vulnerabilità di sicurezza descritte in CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 e CVE-2021-22010. Altri problemi di sicurezza non critici verranno risolti nel prossimo upgrade dello stack VMware (come indicato nell'avviso inviato a luglio, a breve verranno forniti maggiori dettagli sulla tempistica specifica dell'upgrade).

Impatto di VMware Engine

In base alle nostre indagini, nessun cliente è stato interessato.

Che cosa devo fare?

Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni.

Critico

GCP-2021-020

Data di pubblicazione: 17-09-2021

Descrizione

Descrizione Gravità Note

Alcuni bilanciatori del carico di Google Cloud che eseguono il routing a un servizio di backend abilitato per Identity-Aware Proxy (IAP) potrebbero essere vulnerabili a una parte non attendibile in condizioni limitate. Risolve un problema segnalato tramite il nostro Vulnerability Reward Program.

Le condizioni erano che i server:
  • Erano bilanciatori del carico HTTP(S) e
  • Utilizzato un backend predefinito o un backend con una regola di mappatura dell'host con caratteri jolly (vale a dire, hostproxyquot;*")

Inoltre, un utente della tua organizzazione deve aver fatto clic su un link creato specificamente da un utente non attendibile.

Il problema è stato risolto. A partire dal 17 settembre 2021, IAP è stato aggiornato per emettere cookie solo negli host autorizzati. Un host è considerato autorizzato se corrisponde ad almeno un Nome alternativo del soggetto (SAN) in uno dei certificati installati sui tuoi bilanciatori del carico.

Cosa fare

Alcuni utenti potrebbero riscontrare una risposta HTTP 401 non autorizzata con un codice di errore IAP 52 durante il tentativo di accedere ad app o servizi. Questo codice di errore indica che il client ha inviato un'intestazione Host che non corrisponde a nessun nome alternativo dell'oggetto associato ai certificati SSL del bilanciatore del carico. L'amministratore del bilanciatore del carico deve aggiornare il certificato SSL per assicurarsi che l'elenco Nome alternativo del soggetto (SAN) contenga tutti i nomi host attraverso i quali gli utenti accedono alle app o ai servizi protetti da IAP. Scopri di più sui codici di errore IAP.

Alte

GCP-2021-018

Data di pubblicazione: 15-09-2021
Ultimo aggiornamento: 20-09-2021

Descrizione

Descrizione Gravità Note

È stato rilevato un problema di sicurezza in Kubernetes, CVE-2021-25741, in cui un utente potrebbe essere in grado di creare un container con montaggi di volume del percorso secondario per accedere ai file e a directory esterne al volume, anche nel file system dell'host.

Per istruzioni e maggiori dettagli, consulta i seguenti articoli:

Alte CVE-2021-25741

GCP-2021-017

Data di pubblicazione: 01/09/2021
Ultimo aggiornamento: 23/09/2021

Descrizione

Descrizione Gravità Note

Aggiornamento 23-09-2021: i container in esecuzione all'interno di Sandbox di GKE non sono interessati da questa vulnerabilità per gli attacchi che si verificano all'interno del container.


Nel kernel Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2021-33909 e CVE-2021-33910, che possono causare un arresto anomalo del sistema operativo o un'escalation al root di un utente senza privilegi. Questa vulnerabilità interessa tutti i sistemi operativi dei nodi GKE (COS e Ubuntu).

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini di sicurezza:

Alte CVE-2021-33909, CVE-2021-33910

GCP-2021-016

Data di pubblicazione: 24-08-2021

Descrizione

Descrizione Gravità Note

I seguenti CVE Envoy e Istio espongono Anthos Service Mesh e Istio su GKE a vulnerabilità sfruttabili da remoto:

  • CVE-2021-39156: Le richieste HTTP con un frammento (una sezione alla fine di un URI che inizia con un carattere #) nel percorso dell'URI potrebbero ignorare i criteri di autorizzazione basati sul percorso dell'URI di Istio.
  • CVE-2021-39155: le richieste HTTP potrebbero potenzialmente ignorare un criterio di autorizzazione Istio quando vengono utilizzate regole basate su hosts o notHosts.
  • CVE-2021-32781: Interessa le estensioni decompressor, json-transcoder o grpc-web di Envoy o le estensioni di proprietà che modificano e aumentano le dimensioni dei corpi di richiesta o di risposta. La modifica e l'aumento delle dimensioni del corpo nell'estensione di Envoy oltre le dimensioni del buffer interno potrebbero causare l'accesso alla memoria occupata da Envoy e la terminazione in modo anomalo.
  • CVE-2021-32780: un servizio a monte non attendibile potrebbe causare la terminazione anomala di Envoy inviando il frame GOAWAY seguito dal frame SETTINGS con il parametro SETTINGS_MAX_CONCURRENT_STREAMS impostato su 0. (Non applicabile a Istio su GKE)
  • CVE-2021-32778: l'apertura di un client Envoy e il ripristino di un numero elevato di richieste HTTP/2 potrebbero portare a un consumo eccessivo di CPU. (Non applicabile a Istio su GKE)
  • CVE-2021-32777: le richieste HTTP con più intestazioni di valore potrebbero eseguire un controllo incompleto dei criteri di autorizzazione quando viene utilizzata l'estensione ext_authz.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini di sicurezza:

Alte

GCP-2021-015

Data di pubblicazione: 13-07-2021
Ultimo aggiornamento: 15-07-2021

Descrizione

Descrizione Gravità Note

È stata rilevata una nuova vulnerabilità di sicurezza, CVE-2021-22555, in cui un utente malintenzionato con privilegi di CAP_NET_ADMIN può causare il rooting di un container sull'host. Questa vulnerabilità interessa tutti i cluster GKE e i cluster Anthos su VMware con Linux 2.6.19 o versioni successive.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini di sicurezza:

Alte CVE-2021-22555

GCP-2021-014

Data di pubblicazione: 05-07-2021

Descrizione

Descrizione Gravità Note

Microsoft ha pubblicato un bollettino sulla sicurezza in una vulnerabilità di esecuzione del codice remoto (RCE), CVE-2021-34527, che interessa lo spooler di stampa nei server Windows. Il CERT Coordination Center (CERT/CC) ha pubblicato una nota di aggiornamento su una vulnerabilità correlata, soprannominata "PrintNightmare", che interessa anche gli spooler di stampa di Windows - PrintNightmare, Critical Windows Print Spooler Vulnerability.

Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di GKE.

Alte CVE-2021-34527

GCP-2021-012

Data di pubblicazione: 24-06-2021
Ultimo aggiornamento: 09-07-2021

Descrizione

Descrizione Gravità Note

Il progetto Istio ha recentemente annunciato una vulnerabilità di sicurezza in cui è possibile accedere alle credenziali specificate nel campo Gateway e DestinationRule credentialName da diversi spazi dei nomi.

Per istruzioni specifiche per il prodotto e ulteriori dettagli, consulta:

Alte CVE-2021-34824

GCP-2021-011

Data di pubblicazione: 04-06-2021
Ultimo aggiornamento: 19/10/2021

Descrizione

Descrizione Gravità Note

Aggiornamento 19-10-2021:

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini di sicurezza:


La community di sicurezza ha recentemente rivelato una nuova vulnerabilità di sicurezza (CVE-2021-30465) trovata in runc che potrebbe consentire l'accesso completo a un file system di nodi.

Per GKE, poiché l'utilizzo di questa vulnerabilità richiede la capacità di creare pod, abbiamo valutato la gravità di questa vulnerabilità in MEDIUM.

Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di GKE.

Medie CVE-2021-30465

GCP 2021-010

Data di pubblicazione: 25-05-2021

Descrizione

Descrizione Gravità Note

Secondo l'avviso di sicurezza VMware VMSA-2021-0010, l'esecuzione di codice da remoto e l'autenticazione ignorano le vulnerabilità in vSphere Client (HTML5) sono state segnalate privatamente a VMware. VMware ha reso disponibili aggiornamenti per porre rimedio a queste vulnerabilità nei prodotti VMware interessati.

Abbiamo applicato le patch fornite da VMware per lo stack vSphere in base all'avviso di sicurezza VMware. Questo aggiornamento riguarda le vulnerabilità di sicurezza descritte in CVE-2021-21985 e CVE-2021-21986. Le versioni dell'immagine in esecuzione nel cloud privato di VMware Engine non riflettono alcuna modifica in questo momento per indicare le patch applicate. Ti garantiamo che sono state installate patch appropriate e che il tuo ambiente è protetto da queste vulnerabilità.

Impatto di VMware Engine

In base alle nostre indagini, nessun cliente è stato interessato.

Che cosa devo fare?

Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni.

Critico

GCP-2021-008

Data di pubblicazione: 17-05-2021

Descrizione

Descrizione Gravità Note

Istio contiene una vulnerabilità sfruttabile da remoto e un client esterno può accedere ai servizi imprevisti nel cluster, bypassando i controlli di autorizzazione quando un gateway è configurato con configurazione del routing AUTO_PASSTHROUGH.

Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.

Alte

CVE-2021-31921

GCP-2021-007

Data di pubblicazione: 17-05-2021

Descrizione

Descrizione Gravità Note

Istio contiene una vulnerabilità sfruttabile da remoto, per cui un percorso di richiesta HTTP con più barre o caratteri di escape (%2F o %5C) potrebbe potenzialmente ignorare un criterio di autorizzazione Istio quando vengono utilizzate regole di autorizzazione basate sul percorso.

Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.

Alte

CVE-2021-31920

GCP-2021-006

Data di pubblicazione: 11-05-2021

Descrizione

Descrizione Gravità Note

Di recente il progetto Istio ha reso nota una nuova vulnerabilità di sicurezza (CVE-2021-31920) che interessa Istio.

Istio contiene una vulnerabilità sfruttabile da remoto, per cui una richiesta HTTP con più barre o caratteri di escape può ignorare il criterio di autorizzazione di Istio quando vengono utilizzate regole di autorizzazione basate sul percorso.

Per istruzioni e maggiori dettagli, consulta i seguenti articoli:

Alte

CVE-2021-31920

GCP-2021-005

Data di pubblicazione: 11-05-2021

Descrizione

Descrizione Gravità Note

Una vulnerabilità segnalata ha mostrato che Envoy non decodifica le sequenze di barre con escape %2F e %5C nei percorsi degli URL HTTP nelle versioni 1.18.2 e precedenti di Envoy. Inoltre, alcuni prodotti basati su Envoy non abilitano i controlli di normalizzazione del percorso. Un utente malintenzionato da remoto potrebbe creare un percorso con barre di escape (ad esempio, /something%2F..%2Fadmin,) per aggirare il controllo dell'accesso (ad esempio, un blocco su /admin). Un server di backend potrebbe quindi decodificare le sequenze di barre e normalizzare il percorso per fornire un accesso agli attacchi oltre l'ambito fornito dal criterio di controllo degli accessi.

Che cosa devo fare?

Se i server di backend trattano / e %2F o \ e %5C in modo intercambiabile e è configurata una corrispondenza basata sul percorso dell'URL, ti consigliamo di riconfigurare il server di backend in modo che non tratti \ e %2F o \ e %5C in modo intercambiabile, se possibile.

Quali modifiche di comportamento sono state introdotte?

Le opzioni normalize_path e unione delle barre adiacenti di Envoy sono state abilitate per risolvere altre vulnerabilità comuni di confusione sui percorsi nei prodotti basati su Envoy.

Alte

CVE-2021-29492

GCP-2021-004

Data di pubblicazione: 06-05-2021

Descrizione

Descrizione Gravità Note

I progetti Envoy e Istio hanno annunciato di recente diverse nuove vulnerabilità di sicurezza (CVE-2021-28683, CVE-2021-28682 e CVE-2021-29258), che potrebbero consentire a un utente malintenzionato di causare un arresto anomalo di Envoy.

I cluster Google Kubernetes Engine non eseguono Istio per impostazione predefinita e non sono vulnerabili. Se Istio è stato installato in un cluster e configurato per esporre i servizi a Internet, tali servizi potrebbero essere vulnerabili all'operazione denial of service.

I cluster Anthos su Bare Metal e Anthos su VMware utilizzano Envoy per impostazione predefinita per Ingress; pertanto, i servizi Ingress potrebbero essere vulnerabili agli attacchi DoS.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini di sicurezza:

Medie

GCP-2021-003

Data di pubblicazione: 19/04/2021

Descrizione

Descrizione Gravità Note

Il progetto Kubernetes ha annunciato di recente una nuova vulnerabilità di sicurezza, CVE-2021-25735, che potrebbe consentire agli aggiornamenti dei nodi di ignorare un webhook di ammissione in convalida.

In uno scenario in cui un utente malintenzionato ha privilegi sufficienti e viene implementato un webhook di ammissione in convalida che utilizza le precedenti proprietà dell'oggetto Node (ad esempio i campi in Node.NodeSpec), l'utente malintenzionato potrebbe aggiornare le proprietà di un nodo che potrebbe compromettere il cluster. Nessuno dei criteri applicati dai controller di ammissione integrati e GKE è interessato, ma consigliamo ai clienti di controllare eventuali webhook di ammissione aggiuntivi che hanno installato.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini di sicurezza:

Medie

CVE-2021-25735

GCP-2021-002

Data di pubblicazione: 05-03-2021

Descrizione

Descrizione Gravità Note

Secondo l'avviso di sicurezza VMware VMSA-2021-0002, VMware ha ricevuto report di più vulnerabilità in VMware ESXi e vSphere Client (HTML5). VMware ha reso disponibili aggiornamenti per porre rimedio a queste vulnerabilità nei prodotti VMware interessati.

Abbiamo applicato le soluzioni alternative ufficialmente documentate per lo stack vSphere in base all'avviso di sicurezza di VMware. Questo aggiornamento riguarda le vulnerabilità di sicurezza descritte in CVE-2021-21972, CVE-2021-21973 e CVE-2021-21974.

Impatto di VMware Engine

In base alle nostre indagini, nessun cliente è stato interessato.

Che cosa devo fare?

Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni.

Critico

GCP-2021-001

Data di pubblicazione: 28-01-2021

Descrizione

Descrizione Gravità Note

Di recente è stata rilevata una vulnerabilità nell'utilità Linux sudo, descritta in CVE-2021-3156, che potrebbe consentire a un utente malintenzionato con accesso shell locale senza privilegi su un sistema con sudo installato per riassegnare i suoi privilegi al root del sistema.

L'infrastruttura sottostante che esegue Compute Engine non è interessata da questa vulnerabilità.

Tutti i cluster Google Kubernetes Engine (GKE), Anthos su VMware, cluster Anthos su AWS e Anthos su Bare Metal non sono interessati da questa vulnerabilità.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini di sicurezza:

Nessuna CVE-2021-3156

GCP 2020-015

Data di pubblicazione: 07-12-2020
Ultimo aggiornamento: 22-12-2020

Descrizione

Descrizione Gravità Note

Aggiornamento: 22-12-2021 Il comando per GKE nella sezione seguente deve utilizzare gcloud beta anziché il comando gcloud.


gcloud container clusters update –no-enable-service-externalips

Aggiornamento: 15-12-2021 Per GKE è ora disponibile la seguente mitigazione:
  1. A partire dalla versione 1.21 di GKE, i servizi con IP esterni sono bloccati da un controller di ammissione DenyServiceExternalIPs, abilitato per impostazione predefinita per i nuovi cluster.
  2. I clienti che eseguono l'upgrade a GKE versione 1.21 possono bloccare i servizi con IP esterni utilizzando il comando seguente:
    
    gcloud container clusters update –no-enable-service-externalips
    

Per maggiori informazioni, consulta la pagina sulla protezione della sicurezza del cluster.


Il progetto Kubernetes ha scoperto di recente una nuova vulnerabilità di sicurezza, CVE-2020-8554, che potrebbe consentire a un utente malintenzionato che ha ottenuto le autorizzazioni per creare un servizio Kubernetes di tipo LoadBalancer o ClusterIP per intercettare il traffico di rete proveniente da altri pod nel cluster. Questa vulnerabilità da sola non concede a un utente malintenzionato le autorizzazioni per creare un servizio Kubernetes.

Tutti i cluster Google Kubernetes Engine (GKE), Anthos su VMware e Anthos su cluster AWS sono interessati da questa vulnerabilità.

Che cosa devo fare?

Per istruzioni e ulteriori dettagli, consulta:

Medie

CVE-2020-8554

GCP 2020-014

Data di pubblicazione: 20-10-2020
Aggiornamento: 20-10-2020

Descrizione

Descrizione Gravità Note

Il progetto Kubernetes ha rilevato di recente diversi problemi che consentono l'esposizione dei dati segreti quando sono abilitate le opzioni di logging dettagliato. I problemi sono:

  • CVE-2020-8563: Perdita segreta nei log per vSphere Provider kube-controller-manager
  • CVE-2020-8564: i secret di configurazione Docker trapelati quando il file è in un formato non valido e loglevel >= 4
  • CVE-2020-8565: la correzione incompleta per CVE-2019-11250 in Kubernetes consente la fuga di token nei log quando logLevel >= 9. Rilevata dalla sicurezza GKE.
  • CVE-2020-8566: Ceph RBD adminSecrets esposti nei log quando loglevel >= 4

Che cosa devo fare?

Non sono richieste ulteriori azioni a causa dei livelli di logging dettagliati predefiniti di GKE.

Nessuna

Impatto su Google Cloud

Di seguito sono riportati i dettagli per prodotto.

Prodotto

Impatto

Google Kubernetes Engine (GKE)

Google Kubernetes Engine (GKE) non è interessato.

GKE On-Prem

GKE On-Prem non è interessato.

GKE su AWS

GKE su AWS non è interessato.

GCP 2020-013

Data di pubblicazione: 29-09-2020

Descrizione

Microsoft ha divulgato la seguente vulnerabilità:

Vulnerabilità

Gravità

CVE

CVE-2020-1472: una vulnerabilità in Windows Server consente agli utenti malintenzionati di utilizzare Netlogon Remote Protocol per eseguire un'applicazione appositamente creata su un dispositivo sulla rete.

Punteggio base NVD: 10 (Critico)

CVE-2020-1472

Per ulteriori informazioni, consulta l'informativa di Microsoft.

Impatto su Google Cloud

L'infrastruttura che ospita i prodotti Google Cloud e Google non è interessata da questa vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.

Prodotto

Impatto

Compute Engine

CVE-2020-1472

Per la maggior parte dei clienti non sono richieste ulteriori azioni.

I clienti che utilizzano macchine virtuali Compute Engine che eseguono Windows Server devono assicurarsi che le loro istanze siano state aggiornate con l'ultima patch Windows o utilizzare immagini di Windows Server pubblicate dopo il 17 ottobre 2020 (versione 20200813 o successive).

Google Kubernetes Engine

CVE-2020-1472

Per la maggior parte dei clienti non sono richieste ulteriori azioni.

Qualsiasi cliente che ospita controller di dominio nei propri nodi GKE Server di GKE deve garantire che sia i nodi sia i carichi di lavoro containerizzati eseguiti su tali nodi dispongano dell'immagine del nodo Windows più recente, quando è disponibile. Una nuova versione dell'immagine del nodo sarà annunciata nelle note di rilascio di GKE a ottobre.

Managed Service per Microsoft Active Directory

CVE-2020-1472

Per la maggior parte dei clienti non sono richieste ulteriori azioni.

La patch di agosto rilasciata da Microsoft che include correzioni al protocollo NetLogon è stata applicata a tutti i controller di dominio Microsoft AD gestiti. Questa patch fornisce funzionalità per la protezione da potenziali sfruttamento. L'applicazione tempestiva delle patch è uno dei principali vantaggi dell'utilizzo del Managed Service per Microsoft Active Directory. Tutti i clienti che eseguono manualmente Microsoft Active Directory (e non utilizzano il servizio gestito di Google Cloud) devono assicurarsi che le istanze dispongano della patch di Windows più recente o che utilizzino immagini di Windows Server.

Google Workspace

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Ambiente standard di App Engine

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Ambiente flessibile di App Engine

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Cloud Run

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Cloud Functions

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Cloud Composer

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Dataflow

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Dataproc

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Cloud SQL

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

GCP-2020-012

Data di pubblicazione: 14-09-2020
Ultimo aggiornamento: 17-09-2020

Descrizione

Descrizione Gravità Note

Di recente è stata rilevata una vulnerabilità nel kernel Linux, descritta in CVE-2020-14386, che potrebbe consentire all'escape del container di ottenere privilegi root sul nodo host.

Tutti i nodi GKE sono interessati. I pod in esecuzione in GKE Sandbox non sono in grado di sfruttare questa vulnerabilità.

Per istruzioni e maggiori dettagli, consulta i seguenti articoli:


Quale vulnerabilità viene affrontata da questa patch?

La patch mitiga la seguente vulnerabilità:

La vulnerabilità CVE-2020-14386, che consente ai container con CAP_NET_RAW
di scrivere da 1 a 10 byte di memoria del kernel, ed eventualmente eseguire l'escape del container e ottenere i privilegi root sul nodo host. Questa è classificata come vulnerabilità di gravità elevata.

Alte

CVE-2020-14386

GCP-2020-011

Data di pubblicazione: 24-07-2020

Descrizione

Descrizione Gravità Note

In Kubernetes è stata rilevata di recente una vulnerabilità di rete, CVE-2020-8558. A volte i servizi comunicano con altre applicazioni in esecuzione all'interno dello stesso pod utilizzando l'interfaccia di loopback locale (127.0.0.1). Questa vulnerabilità consente a un utente malintenzionato con accesso alla rete del cluster di inviare traffico all'interfaccia di loopback di pod e nodi adiacenti. È possibile utilizzare servizi che dipendono dall'interfaccia di loopback non accessibile al di fuori del loro pod.

Per istruzioni e maggiori dettagli, consulta i seguenti articoli:

Basso (cluster GKE e Anthos su AWS),
Medio (cluster Anthos su VMware)

CVE-2020-8558

GCP 2020-010

Data di pubblicazione: 27-07-2020

Descrizione

Microsoft ha divulgato la seguente vulnerabilità:

Vulnerabilità

Gravità

CVE

CVE-2020-1350: i server Windows che forniscono la capacità di un server DNS possono essere sfruttati per eseguire codice non attendibile dall'account di sistema locale.

Punteggio base NVD: 10.0 (Critico)

CVE-2020-1350

Per ulteriori informazioni, consulta l'informativa di Microsoft.

Impatto su Google Cloud

L'infrastruttura che ospita i prodotti Google Cloud e Google non è interessata da questa vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.

Prodotto

Impatto

Compute Engine

CVE-2020-1350

Per la maggior parte dei clienti non sono richieste ulteriori azioni.

I clienti che utilizzano macchine virtuali Compute Engine che eseguono Windows Server con capacità del server DNS devono assicurarsi che le loro istanze dispongano della patch Windows più recente o che utilizzino immagini Windows Server fornite dal 14/07/2020.

Google Kubernetes Engine

CVE-2020-1350

Per la maggior parte dei clienti non sono richieste ulteriori azioni.

I clienti che utilizzano GKE con un nodo Windows Server in una capacità server DNS devono aggiornare manualmente i nodi e i carichi di lavoro containerizzati che vengono eseguiti su tali nodi in una versione server Windows contenente la correzione.

Managed Service per Microsoft Active Directory

CVE-2020-1350

Per la maggior parte dei clienti non sono richieste ulteriori azioni.

Tutti i domini Microsoft AD gestiti sono stati aggiornati automaticamente con l'immagine con patch. Tutti i clienti che utilizzano manualmente Microsoft Active Directory (e non utilizzano Microsoft AD gestito) devono assicurarsi che le loro istanze dispongano della patch di Windows più recente o di utilizzare le immagini di Windows Server fornite dal 14 luglio 2020.

Google Workspace

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Ambiente standard di App Engine

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Ambiente flessibile di App Engine

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Cloud Run

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Cloud Functions

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Cloud Composer

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Dataflow

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Dataproc

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Cloud SQL

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

GCP 2020-009

Data di pubblicazione: 15-07-2020

Descrizione

Descrizione Gravità Note

In Kubernetes è stata recentemente rilevata una vulnerabilità di escalation dei privilegi CVE-2020-8559. Questa vulnerabilità consente a un utente malintenzionato che ha già compromesso un nodo di eseguire un comando in qualsiasi pod del cluster. L'utente malintenzionato può quindi utilizzare il nodo già compromesso per compromettere altri nodi e potenzialmente leggere informazioni o causare azioni dannose.

Ricorda che, per impedire a un utente malintenzionato di sfruttare questa vulnerabilità, un nodo nel tuo cluster deve essere già stato compromesso. Questa vulnerabilità, da sola, non comprometterà i nodi nel cluster.

Per istruzioni e maggiori dettagli, consulta i seguenti articoli:

Medie

CVE-2020-8559

GCP-2020-008

Data di pubblicazione: 19-06-2020

Descrizione

Descrizione Gravità Note

Descrizione

Le VM per cui è abilitato OS Login potrebbero essere suscettibili di privilegi di vulnerabilità dei privilegi. Queste vulnerabilità offrono agli utenti cui sono concesse le autorizzazioni di accesso al sistema operativo (ma non a cui viene concesso l'accesso amministrativo) la possibilità di riassegnare l'accesso root nella VM.

Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di Compute Engine.

Alte

GCP-2020-007

Data di pubblicazione: 01-06-2020

Descrizione

Descrizione Gravità Note

La vulnerabilità Server Side Request Forgery (SSRF), CVE-2020-8555, è stata recentemente scoperta in Kubernetes, consentendo a determinati utenti autorizzati di divulgare fino a 500 byte di informazioni sensibili dalla rete dell'host del piano di controllo. Il piano di controllo di Google Kubernetes Engine (GKE) utilizza controller di Kubernetes e viene quindi interessato da questa vulnerabilità. Ti consigliamo di eseguire l'upgrade del piano di controllo all'ultima versione della patch. Non è necessario eseguire l'upgrade di un nodo.

Per istruzioni e maggiori dettagli, consulta i seguenti articoli:

Medie

CVE-2020-8555

GCP-2020-006

Data di pubblicazione: 01-06-2020

Descrizione

Descrizione Gravità Note

Kubernetes ha divulgato una vulnerabilità che consente a un container con privilegi di reindirizzare il traffico dei nodi a un altro container. Il traffico reciproco TLS/SSH, ad esempio tra il kubelet e il server API o il traffico da applicazioni che utilizzano mTLS, non può essere letto o modificato da questo attacco. Tutti i nodi di Google Kubernetes Engine (GKE) sono interessati da questa vulnerabilità e ti consigliamo di eseguire l'upgrade alla versione più recente della patch.

Per istruzioni e maggiori dettagli, consulta i seguenti articoli:

Medie

Problema di Kubernetes 91507

GCP-2020-005

Data di pubblicazione: 07-05-2020

Descrizione

Vulnerabilità

Gravità

CVE

Recentemente è stata scoperta una vulnerabilità nel kernel Linux, descritta in CVE-2020-8835, che consente di uscire dai limiti del container per ottenere privilegi di utente root sul nodo host.

I nodi di Google Kubernetes Engine (GKE) Ubuntu che eseguono GKE 1.16 o 1.17 sono interessati da questa vulnerabilità e ti consigliamo di eseguire l'upgrade alla versione più recente della patch il prima possibile.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza GKE.

Alte

CVE-2020-8835

GCP-2020-004

Data di pubblicazione: 31-03-2020
Ultimo aggiornamento: 31-03-2020

Descrizione

Kubernetes ha divulgato le seguenti vulnerabilità:

Vulnerabilità

Gravità

CVE

CVE-2019-11254: Si tratta di una vulnerabilità denial of service (DoS) che influisce sul server API.

Medie

CVE-2019-11254

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cluster Anthos su VMware.

GCP-2020-003

Data di pubblicazione: 31-03-2020
Ultimo aggiornamento: 31-03-2020

Descrizione

Kubernetes ha divulgato le seguenti vulnerabilità:

Vulnerabilità

Gravità

CVE

CVE-2019-11254: Si tratta di una vulnerabilità denial of service (DoS) che influisce sul server API.

Medie

CVE-2019-11254

Per istruzioni e dettagli, consulta il Bollettino sulla sicurezza di GKE.

GCP-2020-002

Data di pubblicazione: 23-03-2020
Ultimo aggiornamento: 23-03-2020

Descrizione

Kubernetes ha divulgato le seguenti vulnerabilità:

Vulnerabilità

Gravità

CVE

CVE-2020-8551: Si tratta di una vulnerabilità di tipo Denial of Service (DoS) che influisce sul kubelet.

Medie

CVE-2020-8551

CVE-2020-8552: Si tratta di una vulnerabilità denial of service (DoS) che influisce sul server API.

Medie

CVE-2020-8552

Per istruzioni e dettagli, consulta il Bollettino sulla sicurezza di GKE.

GCP-2020-001

Data di pubblicazione: 21-01-2020
Aggiornamento: 21-01-2020

Descrizione

Microsoft ha divulgato la seguente vulnerabilità:

Vulnerabilità

Gravità

CVE

CVE-2020-0601 — Questa vulnerabilità è nota anche come vulnerabilità di Spoofing dell'API Windows Crypto. Potrebbe essere sfruttato per far apparire eseguibili dannosi o consentire all'utente malintenzionato di eseguire attacchi man in the middle e decriptare le informazioni riservate sulle connessioni utente al software interessato.

Punteggio base NVD: 8,1 (Alta)

CVE-2020-0601

Per ulteriori informazioni, consulta l'informativa di Microsoft.

Impatto su Google Cloud

L'infrastruttura che ospita i prodotti Google Cloud e Google non è interessata da questa vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.

Prodotto

Impatto

Compute Engine

CVE-2020-0601

Per la maggior parte dei clienti non sono richieste ulteriori azioni.

I clienti che utilizzano macchine virtuali Compute Engine che eseguono Windows Server devono assicurarsi che le proprie istanze dispongano della patch di Windows più recente o che utilizzino le immagini di Windows Server fornite dal 15/01/2020. Per maggiori dettagli, consulta il Bollettino sulla sicurezza di Compute Engine.

Google Kubernetes Engine

CVE-2020-0601

Per la maggior parte dei clienti non sono richieste ulteriori azioni.

I clienti che utilizzano GKE con nodi Windows Server, sia i nodi che i carichi di lavoro containerizzati che vengono eseguiti su tali nodi devono essere aggiornati alle versioni con patch per mitigare questa vulnerabilità. Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza GKE.

Managed Service per Microsoft Active Directory

CVE-2020-0601

Per la maggior parte dei clienti non sono richieste ulteriori azioni.

Tutti i domini Microsoft AD gestiti sono stati aggiornati automaticamente con l'immagine con patch. Tutti i clienti che eseguono manualmente Microsoft Active Directory (e non utilizzano Microsoft AD gestito) devono assicurarsi che le loro istanze dispongano della patch di Windows più recente o di utilizzare le immagini di Windows Server fornite dal 15/01/2020.

Google Workspace

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Ambiente standard di App Engine

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Ambiente flessibile di App Engine

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Cloud Run

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Cloud Functions

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Cloud Composer

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Dataflow

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Dataproc

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Cloud SQL

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

GCP-2019-001

Data di pubblicazione: 12-11-2019
Aggiornamento: 12-11-2019

Descrizione

Intel ha divulgato le seguenti vulnerabilità:

Vulnerabilità

Gravità

CVE

CVE-2019-11135 — Questa vulnerabilità, indicata come TSX Async Abort (TAA) può essere utilizzata per sfruttare l'esecuzione speculativa in una transazione TSX. Questa vulnerabilità può determinare un'esposizione dei dati attraverso le stesse strutture di dati della microarchitettura esposte dal Microarchitectural Data Sampling (MDS).

Medie

CVE-2019-11135

CVE-2018-12207 — Questa è una vulnerabilità di tipo Denial of Service (DoS) che interessa le macchine virtuali host (non ospiti). Questo problema è noto come "Machine Check Error on Page Size Change".

Medie

CVE-2018-12207

Per ulteriori informazioni, consulta le divulgazioni di Intel:

Impatto su Google Cloud

L'infrastruttura che ospita Google Cloud e i prodotti Google è protetta da queste vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.

Prodotto

Impatto

Compute Engine

CVE-2019-11135

Per la maggior parte dei clienti non è necessario alcun intervento aggiuntivo.

I clienti N2, C2 o M2 che eseguono codice non attendibile nei propri servizi multi-tenant all'interno delle macchine virtuali Compute Engine devono arrestare e avviare le loro VM per assicurarsi che dispongano delle più recenti misure di mitigazione per la sicurezza.

CVE-2018-12207

Per tutti i clienti non è necessario alcun intervento aggiuntivo.

Google Kubernetes Engine

CVE-2019-11135

Per la maggior parte dei clienti non è necessario alcun intervento aggiuntivo.

Se utilizzi pool di nodi con nodi N2, M2 o C2, e questi nodi eseguono codice non attendibile nei propri cluster GKE multi-tenant, devi riavviare i nodi. Se vuoi riavviare tutti i nodi del tuo pool di nodi, esegui l'upgrade del pool di nodi interessato.

CVE-2018-12207

Per tutti i clienti non è necessario alcun intervento aggiuntivo.

Ambiente standard di App Engine

Non è necessario alcun intervento aggiuntivo.

Ambiente flessibile di App Engine

CVE-2019-11135

Non è necessario alcun intervento aggiuntivo.

I clienti devono rivedere le best practice di Intel relative alla condivisione a livello di applicazione che può avvenire fra gli hyperthread all'interno di una VM flessibile.

CVE-2018-12207

Non è necessario alcun intervento aggiuntivo.

Cloud Run

Non è necessario alcun intervento aggiuntivo.

Cloud Functions

Non è necessario alcun intervento aggiuntivo.

Cloud Composer

Non è necessario alcun intervento aggiuntivo.

Dataflow

CVE-2019-11135

Per la maggior parte dei clienti non è necessario alcun intervento aggiuntivo.

I clienti Dataflow che eseguono numerosi carichi di lavoro non attendibili su VM N2, C2 o M2 di Compute Engine gestite da Dataflow, e che sono preoccupati di attacchi fra i guest, devono prendere in considerazione il riavvio di tutte le pipeline di gestione dei flussi attualmente in esecuzione. Facoltativamente, le pipeline batch possono essere annullate e rieseguite. Non è necessario alcun intervento sulle pipeline avviate dopo la data odierna.

CVE-2018-12207

Per tutti i clienti non è necessario alcun intervento aggiuntivo.

Dataproc

CVE-2019-11135

Per la maggior parte dei clienti non è necessario alcun intervento aggiuntivo.

I clienti Cloud Dataproc che eseguono più carichi di lavoro non attendibili sullo stesso cluster Cloud Dataproc eseguito su VM N2, C2 o M2 di Compute Engine, e che sono preoccupati di attacchi fra i guest, devono rieseguire il deployment dei cluster.

CVE-2018-12207

Per tutti i clienti non è necessario alcun intervento aggiuntivo.

Cloud SQL

Non è necessario alcun intervento aggiuntivo.