セキュリティに関する情報

次のセキュリティに関する情報は、Google Cloud 製品に関連するものです。

このページのセキュリティ情報を定期的に受け取るには、こちらの XML フィードを使用してください。

GCP-2021-011

公開: 2021-06-04

説明

説明重大度注

説明	重大度	注
先ごろ、セキュリティコミュニティが `runc` で発見した新しいセキュリティ上の脆弱性（CVE-2021-30465）を公表しました。この脆弱性は、ノードファイルシステムへのフルアクセスが可能になるおそれがあります。 GKE の場合、この脆弱性を悪用するには Pod を作成する機能が必要であるため、この脆弱性の重大度は MEDIUM で評価されています。手順と詳細については、GKE のセキュリティ情報をご覧ください。	中	CVE-2021-30465

先ごろ、セキュリティコミュニティが runc で発見した新しいセキュリティ上の脆弱性（CVE-2021-30465）を公表しました。この脆弱性は、ノードファイルシステムへのフルアクセスが可能になるおそれがあります。

GKE の場合、この脆弱性を悪用するには Pod を作成する機能が必要であるため、この脆弱性の重大度は MEDIUM で評価されています。

手順と詳細については、GKE のセキュリティ情報をご覧ください。

中

CVE-2021-30465

GCP-2021-010

公開日: 2021 年 5 月 25 日

説明

説明	重大度	注
VMware セキュリティアドバイザリ VMSA-2021-0010 によると、vSphere クライアント（HTML5）のリモートコード実行と認証のバイパスに関する脆弱性が VMware にプライベートで報告されました。VMware は、影響を受ける VMware 製品の脆弱性の修正のためにアップデートを行いました。 VMware セキュリティアドバイザリに従って、vSphere スタック用に VMware が提供するパッチが適用されました。このアップデートは、CVE-2021-21985、CVE-2021-21986 に記載されている脆弱性に対応しています。この時点で、VMware Engine Private Cloud で実行されているイメージバージョンには、パッチが適用済みであることを示す変更の反映はありません。適切なパッチがインストールされ、これらの脆弱性からお客様の環境が保護されていますのでご安心ください。 VMware Engine への影響調査の結果、影響を受けたお客様は見つかりませんでした。必要な対策 VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。	重大	VMSA-2021-0010 CVE-2021-21985 CVE-2021-21986

重大度

注

VMware セキュリティアドバイザリ VMSA-2021-0010 によると、vSphere クライアント（HTML5）のリモートコード実行と認証のバイパスに関する脆弱性が VMware にプライベートで報告されました。VMware は、影響を受ける VMware 製品の脆弱性の修正のためにアップデートを行いました。

VMware セキュリティアドバイザリに従って、vSphere スタック用に VMware が提供するパッチが適用されました。このアップデートは、CVE-2021-21985、CVE-2021-21986 に記載されている脆弱性に対応しています。この時点で、VMware Engine Private Cloud で実行されているイメージバージョンには、パッチが適用済みであることを示す変更の反映はありません。適切なパッチがインストールされ、これらの脆弱性からお客様の環境が保護されていますのでご安心ください。

VMware Engine への影響

調査の結果、影響を受けたお客様は見つかりませんでした。

必要な対策

VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。

重大

GCP-2021-008

公開日: 2021 年 5 月 17 日

説明

説明重大度注

説明	重大度	注
ゲートウェイが `AUTO_PASSTHROUGH` ルーティング構成で構成されている場合、Istio には、外部クライアントが認可チェックを迂回してクラスタ内の想定されていないサービスにアクセスできるという、リモートから悪用可能な脆弱性が含まれています。設定手順と詳細については、Anthos Service Mesh のセキュリティ情報をご覧ください。	高	CVE-2021-31921

ゲートウェイが AUTO_PASSTHROUGH ルーティング構成で構成されている場合、Istio には、外部クライアントが認可チェックを迂回してクラスタ内の想定されていないサービスにアクセスできるという、リモートから悪用可能な脆弱性が含まれています。

設定手順と詳細については、Anthos Service Mesh のセキュリティ情報をご覧ください。

高

CVE-2021-31921

GCP-2021-007

公開日: 2021 年 5 月 17 日

説明

説明重大度注

説明	重大度	注
Istio には、パスベースの認可ルールを使用している場合にリモートから悪用できる脆弱性が含まれており、これを利用すると、複数のスラッシュやエスケープされたスラッシュ文字（`%2F` または `%5C`）を含む HTTP リクエストパスが、Istio 認可ポリシーを迂回できるようになります。設定手順と詳細については、Anthos Service Mesh のセキュリティ情報をご覧ください。	高	CVE-2021-31920

Istio には、パスベースの認可ルールを使用している場合にリモートから悪用できる脆弱性が含まれており、これを利用すると、複数のスラッシュやエスケープされたスラッシュ文字（%2F または %5C）を含む HTTP リクエストパスが、Istio 認可ポリシーを迂回できるようになります。

設定手順と詳細については、Anthos Service Mesh のセキュリティ情報をご覧ください。

高

CVE-2021-31920

GCP-2021-006

公開日: 2021 年 5 月 11 日

説明

説明	重大度	注
先ごろ、Istio プロジェクトでは、Istio に影響を与える新しいセキュリティの脆弱性（CVE-2021-31920）が公表されました。 Istio には、パスベースの承認ルールを使用している場合にリモートから悪用できる脆弱性が含まれており、これを利用すると、複数のスラッシュやエスケープされたスラッシュ記号を含む HTTP リクエストが Istio 認可ポリシーを迂回できるようになります。設定手順と詳細については、以下をご覧ください。 GKE のセキュリティ情報	高	CVE-2021-31920

重大度

注

先ごろ、Istio プロジェクトでは、Istio に影響を与える新しいセキュリティの脆弱性（CVE-2021-31920）が公表されました。

Istio には、パスベースの承認ルールを使用している場合にリモートから悪用できる脆弱性が含まれており、これを利用すると、複数のスラッシュやエスケープされたスラッシュ記号を含む HTTP リクエストが Istio 認可ポリシーを迂回できるようになります。

設定手順と詳細については、以下をご覧ください。

GKE のセキュリティ情報

高

CVE-2021-31920

GCP-2021-005

公開日: 2021 年 5 月 11 日

説明

説明重大度注

説明	重大度	注
報告された脆弱性により、Envoy は Envoy バージョン 1.18.2 以前の HTTP URL パス内のエスケープされたスラッシュシーケンス `%2F` と `%5C` をデコードしないことがわかりました。また、Envoy ベースの一部のプロダクトでは、パスの正規化コントロールが有効になりません。リモートの攻撃者がエスケープされたスラッシュ（`/something%2F..%2Fadmin,` など）付きのパスを作成して、アクセス制御（`/admin` に対するブロックなど）をバイパスする可能性があります。バックエンドサーバーがスラッシュシーケンスのデコードとパスの正規化を行うことによって、攻撃者がアクセス制御ポリシーによって提供されるスコープを超えてアクセスできる可能性が生じます。必要な対策バックエンドサーバーが `/` と `%2F` または `\` と `%5C` を同義として扱い、URL パスに基づくマッチングが構成されている場合、`\` と `%2F` または `\` と `%5C` を同義として扱わないようにバックエンドサーバーを再構成することをおすすめします（可能な場合）。導入された動作変更の内容 Envoy の normalize_path オプションと隣接するスラッシュを結合するオプションを使用して、Envoy ベースのプロダクトで他の一般的なパスの混乱の脆弱性に対処できるようになりました。	高	CVE-2021-29492

報告された脆弱性により、Envoy は Envoy バージョン 1.18.2 以前の HTTP URL パス内のエスケープされたスラッシュシーケンス %2F と %5C をデコードしないことがわかりました。また、Envoy ベースの一部のプロダクトでは、パスの正規化コントロールが有効になりません。リモートの攻撃者がエスケープされたスラッシュ（/something%2F..%2Fadmin, など）付きのパスを作成して、アクセス制御（/admin に対するブロックなど）をバイパスする可能性があります。バックエンドサーバーがスラッシュシーケンスのデコードとパスの正規化を行うことによって、攻撃者がアクセス制御ポリシーによって提供されるスコープを超えてアクセスできる可能性が生じます。

必要な対策

バックエンドサーバーが / と %2F または \ と %5C を同義として扱い、URL パスに基づくマッチングが構成されている場合、\ と %2F または \ と %5C を同義として扱わないようにバックエンドサーバーを再構成することをおすすめします（可能な場合）。

導入された動作変更の内容

Envoy の normalize_path オプションと隣接するスラッシュを結合するオプションを使用して、Envoy ベースのプロダクトで他の一般的なパスの混乱の脆弱性に対処できるようになりました。

高

CVE-2021-29492

GCP-2021-004

公開日: 2021 年 5 月 6 日

説明

説明	重大度	注
Envoy と Istio のプロジェクトは、最近、攻撃者が Envoy をクラッシュさせるおそれがある新しいセキュリティ上の脆弱性（CVE-2021-28683、CVE-2021-28682、CVE-2021-29258）を発表しました。 Google Kubernetes Engine クラスタは、デフォルトでは Istio を実行せず、脆弱性はありません。 Istio がクラスタにインストールされ、インターネットにサービスを公開するように構成されている場合、そうしたサービスにはサービス拒否攻撃に対する脆弱性が存在する可能性があります。ベアメタル版 Anthos と Anthos clusters on VMware は、デフォルトで Ingress に Envoy を使用するため、Ingress サービスがサービス拒否攻撃に対して脆弱性を持つ可能性があります。手順と詳細については、次のセキュリティ情報をご覧ください。 GKE のセキュリティ情報 VMware 上の Anthos クラスタのセキュリティ情報ベアメタル上の Anthos のセキュリティ情報	中	CVE-2021-28683 CVE-2021-28682 CVE-2021-29258

重大度

注

Envoy と Istio のプロジェクトは、最近、攻撃者が Envoy をクラッシュさせるおそれがある新しいセキュリティ上の脆弱性（CVE-2021-28683、CVE-2021-28682、CVE-2021-29258）を発表しました。

Google Kubernetes Engine クラスタは、デフォルトでは Istio を実行せず、脆弱性はありません。 Istio がクラスタにインストールされ、インターネットにサービスを公開するように構成されている場合、そうしたサービスにはサービス拒否攻撃に対する脆弱性が存在する可能性があります。

ベアメタル版 Anthos と Anthos clusters on VMware は、デフォルトで Ingress に Envoy を使用するため、Ingress サービスがサービス拒否攻撃に対して脆弱性を持つ可能性があります。

手順と詳細については、次のセキュリティ情報をご覧ください。

中

GCP-2021-003

公開日: 2021 年 4 月 19 日

説明

説明重大度注

説明	重大度	注
先ごろ、Kubernetes プロジェクトが新しいセキュリティ上の脆弱性 CVE-2021-25735 を発表しました。この脆弱性が悪用されると、ノードの更新で Validating Admission Webhook がバイパスされる可能性があります。攻撃者に十分な権限があり、古い `Node` オブジェクトプロパティ（`Node.NodeSpec` のフィールドなど）を使用する Validating Admission Webhook が実装されている場合、攻撃者はノードのプロパティの更新が可能となり、これによりクラスタが侵害される可能性があります。GKE と Kubernetes の組み込みのアドミッションコントローラによって適用されるポリシーは影響を受けませんが、お客様がインストールした追加の Admission Webhook を確認することをおすすめします。手順と詳細については、次のセキュリティ情報をご覧ください。 GKE のセキュリティ情報 VMware 上の Anthos クラスタのセキュリティ情報 AWS 上の Anthos クラスタのセキュリティ情報ベアメタル上の Anthos のセキュリティ情報	中	CVE-2021-25735

先ごろ、Kubernetes プロジェクトが新しいセキュリティ上の脆弱性 CVE-2021-25735 を発表しました。この脆弱性が悪用されると、ノードの更新で Validating Admission Webhook がバイパスされる可能性があります。

攻撃者に十分な権限があり、古い Node オブジェクトプロパティ（Node.NodeSpec のフィールドなど）を使用する Validating Admission Webhook が実装されている場合、攻撃者はノードのプロパティの更新が可能となり、これによりクラスタが侵害される可能性があります。GKE と Kubernetes の組み込みのアドミッションコントローラによって適用されるポリシーは影響を受けませんが、お客様がインストールした追加の Admission Webhook を確認することをおすすめします。

手順と詳細については、次のセキュリティ情報をご覧ください。

中

CVE-2021-25735

GCP-2021-002

公開日: 2021 年 3 月 5 日

説明

説明	重大度	注
VMware セキュリティアドバイザリ VMSA-2021-0002 によると、VMware は、VMware ESXi と vSphere クライアント（HTML5）に複数の脆弱性に関する報告を受けました。VMware には、影響を受ける VMware プロダクトにおけるこれらの脆弱性の修正のためのアップデートを行いました。 Google では、VMware セキュリティアドバイザリに従い、公式のドキュメントに記載されている回避策を vSphere スタックに適用しました。このアップデートは、CVE-2021-21972、CVE-2021-21973、CVE-2021-21974 に記載されているセキュリティ脆弱性に対応しています。 VMware Engine への影響調査の結果、影響を受けたお客様は見つかりませんでした。必要な対策 VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。	重大	VMSA-2021-0002 CVE-2021-21972 CVE-2021-21973 CVE-2021-21974

重大度

注

VMware セキュリティアドバイザリ VMSA-2021-0002 によると、VMware は、VMware ESXi と vSphere クライアント（HTML5）に複数の脆弱性に関する報告を受けました。VMware には、影響を受ける VMware プロダクトにおけるこれらの脆弱性の修正のためのアップデートを行いました。

Google では、VMware セキュリティアドバイザリに従い、公式のドキュメントに記載されている回避策を vSphere スタックに適用しました。このアップデートは、CVE-2021-21972、CVE-2021-21973、CVE-2021-21974 に記載されているセキュリティ脆弱性に対応しています。

VMware Engine への影響

調査の結果、影響を受けたお客様は見つかりませんでした。

必要な対策

VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。

重大

GCP-2021-001

公開日: 2021 年 1 月 28 日

説明

説明重大度注

説明	重大度	注
先ごろ、Linux ユーティリティ `sudo` に脆弱性（CVE-2021-3156 に記載）が発見されました。この脆弱性により、特権を持たないローカルシェルセッションの攻撃者がインストールされている `sudo` を使用してシステムにアクセスし、権限をシステムの root に昇格させるおそれがあります。 Compute Engine を実行する基盤となるインフラストラクチャはこの脆弱性の影響を受けません。この脆弱性は、すべての Google Kubernetes Engine（GKE）、Anthos clusters on VMware、AWS 上の Anthos クラスタ、ベアメタルクラスタ上の Anthos には影響しません。手順と詳細については、次のセキュリティ情報をご覧ください。 GKE のセキュリティ情報 VMware 上の Anthos クラスタのセキュリティ情報 AWS 上の Anthos クラスタのセキュリティ情報ベアメタル上の Anthos のセキュリティ情報 Compute Engine のセキュリティ情報	なし	CVE-2021-3156

先ごろ、Linux ユーティリティ sudo に脆弱性（CVE-2021-3156 に記載）が発見されました。この脆弱性により、特権を持たないローカルシェルセッションの攻撃者がインストールされている sudo を使用してシステムにアクセスし、権限をシステムの root に昇格させるおそれがあります。

Compute Engine を実行する基盤となるインフラストラクチャはこの脆弱性の影響を受けません。

この脆弱性は、すべての Google Kubernetes Engine（GKE）、Anthos clusters on VMware、AWS 上の Anthos クラスタ、ベアメタルクラスタ上の Anthos には影響しません。

手順と詳細については、次のセキュリティ情報をご覧ください。

なし

CVE-2021-3156

GCP-2020-015

公開日: 2020 年 12 月 7 日

説明

説明	重大度	注
Kubernetes プロジェクトで最近見つかった新しいセキュリティの脆弱性 CVE-2020-8554 では、LoadBalancer または ClusterIP タイプの Kubernetes Service を作成する権限を取得した攻撃者が、クラスタ内の他の Pod から発信されるネットワークトラフィックをインターセプトできる可能性があります。この脆弱性だけでは、攻撃者に Kubernetes Service を作成する権限は付与されません。この脆弱性の影響を受けるのは、すべての Google Kubernetes Engine（GKE）、VMware 上の Anthos クラスタ、AWS クラスタ上の Anthos クラスタです。必要な対策設定手順と詳細については、以下をご覧ください。 GKE のセキュリティ情報 VMware 上の Anthos クラスタのセキュリティ情報 AWS 上の Anthos クラスタのセキュリティ情報	中	CVE-2020-8554

重大度

注

Kubernetes プロジェクトで最近見つかった新しいセキュリティの脆弱性 CVE-2020-8554 では、LoadBalancer または ClusterIP タイプの Kubernetes Service を作成する権限を取得した攻撃者が、クラスタ内の他の Pod から発信されるネットワークトラフィックをインターセプトできる可能性があります。この脆弱性だけでは、攻撃者に Kubernetes Service を作成する権限は付与されません。

この脆弱性の影響を受けるのは、すべての Google Kubernetes Engine（GKE）、VMware 上の Anthos クラスタ、AWS クラスタ上の Anthos クラスタです。

必要な対策

設定手順と詳細については、以下をご覧ください。

中

CVE-2020-8554

GCP-2020-014

公開日: 2020 年 10 月 20 日
最終更新日: 2020 年 10 月 20 日

説明

説明	重大度	注
最近、Kubernetes プロジェクトでは、詳細ロギングオプションが有効になっている場合にシークレットデータが公開されてしまういくつかの問題を確認しました。問題は次のとおりです。 CVE-2020-8563: vSphere プロバイダ kube-controller-manager のログで Secret が漏えいする CVE-2020-8564: ファイルが不正で、ログレベルが 4 以上の場合に Docker 構成ファイルの Secret が漏えいする CVE-2020-8565: Kubernetes の CVE-2019-11250 の不完全な修正により、ログレベルが 9 以上の場合にログのトークンが漏えいするこれは、GKE Security によって発見されました。 CVE-2020-8566: ログレベルが 4 以上の場合に、ログの Ceph RBD adminSecret が漏えいする必要な対策 GKE のデフォルトの詳細ロギングレベルでは、これ以上のアクションは必要ありません。	なし	CVE-2020-8563 CVE-2020-8564 CVE-2020-8565 CVE-2020-8566

重大度

注

最近、Kubernetes プロジェクトでは、詳細ロギングオプションが有効になっている場合にシークレットデータが公開されてしまういくつかの問題を確認しました。問題は次のとおりです。

CVE-2020-8563: vSphere プロバイダ kube-controller-manager のログで Secret が漏えいする
CVE-2020-8564: ファイルが不正で、ログレベルが 4 以上の場合に Docker 構成ファイルの Secret が漏えいする
CVE-2020-8565: Kubernetes の CVE-2019-11250 の不完全な修正により、ログレベルが 9 以上の場合にログのトークンが漏えいするこれは、GKE Security によって発見されました。
CVE-2020-8566: ログレベルが 4 以上の場合に、ログの Ceph RBD adminSecret が漏えいする

必要な対策

GKE のデフォルトの詳細ロギングレベルでは、これ以上のアクションは必要ありません。

なし

Google Cloud への影響

プロダクトごとの詳細については、以下をご覧ください。

プロダクト	影響
Google Kubernetes Engine（GKE）	Google Kubernetes Engine（GKE）は影響を受けません。
GKE On-Prem	GKE On-Prem は影響を受けません。
GKE on AWS	GKE on AWS は影響を受けません。

GCP-2020-013

公開日: 2020 年 9 月 29 日

説明

次の脆弱性が Microsoft により公表されました。

脆弱性	重大度	CVE
CVE-2020-1472 - Windows Server の脆弱性により、攻撃者が Netlogon Remote Protocol を使用して、ネットワーク上のデバイス上で特別に細工したアプリケーションを実行するおそれがあります。	NVD ベーススコア: 10（重大）	CVE-2020-1472

詳しくは、Microsoft の開示情報をご覧ください。

Google Cloud への影響

この脆弱性は、Google Cloud と Google のサービスをホストするインフラストラクチャには影響しません。プロダクトごとの詳細については、以下をご覧ください。

プロダクト	影響
Compute Engine	CVE-2020-1472 ほとんどのお客様は、以後の対応は必要ありません。 Windows Server を実行している Compute Engine 仮想マシンでは、インスタンスに最新の Windows パッチを適用するか、2020 年 8 月 17 日以降に公開された Windows Server イメージ（v20200813 以降）を使用する必要があります。
Google Kubernetes Engine	CVE-2020-1472 ほとんどのお客様は、以後の対応は必要ありません。 GKE Windows Server ノードでドメインコントローラをホストしているお客様は、ノードと、ノード上で実行されるコンテナ化されたワークロードの両方で、最新の Windows ノードイメージ（使用可能である場合）を使用する必要があります。新しいノードイメージバージョンは 10 月に GKE リリースノートで発表される予定です。
Managed Service for Microsoft Active Directory	CVE-2020-1472 ほとんどのお客様は、以後の対応は必要ありません。 NetLogon プロトコルに対する修正が含まれる Microsoft がリリースした 8 月パッチが、すべてのマネージド Microsoft AD ドメインコントローラに適用されました。このパッチでは、潜在的な悪用を防ぐための機能が提供されます。パッチを適時に適用することは、Managed Service for Microsoft Active Directory を使用する主な利点の 1 つです。Microsoft Active Directory を手動で実行する（マネージド Microsoft AD を使用しない）お客様は、インスタンスに最新の Windows パッチを適用するか、Windows Server イメージを使用する必要があります。
Google Workspace	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
App Engine スタンダード環境	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
App Engine フレキシブル環境	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud Run	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud Functions	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud Composer	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Dataflow	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Dataproc	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud SQL	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。

GCP-2020-012

公開日: 2020 年 9 月 14 日
最終更新日: 2020 年 9 月 17 日

説明

説明	重大度	注
先ごろ、Linux カーネルに脆弱性 CVE-2020-14386 が発見されました。この脆弱性により、コンテナがエスケープ処理を行ってホストノードの root 権限を奪ってしまうおそれがあります。すべての GKE ノードが影響を受けます。GKE Sandbox で実行中の Pod はこの脆弱性の影響を受けません。設定手順と詳細については、以下をご覧ください。 GKE のセキュリティ情報 VMware 上の Anthos クラスタのセキュリティ情報。 AWS 上の Anthos クラスタのセキュリティ情報。このパッチで対処される脆弱性このパッチで緩和される脆弱性は以下のとおりです: 脆弱性 CVE-2020-14386。CAP_NET_RAW を備えたコンテナでは、1 ～ 10 バイトのカーネルメモリを書き込み、場合によってはコンテナをエスケープしてホストノードのルート権限を取得できます。この脆弱性の重大度評価は高です。	高	CVE-2020-14386

重大度

注

先ごろ、Linux カーネルに脆弱性 CVE-2020-14386 が発見されました。この脆弱性により、コンテナがエスケープ処理を行ってホストノードの root 権限を奪ってしまうおそれがあります。

すべての GKE ノードが影響を受けます。GKE Sandbox で実行中の Pod はこの脆弱性の影響を受けません。

設定手順と詳細については、以下をご覧ください。

このパッチで対処される脆弱性

このパッチで緩和される脆弱性は以下のとおりです:

脆弱性 CVE-2020-14386。CAP_NET_RAW
を備えたコンテナでは、1 ～ 10 バイトのカーネルメモリを書き込み、場合によってはコンテナをエスケープしてホストノードのルート権限を取得できます。この脆弱性の重大度評価は高です。

高

CVE-2020-14386

GCP-2020-011

公開日: 2020 年 7 月 24 日

説明

説明	重大度	注
先ごろ、ネットワークに関する脆弱性 CVE-2020-8558 が Kubernetes で発見されました。Service は、ローカルループバックインターフェース（127.0.0.1）を使用して同じ Pod 内で実行されている他のアプリケーションと通信することがあります。この脆弱性により、クラスタのネットワークにアクセスできる攻撃者が、隣接する Pod とノードのループバックインターフェースにトラフィックを送信できてしまいます。ループバックインターフェースが Pod の外部からアクセスできないことに依存しているサービスが侵害される可能性があります。設定手順と詳細については、以下をご覧ください。 GKE のセキュリティ情報 VMware 上の Anthos クラスタのセキュリティ情報 AWS 上の Anthos クラスタのセキュリティ情報	低（GKE および AWS 上の Anthos クラスタ）、中（VMware 上の Anthos クラスタ）	CVE-2020-8558

重大度

注

先ごろ、ネットワークに関する脆弱性 CVE-2020-8558 が Kubernetes で発見されました。Service は、ローカルループバックインターフェース（127.0.0.1）を使用して同じ Pod 内で実行されている他のアプリケーションと通信することがあります。この脆弱性により、クラスタのネットワークにアクセスできる攻撃者が、隣接する Pod とノードのループバックインターフェースにトラフィックを送信できてしまいます。ループバックインターフェースが Pod の外部からアクセスできないことに依存しているサービスが侵害される可能性があります。

設定手順と詳細については、以下をご覧ください。

低（GKE および AWS 上の Anthos クラスタ）、
中（VMware 上の Anthos クラスタ）

CVE-2020-8558

GCP-2020-010

公開日: 2020 年 7 月 27 日

説明

次の脆弱性が Microsoft により公表されました。

脆弱性	重大度	CVE
CVE-2020-1350 - DNS サーバーとして動作する Windows Server には、ローカルシステムアカウントで信頼できないコードを実行できるという脆弱性があります。	NVD ベーススコア: 10.0（重大）	CVE-2020-1350

詳しくは、Microsoft の開示情報をご覧ください。

Google Cloud への影響

プロダクト	影響
Compute Engine	CVE-2020-1350 ほとんどのお客様は、以後の対応は必要ありません。 DNS サーバーとして Windows Server を実行している Compute Engine 仮想マシンを使用する場合は、インスタンスに最新の Windows パッチを適用するか、07/14/2020 以降の Windows Server イメージを使用する必要があります。
Google Kubernetes Engine	CVE-2020-1350 ほとんどのお客様は、以後の対応は必要ありません。 DNS サーバーとして使用している Windows Server ノードで GKE を使用している場合、ノードとそのノードで実行するコンテナ化されたワークロードを、修正を含んだ Windows サーバーバージョンに手動で更新する必要があります。
Managed Service for Microsoft Active Directory	CVE-2020-1350 ほとんどのお客様は、以後の対応は必要ありません。管理対象の Microsoft AD ドメインはすべて、パッチ適用済みのイメージで自動的に更新されています。Microsoft Active Directory を手動で実行している（かつ、マネージド Microsoft AD を使用していない）場合、インスタンスに最新の Windows パッチを適用するか、07/14/2020 以降の Windows Server イメージを使用する必要があります。
Google Workspace	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
App Engine スタンダード環境	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
App Engine フレキシブル環境	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud Run	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud Functions	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud Composer	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Dataflow	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Dataproc	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud SQL	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。

GCP-2020-009

公開: 2020-07-15

説明

説明	重大度	注
先ごろ、権限昇格に関する脆弱性 CVE-2020-8559 が Kubernetes で発見されました。この脆弱性により、ノードを不正使用した攻撃者が、クラスタ内の任意の Pod でコマンドを実行できてしまいます。これにより、攻撃者はすでに不正使用したノードを使用して他のノードを不正使用し、情報の読み取りや、破壊的な操作をする可能性があります。攻撃者がこの脆弱性を悪用するには、クラスタ内のノードがすでに不正使用されている必要があります。この脆弱性だけで、クラスタ内のノードが不正使用されることはありません。設定手順と詳細については、以下をご覧ください。 GKE のセキュリティ情報 VMware 上の Anthos クラスタのセキュリティ情報 AWS 上の Anthos クラスタのセキュリティ情報	中	CVE-2020-8559

重大度

注

先ごろ、権限昇格に関する脆弱性 CVE-2020-8559 が Kubernetes で発見されました。この脆弱性により、ノードを不正使用した攻撃者が、クラスタ内の任意の Pod でコマンドを実行できてしまいます。これにより、攻撃者はすでに不正使用したノードを使用して他のノードを不正使用し、情報の読み取りや、破壊的な操作をする可能性があります。

攻撃者がこの脆弱性を悪用するには、クラスタ内のノードがすでに不正使用されている必要があります。この脆弱性だけで、クラスタ内のノードが不正使用されることはありません。

設定手順と詳細については、以下をご覧ください。

中

CVE-2020-8559

GCP-2020-008

公開日: 2020 年 6 月 19 日

説明

説明	重大度	注
説明 OS Loginが有効になっている VM は、権限昇格の脆弱性の影響を受けやすい場合があります。これらの脆弱性により、OS Login権限を付与された（しかし管理者アクセス権は付与されていない）ユーザーは VM 内のルートアクセス権に昇格できます。手順と詳細については、Compute Engine のセキュリティに関する情報をご覧ください。	高	CVE-2020-8903 CVE-2020-8907 CVE-2020-8933

重大度

注

説明

OS Loginが有効になっている VM は、権限昇格の脆弱性の影響を受けやすい場合があります。これらの脆弱性により、OS Login権限を付与された（しかし管理者アクセス権は付与されていない）ユーザーは VM 内のルートアクセス権に昇格できます。

手順と詳細については、Compute Engine のセキュリティに関する情報をご覧ください。

高

GCP-2020-007

公開日: 2020 年 6 月 1 日

説明

説明	重大度	注
最近、Kubernetes でサーバー側のリクエストフォージェリ（SSRF）の脆弱性 CVE-2020-8555 が検出され、特定の承認済みユーザーがコントロールプレーンホストネットワークから最大 500 バイトの機密情報を漏洩する可能性が生じました。Google Kubernetes Engine（GKE）コントロールプレーンでは、Kubernetes のコントローラを使用するため、この脆弱性の影響を受けます。コントロールプレーンを最新のパッチバージョンにアップグレードすることをおすすめします。ノードのアップグレードは不要です。設定手順と詳細については、以下をご覧ください。 GKE のセキュリティ情報 VMware 上の Anthos クラスタのセキュリティ情報 AWS 上の Anthos クラスタのセキュリティ情報	中	CVE-2020-8555

重大度

注

最近、Kubernetes でサーバー側のリクエストフォージェリ（SSRF）の脆弱性 CVE-2020-8555 が検出され、特定の承認済みユーザーがコントロールプレーンホストネットワークから最大 500 バイトの機密情報を漏洩する可能性が生じました。Google Kubernetes Engine（GKE）コントロールプレーンでは、Kubernetes のコントローラを使用するため、この脆弱性の影響を受けます。コントロールプレーンを最新のパッチバージョンにアップグレードすることをおすすめします。ノードのアップグレードは不要です。

設定手順と詳細については、以下をご覧ください。

中

CVE-2020-8555

GCP-2020-006

公開日: 2020 年 6 月 1 日

説明

説明	重大度	注
Kubernetes は、特権コンテナでノードトラフィックを別のコンテナにリダイレクトできるようになる脆弱性を公表しました。kubelet と API サーバーの間の相互 TLS/SSH トラフィックや、mTLS を使用するアプリケーションからのトラフィックは、この攻撃によって読み取ることも変更することもできません。この脆弱性は、すべての Google Kubernetes Engine（GKE）ノードに影響します。最新のパッチバージョンにアップグレードすることをおすすめします。設定手順と詳細については、以下をご覧ください。 GKE のセキュリティ情報 VMware 上の Anthos クラスタのセキュリティ情報 AWS 上の Anthos クラスタのセキュリティ情報	中	Kubernetes の問題 91507

重大度

注

Kubernetes は、特権コンテナでノードトラフィックを別のコンテナにリダイレクトできるようになる脆弱性を公表しました。kubelet と API サーバーの間の相互 TLS/SSH トラフィックや、mTLS を使用するアプリケーションからのトラフィックは、この攻撃によって読み取ることも変更することもできません。この脆弱性は、すべての Google Kubernetes Engine（GKE）ノードに影響します。最新のパッチバージョンにアップグレードすることをおすすめします。

設定手順と詳細については、以下をご覧ください。

中

Kubernetes の問題 91507

GCP-2020-005

公開日: 2020 年 5 月 7 日

説明

脆弱性	重大度	CVE
先ごろ、Linux カーネルに脆弱性 CVE-2020-8835 が発見されました。この脆弱性により、コンテナがエスケープ処理を行ってホストノードのルート権限を奪ってしまうおそれがあります。この脆弱性は、GKE 1.16 または 1.17 を実行する Google Kubernetes Engine（GKE）Ubuntu ノードはに影響します。できるだけ早く最新のパッチバージョンにアップグレードすることをおすすめします。手順と詳細については、GKE のセキュリティに関する情報をご覧ください。	高	CVE-2020-8835

脆弱性

重大度

CVE

先ごろ、Linux カーネルに脆弱性 CVE-2020-8835 が発見されました。この脆弱性により、コンテナがエスケープ処理を行ってホストノードのルート権限を奪ってしまうおそれがあります。

この脆弱性は、GKE 1.16 または 1.17 を実行する Google Kubernetes Engine（GKE）Ubuntu ノードはに影響します。できるだけ早く最新のパッチバージョンにアップグレードすることをおすすめします。

手順と詳細については、GKE のセキュリティに関する情報をご覧ください。

高

CVE-2020-8835

GCP-2020-004

公開日: 2020 年 3 月 31 日
最終更新日: 2020 年 3 月 31 日

説明

次の脆弱性が Kubernetes により公表されました。

脆弱性	重大度	CVE
CVE-2019-11254 - これは API サーバーに影響を与えるサービス拒否攻撃（DoS）の脆弱性です。	中	CVE-2019-11254

手順と詳細については、VMware 上の Anthos クラスタのセキュリティ情報をご覧ください。

GCP-2020-003

公開日: 2020 年 3 月 31 日
最終更新日: 2020 年 3 月 31 日

説明

次の脆弱性が Kubernetes により公表されました。

脆弱性	重大度	CVE
CVE-2019-11254 - これは API サーバーに影響を与えるサービス拒否攻撃（DoS）の脆弱性です。	中	CVE-2019-11254

手順と詳細については、GKE のセキュリティ情報をご覧ください。

GCP-2020-002

公開日: 2020 年 3 月 23 日
最終更新日: 2020 年 3 月 23 日

説明

次の脆弱性が Kubernetes により公表されました。

脆弱性	重大度	CVE
CVE-2020-8551 - これは kubelet に影響を与えるサービス拒否攻撃（DoS）の脆弱性です。	中	CVE-2020-8551
CVE-2020-8552 - これは API サーバーに影響を与えるサービス拒否攻撃（DoS）の脆弱性です。	中	CVE-2020-8552

手順と詳細については、GKE のセキュリティ情報をご覧ください。

GCP-2020-001

公開日: 2020 年 1 月 21 日
最終更新日: 2020 年 1 月 21 日

説明

次の脆弱性が Microsoft により公表されました。

脆弱性	重大度	CVE
CVE-2020-0601 - この脆弱性は Windows Crypto API のなりすましの脆弱性とも呼ばれます。これを悪用すると、悪意ある実行可能ファイルを信頼されたもののように見せかけることができます。また、攻撃者が中間者攻撃を行って標的ソフトウェアへの接続上で秘密情報を復号することも可能です。	NVD ベーススコア: 8.1（高）	CVE-2020-0601

詳しくは、Microsoft の開示情報をご覧ください。

Google Cloud への影響

プロダクト	影響
Compute Engine	CVE-2020-0601 ほとんどのお客様は、以後の対応は必要ありません。 Windows Server を実行している Compute Engine 仮想マシンでは、インスタンスに最新の Windows パッチを適用するか、1/15/2020 以降の Windows Server イメージを使用する必要があります。詳細については、Compute Engine のセキュリティに関する情報をご覧ください。
Google Kubernetes Engine	CVE-2020-0601 ほとんどのお客様は、以後の対応は必要ありません。 Windows Server ノードで GKE を使用している場合は、この脆弱性を軽減するために、ノードとそれらのノード上で実行されるコンテナ化されたワークロードの両方をパッチ適用済みバージョンに更新する必要があります。手順と詳細については、GKE のセキュリティ情報をご覧ください。
Managed Service for Microsoft Active Directory	CVE-2020-0601 ほとんどのお客様は、以後の対応は必要ありません。管理対象の Microsoft AD ドメインはすべて、パッチ適用済みのイメージで自動的に更新されています。Microsoft Active Directory を手動で実行する（マネージド Microsoft AD を使用しない）お客様は、インスタンスに最新の Windows パッチを適用するか、1/15/2020 以降の Windows Server イメージを使用する必要があります。
Google Workspace	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
App Engine スタンダード環境	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
App Engine フレキシブル環境	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud Run	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud Functions	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud Composer	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Dataflow	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Dataproc	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud SQL	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。

GCP-2019-001

公開日: 2019 年 11 月 12 日
最終更新日: 2019 年 11 月 12 日

説明

Intel により次の脆弱性が開示されました。

脆弱性	重大度	CVE
CVE-2019-11135 - TSX の非同期中止（TAA）と呼ばれるこの脆弱性は、TSX のトランザクション内で投機的実行の悪用に使用される可能性があります。この脆弱性により、Microarchitectural Data Sampling（MDS）によって読み出されたマイクロアーキテクチャのデータ構造を通してデータが公開されてしまう可能性があります。	中	CVE-2019-11135
CVE-2018-12207 - 仮想マシンのホスト（ゲストではない）に影響を及ぼすサービス拒否攻撃（DoS）の脆弱性が存在します。この問題は、「ページサイズ変更によるマシンチェックエラー」として知られています。	中	CVE-2018-12207

詳しくは、Intel の開示情報をご覧ください。

Google Cloud への影響

Google Cloud および Google プロダクトをホストしているインフラストラクチャは、これらの脆弱性から保護されています。プロダクトごとの詳細については、以下をご覧ください。

プロダクト	影響
Compute Engine	CVE-2019-11135 ほとんどのお客様は、追加のアクションを行う必要はありません。 Compute Engine 仮想マシン内の独自のマルチテナントサービスで信頼できないコードを実行している N2、C2、M2 のお客様は、VM をいったん停止してから再起動して、最新のセキュリティ対策が適用された状態にする必要があります。注: 詳細については、Compute Engine のセキュリティに関する情報をご覧ください。 CVE-2018-12207 お客様が追加のアクションを行う必要はありません。
Google Kubernetes Engine	CVE-2019-11135 ほとんどのお客様は、追加のアクションを行う必要はありません。使用しているノードプールに N2、M2、または C2 マシンタイプのノードが含まれていて、それらのノードが独自のマルチテナント GKE クラスタ内で信頼できないコードを実行している場合は、ノードを再起動する必要があります。ノードプール内のすべてのノードを再起動する場合は、影響を受けるノードプールをアップグレードしてください。注: ノードプールをアップグレードする場合も、同じ GKE バージョンを指定できます。詳細については、GKE のセキュリティに関する情報をご覧ください。 CVE-2018-12207 お客様が追加のアクションを行う必要はありません。
App Engine スタンダード環境	追加のアクションを行う必要はありません。
App Engine フレキシブル環境	CVE-2019-11135 追加のアクションを行う必要はありません。フレキシブル環境の VM 内のハイパースレッド間でアプリケーションレベルの共有が起こる可能性に関連して、Intel からベストプラクティスが公開されています。必ずご確認ください。 CVE-2018-12207 追加のアクションを行う必要はありません。
Cloud Run	追加のアクションを行う必要はありません。
Cloud Functions	追加のアクションを行う必要はありません。
Cloud Composer	追加のアクションを行う必要はありません。
Dataflow	CVE-2019-11135 ほとんどのお客様は、追加のアクションを行う必要はありません。 Dataflow によって管理されている N2、C2、または M2 マシンタイプの Compute Engine VM で複数の信頼できないワークロードを実行している Dataflow のお客様で、ゲスト内攻撃の心配がある場合は、現在実行中のストリーミングパイプラインの再起動を検討してください。必要に応じて、バッチパイプラインをいったんキャンセルし、再実行します。本日以降に開始したパイプラインの場合は、必要なアクションはありません。 CVE-2018-12207 お客様が追加のアクションを行う必要はありません。
Dataproc	CVE-2019-11135 ほとんどのお客様は、追加のアクションを行う必要はありません。 N2、C2、または M2 マシンタイプの Compute Engine VM で実行されている 1 つの Cloud Dataproc クラスタで、複数の信頼できないワークロードを実行している Cloud Dataproc のお客様で、ゲスト内攻撃の心配がある場合は、クラスタを再デプロイしてください。 CVE-2018-12207 お客様が追加のアクションを行う必要はありません。
Cloud SQL	追加のアクションを行う必要はありません。