セキュリティに関する情報

コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

次のセキュリティに関する情報は、Google Cloud 製品に関連するものです。

このページのセキュリティ情報を定期的に受け取るには、こちらの XML フィードを使用してください。登録

GCP-2022-018

公開日: 2022 年 8 月 1 日

最終更新日: 2022 年 9 月 14 日

説明

説明 重大度 メモ

2022 年 9 月 14 日更新: Anthos clusters on VMware、AWS の Anthos clusters、Anthos on Azure にパッチ バージョンを追加しました。


Linux カーネルで、ローカルでの権限昇格につながる可能性がある新しい脆弱性(CVE-2022-2327)が見つかりました。この脆弱性により、権限のないユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。

手順と詳細については、次の公開情報をご覧ください。

CVE-2022-2327

GCP-2022-017

公開日: 2022 年 6 月 29 日

説明

説明 重大度 メモ

2022 年 7 月 21 日更新: Anthos clusters on VMware に関する追加情報。


Linux カーネル バージョン 5.10 と 5.11 で、新しい脆弱性(CVE-2022-1786)が見つかりました。この脆弱性により、クラスタへのローカル アクセス権限を持つ非特権ユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。影響を受けるのは、Container-Optimized OS を実行するクラスタのみです。GKE Ubuntu バージョンは、バージョン 5.4 または 5.15 のカーネルを使用するため、影響を受けません。

手順と詳細については、以下をご覧ください。

CVE-2022-1786

GCP-2022-016

公開日: 2022 年 6 月 23 日

最終更新日: 2022 年 7 月 29 日

説明

説明 重大度 メモ

Linux カーネルで 3 つの新しいメモリ破損脆弱性(CVE-2022-29581、CVE-2022-29582、CVE-2022-1116)が発見されました。これらの脆弱性により、クラスタへのローカル アクセス権限を持つ非特権ユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。すべての Linux クラスタ(Container-Optimized OS と Ubuntu)が影響を受けます。

手順と詳細については、以下の情報をご覧ください。

GCP-2022-015

公開日: 2022 年 6 月 9 日
最終更新日: 2022 年 6 月 10 日

説明

説明 重大度 メモ

2022 年 6 月 10 日更新: Anthos Service Mesh のバージョンが更新されました。手順と詳細については、Anthos Service Mesh のセキュリティに関する公開情報をご覧ください。


次の Envoy と Istio の CVE は、リモートで悪用可能な脆弱性に対して Anthos Service Mesh と GKE on Istio が無防備な状態になります。

  • CVE-2022-31045: メタデータ交換と統計拡張機能が有効になっている場合、Istio データプレーンがメモリに安全にアクセスできない可能性があります。
  • CVE-2022-29225: 悪意のある攻撃者が小さな高圧縮ペイロード(zip 爆弾攻撃)を渡すと、データが中間バッファの上限を超えることがあります。
  • CVE-2021-29224: GrpcHealthCheckerImpl で null ポインタの逆参照の可能性。
  • CVE-2021-29226: OAuth フィルタにより 細なバイパスが可能
  • CVE-2022-29228: OAuth フィルタがメモリを破損(以前のバージョン)したり、ASSERT()(新しいバージョン)をトリガーしたりする可能性があります。
  • CVE-2022-29227: 本文またはトレーラーを含むリクエストで内部リダイレクトがクラッシュする。

手順と詳細については、Anthos Service Mesh のセキュリティに関する公開情報をご覧ください。

重大

GCP-2022-014

公開日: 2022 年 4 月 26 日
最終更新日: 2022 年 5 月 12 日

説明

説明 重大度 メモ

2022 年 5 月 12 日更新: AWS の Anthos clusters と Anthos on Azure のバージョンが更新されました。手順と詳細については、以下をご覧ください。

Linux カーネルで CVE-2022-1055CVE-2022-27666 の 2 つのセキュリティの脆弱性が見つかりました。いずれも、ローカルの攻撃者がコンテナ ブレークアウト、ホストでの権限昇格、またはその両方を実行できる可能性があります。これらの脆弱性は、すべての GKE ノード オペレーティング システム(Container-Optimized OS と Ubuntu)に影響します。手順と詳細については、次のセキュリティ情報をご覧ください。

CVE-2022-1055
CVE-2022-27666

GCP-2022-013

公開日: 2022 年 4 月 11 日
最終更新日: 2022 年 4 月 22 日

説明

説明 重大度 メモ

セキュリティ上の脆弱性(CVE-2022-23648)が、OCI イメージ ボリューム仕様におけるコンテナパスのパス走査の処理で見つかりました。特別に作成されたイメージ構成で containerd の CRI 実装を使ってコンテナが起動されると、ホスト上の任意のファイルとディレクトリへの完全な読み取りアクセス権を取得できます。この脆弱性により、コンテナの設定に対するポリシーベースの適用(Kubernetes Pod セキュリティ ポリシーを含む)がバイパスされる可能性があります。

手順と詳細については、次のセキュリティ情報をご覧ください。

CVE-2022-23648

GCP-2022-012

公開日: 2022 年 4 月 7 日

説明

説明 重大度 メモ

Linux カーネル バージョン 5.8 以降で、コンテナの権限を root に昇格できる可能性があるセキュリティ上の脆弱性(CVE-2022-0847)が見つかりました。この脆弱性の影響があるのは次のプロダクトです。

  • Container-Optimized OS イメージ(Container-Optimized OS 93 以降)を使用する GKE ノードプール バージョン 1.22 以降
  • Container-Optimized OS イメージ用の Anthos clusters on VMware v1.10
  • Anthos clusters on AWS v1.21 と Anthos clusters on AWS(previous generation)v1.19、v1.20、v1.21(Ubuntu を使用)
  • Anthos on Azure v1.21 のマネージド クラスタ(Ubuntu を使用)

手順と詳細については、次のセキュリティ情報をご覧ください。

CVE-2022-0847

GCP-2022-011

公開日: 2022 年 3 月 22 日
最終更新日: 2022 年 8 月 11 日

説明

説明 重大度

2022 年 8 月 11 日更新: 同時マルチスレッディング(SMT)の構成に関する詳細情報を追加しました。SMT は無効にすることを想定していましたが、リストされたバージョンで有効にされました。

サンドボックス化されたノードプールに対して SMT を手動で有効にした場合、この問題が発生しても SMT は手動で有効にされたままになります。


GKE Sandbox イメージに、ハイパー スレッディングとも呼ばれる同時マルチ スレッディング(SMT)の構成ミスが存在します。構成ミスにより、ノードがマイクロアーキテクチャ データ サンプリング(MDS)などのサイドチャネル攻撃を受ける可能性があります(詳細については、GKE Sandbox のドキュメントをご覧ください)。次の影響を受けるバージョンの使用はおすすめしません。

  • 1.22.4-gke.1501
  • 1.22.6-gke.300
  • 1.23.2-gke.300
  • 1.23.3-gke.600

手順と詳細については、GKE のセキュリティ情報をご覧ください。

GCP-2022-010

説明

説明 重大度 メモ

次の Istio CVE では、Anthos Service Mesh がリモートからの攻撃に利用できる脆弱性にさらされます。

  • CVE-2022-24726: Istio コントロール プレーン(istiod)はリクエスト処理中のエラーに対して脆弱であり、悪意のある攻撃者が特別に細工されたメッセージを送信すると、クラスタの検証 Webhook が公開されたときにコントロール プレーンがクラッシュします。このエンドポイントは TLS ポート 15017 経由で提供されますが、攻撃者からの認証は必要ありません。

手順と詳細については、次のセキュリティ情報をご覧ください。

GCP-2022-009

公開日: 2022 年 3 月 1 日

説明

説明 重大度

GKE Autopilot クラスタのノード VM にアクセスする予期せぬパスの一部が、クラスタ内の権限を昇格させるために使用された可能性があります。これらの問題は修正済みであり、これ以上の操作は必要ありません。この修正は、脆弱性報奨金プログラムを通じて報告された事象に対処したものです。

手順と詳細については、GKE のセキュリティ情報をご覧ください。

GCP-2022-008

公開日: 2022 年 2 月 23 日
最終更新日: 2022 年 4 月 28 日

説明

説明 重大度 メモ

2022 年 4 月 28 日更新: これらの脆弱性を修正した Anthos clusters on VMware のバージョンを追加しました。詳細については、Anthos clusters on VMware のセキュリティに関する公開情報をご覧ください。


先ごろ、Envoy プロジェクトで、一連の脆弱性が発見されました。以下の問題はすべて、Envoy リリース 1.21.1 で修正されています。
  • CVE-2022-23606: クラスタ検出サービス(CDS)でクラスタが削除されると、そのクラスタ内のエンドポイントに対して確立されたすべてのアイドル状態の接続が切断されます。Envoy バージョン 1.19 では、クラスタに多数のアイドル状態の接続がある場合に、スタックの枯渇や異常なプロセスの終了を引き起こす可能性がある手順として、誤って再帰が発生しました。
  • CVE-2022-21655: Envoy の内部リダイレクトのコードでは、ルートエントリが存在することを前提としています。ダイレクト レスポンス エントリがあり、ルートエントリが存在しないルートに対して内部リダイレクトが行われると、null ポインタが参照解除され、クラッシュします。
  • CVE-2021-43826: Envoy が、アップストリーム トンネリング(HTTP 経由)とダウンストリーム TLS 終端を使用する tcp_proxy を使用するように構成されている場合、アップストリーム HTTP ストリームの確立中に、ダウンストリーム クライアントの TLS handshake で切断されると、Envoy がクラッシュします。ダウンストリームは、クライアントまたはサーバーのいずれかによって切断されます。クライアントは、なんらかの理由で切断される可能性があります。サーバーに関しては、たとえば、クライアントと互換性のある TLS 暗号や TLS プロトコルのバージョンがない場合、接続を切断することがあります。こうしたクラッシュは、他のダウンストリーム構成でもトリガーされる可能性があります。
  • CVE-2021-43825: ローカルで生成されたレスポンスを送信すると、リクエストまたはレスポンス データのそれ以降の処理を停止する必要があります。Envoy は、バッファリングされたリクエスト データとレスポンス データの量を追跡し、バッファ内のデータの量が上限を超えた場合には 413 または 500 のレスポンスを送信してリクエストを中止します。ただし、フィルタ チェーンによってレスポンスが処理されているときに、内部バッファのオーバーフローが原因でローカルで生成したレスポンスが送信されると、オペレーションが正しく中止されず、解放されたメモリブロックにアクセスする可能性があります。
  • CVE-2021-43824: 「safe_regex」一致ルールを使用した JWT フィルタと「CONNECT host:port HTTP/1.1」のような特別に作成されたリクエストを使用している場合、Envoy がクラッシュします。JWT フィルタに到達すると、「safe_regex」ルールで URL パスが評価されても何もなく、Envoy は segfaults でクラッシュします。
  • CVE-2022-21654: mTLS 検証設定が再構成されると、Envoy が TLS セッション再開を誤って許可します。以前の構成でクライアント証明書が許可されており、新しい構成では許可されていない場合、現在の構成で禁止されていても、クライアントは以前の TLS セッションを再開できます。次の設定の変更が影響を受けます。
    • match_subject_alt_names
    • CRL の変更
    • allow_expired_certificate
    • Trust_chain_verification
    • only_verify_leaf_cert_crl
  • CVE-2022-21657: Envoy は、ピアから受け入れる証明書のセットを、TLS クライアントまたは TLS サーバーとして、必要な extendedKeyUsage(それぞれ d-kp-serverAuth と id-kp-clientAuth)が含まれる証明書のみに制限しません。つまり、ピアはリーフ証明書またはチェーン内の CA としてメール証明書(id-kp-emailProtection など)を提示でき、TLS に受け入れられます。これは、CVE-2022-21656 と組み合わさると特に悪影響を及ぼします。つまり、S/MIME での使用のみを目的とした Web PKI CA を許容し、監査や管理対象外となって Envoy が受け入れる TLS 証明書を発行するためです。
  • CVE-2022-21656: デフォルトの証明書検証ルーチンの実装に使用されるバリデータ実装に、subjectAltNames の処理時の「型混乱」のバグがあります。この処理により、たとえば rfc822Name や uniformResourceIndicator がドメイン名として認証されます。この混乱により、基盤となる OpenSSL/BoringSSL 実装で処理される際に nameConstraints がバイパスされ、任意のサーバーになりすます可能性があります。
特定のプロダクトに関する詳細な手順については、次のセキュリティに関する情報をご覧ください。
必要な対策
独自の Envoy を管理しているユーザーは、Envoy リリース 1.21.1 を使用する必要があります。独自の Envoy を管理する Envoy ユーザーは、GitHub などのソースからバイナリをビルドしてデプロイします。

マネージド Envoy(GCP が Envoy バイナリを提供)を実行しているユーザーが行う必要がある操作はありません。Cloud プロダクトは 1.21.1 に切り替わります。
CVE-2022-23606
CVE-2022-21655
CVE-2021-43826
CVE-2021-43825
CVE-2021-43824
CVE-2022-21654
CVE-2022-21657
CVE-2022-21656

GCP-2022-007

公開日: 2022 年 2 月 22 日

説明

説明 重大度 メモ

次の Envoy と Istio の CVE は、リモートで悪用可能な脆弱性に対して Anthos Service Mesh と GKE on Istio が無防備な状態になります。

  • CVE-2022-23635: 特別に作成された authorization ヘッダーでリクエストを受信すると、Istio がクラッシュします。
  • CVE-2021-43824: JWT フィルタ safe_regex の一致を使用すると null ポインタ逆参照が発生する可能性があります。
  • CVE-2021-43825: レスポンス フィルターがレスポンス データを増加させ、増加したデータがダウンストリーム バッファ制限を超える場合の「解放後の使用」。
  • CVE-2021-43826: アップストリーム接続の確立中にダウンストリームが切断された場合に、HTTP 経由で TCP をトンネリングする場合の「解放後の使用」。
  • CVE-2022-21654: 誤った構成処理により、検証設定が変更された後、再検証せずに mTLS セッションを再利用できます。
  • CVE-2022-21655: ダイレクト レスポンス エントリを含むルートへの内部リダイレクトが正しく処理されません。
  • CVE-2022-23606: クラスタ ディスカバリ サービスを介してクラスタが削除されると、スタックが枯渇します。

手順と詳細については、次のセキュリティ情報をご覧ください。

GCP-2022-006

公開日: 2022 年 2 月 14 日
最終更新日: 2022 年 5 月 16 日

説明

説明 重大度 メモ

2022 年 5 月 16 日更新: この脆弱性を修正するコードを持つバージョンのリストに、GKE バージョン 1.19.16-gke.7800 以降が追加されました。詳細については、GKE のセキュリティに関する公開情報をご覧ください。


2022 年 5 月 12 日更新: GKE、Anthos clusters on VMware、AWS の Anthos clusters、Anthos on Azure のバージョンが更新されました。手順と詳細については、以下をご覧ください。


セキュリティ上の脆弱性 CVE-2022-0492 が Linux カーネルの cgroup_release_agent_write 関数で発見されました。攻撃には権限のないユーザーの名前空間が使用され、特定の状況下でこの脆弱性を悪用してコンテナ ブレイクアウトが実行される可能性があります。

設定手順と詳細については、以下をご覧ください。

GCP-2022-005

公開日: 2022 年 2 月 11 日
最終更新日: 2022 年 2 月 15 日

説明

説明 重大度 メモ

3.73 または 3.68.1 より前の NSS(Network Security Services)バージョンで見つかった脆弱性のあるバージョンの libnss3 にリンクするバイナリで、セキュリティ上の脆弱性 CVE-2021-43527 が発見されました。NSS を証明書の検証や、TLS、X.509、OCSP、CRL などの機能に使用しているアプリケーションは、NSS の使用方法や構成に応じて影響を受ける可能性があります。

設定手順と詳細については、以下をご覧ください。

CVE-2021-43527

GCP-2022-004

公開日: 2022 年 2 月 4 日

説明

説明 重大度 メモ

セキュリティ上の脆弱性 CVE-2021-4034 が Linux ポリシーキット パッケージ(polkit)の一部である pkexec で発見されました。この脆弱性は、認証済みのユーザーが権限昇格攻撃を実行できるというものです。PolicyKit は通常、Linux デスクトップ システム上でのみ使用され、root 以外のユーザーがポリシーに沿ってシステムの再起動、パッケージのインストール、サービスの再起動などの操作を実行できるようにするものです。

設定手順と詳細については、以下をご覧ください。

なし CVE-2021-4034

GCP-2022-002

公開日: 2022 年 2 月 1 日
最終更新日: 2022 年 2 月 25 日

説明

説明 重大度 メモ

2022 年 2 月 25 日更新: GKE のバージョンが更新されました。設定手順と詳細については、以下をご覧ください。

2022 年 2 月 23 日更新: GKE と Anthos clusters on VMware のバージョンが更新されました。設定手順と詳細については、以下をご覧ください。


2022 年 2 月 4 日更新: GKE パッチ バージョンのロールアウト開始日は 2 月 2 日でした。


Linux カーネルで 3 つのセキュリティ脆弱性 CVE-2021-4154CVE-2021-22600CVE-2022-0185 が発見されました。これらは、それぞれ、コンテナ ブレークアウト、ホストに対する権限昇格、またはその両方につながる可能性があります。これらの脆弱性は、GKE 上のすべてのノード オペレーティング システム(COS と Ubuntu)、Anthos clusters on VMware、AWS 上の Anthos クラスタ(最新および旧世代)、Azure on Azure に影響します。GKE Sandbox を使用する Pod には、これらの脆弱性はありません。詳細については、COS リリースノートをご覧ください。

設定手順と詳細については、以下をご覧ください。

GCP-2022-001

公開日: 2022 年 1 月 6 日

説明

説明 重大度 メモ

バイナリデータの解析手順で、protobuf-java におけるサービス拒否攻撃の問題が発見されました。

必要な対策

次のソフトウェア パッケージの最新バージョンを使用していることを確認してください。

  • protobuf-java (3.16.1, 3.18.2, 3.19.2)
  • protobuf-kotlin (3.18.2, 3.19.2)
  • google-protobuf [JRuby gem] (3.19.2)

Protobuf「javalite」ユーザー(通常は Android)は影響を受けません。

このパッチで対処される脆弱性

このパッチで緩和される脆弱性は以下のとおりです。

Java で不明なフィールドを解析する方法の実装に存在する脆弱性。800 KB 程度の小さな悪意のあるペイロードにより、短命なオブジェクトを多数作成することでガベージ コレクションを頻繁かつ繰り返し発生させ、パーサーを数分間占有することが可能です。

CVE-2021-22569

GCP-2021-024

公開日: 2021 年 10 月 21 日

説明

説明 重大度 メモ

Kubernetes の ingress-nginx コントローラ CVE-2021-25742 でセキュリティの問題が見つかりました。Ingress-nginx カスタム スニペットを使用すると、すべての名前空間で ingress-nginx サービス アカウント トークンとシークレットを取得できます。

設定手順と詳細については、以下をご覧ください。

なし CVE-2021-25742

GCP-2021-019

公開日: 2021 年 9 月 29 日

説明

説明 重大度 メモ

v1beta1 API を使用して BackendConfig リソースを更新すると、そのサービスからアクティブな Google Cloud Armor セキュリティ ポリシーが削除されるという既知の問題があります。

手順と詳細については、GKE のセキュリティ関する情報をご覧ください。

GCP-2021-022

公開日: 2021 年 9 月 22 日

説明

説明 重大度 メモ

Anthos clusters on VMware バージョン 1.8 および 1.8.1 の Anthos Identity Service(AIS)LDAP モジュールで、鍵の生成に使用されるシード鍵を予測できる脆弱性が見つかりました。この脆弱性により、認証されたユーザーが任意のクレームを追加して、権限を無期限にエスカレーションできるようになります。

手順と詳細については、Anthos clusters on VMware に関するセキュリティ情報をご覧ください。

GCP-2021-021

公開日: 2021 年 9 月 22 日

説明

説明 重大度 メモ

セキュリティ上の脆弱性 CVE-2020-8561 が Kubernetes で発見されました。これは、kube-apiserver リクエストをその API サーバーのプライベート ネットワークにリダイレクトする Webhook を作成できるものです。

設定手順と詳細については、以下をご覧ください。

CVE-2020-8561

GCP-2021-023

公開日: 2021 年 9 月 21 日

説明

説明 重大度 メモ

VMware セキュリティ アドバイザリ VMSA-2021-0020 によると、vCenter に関して複数の脆弱性が報告されました。VMware は、影響を受ける VMware 製品の脆弱性の修正のためにアップデートを行いました。

vSphere スタック用に VMware から提供されたパッチを、VMware セキュリティ アドバイザリに従って Google Cloud VMware Engine にすでに適用しています。このアップデートは、CVE-2021-22005、CVE-2021-22006、CVE-2021-22007、CVE-2021-22008、CVE-2021-22010 に記載されているセキュリティの脆弱性に対応しています。その他の重要ではないセキュリティの問題は、今後の VMware スタックのアップグレードで対処されます(7 月に送信された事前通知に従い、詳細についてはアップグレードの具体的なタイムラインで提供されます)。

VMware Engine への影響

調査の結果、影響を受けたお客様は見つかりませんでした。

必要な対策

VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。

重大

GCP-2021-020

公開日: 2021 年 9 月 17 日

説明

説明 重大度 メモ

Identity-Aware Proxy(IAP)が有効なバックエンド サービスにルーティングする Google Cloud の特定のロードバランサで、限定された条件下にて、信頼できないグループに対して脆弱である恐れがあります。これは、Google の脆弱性報奨金プログラムを通じて報告された事象に対処したものです。

条件は、サーバーが以下の通りであることでした。
  • HTTP(S) ロードバランサであった、および
  • デフォルトのバックエンド、またはワイルドカード ホスト マッピング ルール(つまり、host="*")を持つバックエンドを使用した

さらに、組織内のユーザーが、信頼できないグループから送信された特別に作成されたリンクをクリックしなければなりません。

現在、この問題は解決しています。2021 年 9 月 17 日の時点で、認証済みのホストにのみ Cookie を発行するように IAP が更新されました。ホストが認証済みとみなされるのは、ロードバランサにインストールされているいずれかの証明書の少なくとも 1 つのサブジェクト代替名(SAN)と一致する場合です。

手順

貴社の一部のユーザーは、アプリまたはサービスにアクセスしようとしたときに、HTTP 401 Unauthorized レスポンスと IAP エラーコード 52 が返される場合があります。このエラー コードは、ロードバランサの SSL 証明書に関連付けられたサブジェクト代替名と一致しない Host ヘッダーをクライアントが送信したことを意味します。ロードバランサ管理者は、SSL 証明書を更新して、サブジェクト代替名(SAN)リストに、IAP で保護されたアプリまたはサービスにユーザーがアクセスするために使用するすべてのホスト名が含まれるようにする必要があります。IAP エラーコードについて学ぶ。

GCP-2021-018

公開日: 2021 年 9 月 15 日
最終更新日: 2021 年 9 月 20 日

説明

説明 重大度 メモ

Kubernetes で CVE-2021-25741 に記載されたセキュリティの問題が見つかりました。これにより、ユーザーが subpath ボリューム マウントを使用するコンテナを作成し、ボリュームの外部(ホストのファイルシステムを含む)にあるファイルとディレクトリにアクセスできる可能性があります。

設定手順と詳細については、以下をご覧ください。

CVE-2021-25741

GCP-2021-017

公開日: 2021 年 9 月 1 日
最終更新日: 2021 年 9 月 23 日

説明

説明 重大度 メモ

2021 年 9 月 23 日更新: GKE Sandbox 内で動作するコンテナは、コンテナ内で発生した攻撃に対して、この脆弱性の影響を受けません。


Linux カーネルで 2 つのセキュリティ脆弱性 CVE-2021-33909 と CVE-2021-33910 が発見されました。これらは、OS のクラッシュや権限のないユーザーによる root へのエスカレーションにつながる可能性があります。この脆弱性は、すべての GKE ノードのオペレーティング システム(COS と Ubuntu)に影響を及ぼします。

手順と詳細については、次のセキュリティ情報をご覧ください。

CVE-2021-33909CVE-2021-33910

GCP-2021-016


公開日: 2021 年 8 月 24 日

説明

説明 重大度 メモ

次の Envoy と Istio の CVE は、リモートで悪用可能な脆弱性に対して Anthos Service Mesh と GKE on Istio が無防備な状態になります。

  • CVE-2021-39156: URI パスにフラグメント(# 文字で始まる URI の末尾の部分)を含む HTTP リクエストが、Istio の URI パスベースの認可ポリシーをバイパスする可能性があります。
  • CVE-2021-39155: hosts または notHosts ベースのルールを使用している場合、HTTP リクエストで Istio 認証ポリシーがバイパスされる可能性があります。
  • CVE-2021-32781: Envoy の decompressorjson-transcodergrpc-web 拡張機能またはリクエストやレスポンスの本文のサイズを変更および拡大する独自の拡張機能に影響します。Envoy の拡張機能で本文のサイズを変更し、内部バッファサイズより大きくすると、Envoy が割り当て解除されたメモリにアクセスし、異常終了する可能性があります。
  • CVE-2021-32780: 信頼できないアップストリーム サービスが、SETTINGS_MAX_CONCURRENT_STREAMS パラメータが 0 に設定された GOAWAY フレームとそれに続く SETTINGS フレームを送信することで、Envoy が異常終了する可能性があります。(Istio on GKE には適用されません。)
  • CVE-2021-32778: Envoy クライアントが多数の HTTP/2 リクエストを開いてリセットすると、CPU が過剰に消費される可能性があります。(Istio on GKE には適用されません。)
  • CVE-2021-32777: ext_authz 拡張機能が使用されている場合、複数の値ヘッダーを含む HTTP リクエストで不完全な承認ポリシー チェックが実行されることがあります。

手順と詳細については、次のセキュリティ情報をご覧ください。

GCP-2021-015

公開日: 2021 年 7 月 13 日
最終更新日: 2021 年 7 月 15 日

説明

説明 重大度 メモ

新たなセキュリティ上の脆弱性 CVE-2021-22555 が発見されました。この脆弱性によって、CAP_NET_ADMIN 権限を持つ悪意のある人物が、ホストへのルート上でコンテナのブレークアウトを引き起こすおそれがあります。この脆弱性は、Linux バージョン 2.6.19 以降を実行している Anthos clusters on VMware のすべての GKE クラスタに影響します。

手順と詳細については、次のセキュリティ情報をご覧ください。

CVE-2021-22555

GCP-2021-014

公開日: 2021 年 7 月 5 日

説明

説明 重大度 メモ

Microsoft は、Windows Server の印刷スプーラーに影響するリモートコード実行(RCE)の脆弱性 CVE-2021-34527 についてのセキュリティ情報を公開しました。CERT Coordination Center(CERT/CC)は、「Printnightmare」と呼ばれる、関連する脆弱性に対する更新メモを公開しました。この脆弱性は Windows 印刷スプーラーにも影響します。Printnightmare、重大な Windows 印刷スプーラーの脆弱性

手順と詳細については、GKE のセキュリティ情報をご覧ください。

CVE-2021-34527

GCP-2021-012

公開日: 2021 年 6 月 24 日
最終更新日: 2021 年 7 月 9 日

説明

説明 重大度 メモ

先ごろ、Istio プロジェクトによって、ゲートウェイと DestinationRule の credentialName フィールドで指定された認証情報に異なる名前空間からアクセスできるようになるというセキュリティの脆弱性が発表されました。

サービス固有の手順と詳細については、以下をご覧ください。

CVE-2021-34824

GCP-2021-011

公開日: 2021 年 6 月 4 日
最終更新日: 2021 年 10 月 19 日

説明

説明 重大度 メモ

2021 年 10 月 19 日更新:

手順と詳細については、次のセキュリティ情報をご覧ください。


先ごろ、セキュリティ コミュニティが runc にセキュリティ上の新しい脆弱性(CVE-2021-30465)があることを発表しました。これはノード ファイル システムへの完全アクセス権を可能にするおそれがあります。

この脆弱性を悪用するためにはポッドを作成する能力が必要であるため、GKE では、この脆弱性の重大度を MEDIUM と評価しています。

手順と詳細については、GKE のセキュリティ情報をご覧ください。

CVE-2021-30465

GCP-2021-010

公開日: 2021 年 5 月 25 日

説明

説明 重大度 メモ

VMware セキュリティ アドバイザリ VMSA-2021-0010 によると、vSphere Client(HTML5)のリモートコード実行と認証バイパスに関する脆弱性が VMware に非公開で報告されました。VMware は、影響を受ける VMware 製品の脆弱性の修正のためにアップデートを作成しました。

Google では、VMware セキュリティ アドバイザリに従い、vSphere スタック用に VMware が提供するパッチを適用しました。このアップデートは、CVE-2021-21985、CVE-2021-21986 に記載されている脆弱性に対応しています。この時点で、VMware Engine Private Cloud で実行されているイメージ バージョンには、パッチが適用済みであることを示す変更の反映はありません。適切なパッチがインストールされ、これらの脆弱性からお客様の環境が保護されていますのでご安心ください。

VMware Engine への影響

調査の結果、影響を受けたお客様は見つかりませんでした。

必要な対策

VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。

重大

GCP-2021-008

公開日: 2021 年 5 月 17 日

説明

説明 重大度 メモ

ゲートウェイが AUTO_PASSTHROUGH ルーティング構成で構成されている場合、Istio には、外部クライアントが認可チェックを迂回してクラスタ内の想定されていないサービスにアクセスできるという、リモートから悪用可能な脆弱性が含まれています。

設定手順と詳細については、Anthos Service Mesh のセキュリティ情報をご覧ください。

CVE-2021-31921

GCP-2021-007

公開日: 2021 年 5 月 17 日

説明

説明 重大度 メモ

Istio には、パスベースの認可ルールを使用している場合にリモートから悪用できる脆弱性が含まれており、これを利用すると、複数のスラッシュやエスケープされたスラッシュ文字(%2F または %5C)を含む HTTP リクエストパスが、Istio 認可ポリシーを迂回できるようになります。

設定手順と詳細については、Anthos Service Mesh のセキュリティ情報をご覧ください。

CVE-2021-31920

GCP-2021-006

公開日: 2021 年 5 月 11 日

説明

説明 重大度 メモ

先ごろ、Istio プロジェクトでは、Istio に影響を与える新しいセキュリティの脆弱性(CVE-2021-31920)が公表されました。

Istio には、パスベースの承認ルールを使用している場合にリモートから悪用できる脆弱性が含まれており、これを利用すると、複数のスラッシュやエスケープされたスラッシュ記号を含む HTTP リクエストが Istio 認可ポリシーを迂回できるようになります。

設定手順と詳細については、以下をご覧ください。

CVE-2021-31920

GCP-2021-005

公開日: 2021 年 5 月 11 日

説明

説明 重大度 メモ

報告された脆弱性により、Envoy は Envoy バージョン 1.18.2 以前の HTTP URL パス内のエスケープされたスラッシュ シーケンス %2F%5C をデコードしないことがわかりました。また、Envoy ベースの一部のプロダクトでは、パスの正規化コントロールが有効になりません。リモートの攻撃者がエスケープされたスラッシュ(/something%2F..%2Fadmin, など)付きのパスを作成して、アクセス制御(/admin に対するブロックなど)をバイパスする可能性があります。バックエンド サーバーがスラッシュ シーケンスのデコードとパスの正規化を行うことによって、攻撃者がアクセス制御ポリシーによって提供されるスコープを超えてアクセスできる可能性が生じます。

必要な対策

バックエンド サーバーが /%2F または \%5C を同義として扱い、URL パスに基づくマッチングが構成されている場合、\%2F または \%5C を同義として扱わないようにバックエンド サーバーを再構成することをおすすめします(可能な場合)。

導入された動作変更の内容

Envoy の normalize_path オプションと隣接するスラッシュを結合するオプションを使用して、Envoy ベースのプロダクトで他の一般的なパスの混乱の脆弱性に対処できるようになりました。

CVE-2021-29492

GCP-2021-004

公開日: 2021 年 5 月 6 日

説明

説明 重大度 メモ

Envoy と Istio のプロジェクトは、最近、攻撃者が Envoy をクラッシュさせるおそれがある新しいセキュリティ上の脆弱性(CVE-2021-28683CVE-2021-28682CVE-2021-29258)を発表しました

Google Kubernetes Engine クラスタは、デフォルトでは Istio を実行せず、脆弱性はありません。 Istio がクラスタにインストールされ、インターネットにサービスを公開するように構成されている場合、そうしたサービスにはサービス拒否攻撃に対する脆弱性が存在する可能性があります。

ベアメタル版 Anthos と Anthos clusters on VMware は、デフォルトで Ingress に Envoy を使用するため、Ingress サービスがサービス拒否攻撃に対して脆弱性を持つ可能性があります。

手順と詳細については、次のセキュリティ情報をご覧ください。

GCP-2021-003

公開日: 2021 年 4 月 19 日

説明

説明 重大度 メモ

先ごろ、Kubernetes プロジェクトが新しいセキュリティ上の脆弱性 CVE-2021-25735発表しました。この脆弱性が悪用されると、ノードの更新で Validating Admission Webhook がバイパスされる可能性があります。

攻撃者に十分な権限があり、古い Node オブジェクト プロパティ(Node.NodeSpec のフィールドなど)を使用する Validating Admission Webhook が実装されている場合、攻撃者はノードのプロパティの更新が可能となり、これによりクラスタが侵害される可能性があります。GKE と Kubernetes の組み込みのアドミッション コントローラによって適用されるポリシーは影響を受けませんが、お客様がインストールした追加の Admission Webhook を確認することをおすすめします。

手順と詳細については、次のセキュリティ情報をご覧ください。

CVE-2021-25735

GCP-2021-002

公開日: 2021 年 3 月 5 日

説明

説明 重大度 メモ

VMware セキュリティ アドバイザリ VMSA-2021-0002 によると、VMware は、VMware ESXi と vSphere クライアント(HTML5)に複数の脆弱性に関する報告を受けました。VMware には、影響を受ける VMware プロダクトにおけるこれらの脆弱性の修正のためのアップデートを行いました。

Google では、VMware セキュリティ アドバイザリに従い、公式のドキュメントに記載されている回避策を vSphere スタックに適用しました。このアップデートは、CVE-2021-21972、CVE-2021-21973、CVE-2021-21974 に記載されている脆弱性に対応しています。

VMware Engine への影響

調査の結果、影響を受けたお客様は見つかりませんでした。

必要な対策

VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。

重大

GCP-2021-001

公開日: 2021 年 1 月 28 日

説明

説明 重大度 メモ

先ごろ、Linux ユーティリティ sudo に脆弱性(CVE-2021-3156 に記載)が発見されました。この脆弱性により、特権を持たないローカルシェル セッションの攻撃者がインストールされている sudo を使用してシステムにアクセスし、権限をシステムの root に昇格させるおそれがあります。

Compute Engine を実行する基盤となるインフラストラクチャはこの脆弱性の影響を受けません。

この脆弱性は、すべての Google Kubernetes Engine(GKE)、Anthos clusters on VMware、AWS 上の Anthos クラスタ、ベアメタル クラスタ上の Anthos には影響しません。

手順と詳細については、次のセキュリティ情報をご覧ください。

なし CVE-2021-3156

GCP-2020-015

公開日: 2020 年 12 月 7 日
最終更新日: 2020 年 12 月 22 日

説明

説明 重大度 メモ

更新: 2021 年 12 月 22 日 次のセクションの GKE のコマンドでは、gcloud コマンドではなく gcloud beta を使用する必要があります。


gcloud container clusters update –no-enable-service-externalips

更新: 2021 年 12 月 15 日 GKE について、以下の緩和策が利用可能です。
  1. GKE バージョン 1.21 以降、ExternalIP を持つサービスは、新しいクラスタ用にデフォルトで有効になっている DenyServiceExternalIPs アドミッション コントローラによってブロックされます。
  2. GKE バージョン 1.21 にアップグレードするお客様は、次のコマンドを使用して ExternalIPs を持つサービスをブロックできます。
    
    gcloud container clusters update –no-enable-service-externalips
    

詳細については、クラスタのセキュリティの強化をご覧ください。


Kubernetes プロジェクトで最近見つかった新しいセキュリティの脆弱性 CVE-2020-8554 では、LoadBalancer または ClusterIP タイプの Kubernetes Service を作成する権限を取得した攻撃者が、クラスタ内の他の Pod から発信されるネットワーク トラフィックをインターセプトできる可能性があります。この脆弱性だけでは、攻撃者に Kubernetes Service を作成する権限は付与されません。

この脆弱性の影響を受けるのは、すべての Google Kubernetes Engine(GKE)、VMware 上の Anthos クラスタ、AWS クラスタ上の Anthos クラスタです。

必要な対策

設定手順と詳細については、以下をご覧ください。

CVE-2020-8554

GCP-2020-014

公開日: 2020 年 10 月 20 日
最終更新日: 2020 年 10 月 20 日

説明

説明 重大度 メモ

最近、Kubernetes プロジェクトでは、詳細ロギング オプションが有効になっている場合にシークレット データが公開されてしまういくつかの問題を確認しました。問題は次のとおりです。

  • CVE-2020-8563: vSphere プロバイダ kube-controller-manager のログで Secret が漏えいする
  • CVE-2020-8564: ファイルが不正で、ログレベルが 4 以上の場合に Docker 構成ファイルの Secret が漏えいする
  • CVE-2020-8565: Kubernetes の CVE-2019-11250 の不完全な修正により、ログレベルが 9 以上の場合にログのトークンが漏えいするこれは、GKE Security によって発見されました。
  • CVE-2020-8566: ログレベルが 4 以上の場合に、ログの Ceph RBD adminSecret が漏えいする

必要な対策

GKE のデフォルトの詳細ロギングレベルでは、これ以上のアクションは必要ありません。

なし

Google Cloud への影響

プロダクトごとの詳細については、以下をご覧ください。

プロダクト

影響

Google Kubernetes Engine(GKE)

Google Kubernetes Engine(GKE)は影響を受けません。

GKE On-Prem

GKE On-Prem は影響を受けません。

GKE on AWS

GKE on AWS は影響を受けません。

GCP-2020-013

公開日: 2020 年 9 月 29 日

説明

次の脆弱性が Microsoft により公表されました。

脆弱性

重大度

CVE

CVE-2020-1472 - Windows Server の脆弱性により、攻撃者が Netlogon Remote Protocol を使用して、ネットワーク上のデバイス上で特別に細工したアプリケーションを実行するおそれがあります。

NVD ベーススコア: 10(重大)

CVE-2020-1472

詳しくは、Microsoft の開示情報をご覧ください。

Google Cloud への影響

この脆弱性は、Google Cloud と Google のサービスをホストするインフラストラクチャには影響しません。プロダクトごとの詳細については、以下をご覧ください。

プロダクト

影響

Compute Engine

CVE-2020-1472

ほとんどのお客様は、以後の対応は必要ありません。

Windows Server を実行している Compute Engine 仮想マシンでは、インスタンスに最新の Windows パッチを適用するか、2020 年 8 月 17 日以降に公開された Windows Server イメージ(v20200813 以降)を使用する必要があります。

Google Kubernetes Engine

CVE-2020-1472

ほとんどのお客様は、以後の対応は必要ありません。

GKE Windows Server ノードでドメイン コントローラをホストしているお客様は、ノードと、ノード上で実行されるコンテナ化されたワークロードの両方で、最新の Windows ノードイメージ(使用可能である場合)を使用する必要があります。新しいノードイメージ バージョンは 10 月に GKE リリースノートで発表される予定です。

Managed Service for Microsoft Active Directory

CVE-2020-1472

ほとんどのお客様は、以後の対応は必要ありません。

NetLogon プロトコルに対する修正が含まれる Microsoft がリリースした 8 月パッチが、すべてのマネージド Microsoft AD ドメイン コントローラに適用されました。このパッチでは、潜在的な悪用を防ぐための機能が提供されます。パッチを適時に適用することは、Managed Service for Microsoft Active Directory を使用する主な利点の 1 つです。Microsoft Active Directory を手動で実行する(マネージド Microsoft AD を使用しない)お客様は、インスタンスに最新の Windows パッチを適用するか、Windows Server イメージを使用する必要があります。

Google Workspace

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

App Engine スタンダード環境

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

App Engine フレキシブル環境

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud Run

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud Functions

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud Composer

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Dataflow

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Dataproc

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud SQL

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

GCP-2020-012

公開日: 2020 年 9 月 14 日
最終更新日: 2020 年 9 月 17 日

説明

説明 重大度 メモ

先ごろ、Linux カーネルに脆弱性 CVE-2020-14386 が発見されました。この脆弱性により、コンテナがエスケープ処理を行ってホストノードの root 権限を奪ってしまうおそれがあります。

すべての GKE ノードが影響を受けます。GKE Sandbox で実行中の Pod はこの脆弱性の影響を受けません。

設定手順と詳細については、以下をご覧ください。


このパッチで対処される脆弱性

このパッチで緩和される脆弱性は以下のとおりです:

脆弱性 CVE-2020-14386。CAP_NET_RAW
を備えたコンテナでは、1 ~ 10 バイトのカーネルメモリを書き込み、場合によってはコンテナをエスケープしてホストノードのルート権限を取得できます。この脆弱性の重大度評価は高です。

CVE-2020-14386

GCP-2020-011

公開日: 2020 年 7 月 24 日

説明

説明 重大度 メモ

先ごろ、ネットワークに関する脆弱性 CVE-2020-8558 が Kubernetes で発見されました。Service は、ローカル ループバック インターフェース(127.0.0.1)を使用して同じ Pod 内で実行されている他のアプリケーションと通信することがあります。この脆弱性により、クラスタのネットワークにアクセスできる攻撃者が、隣接する Pod とノードのループバック インターフェースにトラフィックを送信できてしまいます。ループバック インターフェースが Pod の外部からアクセスできないことに依存しているサービスが侵害される可能性があります。

設定手順と詳細については、以下をご覧ください。

低(GKE および AWS 上の Anthos クラスタ)、
中(VMware 上の Anthos クラスタ)

CVE-2020-8558

GCP-2020-010

公開日: 2020 年 7 月 27 日

説明

次の脆弱性が Microsoft により公表されました。

脆弱性

重大度

CVE

CVE-2020-1350 - DNS サーバーとして動作する Windows Server には、ローカル システム アカウントで信頼できないコードを実行できるという脆弱性があります。

NVD ベーススコア: 10.0(重大)

CVE-2020-1350

詳しくは、Microsoft の開示情報をご覧ください。

Google Cloud への影響

この脆弱性は、Google Cloud と Google のサービスをホストするインフラストラクチャには影響しません。プロダクトごとの詳細については、以下をご覧ください。

プロダクト

影響

Compute Engine

CVE-2020-1350

ほとんどのお客様は、以後の対応は必要ありません。

DNS サーバーとして Windows Server を実行している Compute Engine 仮想マシンを使用する場合は、インスタンスに最新の Windows パッチを適用するか、07/14/2020 以降の Windows Server イメージを使用する必要があります。

Google Kubernetes Engine

CVE-2020-1350

ほとんどのお客様は、以後の対応は必要ありません。

DNS サーバーとして使用している Windows Server ノードで GKE を使用している場合、ノードとそのノードで実行するコンテナ化されたワークロードを、修正を含んだ Windows サーバー バージョンに手動で更新する必要があります。

Managed Service for Microsoft Active Directory

CVE-2020-1350

ほとんどのお客様は、以後の対応は必要ありません。

管理対象の Microsoft AD ドメインはすべて、パッチ適用済みのイメージで自動的に更新されています。Microsoft Active Directory を手動で実行している(かつ、マネージド Microsoft AD を使用していない)場合、インスタンスに最新の Windows パッチを適用するか、07/14/2020 以降の Windows Server イメージを使用する必要があります。

Google Workspace

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

App Engine スタンダード環境

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

App Engine フレキシブル環境

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud Run

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud Functions

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud Composer

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Dataflow

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Dataproc

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud SQL

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

GCP-2020-009

公開: 2020-07-15

説明

説明 重大度 メモ

先ごろ、権限昇格に関する脆弱性 CVE-2020-8559 が Kubernetes で発見されました。この脆弱性により、ノードを不正使用した攻撃者が、クラスタ内の任意の Pod でコマンドを実行できてしまいます。これにより、攻撃者はすでに不正使用したノードを使用して他のノードを不正使用し、情報の読み取りや、破壊的な操作をする可能性があります。

攻撃者がこの脆弱性を悪用するには、クラスタ内のノードがすでに不正使用されている必要があります。この脆弱性だけで、クラスタ内のノードが不正使用されることはありません。

設定手順と詳細については、以下をご覧ください。

CVE-2020-8559

GCP-2020-008

公開日: 2020 年 6 月 19 日

説明

説明 重大度 メモ

説明

OS Loginが有効になっている VM は、権限昇格の脆弱性の影響を受けやすい場合があります。これらの脆弱性により、OS Login権限を付与された(しかし管理者アクセス権は付与されていない)ユーザーは VM 内のルートアクセス権に昇格できます。

手順と詳細については、Compute Engine のセキュリティに関する情報をご覧ください。

GCP-2020-007

公開日: 2020 年 6 月 1 日

説明

説明 重大度 メモ

最近、Kubernetes でサーバー側のリクエスト フォージェリ(SSRF)の脆弱性 CVE-2020-8555 が検出され、特定の承認済みユーザーがコントロール プレーン ホスト ネットワークから最大 500 バイトの機密情報を漏洩する可能性が生じました。Google Kubernetes Engine(GKE)コントロール プレーンでは、Kubernetes のコントローラを使用するため、この脆弱性の影響を受けます。コントロール プレーンを最新のパッチ バージョンにアップグレードすることをおすすめします。ノードのアップグレードは不要です。

設定手順と詳細については、以下をご覧ください。

CVE-2020-8555

GCP-2020-006

公開日: 2020 年 6 月 1 日

説明

説明 重大度 メモ

Kubernetes は、特権コンテナでノード トラフィックを別のコンテナにリダイレクトできるようになる脆弱性を公表しました。kubelet と API サーバーの間の相互 TLS/SSH トラフィックや、mTLS を使用するアプリケーションからのトラフィックは、この攻撃によって読み取ることも変更することもできません。この脆弱性は、すべての Google Kubernetes Engine(GKE)ノードに影響します。最新のパッチ バージョンにアップグレードすることをおすすめします。

設定手順と詳細については、以下をご覧ください。

Kubernetes の問題 91507

GCP-2020-005

公開日: 2020 年 5 月 7 日

説明

脆弱性

重大度

CVE

先ごろ、Linux カーネルに脆弱性 CVE-2020-8835 が発見されました。この脆弱性により、コンテナがエスケープ処理を行ってホストノードのルート権限を奪ってしまうおそれがあります。

この脆弱性は、GKE 1.16 または 1.17 を実行する Google Kubernetes Engine(GKE)Ubuntu ノードはに影響します。できるだけ早く最新のパッチ バージョンにアップグレードすることをおすすめします。

手順と詳細については、GKE のセキュリティに関する情報をご覧ください。

CVE-2020-8835

GCP-2020-004

公開日: 2020 年 3 月 31 日
最終更新日: 2020 年 3 月 31 日

説明

次の脆弱性が Kubernetes により公表されました。

脆弱性

重大度

CVE

CVE-2019-11254 - これは API サーバーに影響を与えるサービス拒否攻撃(DoS)の脆弱性です。

CVE-2019-11254

手順と詳細については、VMware 上の Anthos クラスタのセキュリティ情報をご覧ください。

GCP-2020-003

公開日: 2020 年 3 月 31 日
最終更新日: 2020 年 3 月 31 日

説明

次の脆弱性が Kubernetes により公表されました。

脆弱性

重大度

CVE

CVE-2019-11254 - これは API サーバーに影響を与えるサービス拒否攻撃(DoS)の脆弱性です。

CVE-2019-11254

手順と詳細については、GKE のセキュリティ情報をご覧ください。

GCP-2020-002

公開日: 2020 年 3 月 23 日
最終更新日: 2020 年 3 月 23 日

説明

次の脆弱性が Kubernetes により公表されました。

脆弱性

重大度

CVE

CVE-2020-8551 - これは kubelet に影響を与えるサービス拒否攻撃(DoS)の脆弱性です。

CVE-2020-8551

CVE-2020-8552 - これは API サーバーに影響を与えるサービス拒否攻撃(DoS)の脆弱性です。

CVE-2020-8552

手順と詳細については、GKE のセキュリティ情報をご覧ください。

GCP-2020-001

公開日: 2020 年 1 月 21 日
最終更新日: 2020 年 1 月 21 日

説明

次の脆弱性が Microsoft により公表されました。

脆弱性

重大度

CVE

CVE-2020-0601 - この脆弱性は Windows Crypto API のなりすましの脆弱性とも呼ばれます。これを悪用すると、悪意ある実行可能ファイルを信頼されたもののように見せかけることができます。また、攻撃者が中間者攻撃を行って標的ソフトウェアへの接続上で秘密情報を復号することも可能です。

NVD ベーススコア: 8.1(高)

CVE-2020-0601

詳しくは、Microsoft の開示情報をご覧ください。

Google Cloud への影響

この脆弱性は、Google Cloud と Google のサービスをホストするインフラストラクチャには影響しません。プロダクトごとの詳細については、以下をご覧ください。

プロダクト

影響

Compute Engine

CVE-2020-0601

ほとんどのお客様は、以後の対応は必要ありません。

Windows Server を実行している Compute Engine 仮想マシンでは、インスタンスに最新の Windows パッチを適用するか、1/15/2020 以降の Windows Server イメージを使用する必要があります。詳細については、Compute Engine のセキュリティに関する情報をご覧ください。

Google Kubernetes Engine

CVE-2020-0601

ほとんどのお客様は、以後の対応は必要ありません。

Windows Server ノードで GKE を使用している場合は、この脆弱性を軽減するために、ノードとそれらのノード上で実行されるコンテナ化されたワークロードの両方をパッチ適用済みバージョンに更新する必要があります。手順と詳細については、GKE のセキュリティ情報をご覧ください。

Managed Service for Microsoft Active Directory

CVE-2020-0601

ほとんどのお客様は、以後の対応は必要ありません。

管理対象の Microsoft AD ドメインはすべて、パッチ適用済みのイメージで自動的に更新されています。Microsoft Active Directory を手動で実行する(マネージド Microsoft AD を使用しない)お客様は、インスタンスに最新の Windows パッチを適用するか、1/15/2020 以降の Windows Server イメージを使用する必要があります。

Google Workspace

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

App Engine スタンダード環境

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

App Engine フレキシブル環境

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud Run

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud Functions

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud Composer

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Dataflow

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Dataproc

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud SQL

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

GCP-2019-001

公開日: 2019 年 11 月 12 日
最終更新日: 2019 年 11 月 12 日

説明

Intel により次の脆弱性が開示されました。

脆弱性

重大度

CVE

CVE-2019-11135 - TSX の非同期中止(TAA)と呼ばれるこの脆弱性は、TSX のトランザクション内で投機的実行の悪用に使用される可能性があります。この脆弱性により、Microarchitectural Data Sampling(MDS)によって読み出されたマイクロアーキテクチャのデータ構造を通してデータが公開されてしまう可能性があります。

CVE-2019-11135

CVE-2018-12207 - 仮想マシンのホスト(ゲストではない)に影響を及ぼすサービス拒否攻撃(DoS)の脆弱性が存在します。この問題は、「ページサイズ変更によるマシンチェック エラー」として知られています。

CVE-2018-12207

詳しくは、Intel の開示情報をご覧ください。

Google Cloud への影響

Google Cloud および Google プロダクトをホストしているインフラストラクチャは、これらの脆弱性から保護されています。プロダクトごとの詳細については、以下をご覧ください。

プロダクト

影響

Compute Engine

CVE-2019-11135

ほとんどのお客様は、追加のアクションを行う必要はありません。

Compute Engine 仮想マシン内の独自のマルチテナント サービスで信頼できないコードを実行している N2、C2、M2 のお客様は、VM をいったん停止してから再起動して、最新のセキュリティ対策が適用された状態にする必要があります。

CVE-2018-12207

お客様が追加のアクションを行う必要はありません。

Google Kubernetes Engine

CVE-2019-11135

ほとんどのお客様は、追加のアクションを行う必要はありません。

使用しているノードプールに N2、M2、または C2 マシンタイプのノードが含まれていて、それらのノードが独自のマルチテナント GKE クラスタ内で信頼できないコードを実行している場合は、ノードを再起動する必要があります。ノードプール内のすべてのノードを再起動する場合は、影響を受けるノードプールをアップグレードしてください。

CVE-2018-12207

お客様が追加のアクションを行う必要はありません。

App Engine スタンダード環境

追加のアクションを行う必要はありません。

App Engine フレキシブル環境

CVE-2019-11135

追加のアクションを行う必要はありません。

フレキシブル環境の VM 内のハイパースレッド間でアプリケーション レベルの共有が起こる可能性に関連して、Intel からベスト プラクティスが公開されています。必ずご確認ください。

CVE-2018-12207

追加のアクションを行う必要はありません。

Cloud Run

追加のアクションを行う必要はありません。

Cloud Functions

追加のアクションを行う必要はありません。

Cloud Composer

追加のアクションを行う必要はありません。

Dataflow

CVE-2019-11135

ほとんどのお客様は、追加のアクションを行う必要はありません。

Dataflow によって管理されている N2、C2、または M2 マシンタイプの Compute Engine VM で複数の信頼できないワークロードを実行している Dataflow のお客様で、ゲスト内攻撃の心配がある場合は、現在実行中のストリーミング パイプラインの再起動を検討してください。必要に応じて、バッチ パイプラインをいったんキャンセルし、再実行します。本日以降に開始したパイプラインの場合は、必要なアクションはありません。

CVE-2018-12207

お客様が追加のアクションを行う必要はありません。

Dataproc

CVE-2019-11135

ほとんどのお客様は、追加のアクションを行う必要はありません。

N2、C2、または M2 マシンタイプの Compute Engine VM で実行されている 1 つの Cloud Dataproc クラスタで、複数の信頼できないワークロードを実行している Cloud Dataproc のお客様で、ゲスト内攻撃の心配がある場合は、クラスタを再デプロイしてください。

CVE-2018-12207

お客様が追加のアクションを行う必要はありません。

Cloud SQL

追加のアクションを行う必要はありません。