I seguenti bollettini sulla sicurezza sono relativi ai prodotti Google Cloud.
Utilizza questo feed XML per iscriverti ai bollettini sulla sicurezza per questa pagina.
GCP-2024-046
Pubblicato: 05/08/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
AMD ha informato Google di 3 nuovi prodotti (2 a rischio medio, 1 ad alto rischio) vulnerabilità del firmware che interessano SEV-SNP in AMD EPYC 3rd (Milano) e di quarta generazione (Genoa). Google ha applicato delle correzioni alle risorse interessate, tra cui Google Cloud, per garantire la protezione dei clienti. Al momento, non sono state trovate o segnalate a Google prove di sfruttamento. Che cosa devo fare? Non è necessario alcun intervento da parte del cliente. Le correzioni sono già state applicate a i server di Google. Per ulteriori informazioni, vedi l'avviso sulla sicurezza AMD AMD-SN-3011. |
Medio-alta |
GCP-2024-045
Pubblicato: 17/07/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-26925 |
GCP-2024-044
Pubblicato: 16/07/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-36972 |
GCP-2024-043
Pubblicato: 16/07/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-26921 |
GCP-2024-042
Pubblicato: 15/07/2024
Ultimo aggiornamento: 18/07/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 18/07/2024: è stato chiarito che Autopilot cluster nella configurazione predefinita. Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-26809 |
GCP-2024-041
Pubblicato: 08/07/2024
Ultimo aggiornamento: 19/07/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 19/07/2024: aggiunte versioni patch per Ubuntu pool di nodi su GKE. Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta |
GCP-2024-040
Pubblicato: 01/07/2024
Ultimo aggiornamento: 16/07/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamenti del 16/07/2024: Alcuni clienti con accesso VPC serverless sono potenzialmente interessati una vulnerabilità in OpenSSH (CVE-2024-6387). In caso di successo exploit, questo potrebbe consentire a un aggressore remoto e non autenticato di eseguire come root sulla macchina virtuale di destinazione. Lo sfruttamento è ritenuto difficile. Ad esempio, i clienti non possono accedere alle VM le VM non hanno IP pubblici. Non siamo a conoscenza di alcun tipo di sfruttamento tentativi. Che cosa devo fare? I deployment di Accesso VPC serverless sono stati aggiornati da Google, ove possibile. Tuttavia, devi verificare che L'agente di servizio gestito da Google ha il ruolo richiesto. In caso contrario, il connettore di accesso VPC serverless potrebbe vulnerabili. Ti consigliamo di eseguire la migrazione al VPC diretto in uscita oppure di eseguire il deployment di un nuovo connettore ed eliminare il vecchio connettore, per assicurarti di disporre dell'aggiornamento richiesto con correggere l'errore. Aggiornamento 11-07-2024: aggiunte versioni patch per il software GDC per VMware, GKE on AWS GKE su Azure. Per maggiori dettagli, in GKE consulta i seguenti bollettini:
Aggiornamento 10-07-2024:
Aggiornamenti del 09/07/2024: Alcuni clienti dell'ambiente flessibile di App Engine sono potenzialmente interessati una vulnerabilità in OpenSSH (CVE-2024-6387). In caso di successo exploit, questo potrebbe consentire a un aggressore remoto e non autenticato di eseguire come root sulla macchina virtuale di destinazione. Che cosa devo fare? Google ha già aggiornato i deployment dell'ambiente flessibile automaticamente, ove possibile. Tuttavia, alcuni clienti che hanno disattivato l'agente di servizio gestito da Google o apportato modifiche alle API Google Cloud o ad altre configurazioni predefinite, non può essere aggiornato e potrebbe essere ancora vulnerabile. Dovresti eseguire il deployment di una nuova versione dell'app per recuperare l'aggiornamento con la correzione. Tieni presente che i deployment aggiornati riporteranno la versione ssh Quali vulnerabilità vengono affrontate? La vulnerabilità CVE-2024-6387, che consente una connessione remota, a eseguire un codice arbitrario come root sulla macchina di destinazione. Aggiornamenti dell'8/07/2024: di cluster Dataproc su Google Compute Engine in esecuzione versione 2.2 (tutti i sistemi operativi) e 2.1 (solo Debian) colpito da una vulnerabilità in OpenSSH (CVE-2024-6387) che, in caso di exploit riuscito potrebbe consentire a un aggressore remoto e non autenticato di eseguire un codice arbitrario come root sulla macchina di destinazione. immagine Dataproc su Google Compute Engine versioni 2.0 e 1.5, nonché le immagini Dataproc versione 2.1 non in esecuzione Debian non ne sono colpiti. Cluster Dataproc con L'autenticazione attivata non è interessata. Dataproc serverless non è interessato. Che cosa devo fare? Aggiorna i tuoi cluster Dataproc su Google Compute Engine a una delle seguenti versioni:
Se non riesci ad aggiornare i cluster Dataproc in
una delle versioni precedenti, consigliamo di utilizzare il metodo di inizializzazione
azione disponibile in questa posizione:
Segui queste istruzioni su come: specificare di inizializzazione per Dataproc. Tieni presente che l'azione di inizializzazione deve essere eseguita su ogni nodo (master e worker) per i cluster preesistenti. Aggiornamenti 2024/07/03:
Aggiornamenti 2024/07/02:
Una vulnerabilità di esecuzione di codice remoto CVE-2024-6387, è stato rilevato di recente in OpenSSH. La vulnerabilità sfrutta una race condition che può essere utilizzata per ottenere l’accesso a una shell remota, consentendo agli aggressori di ottenere l’accesso root. Al momento della pubblicazione, lo sfruttamento è ritenuto difficile e richiede diverse ore per ogni macchina attaccata. Non siamo a conoscenza di tentativi di sfruttamento. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:
|
Critico | CVE-2024-6387 |
GCP-2024-039
Pubblicato: 28/06/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-26923 |
GCP-2024-038
Pubblicato: 26/06/2024
Ultimo aggiornamento: 06/08/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 06/08/2024: aggiunte versioni patch per i pool di nodi Ubuntu su GKE. Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-26924 |
GCP-2024-037
Pubblicato: 18/06/2024
Descrizione | Gravità | Note |
---|---|---|
VMware ha divulgato diverse vulnerabilità in VMSA-2024-0012 che incidono sui componenti vCenter di cui è stato eseguito il deployment negli ambienti dei clienti. Impatto su Google Cloud VMware Engine
Che cosa devo fare?Al momento non sono richieste ulteriori azioni. |
Critico |
GCP-2024-036
Pubblicato: 18/06/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-26584 |
GCP-2024-035
Pubblicato: 12/06/2024
Ultimo aggiornamento: 18/07/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 18/07/2024: sono state aggiunte le versioni patch per Ubuntu pool di nodi su GKE e hai aggiunto una versione patch per la versione 1.27 sui pool di nodi di Container-Optimized OS. Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-26584 |
GCP-2024-034
Pubblicato: 11/06/2024
Ultimo aggiornamento: 10/07/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 10/07/2024: aggiunte versioni patch per Nodi di Container-Optimized OS che eseguono versione secondaria 1.26 e 1.27 e aggiunte versioni patch per i nodi Ubuntu. Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-26583 |
GCP-2024-033
Pubblicato: 10/06/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2022-23222 |
GCP-2024-032
Pubblicato: 04/06/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Le seguenti CVE espongono Cloud Service Mesh a vulnerabilità sfruttabili:
Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Service Mesh. |
Alta |
GCP-2024-031
Pubblicato: 24/05/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stata scoperta una nuova vulnerabilità (CVE-2024-4323) in Fluent Bit che potrebbe comportare l'esecuzione remota di codice. Versioni di Fluent Bit 2.0.7 alla versione 3.0.3. GKE, GKE su VMware, GKE su AWS GKE on Azure e GKE on Bare Metal non utilizzano un vulnerabile di Fluent Bit e non ne sono interessati. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Nessuno | CVE-2024-4323 |
GCP-2024-030
Pubblicato: 15/05/2024
Ultimo aggiornamento: 18/07/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 18/07/2024: sono state aggiunte le versioni patch per Ubuntu pool di nodi su GKE Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-52620 |
GCP-2024-029
Pubblicato: 14/05/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-26642 |
GCP-2024-028
Pubblicato: 13/05/2024
Ultimo aggiornamento: 22/05/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 22/05/2024: aggiunte versioni patch per Ubuntu Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-26581 |
GCP-2024-027
Pubblicato: 08/05/2024
Ultimo aggiornamento: 09/05/2024, 15/05/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 15/05/2024: aggiunte versioni patch per Pool di nodi GKE Ubuntu. Aggiornamento 09/05/2024: gravità corretta da Media su Alto e ha chiarito che GKE Autopilot cluster nella configurazione predefinita. Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-26808 |
GCP-2024-026
Pubblicato: 07/05/2024
Ultimo aggiornamento: 06/08/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 06/08/2024: aggiunte versioni patch per i pool di nodi Ubuntu su GKE. Aggiornamento 09/05/2024: gravità corretta da Media su Alta. Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-26643 |
GCP-2024-025
Pubblicato: 26/04/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Looker ha corretto le vulnerabilità segnalate da un ricercatore esterno tramite il programma Google e Alphabet Vulnerability Reward Program (VRP), ma non ha trovato prove di sfruttamento. Ora questi problemi sono stati risolti e non è richiesta alcuna azione da parte dell'utente per i clienti ospitati da Looker su Looker (Google Cloud core) e Looker (originale). Si consiglia di eseguire l'aggiornamento all'ultima versione supportata per le istanze Looker ospitate autonomamente. Che cosa devo fare? Istanze ospitate da Looker: istanze di Looker (Google Cloud core) e Looker (originale) Non è necessario alcun intervento da parte del cliente. Solo istanze Looker ospitate autonomamente Se l'istanza di Looker è ospitata autonomamente, ti consigliamo di eseguire l'upgrade delle istanze di Looker a una delle seguenti versioni:
Come è stato risolto il problema? Google ha disattivato l'accesso amministrativo diretto al database interno dall'applicazione Looker, ha rimosso i privilegi elevati che consentivano l'accesso tra tenant e ha ruotato i secret esposti. Inoltre, abbiamo corretto delle vulnerabilità per il path traversal che potrebbero aver esposto le credenziali dell'account di servizio. Stiamo inoltre effettuando un’analisi approfondita del nostro codice e dei nostri sistemi per identificare e risolvere potenziali vulnerabilità simili. |
Critico |
GCP-2024-024
Pubblicato: 25/04/2024
Ultimo aggiornamento: 18/07/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 18/07/2024: sono state aggiunte le versioni patch per Ubuntu pool di nodi su GKE Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-26585 |
GCP-2024-023
Pubblicato: 24/04/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Le seguenti CVE espongono Cloud Service Mesh a vulnerabilità sfruttabili:
Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Service Mesh. |
Alta |
GCP-2024-022
Pubblicato: 03/04/2024
Ultimo aggiornamento: 17/07/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 17/07/2024: aggiunte versioni patch per GKE su VMware Aggiornamento 09/07/2024: aggiunte versioni patch per GKE on Bare Metal Aggiornamento 24/04/2024: sono state aggiunte versioni patch per GKE. Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) (CVE-2023-45288) in molteplici implementazioni del protocollo HTTP/2, tra cui il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Google Kubernetes Engine (GKE). Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-45288 |
GCP-2024-021
Pubblicato: 03-04-2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Compute Engine non è interessato CVE-2024-3094, che interessa le versioni 5.6.0 e 5.6.1 del pacchetto xz-utils nella libreria liblzma e ciò potrebbe compromettere l'utilità OpenSSH. Per ulteriori dettagli, consulta Bollettino sulla sicurezza di Compute Engine. |
Medio | CVE-2024-3094 |
GCP-2024-020
Pubblicato: 02/04/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
I ricercatori hanno scoperto una vulnerabilità (CVE-2023-48022) in Ray. Ray è un di terze parti, open source per i carichi di lavoro di AI. Poiché Ray non richiede dell'autenticazione, gli autori di minacce possono ottenere l'esecuzione di codice in remoto tramite l'invio di job alle istanze esposte pubblicamente. La la vulnerabilità è stata contestata di Anyscale, lo sviluppatore di Ray. Ray mantiene le proprie funzioni sono una funzionalità base del prodotto prevista, pertanto la sicurezza deve essere implementate all'esterno di un cluster Ray, poiché qualsiasi rete non intenzionale dell'ammasso Ray potrebbe causare una compromissione. In base alla risposta, questo CVE è contestato e potrebbe non essere visualizzato in scanner di vulnerabilità. In ogni caso, viene sfruttata attivamente gli utenti devono configurare il loro utilizzo come suggerito di seguito. Che cosa devo fare? Segui Ray migliore e linee guida, inclusa l'esecuzione di codice attendibile e affidabili, per proteggere i carichi di lavoro Ray. Deployment di ray.io nelle istanze cloud del cliente rientra nel modello di responsabilità condivisa. La sicurezza di Google Kubernetes Engine (GKE) ha pubblicato un blog sulla protezione avanzata di Ray su GKE. Per ulteriori informazioni su come aggiungere l'autenticazione ai servizi Ray, consultare Identity-Aware Proxy (IAP) documentazione. Gli utenti GKE possono implementare IAP successivo a questo indicazioni oppure riproponendo i moduli Terraform collegati blog. |
Alta | CVE-2023-48022 |
GCP-2024-018
Pubblicato: 12/03/2024
Ultimo aggiornamento: 04/04/2024, 06/05/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 06/05/2024: sono state aggiunte le versioni patch per i pool di nodi GKE Ubuntu. Aggiornamento 04/04/2024: sono state corrette le versioni minime per i pool di nodi di GKE Container-Optimized OS. Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-1085 |
GCP-2024-017
Pubblicato: 06/03/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-3611 |
GCP-2024-016
Pubblicato: 05/03/2024
Descrizione | Gravità | Note |
---|---|---|
VMware ha divulgato diverse vulnerabilità in VMSA-2024-0006 che impatto sui componenti ESXi distribuiti negli ambienti del cliente. Impatto su Google Cloud VMware EngineI tuoi cloud privati sono stati aggiornati per risolvere la vulnerabilità di sicurezza. Che cosa devo fare?Non è necessario alcun intervento da parte tua. |
Critico |
GCP-2024-014
Pubblicato: 26/02/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-3776 |
GCP-2024-013
Pubblicato: 27/02/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-3610 |
GCP-2024-012
Pubblicato: 20/02/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-0193 |
GCP-2024-011
Pubblicato: 15/02/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-6932 |
GCP-2024-010
Pubblicato: 14/02/2024
Ultimo aggiornamento: 17/04/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 17/04/2024: sono state aggiunte versioni patch per GKE su VMware. Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-6931 |
GCP-2024-009
Pubblicato: 13/02/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Il 13 febbraio 2024, AMD ha divulgato due vulnerabilità che interessano SEV-SNP. su CPU EPYC basate sulla terza generazione "Milan" mentre quella di quarta generazione Nuclei zen. Le vulnerabilità consentono agli utenti malintenzionati con privilegi di accedere o causare la perdita dell'integrità dell'ospite. Google ha applicato correzioni agli asset interessati, tra cui Google Cloud, per garantire che i clienti siano protetti. In questo momento, non ci sono prove di sfruttamento che sono stati trovati o segnalati a Google. Che cosa devo fare? Non è necessario alcun intervento da parte del cliente. Le correzioni sono già state applicate al Parco risorse di server Google per Google Cloud, compreso Compute Engine. Per ulteriori informazioni, vedi l'avviso sulla sicurezza AMD AMD-SN-3007. |
Moderata |
GCP-2024-008
Pubblicato: 12/02/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-5528 |
GCP-2024-007
Pubblicato: 8/02/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Le seguenti CVE espongono Cloud Service Mesh a vulnerabilità sfruttabili:
Per istruzioni e ulteriori dettagli, consulta il bollettino Cloud Service Meshsecurity. |
Alta |
GCP-2024-006
Pubblicato: 5/02/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Quando un proxy di gestione delle API Apigee si connette a un endpoint di destinazione o . server di destinazione, il proxy non esegue la convalida del nome host il certificato presentato dall'endpoint o dal server di destinazione per impostazione predefinita. Se la convalida del nome host non è abilitata utilizzando una delle seguenti opzioni: I proxy Apigee che si connettono a un endpoint o a un server di destinazione potrebbero essere a rischio di attacco man in the middle da parte di un utente autorizzato. Per ulteriori informazioni, consulta Configurazione di TLS da Edge al backend (cloud e cloud privato). Sono interessati i deployment del proxy Apigee sulle seguenti piattaforme Apigee:
Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Apigee. |
Alta |
GCP-2024-005
Pubblicato: 31/01/2024
Ultimo aggiornamento: 02/04/2024, 06/05/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 06/05/2024: sono state aggiunte le versioni delle patch per GKE su AWS e GKE su Azure. Aggiornamento 02/04/2024: aggiunte versioni patch per GKE on Bare Metal Aggiornamento 06/03/2024: aggiunte versioni patch per GKE su VMware Aggiornamento 28/02/2024: aggiunte versioni patch per Ubuntu Aggiornamento del 15/02/2024: è stato chiarito che le versioni 1.25 e 1.26 Le versioni delle patch di Ubuntu nell'aggiornamento 2024-02-14 potrebbero causare uno stato non integro nodi. Aggiornamento 14/02/2024: aggiunte versioni patch per Ubuntu Aggiornamento 06/02/2024 : sono state aggiunte versioni patch per Container-Optimized OS. In Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2024-21626 |
GCP-2024-004
Pubblicato il 24/01/2024
Ultimo aggiornamento: 07/02/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 07/02/2024: sono state aggiunte versioni patch per Ubuntu. Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-6817 |
GCP-2024-003
Pubblicato: 19/01/2024
Ultimo aggiornamento: 26/01/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 26/01/2024: è stato chiarito il numero di cluster interessati e le azioni che che abbiamo adottato per mitigare l'impatto. Per maggiori dettagli, consulta il bollettino sulla sicurezza di GCP-2024-003. Abbiamo identificato diversi cluster in cui gli utenti hanno concesso a Kubernetes
privilegi al gruppo Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Medio |
GCP-2024-002
Pubblicato: 17/01/2024
Ultimo aggiornamento: 20/02/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 20/02/2024: sono state aggiunte versioni patch per GKE su VMware. Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-6111 |
GCP-2024-001
Pubblicato: 09/01/2024Descrizione
Descrizione | Gravità | Note |
---|---|---|
Sono state scoperte diverse vulnerabilità nell'UEFI TianoCore EDK II completamente gestito di Google Cloud. Questo firmware viene utilizzato nelle VM di Google Compute Engine. Se sfruttate, le vulnerabilità potrebbero consentire di bypassare l'avvio protetto, fornisce misurazioni false nel processo di avvio protetto, tra cui quando utilizzato nelle Shielded VM. Che cosa devo fare?Non è richiesta alcuna azione da parte tua. Google ha corretto questa vulnerabilità su Compute Engine e tutte le VM sono protetti da questa vulnerabilità. Quali vulnerabilità vengono affrontate da questa patch?La patch ha mitigato le seguenti vulnerabilità:
|
Medio |
GCP-2023-051
Pubblicato: 28/12/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-3609 |
GCP-2023-050
Pubblicato: 27/12/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-3389 |
GCP-2023-049
Pubblicato: 20/12/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-3090 |
GCP-2023-048
Pubblicato: 15/12/2023
Ultimo aggiornamento: 21/12/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 21/12/2023: chiarire che GKE I cluster Autopilot nella configurazione predefinita non interessati. Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-3390 |
GCP-2023-047
Pubblicato: 14/12/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Un aggressore che ha compromesso il container di logging di Fluent Bit puoi combinare questo accesso con gli alti privilegi richiesti Cloud Service Mesh (sui cluster in cui è abilitato) per riassegnare i privilegi nel cluster. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Medio |
GCP-2023-046
Pubblicato il 22/11/2023
Ultimo aggiornamento: 04/03/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 04/03/2024: aggiunte le versioni GKE per GKE su VMware. Aggiornamento 22/01/2024: aggiunte le versioni delle patch di Ubuntu Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-5717 |
GCP-2023-045
Pubblicato: 20/11/2023
Ultimo aggiornamento: 21/12/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 21/12/2023: chiarire che GKE I cluster Autopilot nella configurazione predefinita non interessati. Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-5197 |
GCP-2023-044
Pubblicato: 15/11/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Il 14 novembre, AMD ha divulgato diverse vulnerabilità che incidono su CPU del server AMD. Nello specifico, le vulnerabilità influiscono sulle CPU del server EPYC sfruttando la Zen Core Generation 2 "Rome", generazione 3 "Milano", e la generazione 4 "Genova". Google ha applicato correzioni agli asset interessati, tra cui Google Cloud, per garantire i clienti sono protetti. In questo momento, non sono state trovate prove di sfruttamento trovati o segnalati a Google. Che cosa devo fare? Non è necessario alcun intervento da parte del cliente. Le correzioni sono già state applicate al parco di server Google per Google Google Cloud, incluso Google Compute Engine. Quali vulnerabilità vengono affrontate? La patch ha mitigato le seguenti vulnerabilità:
Per ulteriori informazioni, vedi l'avviso di sicurezza di AMD AMD-SN-3005: "AMD INVD Instruction Security Notification", pubblicato come CacheWarp e AMD-SN-3002: "Vulnerabilità del server AMD - Novembre 2023". |
Moderata |
GCP-2023-043
Pubblicato: 14/11/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Intel ha divulgato una vulnerabilità della CPU in alcuni processori. Google ha adottato misure per ridurre il numero di server a disposizione, tra cui Google Compute Engine per Google Cloud e i dispositivi ChromeOS, per garantire la protezione dei clienti. I dettagli della vulnerabilità:
Che cosa devo fare? Non è necessario alcun intervento da parte del cliente. La mitigazione fornita da Intel per i processori interessati è stata applicata al parco di server Google, incluso Google Compute Engine per Google Cloud. Al momento, Google Distributed Cloud Edge richiede un aggiornamento da parte dell'OEM. Google correggerà questo prodotto una volta reso disponibile l'aggiornamento e questo bollettino verrà aggiornato di conseguenza. I dispositivi ChromeOS con i processori interessati hanno ricevuto la correzione automaticamente nelle release 119, 118 e 114 (LTS). Quali vulnerabilità vengono affrontate? CVE-2023-23583. Per maggiori dettagli, vedi Intel Security Advisory INTEL-SA-00950. |
Alta | CVE-2023-23583 |
GCP-2023-042
Pubblicato il 13/11/2023
Ultimo aggiornamento: 15/11/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 15/11/2023: chiarisci che solo gli elementi elencati le versioni secondarie devono eseguire l'upgrade a una versione con patch corrispondente con GKE. Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-4147 |
GCP-2023-041
Pubblicato: 08/11/2023
Ultimo aggiornamento: 21/11/2023, 05/12/2023, 21/12/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 21/12/2023: chiarire che GKE I cluster Autopilot nella configurazione predefinita non interessati. Aggiornamento 05/12/2023: sono state aggiunte ulteriori versioni GKE per i pool di nodi di Container-Optimized OS. Aggiornamento 21/11/2023: chiarisci che solo gli elementi elencati le versioni secondarie devono eseguire l'upgrade a una versione con patch corrispondente con GKE. Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-4004 |
GCP-2023-040
Pubblicato: 06/11/2023
Ultimo aggiornamento: 21/11/2023, 21/12/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 21/12/2023: chiarire che GKE I cluster Autopilot nella configurazione predefinita non interessati. Aggiornamento 21/11/2023: chiarisci che solo gli elementi elencati le versioni secondarie devono eseguire l'upgrade a una versione con patch corrispondente con GKE. Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-4921 |
GCP-2023-039
Pubblicato: 06/11/2023
Ultimo aggiornamento: 21/11/2023, 16/11/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 21/11/2023: chiarisci che solo gli elementi elencati le versioni secondarie devono eseguire l'upgrade a una versione con patch corrispondente con GKE. Aggiornamento 16-11-2023: la vulnerabilità associata a questo bollettino sulla sicurezza è CVE-2023-4622. La vulnerabilità CVE-2023-4623 è stata erroneamente indicata come vulnerabilità in una versione precedente del bollettino sulla sicurezza. Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-4622 |
GCP-2023-038
Pubblicato: 06/11/2023
Ultimo aggiornamento: 21/11/2023, 21/12/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 21/12/2023: chiarire che GKE I cluster Autopilot nella configurazione predefinita non interessati. Aggiornamento 21/11/2023: chiarisci che solo gli elementi elencati le versioni secondarie devono eseguire l'upgrade a una versione con patch corrispondente con GKE. Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-4623 |
GCP-2023-037
Pubblicato: 06/11/2023
Ultimo aggiornamento: 21/11/2023, 21/12/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 21/12/2023: chiarire che GKE I cluster Autopilot nella configurazione predefinita non interessati. Aggiornamento 21/11/2023: chiarisci che solo gli elementi elencati le versioni secondarie devono eseguire l'upgrade a una versione con patch corrispondente con GKE. Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-4015 |
GCP-2023-036
Pubblicato: 30/10/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Deep Learning VM Images è un insieme di immagini di macchine virtuali predefinite con un framework di deep learning, pronte per essere eseguite da subito. Recentemente, è stata scoperta una vulnerabilità di scrittura oltre i limiti nella funzione "ReadHuffmanCodes()" della libreria "libwebp". Ciò potrebbe influire sulle immagini che utilizzano la raccolta. Google Cloud esegue una scansione continua delle immagini pubblicate pubblicamente e aggiorna i pacchetti per garantire che le distribuzioni con patch siano incluse nelle ultime release disponibili per l'adozione da parte dei clienti. Le Deep Learning VM Image sono state aggiornate per garantire che le più recenti immagini VM includano le distribuzioni con patch. I clienti che adottano le immagini VM più recenti non sono esposti a questa vulnerabilità. Che cosa devo fare? I clienti di Google Cloud che utilizzano immagini VM pubblicate devono assicurarsi di adottare le immagini più recenti e che i loro ambienti siano aggiornati, in base al modello di responsabilità condivisa. CVE-2023-4863 potrebbe essere sfruttato da un utente malintenzionato per eseguire codice arbitrario. Questa vulnerabilità è stata identificata in Google Chrome prima della versione 116.0.5845.187 e in "libwebp" prima della 1.3.2 ed è elencata in CVE-2023-4863. |
Alta | CVE-2023-4863 |
GCP-2023-035
Pubblicato: 26/10/2023
Ultimo aggiornamento: 21/11/2023, 21/12/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 21/12/2023: chiarire che GKE I cluster Autopilot nella configurazione predefinita non interessati. Aggiornamento 21/11/2023: chiarisci che solo gli elementi elencati le versioni secondarie devono eseguire l'upgrade a una versione con patch corrispondente con GKE. Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-4206CVE-2023-4207, CVE-2023-4208, CVE-2023-4128 |
GCP-2023-034
Pubblicato: 25/10/2023
Ultimo aggiornamento: 27/10/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
VMware ha divulgato diverse vulnerabilità in VMSA-2023-0023 che incidono sui componenti vCenter di cui è stato eseguito il deployment negli ambienti dei clienti. Impatto dell'assistenza clienti Google Cloud
Che cosa devo fare?Al momento non sono richieste ulteriori azioni |
Critico | CVE-2023-34048,CVE-2023-34056 |
GCP-2023-033
Pubblicato: 24/10/2023
Ultimo aggiornamento: 21/11/2023, 21/12/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 21/12/2023: chiarire che GKE I cluster Autopilot nella configurazione predefinita non senza alcun impatto sui carichi di lavoro di GKE Sandbox. Aggiornamento 21/11/2023: chiarisci che solo gli elementi elencati le versioni secondarie devono eseguire l'upgrade a una versione con patch corrispondente con GKE. Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-3777 |
GCP-2023-032
Pubblicato: 13/10/2023
Ultimo aggiornamento: 03/11/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 03/11/2023: aggiunto . problema noto di Apigee Edge per il cloud privato. Di recente è stata scoperta una vulnerabilità Denial of Service (DoS) in implementazioni multiple del protocollo HTTP/2 (CVE-2023-44487), incluso il servizio Apigee Ingress (Cloud Service Mesh) utilizzato Apigee X e Apigee Hybrid. La vulnerabilità potrebbe portare a un DoS della funzionalità di gestione delle API Apigee. Per istruzioni e ulteriori dettagli, consulta Bollettino sulla sicurezza di Apigee. |
Alta | CVE-2023-44487 |
GCP-2023-031
Pubblicato: 10/10/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Un attacco denial of service può interessare il piano dati quando si utilizza HTTP/2. Per istruzioni e ulteriori dettagli, consulta Bollettino sulla sicurezza di Cloud Service Mesh. |
Alta | CVE-2023-44487 |
GCP-2023-030
Pubblicato: 10/10/2023
Ultimo aggiornamento: 20/03/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 20/03/2024: sono state aggiunte versioni patch per GKE su AWS e GKE su Azure con le patch più recenti per CVE-2023-44487. Aggiornamento 14/02/2024: sono state aggiunte versioni patch per GKE su VMware. Aggiornamento 09/11/2023: è stato aggiunto il CVE-2023-39325. Ultimo aggiornamento Versioni GKE con le patch più recenti per CVE-2023-44487 e CVE-2023-39325. Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) in diverse implementazioni del protocollo HTTP/2 (CVE-2023-44487), incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Google Kubernetes Engine (GKE). I cluster GKE con reti autorizzate configurate sono protetti limitando l'accesso alla rete, ma sono interessati tutti gli altri cluster. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-44487, CVE-2023-39325 |
GCP-2023-029
Pubblicato: 03/10/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
TorchServe viene utilizzato per ospitare i modelli di machine learning PyTorch per la previsione online. Vertex AI fornisce container predefiniti per la gestione dei modelli PyTorch che dipendono da TorchServe. Di recente sono state scoperte delle vulnerabilità in TorchServe che consentirebbero a un utente malintenzionato di assumere il controllo di un deployment TorchServe se la sua API di gestione dei modelli è esposta. I clienti con modelli PyTorch di cui è stato eseguito il deployment nella previsione online di Vertex AI non sono interessati da queste vulnerabilità, poiché Vertex AI non espone l'API di gestione dei modelli di TorchServe. I clienti che utilizzano TorchServe al di fuori di Vertex AI devono prendere precauzioni per garantire che i propri deployment siano configurati in modo sicuro. Che cosa devo fare? I clienti di Vertex AI con modelli di cui è stato eseguito il deployment che utilizzano i container di gestione PyTorch predefiniti di Vertex AI non devono fare nulla per risolvere le vulnerabilità, poiché i deployment di Vertex AI non espongono il server di gestione di TorchServe su internet. I clienti che utilizzano i container PyTorch predefiniti in altri contesti o che utilizzano una distribuzione personalizzata o di terze parti di TorchServe devono fare quanto segue:
Quali vulnerabilità vengono affrontate? L'API di gestione di TorchServe è associata per impostazione predefinita a CVE-2023-43654 e CVE-2022-1471 consentono a un utente con accesso all'API di gestione di caricare modelli da origini arbitrarie ed eseguire codice da remoto. Le mitigazioni per entrambi questi problemi sono incluse in TorchServe 0.8.2: il percorso di esecuzione del codice remoto viene rimosso e viene emesso un avviso se viene utilizzato il valore predefinito per |
Alta | CVE-2023-43654, CVE-2022-1471 |
GCP-2023-028
Pubblicato: 19/09/2023
Ultimo aggiornamento: 29/05/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 29/05/2024: i nuovi feed non utilizzano più i campi
di account di servizio condiviso, ma rimane attivo per i feed esistenti per evitare
e interruzioni del servizio. Le modifiche all'origine nei feed precedenti sono bloccate a
impedire l'uso improprio dell'account di servizio condiviso. I clienti possono continuare a utilizzare
i vecchi feed normalmente, a patto che non modifichino l'origine.
I clienti possono configurare Google Security Operations per importare i dati dai bucket Cloud Storage di proprietà del cliente utilizzando un feed di importazione. Fino a poco tempo fa, Google Security Operations forniva un account di servizio condiviso che i clienti utilizzavano per concedere l'autorizzazione al bucket. Esisteva un'opportunità per configurare l'istanza Google Security Operations di un cliente per importare i dati dal bucket Cloud Storage di un altro cliente. Dopo aver eseguito un’analisi d’impatto, non abbiamo rilevato alcuno sfruttamento attuale o precedente di questa vulnerabilità. La vulnerabilità era presente in tutte le versioni di Google Security Operations prima del 19 settembre 2023. Che cosa devo fare? Il 19 settembre 2023, Google Security Operations è stato aggiornato per risolvere questa vulnerabilità. Non è necessario alcun intervento da parte del cliente. Quali vulnerabilità vengono affrontate? In precedenza, Google Security Operations forniva un account di servizio condiviso che i clienti utilizzavano per concedere l'autorizzazione a un bucket. Poiché clienti diversi assegnavano la stessa autorizzazione per l'account di servizio Google Security Operations al proprio bucket, esisteva un vettore di sfruttamento che consentiva al feed di un cliente di accedere al bucket di un cliente diverso quando un feed veniva creato o modificato. Questo vettore di sfruttamento richiedeva la conoscenza dell'URI del bucket. Ora, durante la creazione o la modifica dei feed, Google Security Operations utilizza account di servizio univoci per ogni cliente. |
Alta |
GCP-2023-027
Pubblicato: 11/09/2023Descrizione | Gravità | Note |
---|---|---|
Gli aggiornamenti di VMware vCenter Server risolvono più vulnerabilità di corruzione della memoria (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896) Impatto sull'assistenza clientiVMware vCenter Server (vCenter Server) e VMware Cloud Foundation (Cloud Foundation). Che cosa devo fare?I clienti non sono interessati e non è richiesta alcuna azione da parte tua. |
Medio |
GCP-2023-026
Pubblicato: 06/09/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) in cui un utente che può creare pod sui nodi Windows potrebbe essere in grado di eseguire l’escalation ai privilegi amministrativi su quei nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e il proxy CSI di Kubernetes. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-3676, CVE-2023-3955, CVE-2023-3893 |
GCP-2023-025
Pubblicato: 08/08/2023Descrizione | Gravità | Note |
---|---|---|
Intel ha recentemente annunciato l'Intel Security Advisory INTEL-SA-00828 che interessa alcune delle proprie famiglie di processori. Ti invitiamo a valutare i rischi in base all'avvertenza. Impatto su Google Cloud VMware EngineIl nostro parco risorse utilizza le famiglie di processori interessati. Nel nostro deployment, l'intero server è dedicato a un solo cliente. Di conseguenza, il nostro deployment non aumenta il rischio nella valutazione di questa vulnerabilità. Stiamo collaborando con i nostri partner per ottenere le patch necessarie e il deployment di queste patch in priorità in tutto il parco risorse utilizzando di upgrade standard nelle prossime settimane. Che cosa devo fare?Non è necessario alcun intervento da parte tua; stiamo lavorando per eseguire l’upgrade di sui sistemi colpiti. |
Alta |
GCP-2023-024
Pubblicato: 08/08/2023
Ultimo aggiornamento: 10/08/2023, 04/06/2024
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 04-06-2024: i seguenti prodotti mancanti sono stati aggiornati per correggere questa vulnerabilità:
Aggiornamento 10/08/2023: è stato aggiunto il numero di versione di ChromeOS LTS. Intel ha divulgato una vulnerabilità in processori selezionati (CVE-2022-40982). Google ha adottato misure per ridurre il numero di server, incluso Google Google Cloud, per garantire la protezione dei clienti. I dettagli della vulnerabilità:
Che cosa devo fare?
Non è necessario alcun intervento da parte del cliente. Tutte le patch disponibili sono già state applicate al server Google parco risorse per Google Cloud, compreso Google Compute Engine. Al momento, i seguenti prodotti richiedono ulteriori aggiornamenti da partner e fornitori.
Google correggerà questi prodotti una volta apportate queste patch disponibili e questo bollettino verrà aggiornato di conseguenza. I clienti di Google Chromebook e ChromeOS Flex hanno ricevuto automaticamente Intel ha fornito mitigazioni in Stabile (115), LTS (108), Beta (116), e LTC (114). I clienti di Chromebook e ChromeOS Flex sono bloccati la release meno recente dovrebbe prendere in considerazione lo sblocco e il passaggio al canale stabile o LTS per garantire che ricevano questa e altre correzioni di vulnerabilità. Quali vulnerabilità vengono affrontate? CVE-2022-40982 - Per ulteriori informazioni, vedi Avviso sulla sicurezza Intel INTEL-SA-00828. |
Alta | CVE-2022-40982 |
GCP-2023-023
Pubblicato: 08/08/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
AMD ha divulgato una vulnerabilità in processori selezionati (CVE-2023-20569). Google ha adottato misure per ridurre al minimo il parco di server, incluso Google Google Cloud, per garantire la protezione dei clienti. I dettagli della vulnerabilità:
Che cosa devo fare?
Gli utenti delle VM di Compute Engine devono prendere in considerazione le mitigazioni fornite dal sistema operativo se mediante l'esecuzione di codice non attendibile intra-istanza. Consigliamo ai clienti contattare i fornitori dei loro sistemi operativi per ottenere indicazioni più specifiche. Le correzioni sono già state applicate al parco di server Google per Google Google Cloud, incluso Google Compute Engine. Quali vulnerabilità vengono affrontate? CVE-2023-20569 - Per ulteriori informazioni, vedi AMD SB-7005. |
Moderata | CVE-2023-20569 |
GCP-2023-022
Pubblicato: 03/08/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Google ha identificato una vulnerabilità nelle implementazioni C++ di gRPC prima della release 1.57. Si trattava di una vulnerabilità Denial of Service all'interno dell'implementazione C++ di gRPC. Questi problemi sono stati risolti nelle release 1.53.2, 1.54.3, 1.55.2, 1.56.2 e 1.57. Che cosa devo fare? Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software:
Quali vulnerabilità vengono affrontate? Queste patch mitigano le seguenti vulnerabilità:
| Alta | CVE-2023-33953 |
GCP-2023-021
Updated:2023-07-26
Published:2023-07-25
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Le seguenti CVE espongono Cloud Service Mesh a vulnerabilità sfruttabili:
Per istruzioni e ulteriori dettagli, consulta Bollettino sulla sicurezza di Cloud Service Mesh. |
Alta |
GCP-2023-020
Updated:2023-07-26
Pubblicato: 24/07/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
AMD ha rilasciato un aggiornamento del microcodice che risolve una questione di sicurezza hardware (CVE-2023-20593). Google ha applicato le correzioni necessarie vulnerabilità al suo parco server, inclusi i server per Google Cloud Platform. I test indicano che non c'è alcun impatto delle prestazioni dei sistemi. Che cosa devo fare? Non è necessario alcun intervento da parte del cliente perché le correzioni sono già state applicate al parco di server Google per la Google Cloud Platform. Quali vulnerabilità vengono affrontate? CVE-2023-20593 risolve una vulnerabilità in alcune CPU AMD. Altro disponibili qui. | Alta | CVE-2023-20593 |
GCP-2023-019
Published:2023-07-18
Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-35945) in Envoy
in cui una risposta creata appositamente da un servizio upstream non attendibile
può causare un denial of service
tramite l'esaurimento della memoria. Questo è dovuto
dal codec HTTP/2 di Envoy che potrebbe far trapelare una mappa di intestazione e dati
strutture dopo aver ricevuto Per istruzioni e ulteriori dettagli, consulta Bollettino sulla sicurezza di Cloud Service Mesh. | Alta | CVE-2023-35945 |
GCP-2023-018
Pubblicato: 27/06/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-2235) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo. I cluster GKE Autopilot sono interessati perché i nodi GKE Autopilot utilizzano sempre le immagini dei nodi di Container-Optimized OS. Sono interessati i cluster GKE Standard con versione 1.25 o successive che eseguono immagini dei nodi Container-Optimized OS. I cluster GKE non sono interessati se eseguono solo immagini dei nodi Ubuntu, eseguono versioni precedenti alla 1.25 o utilizzano GKE Sandbox. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-2235 |
GCP-2023-017
Pubblicato: 26/06/2023
Ultimo aggiornamento: 11/07/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 11/07/2023: nuove versioni GKE Sono stati aggiornati in modo da includere le ultime versioni di Ubuntu che CVE-2023-31436. È stata scoperta una nuova vulnerabilità (CVE-2023-31436) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo. Sono interessati i cluster GKE, inclusi i cluster Autopilot. I cluster GKE che utilizzano GKE Sandbox non sono interessati. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-31436 |
GCP-2023-016
Pubblicato: 26/06/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Sono state scoperte diverse vulnerabilità in Envoy, che viene usato in Cloud Service Mesh, che consentono a un utente malintenzionato di causare un rifiuto o un arresto anomalo di Envoy. Questi valori sono stati segnalati separatamente come GCP-2023-002. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487 |
GCP-2023-015
Pubblicato: 20/06/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2023-0468, che potrebbe consentire a un utente senza privilegi di aumentare i privilegi per ottenere il root quando io_poll_get_ownership continuerà ad aumentare req->poll_refs su ogni io_poll_wake e poi overflow a 0, il che affronterà i file req->due volte e causerà un problema di refcount del file struct. Sono interessati i cluster GKE, inclusi i cluster Autopilot, con Container-Optimized OS che utilizza il kernel Linux versione 5.15. I cluster GKE che utilizzano immagini Ubuntu o che utilizzano GKE Sandbox non sono interessati. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Medio | CVE-CVE-2023-0468 |
GCP-2023-014
Ultimo aggiornamento: 11/08/2023
Pubblicato: 15/06/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento dell'11/08/2023 : aggiunte le versioni patch per GKE on VMware, GKE on AWS, GKE on Azure e Google Distributed Cloud Virtual for Bare Metal. In Kubernetes sono stati scoperti due nuovi problemi di sicurezza in cui gli utenti potrebbero essere in grado di avviare container che aggirano le limitazioni dei criteri quando utilizzano container temporanei e ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728). Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Medio | CVE-2023-2727, CVE-2023-2728 |
GCP-2023-013
Pubblicato: 08/06/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Quando abiliti l'API Cloud Build in un progetto,
Cloud Build crea automaticamente un account di servizio predefinito
di eseguire build per tuo conto. Questo servizio Cloud Build
in precedenza aveva l' Per istruzioni e ulteriori dettagli, consulta Bollettino sulla sicurezza di Cloud Build. |
Bassa |
GCP-2023-010
Pubblicato: 07/06/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Google ha identificato tre nuove vulnerabilità nell'implementazione di gRPC C ++. Questi verranno pubblicati a breve come CVE-2023-1428, CVE-2023-32731 e CVE-2023-32732. Ad aprile, abbiamo identificato due vulnerabilità nelle release 1.53 e 1.54. Una era una vulnerabilità Denial of Service all'interno dell'implementazione C++ di gRPC, mentre l'altra era una vulnerabilità di esfiltrazione di dati remota. Questi problemi sono stati risolti nelle versioni 1.53.1, 1.54.2 e successive. In precedenza, a marzo, i nostri team interni hanno individuato una vulnerabilità denial of service all'interno dell'implementazione C++ di gRPC durante l'esecuzione delle attività di routine di fuzzing. È stato trovato nella release gRPC 1.52 ed è stato risolto nelle release 1.52.2 e 1.53. Che cosa devo fare?Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software:
Quali vulnerabilità vengono affrontate da queste patch?Queste patch mitigano le seguenti vulnerabilità:
Ti consigliamo di eseguire l'upgrade alle versioni più recenti dei seguenti pacchetti software elencati sopra. |
Alto (CVE-2023-1428, CVE-2023-32731). Medio (CVE-2023-32732) | CVE-2023-1428 CVE-2023-32731 CVE-023-32732 |
GCP-2023-009
Pubblicato: 06/06/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-2878) in secrets-store-csi-driver dove un utente con accesso ai log del driver potrebbe osservare i token degli account di servizio. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Nessuno | CVE-2023-2878 |
GCP-2023-008
Pubblicato: 05/06/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-1872) nel kernel Linux che può portare a escalation dei privilegi per root sul nodo. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-1872 |
GCP-2023-007
Pubblicato: 02/06/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Di recente è stata scoperta una vulnerabilità in Cloud SQL per SQL Server che
account amministratore del cliente autorizzati a creare trigger nel
Google Cloud ha risolto il problema applicando una patch alla vulnerabilità di sicurezza entro il 1° marzo 2023. Google Cloud non ha rilevato alcuna compromissione le istanze dei clienti. Per istruzioni e ulteriori dettagli, consulta Bollettino sulla sicurezza di Cloud SQL. |
Alta |
GCP-2023-005
Pubblicato: 18/05/2023
Ultimo aggiornamento: 06/06/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 06/06/2023: le nuove versioni di GKE sono state aggiornate per includere le ultime versioni di Ubuntu che applicano le patch a CVE-2023-1281 e CVE-2023-1829. Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a escalation dei privilegi per root sul nodo. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-1281 CVE-2023-1829 |
GCP-2023-004
Pubblicato: 26/04/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Due vulnerabilità (CVE-2023-1017 e CVE-2023-1018) nel Trusted Platform Module (TPM) 2.0. Le vulnerabilità potrebbero aver permesso a un aggressore sofisticato di sfruttare una lettura/scrittura di 2 byte fuori dai limiti su determinate Compute Engine delle VM in esecuzione. Per istruzioni e ulteriori dettagli, consulta Bollettino sulla sicurezza di Compute Engine. |
Medio |
GCP-2023-003
Pubblicato: 11/04/2023
Ultimo aggiornamento: 21/12/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 21/12/2023: chiarire che GKE I cluster Autopilot nella configurazione predefinita non interessati. Nel kernel di Linux sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586, che potrebbero consentire a un utente senza privilegi di aumentare i privilegi. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2023-0240, CVE-2023-23586 |
GCP-2023-002
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Le seguenti CVE espongono Cloud Service Mesh a vulnerabilità sfruttabili:
Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Service Mesh. |
Alta |
GCP-2023-001
Pubblicato: 21/03/2023, 21/12/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 21/12/2023: chiarire che GKE I cluster Autopilot nella configurazione predefinita non interessati. È stata scoperta una nuova vulnerabilità (CVE-2022-4696) nel kernel Linux che può a un'escalation dei privilegi sul nodo. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2022-4696 |
GCP-2022-026
Pubblicato: 11/01/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Sono state rilevate due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) rilevato in OpenSSL v3.0.6 che potrebbe causare un arresto anomalo. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Medio |
GCP-2022-025
Pubblicato: 21/12/2022
Ultimo aggiornamento: 19/01/2023, 21/12/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 21/12/2023: chiarire che GKE I cluster Autopilot nella configurazione predefinita non interessati. Aggiornamento 19-01-2023: sono state aggiunte informazioni che È disponibile la versione di GKE 1.21.14-gke.14100. Sono state rilevate due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) rilevato in OpenSSL v3.0.6 che potrebbe causare un arresto anomalo. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Medio |
GCP-2022-024
Pubblicato: 09/11/2022
Ultimo aggiornamento: 19/01/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 19-01-2023: sono state aggiunte informazioni che È disponibile la versione di GKE 1.21.14-gke.14100. Aggiornamento 16/12/2022: aggiunte versioni patch per GKE e GKE su VMware. Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare alla separazione di un container completo sul nodo. Per istruzioni e ulteriori dettagli, consulta: |
Alta |
GCP-2022-023
Pubblicato: 04/11/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2022-39278 Istio, che viene utilizzato in Cloud Service Mesh, consente un attacco che ha provocato l'arresto anomalo del piano di controllo. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2022-39278 |
GCP-2022-022
Pubblicato: 28/10/2022
Ultimo aggiornamento: 14/12/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 14/12/2022: aggiunte versioni patch per GKE e GKE su VMware. In Linux è stata scoperta una nuova vulnerabilità, CVE-2022-20409 kernel che potrebbe consentire a un utente senza privilegi di riassegnare al sistema di esecuzione. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2022-20409 |
GCP-2022-021
Pubblicato: 27/10/2022
Ultimo aggiornamento: 19/01/2023, 21/12/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 21/12/2023: chiarire che GKE I cluster Autopilot nella configurazione predefinita non interessati. Aggiornamento 19-01-2023: sono state aggiunte informazioni che È disponibile la versione di GKE 1.21.14-gke.14100. Aggiornamento 15/12/2022: sono state aggiornate le informazioni relative alla versione La versione 1.21.14-gke.9400 di Google Kubernetes Engine è in attesa di implementazione e potrebbe essere sostituito da un numero di versione superiore. Aggiornamento 22/11/2022: aggiunte versioni patch per GKE on VMware, GKE su AWS e GKE su Azure. Nel kernel Linux, è stata scoperta una nuova vulnerabilità, CVE-2022-3176, che può e l'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di raggiungere un'implementazione completa del container per eseguire il root sul nodo. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta | CVE-2022-3176 |
GCP-2022-020
Pubblicato: 05/10/2022
Ultimo aggiornamento: 12/10/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Il piano di controllo Istio Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Service Mesh. |
Alta | CVE-2022-39278 |
GCP-2022-019
Pubblicato: 22/09/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Una vulnerabilità nell'analisi dei messaggi e nella gestione della memoria in Le implementazioni C++ e Python di ProtocolBuffer possono attivare di memoria (OOM) durante l'elaborazione di un messaggio appositamente creato. Questo potrebbe causare un denial of service (DoS) sui servizi che utilizzano librerie. Che cosa devo fare?Assicurati di utilizzare le versioni più recenti dei seguenti software di spedizione:
Quali vulnerabilità vengono affrontate da questa patch?La patch attenua la seguente vulnerabilità:
Un piccolo messaggio appositamente creato che causa il servizio in esecuzione
per allocare grandi quantità di RAM. Le dimensioni ridotte della richiesta indicano
che è facile sfruttare la vulnerabilità ed eliminare
Google Cloud. Sistemi C++ e Python che utilizzano protobuf non attendibili
sarebbero vulnerabili agli attacchi DoS se contengono un
|
Medio | CVE-2022-1941 |
GCP-2022-018
Pubblicato: 01/08/2022
Ultimo aggiornamento: 14/09/2022, 21/12/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 21/12/2023: chiarire che GKE I cluster Autopilot nella configurazione predefinita non interessati. Aggiornamento 14/09/2022: aggiunte versioni patch per GKE on VMware, GKE su AWS e GKE su Azure. È stata scoperta una nuova vulnerabilità (CVE-2022-2327) nel Kernel Linux che può portare all'escalation dei privilegi locali. Questo consente a un utente senza privilegi di raggiungere un container completo per eseguire il rooting sul nodo. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: | Alta | CVE-2022-2327 |
GCP-2022-017
Pubblicato: 29/06/2022
Ultimo aggiornamento: 22/11/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 22/11/2022: i carichi di lavoro che utilizzano GKE Sandbox non sono interessati da queste vulnerabilità. Aggiornamento 21/07/2022: informazioni aggiuntive su GKE su VMware. È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 del kernel Linux e 5.11. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di ottenere una segmentazione completa del container per eseguire il root sul nodo. Solo i cluster che vengono eseguiti La modifica interesserà Container-Optimized OS. Le versioni GKE Ubuntu utilizzano la versione 5.4 o 5.15 del kernel, e non sono interessati. Per istruzioni e ulteriori dettagli, consulta: |
Alta | CVE-2022-1786 |
GCP-2022-016
Pubblicato: 23/06/2022
Ultimo aggiornamento: 22/11/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 22/11/2022: i cluster Autopilot non sono interessati da CVE-2022-29581, ma sono vulnerabili a CVE-2022-29582 e CVE-2022-1116. Tre nuove vulnerabilità di danneggiamento della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) sono stati scoperti in del kernel Linux. Queste vulnerabilità consentono a un utente senza privilegi l'accesso locale al cluster per ottenere un'implementazione completa del container sul nodo. Tutti i cluster Linux (Container-Optimized OS e Ubuntu) sono interessati. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini: |
Alta |
GCP-2022-015
Pubblicato: 09/06/2022
Ultimo aggiornamento: 10/06/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 10/06/2022: le versioni di Cloud Service Mesh sono state aggiornato. Per istruzioni e ulteriori dettagli, consulta Bollettino sulla sicurezza di Cloud Service Mesh. I seguenti CVE di Envoy e Istio espongono Cloud Service Mesh e Istio su GKE a vulnerabilità sfruttabili da remoto:
Per istruzioni e ulteriori dettagli, consulta Bollettino sulla sicurezza di Cloud Service Mesh. |
Critico |
GCP-2022-014
Pubblicato: 26/04/2022
Ultimo aggiornamento: 22/11/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 22/11/2022: cluster e carichi di lavoro GKE Autopilot in esecuzione in GKE Sandbox non è interessato. Aggiornamento del 12/05/2022: GKE su AWS e Le versioni di GKE on Azure sono state aggiornate. Per istruzioni e altri dettagli, consulta:
Nel kernel di Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno di essi può portare un utente malintenzionato locale a eseguire una container breakout, escalation dei privilegi sull’host o entrambi. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu). Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza: |
Alta |
CVE-2022-1055 CVE-2022-27666 |
GCP-2022-013
Pubblicato: 11/04/2022
Ultimo aggiornamento: 22/04/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2022-23648, nella gestione del path traversal da parte di containerd nella specifica del volume di immagini OCI. I container lanciati tramite l'implementazione CRI di containerd con una configurazione di immagine appositamente creata potrebbero ottenere l'accesso completo in lettura a file e directory arbitrari sull'host. Questa vulnerabilità può bypassare qualsiasi applicazione basata su criteri nella configurazione dei container (incluso un criterio di sicurezza dei pod di Kubernetes). Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza: |
Medio | CVE-2022-23648 |
GCP-2022-012
Pubblicato: 07/04/2022
Ultimo aggiornamento: 22/11/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 22/11/2022: per i cluster GKE in entrambe le modalità, Standard e Autopilot, i carichi di lavoro che utilizzano GKE Sandbox non sono interessati. Nel kernel Linux versione 5.8 e successive è stata scoperta una vulnerabilità di sicurezza, CVE-2022-0847, che può potenzialmente aumentare i privilegi del container alla radice. Questa vulnerabilità interessa i seguenti prodotti:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza: |
Alta | CVE-2022-0847 |
GCP-2022-011
Pubblicato: 22/03/2022
Ultimo aggiornamento: 11/08/2022
Descrizione
Descrizione | Gravità |
---|---|
Aggiornamento 11/08/2022: sono state aggiunte ulteriori informazioni sui Configurazione Multi-Threading simultaneo (SMT). Lo scopo di SMT era disattivato, ma è stato attivato nelle versioni elencate. Se manualmente SMT abilitato per un pool di nodi con sandbox, SMT rimarrà abilitato manualmente nonostante questo problema. Nelle immagini GKE Sandbox è presente un errore di configurazione con il multi-Threading simultaneo (SMT), noto anche come hyperthreading. L'errata configurazione lascia i nodi potenzialmente esposti Attacchi a canale laterale come Microarchitectural Data Sampling (MDS) (per ulteriori informazioni, consulta la documentazione di GKE Sandbox). Sconsigliamo di utilizzare le seguenti versioni interessate:
Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE. |
Medio |
GCP-2022-010
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Il seguente CVE Istio espone Cloud Service Mesh a un server vulnerabilità sfruttabile:
Per istruzioni e ulteriori dettagli, consulta il seguente bollettino sulla sicurezza: |
Alta |
GCP-2022-009
Pubblicato: 01/03/2022Descrizione
Descrizione | Gravità |
---|---|
Potrebbero essere stati utilizzati alcuni percorsi imprevisti per accedere alla VM nodo nei cluster GKE Autopilot per riassegnare i privilegi nel cluster. Questi problemi sono stati risolti e non sono necessarie ulteriori azioni. Le correzioni risolvono i problemi segnalati tramite il nostro Vulnerability Reward Program. Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE |
Bassa |
GCP-2022-008
Pubblicato: 23/02/2022
Ultimo aggiornamento: 28/04/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 28/04/2022: sono state aggiunte versioni di GKE su VMware che risolvono questi problemi le vulnerabilità. Per maggiori dettagli, consulta Bollettino sulla sicurezza di GKE on VMware. Il progetto Envoy ha recentemente scoperto una serie di vulnerabilità. Tutti i problemi elencati di seguito sono stati risolti nella release 1.21.1 di Envoy.
Che cosa devo fare? Gli utenti di Envoy che gestiscono i propri Envoy devono assicurarsi di utilizzare la release 1.21.1 di Envoy. Gli utenti Envoy che gestiscono i propri Envoy creano i file binari da un'origine come GitHub e ne eseguono il deployment. Non è richiesta alcuna azione da parte degli utenti che eseguono Envoy gestiti (Google Cloud fornisce i file binari di Envoy), per i quali i prodotti Google Cloud passeranno alla versione 1.21.1. |
Alta |
CVE-2022-23606 CVE-2022-21655 CVE-2021-43826 CVE-2021-43825 CVE-2021-43824 CVE-2022-21654 CVE-2022-21657 CVE-2022-21656 |
GCP-2022-007
Pubblicato: 22/02/2022Descrizione
Descrizione | Gravità | Note |
---|---|---|
I seguenti CVE di Envoy e Istio espongono Cloud Service Mesh e Istio su GKE per le vulnerabilità sfruttabili da remoto:
Per istruzioni e ulteriori dettagli, consulta le seguenti sezioni sulla sicurezza bollettini: |
Alta |
GCP-2022-006
Pubblicato: 14/02/2022Ultimo aggiornamento: 16/05/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 16/05/2022: è stata aggiunta la versione 1.19.16-gke.7800 o successive di GKE all'elenco delle versioni con codice per correggere questa vulnerabilità. Per maggiori dettagli, consulta il bollettino sulla sicurezza di GKE. Aggiornamento 12/05/2022: GKE, GKE on VMware, GKE su AWS e Le versioni di GKE on Azure sono state aggiornate. Per istruzioni e altri dettagli, consulta:
Una vulnerabilità di sicurezza, CVE-2022-0492,
è stato rilevato nella funzione |
Bassa |
Per istruzioni e ulteriori dettagli, consulta: |
GCP-2022-005
Pubblicato: 11/02/2022Ultimo aggiornamento: 15/02/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2021-43527, in qualsiasi file binario che si collega le versioni vulnerabili di libnss3 presenti nelle versioni di NSS (Network Security Services) precedenti a 3.73 o 3.68.1. Applicazioni che utilizzano NSS per la convalida dei certificati o altre protocolli TLS, X.509, La funzionalità di OCSP o CRL potrebbe essere influenzata, a seconda di come viene utilizzato/configurato NSS. Per istruzioni e ulteriori dettagli, consulta: |
Medio | CVE-2021-43527 |
GCP-2022-004
Pubblicato: 04/02/2022Descrizione
Descrizione | Gravità | Note |
---|---|---|
In pkexec, una parte del pacchetto Linux Policy Kit (polkit), è stata scoperta una vulnerabilità di sicurezza CVE-2021-4034, che consente a un utente autenticato di eseguire un attacco di escalation dei privilegi. PolicyKit viene generalmente utilizzato solo sui sistemi desktop Linux per consentire agli utenti non root di eseguire azioni come riavviare il sistema, installare pacchetti, riavviare servizi e così via, come regolato da un criterio. Per istruzioni e ulteriori dettagli, consulta: |
Nessuno | CVE-2021-4034 |
GCP-2022-002
Pubblicato: 01/02/2022Ultimo aggiornamento: 25/02/2022
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento del 25/02/2022: il cluster GKE sono state aggiornate. Per istruzioni e altri dettagli, consulta: Aggiornamento 23/02/2022: il cluster GKE e Le versioni di GKE on VMware sono state aggiornate. Per istruzioni e altri dettagli, consulta: Aggiornamento 04/02/2022: la data di inizio del lancio delle versioni delle patch di GKE era il 2 febbraio. Tre vulnerabilità di sicurezza, CVE-2021-4154, CVE-2021-22600, e CVE-2022-0185, nel kernel Linux, ognuno dei quali può portare a una container breakout, a un'escalation dei privilegi sull'host o a entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi (COS e Ubuntu) su GKE, GKE su VMware, GKE su AWS (generazione attuale e precedente) e GKE su Azure. I pod che utilizzano GKE Sandbox non sono vulnerabili a queste vulnerabilità. Per ulteriori dettagli, consulta le note di rilascio di COS. Per istruzioni e ulteriori dettagli, consulta: |
Alta |
GCP-2022-001
Pubblicato: 06/01/2022Descrizione
Descrizione | Gravità | Note |
---|---|---|
Un potenziale problema di denial of service in Che cosa devo fare? Assicurati di utilizzare le versioni più recenti dei seguenti software di spedizione:
Protobuf "javalite" utenti (in genere Android) non sono interessati. Quali vulnerabilità vengono affrontate da questa patch? . La patch attenua la seguente vulnerabilità: Una debolezza dell'implementazione nel modo in cui i campi sconosciuti vengono analizzati in Java. R un piccolo payload dannoso (~800 kB) può occupare il parser per diversi minuti creando grandi quantità di oggetti di breve durata che causano pause ripetute per la garbage collection. |
Alta | CVE-2021-22569 |
GCP-2021-024
Pubblicato: 21/10/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stato rilevato un problema di sicurezza in Kubernetes controller ingress-nginx, CVE-2021-25742. Gli snippet personalizzati Ingress-nginx consentono di recuperare ingress-nginx i token e i secret dell'account di servizio in tutti gli spazi dei nomi. Per istruzioni e ulteriori dettagli, consulta: | Nessuno | CVE-2021-25742 |
GCP-2021-019
Pubblicato: 29/09/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Si è verificato un problema noto per cui l'aggiornamento di una risorsa Per istruzioni e ulteriori dettagli, consulta la sezione GKE bollettino sulla sicurezza. |
Bassa |
GCP-2021-022
Pubblicato: 22/09/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stata rilevata una vulnerabilità nel servizio di identità GKE Enterprise (AIS) Modulo LDAP di GKE on VMware versioni 1.8 e 1.8.1 dove una la chiave seed utilizzata per generare le chiavi è prevedibile. Con questo vulnerabilità, un utente autenticato potrebbe aggiungere attestazioni arbitrarie e e riassegnare i privilegi a tempo indeterminato. Per istruzioni e ulteriori dettagli, consulta la pagina relativa a GKE on VMware bollettino sulla sicurezza. |
Alta |
GCP-2021-021
Pubblicato: 22/09/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2020-8561 Kubernetes in cui è possibile creare determinati webhook per reindirizzare kube-apiserver richieste alle reti private del server API. Per istruzioni e ulteriori dettagli, consulta: |
Medio | CVE-2020-8561 |
GCP-2021-023
Pubblicato: 21/09/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
In base all'avviso sulla sicurezza VMware VMSA-2021-0020, VMware ha ricevuto report di più vulnerabilità in vCenter. VMware ha apportato aggiornamenti disponibili per correggere queste vulnerabilità nella piattaforma VMware interessata prodotti di big data e machine learning. Abbiamo già applicato le patch fornite da VMware per Stack vSphere verso Google Cloud VMware Engine per la sicurezza VMware avviso. Questo aggiornamento risolve le vulnerabilità di sicurezza descritte in CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 e CVE-2021-22010. Altri problemi di sicurezza non critici verranno risolti nel prossimo upgrade dello stack VMware (come da preavviso inviato nel mese di luglio, verranno forniti a breve ulteriori dettagli sulle tempistiche specifiche di l'upgrade). Impatto di VMware EngineDalle nostre indagini è emerso che non è stato trovato alcun cliente interessati. Che cosa devo fare?Poiché i cluster VMware Engine non sono interessati vulnerabilità, non sono necessarie ulteriori azioni. |
Critico |
GCP-2021-020
Pubblicato: 17/09/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Alcuni bilanciatori del carico di Google Cloud che eseguono il routing a un servizio di backend abilitato per Identity-Aware Proxy (IAP) potrebbero essere stati vulnerabili a un soggetto non attendibile in condizioni limitate. In questo modo viene risolto un problema segnalato tramite il nostro Vulnerability Reward Program. In base alle condizioni, i server:
Inoltre, un utente della tua organizzazione deve aver fatto clic su un link creato appositamente e inviato da un soggetto non attendibile. Il problema è stato risolto. A partire dal 17 settembre 2021, IAP è stato aggiornato in modo da inviare cookie solo agli host autorizzati. Un host è considerato autorizzato se corrisponde ad almeno un Nome alternativo del soggetto (SAN) in uno dei certificati installati sui bilanciatori del carico. Cosa fare
Alcuni dei tuoi utenti potrebbero riscontrare una risposta HTTP 401 Non autorizzata con il codice di errore IAP 52 durante il tentativo di accedere ad app o servizi. Questo codice di errore indica che il client ha inviato un'intestazione |
Alta |
GCP-2021-018
Pubblicato: 15/09/2021Ultimo aggiornamento: 20/09/2021
Descrizione
Descrizione | Gravità | Note |
---|---|---|
È stato rilevato un problema di sicurezza in Kubernetes, CVE-2021-25741, in cui un utente potrebbe essere in grado di creare un container con montaggi di volume del percorso secondario accedere a file e all'esterno del volume, incluse le directory host file system in esecuzione. Per istruzioni e ulteriori dettagli, consulta: |
Alta | CVE-2021-25741 |
GCP-2021-017
Pubblicato: 01/09/2021Ultimo aggiornamento: 23/09/2021
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 23/09/2021: container in esecuzione all'interno di GKE Sandbox non sono interessate da questa vulnerabilità per gli attacchi che hanno origine all'interno del container. Due vulnerabilità di sicurezza: le CVE-2021-33909 e CVE-2021-33910, sono state rilevati nel kernel Linux che possono causare un arresto anomalo del sistema operativo e riassegnare il problema al root da parte di un utente senza privilegi. Questa vulnerabilità interessa tutti i sistemi operativi con nodi GKE (COS e Ubuntu). Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza: |
Alta | CVE-2021-33909, CVE-2021-33910 |
GCP-2021-016
Pubblicato: 24/08/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
I seguenti CVE di Envoy e Istio espongono Cloud Service Mesh e Istio su GKE a vulnerabilità sfruttabili da remoto:
Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza: |
Alta |
GCP-2021-015
Pubblicato: 13/07/2021Ultimo aggiornamento:
2021/07/15
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Una nuova vulnerabilità di sicurezza, CVE-2021-22555,
è stata individuata la posizione in cui un utente malintenzionato con privilegi di Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza: |
Alta | CVE-2021-22555 |
GCP-2021-014
Pubblicato: 05/07/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Microsoft ha pubblicato un bollettino sulla sicurezza su una vulnerabilità RCE (Remote code Execution ), CVE-2021-34527, che interessa lo spooler di stampa nei server Windows. Il CERT Coordination Center (CERT/CC) ha pubblicato una nota di aggiornamento su una vulnerabilità correlata, denominata "PrintNightmare" che interessa anche gli spooler di stampa Windows - PrintNightmare, Vulnerabilità critica dello spooler di stampa di Windows Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE. |
Alta | CVE-2021-34527 |
GCP-2021-012
Pubblicato: 24/06/2021Ultimo aggiornamento:
2021/07/09
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Il progetto Istio di recente annunciato una vulnerabilità di sicurezza in cui le credenziali specificate nel gateway e È possibile accedere al campo credentialName di destinationRule da diverse spazi dei nomi. Per le istruzioni specifiche per i prodotti e altri dettagli, consulta:
|
Alta | CVE-2021-34824 |
GCP-2021-011
Pubblicato: 04/06/2021Ultimo aggiornamento: 19/10/2021
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 19/10/2021: Per istruzioni e altro vedi i bollettini sulla sicurezza seguenti:
La community per la sicurezza ha recentemente divulgato una nuova vulnerabilità di sicurezza
(CVE-2021-30465)
trovato in Per GKE, perché lo sfruttamento di questa vulnerabilità richiede la possibilità di creare pod, abbiamo valutato la per questa vulnerabilità nel livello MEDIUM. Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di GKE. |
Medio | CVE-2021-30465 |
GCP-2021-010
Pubblicato: 25/05/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
In base all'avviso sulla sicurezza VMware VMSA-2021-0010, esecuzione di codice remoto e le vulnerabilità di bypass dell'autenticazione in vSphere Client (HTML5) sono state segnalato privatamente a VMware. VMware ha reso disponibili gli aggiornamenti risolvere queste vulnerabilità nei prodotti VMware interessati. Abbiamo applicato le patch fornite da VMware per lo stack vSphere in base all'avviso sulla sicurezza di VMware. Questo aggiornamento riguarda la sicurezza vulnerabilità descritte in CVE-2021-21985 e CVE-2021-21986. La versioni delle immagini in esecuzione nelle tue VMware Engine cloud non riflettano alcuna modifica in questo momento per indicare le patch applicati. Ti assicuriamo che le patch appropriate sono state e il tuo ambiente è protetto da queste vulnerabilità. Impatto di VMware EngineDalle nostre indagini è emerso che nessun cliente è stato interessato. Che cosa devo fare?Perché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni. |
Critico |
GCP-2021-008
Pubblicato: 17/05/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Istio contiene una vulnerabilità sfruttabile da remoto quando un server
un client può accedere a servizi imprevisti nel cluster, bypassando
dei controlli di autorizzazione, quando un gateway è configurato
Configurazione del routing Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Service Mesh. |
Alta |
CVE-2021-31921 |
GCP-2021-007
Pubblicato: 17/05/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Istio contiene una vulnerabilità sfruttabile da remoto quando una richiesta HTTP
percorso con più barre o barre di escape ( Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Service Mesh. |
Alta |
CVE-2021-31920 |
GCP-2021-006
Pubblicato: 11/05/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Il progetto Istio dichiarato di recente una nuova vulnerabilità di sicurezza (CVE-2021-31920) che interessa Istio. Istio contiene una vulnerabilità sfruttabile da remoto, quando una richiesta HTTP con più barre o barre con caratteri di escape possono bypassare Istio criterio di autorizzazione quando vengono usate regole di autorizzazione basate sul percorso. Per istruzioni e ulteriori dettagli, consulta: |
Alta |
CVE-2021-31920 |
GCP-2021-005
Pubblicato: 11/05/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Una vulnerabilità segnalata indica che Envoy non decodifica i caratteri di escape
sequenze a barre Che cosa devo fare?
Se i server di backend gestiscono Quali cambiamenti comportamentali sono stati introdotti?Il parametro normalize_path di Envoy e le opzioni per unire barre adiacenti sono stati abilitati per risolvere altre vulnerabilità comuni di confusione dei percorsi Prodotti basati su Envoy. |
Alta |
CVE-2021-29492 |
GCP-2021-004
Pubblicato: 06/05/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
I progetti Envoy e Istio hanno annunciato di recente diverse nuove vulnerabilità di sicurezza (CVE-2021-28683, CVE-2021-28682 e CVE-2021-29258), che potrebbe consentire a un aggressore di provocare l'arresto anomalo di Envoy. I cluster Google Kubernetes Engine non eseguono Istio per impostazione predefinita e non sono vulnerabili. Se Istio è stato installato in un cluster e configurato per l'esposizione internet, questi servizi possono essere soggetti al rifiuto completamente gestito di Google Cloud. Google Distributed Cloud Virtual for Bare Metal e GKE on VMware utilizzano Envoy tramite predefinita per Ingress, quindi i servizi Ingress potrebbero essere vulnerabili al rifiuto di completamente gestito di Google Cloud. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza: |
Medio |
GCP-2021-003
Pubblicato: 19/04/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Il progetto Kubernetes di recente ha annunciato una nuova vulnerabilità di sicurezza, . CVE-2021-25735, che potrebbe consentire agli aggiornamenti dei nodi di bypassare una Convalida del webhook di ammissione.
In uno scenario in cui un aggressore ha abbastanza
privilegi e dove è implementato un webhook di convalida di ammissione che
utilizza le vecchie proprietà dell'oggetto Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza: |
Medio |
GCP-2021-002
Pubblicato: 05/03/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
In base all'avviso sulla sicurezza VMware VMSA-2021-0002, VMware ha ricevuto report di vulnerabilità multiple in VMware ESXi e vSphere Client (HTML5). VMware ha reso disponibili aggiornamenti per correggere queste vulnerabilità nei prodotti VMware interessati. Abbiamo applicato le soluzioni alternative documentate ufficialmente per vSphere in base all'avviso sulla sicurezza di VMware. Questo aggiornamento riguarda la sicurezza vulnerabilità descritte in CVE-2021-21972, CVE-2021-21973 e CVE-2021-21974. Impatto di VMware EngineDalle nostre indagini è emerso che nessun cliente è stato interessato. Che cosa devo fare?Perché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni. |
Critico |
GCP-2021-001
Pubblicato: 28/01/2021Descrizione
Descrizione | Gravità | Note |
---|---|---|
Di recente è stata scoperta una vulnerabilità nell'utilità Linux L'infrastruttura sottostante che esegue Compute Engine non è interessata. da questa vulnerabilità. Tutti i servizi Google Kubernetes Engine (GKE), GKE on VMware, GKE su AWS, e i cluster Google Distributed Cloud Virtual for Bare Metal non sono interessati da questa vulnerabilità. Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza: |
Nessuno | CVE-2021-3156 |
GCP-2020-015
Pubblicato: 07/12/2020Ultimo aggiornamento: 22/12/2020
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Ultimo aggiornamento: 22/12/2021 Il comando per GKE
nella sezione seguente deve utilizzare
gcloud container clusters update –no-enable-service-externalips Aggiornamento: 15/12/2021 Per GKE, la seguente mitigazione è ora disponibili:
Per ulteriori informazioni, vedi Rafforzamento della sicurezza del cluster. Il progetto Kubernetes scoperto di recente una nuova vulnerabilità, CVE-2020-8554, che potrebbero consentire a un aggressore ottenuto le autorizzazioni per creare un servizio Kubernetes di tipo LoadBalancer o ClusterIP per intercettare il traffico di rete proveniente da altri pod in nel cluster. Questa vulnerabilità di per sé non fornisce agli utenti malintenzionati autorizzazioni per creare un servizio Kubernetes. Tutti i servizi Google Kubernetes Engine (GKE), GKE on VMware e I cluster GKE su AWS sono interessati da questa vulnerabilità. Che cosa devo fare?Per istruzioni e ulteriori dettagli, consulta: |
Medio |
CVE-2020-8554 |
GCP-2020-014
Pubblicato: 20/10/2020Ultimo aggiornamento: 20/10/2020
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Il progetto Kubernetes ha recentemente rilevato diversi problemi che consentono l'esposizione dei dati secret quando sono abilitate opzioni di logging dettagliato. I problemi sono i seguenti:
Che cosa devo fare?Non sono necessarie ulteriori azioni a causa dei livelli predefiniti di logging delle informazioni dettagliate di GKE. |
Nessuno |
Impatto su Google Cloud
I dettagli relativi a ciascun prodotto sono elencati di seguito.
Prodotto |
Impatto |
---|---|
Google Kubernetes Engine (GKE) non è interessato. |
|
GKE On-Prem non è interessato. |
|
GKE su AWS non è interessato. |
GCP-2020-013
Pubblicato: 29-09-2020Descrizione
Microsoft ha divulgato la seguente vulnerabilità:
Vulnerabilità |
Gravità |
CVE |
---|---|---|
CVE-2020-1472 – Una vulnerabilità in Windows Server consente ai malintenzionati di utilizzare Netlogon protocollo remoto per eseguire un’applicazione appositamente creata su un dispositivo in rete. |
Punteggio di base NVD: 10 (critico) |
Per ulteriori informazioni, consulta Divulgazione da Microsoft.
Impatto su Google Cloud
L'infrastruttura che ospita Google Cloud e i prodotti Google non subirà modifiche da questa vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.
Prodotto |
Impatto |
---|---|
Compute Engine |
CVE-2020-1472 |
Google Kubernetes Engine |
CVE-2020-1472 |
Servizio gestito per Microsoft Active Directory |
CVE-2020-1472 |
Google Workspace |
Non è necessario alcun intervento da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Ambiente standard di App Engine |
Non è necessario alcun intervento da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Ambiente flessibile di App Engine |
Non è necessario alcun intervento da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Cloud Run |
Non è necessario alcun intervento da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Cloud Functions |
Non è necessario alcun intervento da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Cloud Composer |
Non è necessario alcun intervento da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Dataflow |
Non è necessario alcun intervento da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Dataproc |
Non è necessario alcun intervento da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Cloud SQL |
Non è necessario alcun intervento da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
GCP-2020-012
Pubblicato il 14/09/2020Ultimo aggiornamento: 17/09/2020
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Di recente è stata scoperta una vulnerabilità nel kernel Linux, descritta in CVE-2020-14386, che può consentire al container escape di ottenere i privilegi root sul nodo host. Sono interessati tutti i nodi GKE. Pod in esecuzione GKE Sandbox non sono in grado di sfruttare questa vulnerabilità. Per istruzioni e ulteriori dettagli, consulta:
Quale vulnerabilità viene affrontata da questa patch? La patch attenua la seguente vulnerabilità: La vulnerabilità CVE-2020-14386, che consente ai container con CAP_NET_RAW scrivere da 1 a 10 byte di memoria del kernel e possibilmente eseguire l'escape della container e ottenere i privilegi root sul nodo host. È classificato come Vulnerabilità ad alta gravità. |
Alta |
GCP-2020-011
Pubblicato: 24-07-2020Descrizione
Descrizione | Gravità | Note |
---|---|---|
Una vulnerabilità di rete, CVE-2020-8558, è stato rilevato di recente in Kubernetes. A volte i servizi comunicano con altre applicazioni in esecuzione all'interno dello stesso pod utilizzando (127.0.0.1). Questa vulnerabilità consente a un utente malintenzionato con accesso alla rete del cluster per inviare traffico al loopback di pod e nodi adiacenti. Servizi che si basano sul loopback un'interfaccia non accessibile al di fuori del pod potrebbe essere sfruttata. Per istruzioni e ulteriori dettagli, consulta: |
Bassa (GKE e GKE su AWS), |
GCP-2020-010
Pubblicato: 27-07-2020Descrizione
Microsoft ha divulgato la seguente vulnerabilità:
Vulnerabilità |
Gravità |
CVE |
---|---|---|
CVE-2020-1350 – I server Windows che operano alla capacità di un server DNS possono essere sfruttati eseguire codice non attendibile dall'account di sistema locale. |
Punteggio base NVD: 10.0 (critico) |
Per ulteriori informazioni, consulta Divulgazione da Microsoft.
Impatto su Google Cloud
L'infrastruttura che ospita Google Cloud e i prodotti Google non subirà modifiche da questa vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.
Prodotto |
Impatto |
---|---|
Compute Engine |
CVE-2020-1350 |
Google Kubernetes Engine |
CVE-2020-1350 |
Servizio gestito per Microsoft Active Directory |
CVE-2020-1350 |
Google Workspace |
Non è necessario alcun intervento da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Ambiente standard di App Engine |
Non è necessario alcun intervento da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Ambiente flessibile di App Engine |
Non è necessario alcun intervento da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Cloud Run |
Non è necessario alcun intervento da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Cloud Functions |
Non è necessario alcun intervento da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Cloud Composer |
Non è necessario alcun intervento da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Dataflow |
Non è necessario alcun intervento da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Dataproc |
Non è necessario alcun intervento da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Cloud SQL |
Non è necessario alcun intervento da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
GCP-2020-009
Pubblicato: 15-07-2020Descrizione
Descrizione | Gravità | Note |
---|---|---|
Una vulnerabilità di escalation dei privilegi, CVE-2020-8559, è stato rilevato di recente in Kubernetes. Questa vulnerabilità consente a che ha già compromesso un nodo per eseguire un comando in qualsiasi nel cluster. L’aggressore può quindi utilizzare nodo per compromettere altri nodi e potenzialmente leggere informazioni causare azioni distruttive. Tieni presente che, affinché un utente malintenzionato sfrutti questa vulnerabilità, un nodo nella del cluster deve essere già stato compromesso. Questa vulnerabilità, da sola, senza compromettere i nodi nel tuo cluster. Per istruzioni e ulteriori dettagli, consulta: |
Medio |
GCP-2020-008
Pubblicato: 19-06-2020Descrizione
Descrizione | Gravità | Note |
---|---|---|
DescrizioneLe VM con OS Login abilitato potrebbero essere soggette a privilegi vulnerabilità di escalation. Queste vulnerabilità offrono agli utenti la possibilità Le autorizzazioni di OS Login (ma non l'accesso amministrativo) possono riassegnare l'accesso root alla VM. Per istruzioni e ulteriori dettagli, consulta Bollettino sulla sicurezza di Compute Engine.
|
Alta |
GCP-2020-007
Pubblicato: 01/06/2020Descrizione
Descrizione | Gravità | Note |
---|---|---|
Vulnerabilità Falsificazione richiesta lato server (SSRF, Server Side Request Forgery), CVE-2020-8555, di recente scoperta in Kubernetes, consentendo ad alcune agli utenti di divulgare fino a 500 byte di informazioni sensibili alla rete host del piano di controllo. Il controllo Google Kubernetes Engine (GKE) utilizza i controller di Kubernetes ed è quindi interessato da questa vulnerabilità. Ti consigliamo di eseguire l'upgrade del piano di controllo l'ultima versione della patch. Non è necessario un upgrade del nodo. Per istruzioni e ulteriori dettagli, consulta: |
Medio |
GCP-2020-006
Pubblicato: 01/06/2020Descrizione
Descrizione | Gravità | Note |
---|---|---|
Kubernetes ha divulgato vulnerabilità che consente a un container con privilegi di reindirizzare il traffico dei nodi a un altro containerizzato. Traffico TLS/SSH reciproco, ad esempio tra kubelet e API server o il traffico proveniente da applicazioni che utilizzano mTLS non può essere letto modificato da questo attacco. Tutti i nodi di Google Kubernetes Engine (GKE) interessati da questa vulnerabilità e ti consigliamo di eseguire l'upgrade all'ultima versione della patch. Per istruzioni e ulteriori dettagli, consulta: |
Medio |
GCP-2020-005
Pubblicato: 2020-05-07Descrizione
Vulnerabilità |
Gravità |
CVE |
---|---|---|
Recentemente è stata scoperta una vulnerabilità nel kernel Linux, descritta in CVE-2020-8835, che consente di uscire dai limiti del container per ottenere privilegi di utente root sul nodo host. Nodi Ubuntu Google Kubernetes Engine (GKE) che eseguono GKE 1.16 o 1.17 sono interessate da questa vulnerabilità e ti consigliamo di eseguire l'upgrade alla versione più recente della patch il prima possibile. Consulta le Bollettino sulla sicurezza di GKE per istruzioni e ulteriori dettagli. |
Alta |
GCP-2020-004
Pubblicato il 31/03/2020Ultimo aggiornamento: 31/03/2020
Descrizione
Kubernetes ha divulgato le seguenti vulnerabulità:
Vulnerabilità |
Gravità |
CVE |
---|---|---|
CVE-2019-11254 – Si tratta di una vulnerabilità DoS (Denial of Service) che influisce sul server API. |
Medio |
Consulta il Bollettino sulla sicurezza di GKE on VMware per istruzioni e altri dettagli.
GCP-2020-003
Pubblicato il 31/03/2020Ultimo aggiornamento: 31/03/2020
Descrizione
Kubernetes ha divulgato le seguenti vulnerabulità:
Vulnerabilità |
Gravità |
CVE |
---|---|---|
CVE-2019-11254 – Si tratta di una vulnerabilità DoS (Denial of Service) che influisce sul server API. |
Medio |
Consulta il bollettino sulla sicurezza di GKE per istruzioni e ulteriori dettagli.
GCP-2020-002
Pubblicato il 23/03/2020Ultimo aggiornamento: 23/03/2020
Descrizione
Kubernetes ha divulgato le seguenti vulnerabulità:
Vulnerabilità |
Gravità |
CVE |
---|---|---|
CVE-2020-8551 – Si tratta di una vulnerabilità DoS (Denial of Service) che influisce sul kubelet. |
Medio |
|
CVE-2020-8552 – Si tratta di una vulnerabilità DoS (Denial of Service) che influisce sul server API. |
Medio |
Consulta il bollettino sulla sicurezza di GKE per istruzioni e ulteriori dettagli.
GCP-2020-001
Pubblicato il 21/01/2020Ultimo aggiornamento: 21/01/2020
Descrizione
Microsoft ha divulgato la seguente vulnerabilità:
Vulnerabilità |
Gravità |
CVE |
---|---|---|
CVE-2020-0601 – Questa vulnerabilità è nota anche come spoofing delle API Windows Crypto Vulnerabilità. Potrebbe essere sfruttata per creare eseguibili dannosi sembrano attendibili o consentono all’aggressore di effettuare man in the middle e decriptare le informazioni riservate relative alle connessioni degli utenti il software interessato. |
Punteggio base NVD: 8,1 (Alta) |
Per ulteriori informazioni, consulta Divulgazione da Microsoft.
Impatto su Google Cloud
L'infrastruttura che ospita Google Cloud e i prodotti Google non subirà modifiche da questa vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.
Prodotto |
Impatto |
---|---|
Compute Engine |
CVE-2020-0601 |
Google Kubernetes Engine |
CVE-2020-0601 |
Servizio gestito per Microsoft Active Directory |
CVE-2020-0601 |
Google Workspace |
Non è necessario alcun intervento da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Ambiente standard di App Engine |
Non è necessario alcun intervento da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Ambiente flessibile di App Engine |
Non è necessario alcun intervento da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Cloud Run |
Non è necessario alcun intervento da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Cloud Functions |
Non è necessario alcun intervento da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Cloud Composer |
Non è necessario alcun intervento da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Dataflow |
Non è necessario alcun intervento da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Dataproc |
Non è necessario alcun intervento da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
Cloud SQL |
Non è necessario alcun intervento da parte del cliente. Questo servizio non è interessato da questa vulnerabilità. |
GCP-2019-001
Pubblicato il: 12/11/2019Ultimo aggiornamento: 12/11/2019
Descrizione
Intel ha divulgato le seguenti vulnerabilità:
Vulnerabilità |
Gravità |
CVE |
---|---|---|
CVE-2019-11135 — Questa vulnerabilità, indicata come TSX Async Abort (TAA) può essere utilizzata per sfruttare l'esecuzione speculativa in una transazione TSX. Questa vulnerabilità può determinare un'esposizione dei dati attraverso le stesse strutture di dati della microarchitettura esposte dal Microarchitectural Data Sampling (MDS). |
Medio |
|
CVE-2018-12207 — Questa è una vulnerabilità di tipo Denial of Service (DoS) che interessa le macchine virtuali host (non ospiti). Questo problema è noto come "Machine Check Error on Page Size Change". |
Medio |
Per ulteriori informazioni, consulta le divulgazioni di Intel:
Impatto su Google Cloud
L'infrastruttura che ospita Google Cloud e i prodotti Google è protetta da queste vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.
Prodotto |
Impatto |
---|---|
Compute Engine |
CVE-2019-11135 CVE-2018-12207 |
Google Kubernetes Engine |
CVE-2019-11135 CVE-2018-12207 |
Ambiente standard di App Engine |
Non è necessario alcun intervento aggiuntivo. |
Ambiente flessibile di App Engine |
CVE-2019-11135 CVE-2018-12207 |
Cloud Run |
Non è necessario alcun intervento aggiuntivo. |
Cloud Functions |
Non è necessario alcun intervento aggiuntivo. |
Cloud Composer |
Non è necessario alcun intervento aggiuntivo. |
Dataflow |
CVE-2019-11135 CVE-2018-12207 |
Dataproc |
CVE-2019-11135 CVE-2018-12207 |
Cloud SQL |
Non è necessario alcun intervento aggiuntivo. |