セキュリティに関する情報

次のセキュリティに関する情報は、Google Cloud 製品に関連するものです。

このページのセキュリティ情報を定期的に受け取るには、こちらの XML フィードを使用してください。

GCP-2022-014

公開日: 2022 年 4 月 26 日

説明

説明	重大度	メモ
Linux カーネルで CVE-2022-1055 と CVE-2022-27666 の 2 つのセキュリティの脆弱性が発見されました。いずれの場合も、ローカルの攻撃者がコンテナのブレークアウト、ホストでの権限昇格、またはその両方を実行できる可能性があります。これらの脆弱性は、すべての GKE ノードオペレーティングシステム（Container-Optimized OS と Ubuntu）に影響します。手順と詳細については、次のセキュリティ情報をご覧ください。 GKE のセキュリティ情報 VMware 上の Anthos クラスタのセキュリティ情報 AWS 上の Anthos クラスタのセキュリティ情報 Anthos on Azure のセキュリティ情報ベアメタル上の Anthos のセキュリティ情報	高	CVE-2022-1055 CVE-2022-27666

重大度

メモ

Linux カーネルで CVE-2022-1055 と CVE-2022-27666 の 2 つのセキュリティの脆弱性が発見されました。いずれの場合も、ローカルの攻撃者がコンテナのブレークアウト、ホストでの権限昇格、またはその両方を実行できる可能性があります。これらの脆弱性は、すべての GKE ノードオペレーティングシステム（Container-Optimized OS と Ubuntu）に影響します。手順と詳細については、次のセキュリティ情報をご覧ください。

高

CVE-2022-1055
CVE-2022-27666

GCP-2022-013

公開日: 2022 年 4 月 11 日
最終更新日: 2022 年 4 月 22 日

説明

説明	重大度	メモ
セキュリティ上の脆弱性（CVE-2022-23648）が、OCI イメージボリューム仕様におけるコンテナパスのパス走査の処理で見つかりました。特別に作成されたイメージ構成で containerd の CRI 実装を使ってコンテナが起動されると、ホスト上の任意のファイルとディレクトリへの完全な読み取りアクセス権を取得できます。この脆弱性により、コンテナの設定に対するポリシーベースの適用（Kubernetes Pod セキュリティポリシーを含む）がバイパスされる可能性があります。手順と詳細については、次のセキュリティ情報をご覧ください。 GKE のセキュリティ情報 VMware 上の Anthos クラスタのセキュリティ情報 AWS 上の Anthos クラスタのセキュリティ情報 Anthos on Azure のセキュリティ情報ベアメタル上の Anthos のセキュリティ情報	中	CVE-2022-23648

重大度

メモ

セキュリティ上の脆弱性（CVE-2022-23648）が、OCI イメージボリューム仕様におけるコンテナパスのパス走査の処理で見つかりました。特別に作成されたイメージ構成で containerd の CRI 実装を使ってコンテナが起動されると、ホスト上の任意のファイルとディレクトリへの完全な読み取りアクセス権を取得できます。この脆弱性により、コンテナの設定に対するポリシーベースの適用（Kubernetes Pod セキュリティポリシーを含む）がバイパスされる可能性があります。

手順と詳細については、次のセキュリティ情報をご覧ください。

中

CVE-2022-23648

GCP-2022-012

公開日: 2022 年 4 月 7 日

Description

説明	重大度	メモ
Linux カーネルバージョン 5.8 以降で、コンテナの権限を root に昇格できる可能性があるセキュリティ上の脆弱性（CVE-2022-0847）が見つかりました。この脆弱性の影響があるのは次のプロダクトです。 Container-Optimized OS イメージ（Container-Optimized OS 93 以降）を使用する GKE ノードプールバージョン 1.22 以降 Container-Optimized OS イメージ用の Anthos clusters on VMware v1.10 Anthos clusters on AWS v1.21 と Anthos clusters on AWS（previous generation）v1.19、v1.20、v1.21（Ubuntu を使用） Anthos on Azure v1.21 のマネージドクラスタ（Ubuntu を使用）手順と詳細については、次のセキュリティ情報をご覧ください。 GKE のセキュリティ情報 VMware 上の Anthos クラスタのセキュリティ情報 AWS 上の Anthos クラスタのセキュリティ情報 Anthos on Azure のセキュリティ情報ベアメタル上の Anthos のセキュリティ情報	高	CVE-2022-0847

説明

重大度

メモ

Linux カーネルバージョン 5.8 以降で、コンテナの権限を root に昇格できる可能性があるセキュリティ上の脆弱性（CVE-2022-0847）が見つかりました。この脆弱性の影響があるのは次のプロダクトです。

Container-Optimized OS イメージ（Container-Optimized OS 93 以降）を使用する GKE ノードプールバージョン 1.22 以降
Container-Optimized OS イメージ用の Anthos clusters on VMware v1.10
Anthos clusters on AWS v1.21 と Anthos clusters on AWS（previous generation）v1.19、v1.20、v1.21（Ubuntu を使用）
Anthos on Azure v1.21 のマネージドクラスタ（Ubuntu を使用）

手順と詳細については、次のセキュリティ情報をご覧ください。

高

CVE-2022-0847

GCP-2022-011

公開済み: 2022-03-22

Description

説明	重大度
GKE Sandbox イメージに、ハイパースレッディングとも呼ばれる同時マルチスレッディング（SMT）の構成ミスが存在します。構成ミスにより、ノードがマイクロアーキテクチャデータサンプリング（MDS）などのサイドチャネル攻撃を受ける可能性があります（詳細については、GKE Sandbox のドキュメントをご覧ください）。次の影響を受けるバージョンの使用はおすすめしません。 1.22.4-gke.1501 1.22.6-gke.300 1.23.2-gke.300 1.23.3-gke.600 手順と詳細については、GKE のセキュリティ情報をご覧ください。	中

説明

重大度

GKE Sandbox イメージに、ハイパースレッディングとも呼ばれる同時マルチスレッディング（SMT）の構成ミスが存在します。構成ミスにより、ノードがマイクロアーキテクチャデータサンプリング（MDS）などのサイドチャネル攻撃を受ける可能性があります（詳細については、GKE Sandbox のドキュメントをご覧ください）。次の影響を受けるバージョンの使用はおすすめしません。

1.22.4-gke.1501
1.22.6-gke.300
1.23.2-gke.300
1.23.3-gke.600

手順と詳細については、GKE のセキュリティ情報をご覧ください。

中

GCP-2022-010

説明

説明	重大度	メモ
次の Istio CVE では、Anthos Service Mesh がリモートからの攻撃に利用できる脆弱性にさらされます。 CVE-2022-24726: Istio コントロールプレーン（istiod）はリクエスト処理中のエラーに対して脆弱であり、悪意のある攻撃者が特別に細工されたメッセージを送信すると、クラスタの検証 Webhook が公開されたときにコントロールプレーンがクラッシュします。このエンドポイントは TLS ポート 15017 経由で提供されますが、攻撃者からの認証は必要ありません。手順と詳細については、次のセキュリティ情報をご覧ください。 Anthos Service Mesh のセキュリティに関する情報。	高	CVE-2022-24726

重大度

メモ

次の Istio CVE では、Anthos Service Mesh がリモートからの攻撃に利用できる脆弱性にさらされます。

CVE-2022-24726: Istio コントロールプレーン（istiod）はリクエスト処理中のエラーに対して脆弱であり、悪意のある攻撃者が特別に細工されたメッセージを送信すると、クラスタの検証 Webhook が公開されたときにコントロールプレーンがクラッシュします。このエンドポイントは TLS ポート 15017 経由で提供されますが、攻撃者からの認証は必要ありません。

手順と詳細については、次のセキュリティ情報をご覧ください。

Anthos Service Mesh のセキュリティに関する情報。

高

CVE-2022-24726

GCP-2022-009

公開日: 2022 年 3 月 1 日

説明

説明	重大度
GKE Autopilot クラスタのノード VM にアクセスする予期せぬパスの一部が、クラスタ内の権限を昇格させるために使用された可能性があります。これらの問題は修正済みであり、これ以上の操作は必要ありません。この修正は、脆弱性報奨金プログラムを通じて報告された事象に対処したものです。手順と詳細については、GKE のセキュリティ情報をご覧ください。	低

重大度

GKE Autopilot クラスタのノード VM にアクセスする予期せぬパスの一部が、クラスタ内の権限を昇格させるために使用された可能性があります。これらの問題は修正済みであり、これ以上の操作は必要ありません。この修正は、脆弱性報奨金プログラムを通じて報告された事象に対処したものです。

手順と詳細については、GKE のセキュリティ情報をご覧ください。

低

GCP-2022-008

公開日: 2022 年 2 月 23 日

説明

説明	重大度	メモ
先ごろ、Envoy プロジェクトで、一連の脆弱性が発見されました。以下の問題はすべて、Envoy リリース 1.21.1 で修正されています。 CVE-2022-23606: クラスタ検出サービス（CDS）でクラスタが削除されると、そのクラスタ内のエンドポイントに対して確立されたすべてのアイドル状態の接続が切断されます。Envoy バージョン 1.19 では、クラスタに多数のアイドル状態の接続がある場合に、スタックの枯渇や異常なプロセスの終了を引き起こす可能性がある手順として、誤って再帰が発生しました。 CVE-2022-21655: Envoy の内部リダイレクトのコードでは、ルートエントリが存在することを前提としています。ダイレクトレスポンスエントリがあり、ルートエントリが存在しないルートに対して内部リダイレクトが行われると、null ポインタが参照解除され、クラッシュします。 CVE-2021-43826: Envoy が、アップストリームトンネリング（HTTP 経由）とダウンストリーム TLS 終端を使用する tcp_proxy を使用するように構成されている場合、アップストリーム HTTP ストリームの確立中に、ダウンストリームクライアントの TLS handshake で切断されると、Envoy がクラッシュします。ダウンストリームは、クライアントまたはサーバーのいずれかによって切断されます。クライアントは、なんらかの理由で切断される可能性があります。サーバーに関しては、たとえば、クライアントと互換性のある TLS 暗号や TLS プロトコルのバージョンがない場合、接続を切断することがあります。こうしたクラッシュは、他のダウンストリーム構成でもトリガーされる可能性があります。 CVE-2021-43825: ローカルで生成されたレスポンスを送信すると、リクエストまたはレスポンスデータのそれ以降の処理を停止する必要があります。Envoy は、バッファリングされたリクエストデータとレスポンスデータの量を追跡し、バッファ内のデータの量が上限を超えた場合には 413 または 500 のレスポンスを送信してリクエストを中止します。ただし、フィルタチェーンによってレスポンスが処理されているときに、内部バッファのオーバーフローが原因でローカルで生成したレスポンスが送信されると、オペレーションが正しく中止されず、解放されたメモリブロックにアクセスする可能性があります。 CVE-2021-43824: 「safe_regex」一致ルールを使用した JWT フィルタと「CONNECT host:port HTTP/1.1」のような特別に作成されたリクエストを使用している場合、Envoy がクラッシュします。JWT フィルタに到達すると、「safe_regex」ルールで URL パスが評価されても何もなく、Envoy は segfaults でクラッシュします。 CVE-2022-21654: mTLS 検証設定が再構成されると、Envoy が TLS セッション再開を誤って許可します。以前の構成でクライアント証明書が許可されており、新しい構成では許可されていない場合、現在の構成で禁止されていても、クライアントは以前の TLS セッションを再開できます。次の設定の変更が影響を受けます。 match_subject_alt_names CRL の変更 allow_expired_certificate Trust_chain_verification only_verify_leaf_cert_crl CVE-2022-21657: Envoy は、ピアから受け入れる証明書のセットを、TLS クライアントまたは TLS サーバーとして、必要な extendedKeyUsage（それぞれ d-kp-serverAuth と id-kp-clientAuth）が含まれる証明書のみに制限しません。つまり、ピアはリーフ証明書またはチェーン内の CA としてメール証明書（id-kp-emailProtection など）を提示でき、TLS に受け入れられます。これは、CVE-2022-21656 と組み合わさると特に悪影響を及ぼします。つまり、S/MIME での使用のみを目的とした Web PKI CA を許容し、監査や管理対象外となって Envoy が受け入れる TLS 証明書を発行するためです。 CVE-2022-21656: デフォルトの証明書検証ルーチンの実装に使用されるバリデータ実装に、subjectAltNames の処理時の「型混乱」のバグがあります。この処理により、たとえば rfc822Name や uniformResourceIndicator がドメイン名として認証されます。この混乱により、基盤となる OpenSSL/BoringSSL 実装で処理される際に nameConstraints がバイパスされ、任意のサーバーになりすます可能性があります。特定のプロダクトに関する詳細な手順については、次のセキュリティに関する情報をご覧ください。 Anthos Service Mesh のセキュリティに関する情報。 Istio の GKE セキュリティ情報。 GKE Anthos clusters on VMware ベアメタル版 Anthos 必要な対策独自の Envoy を管理しているユーザーは、Envoy リリース 1.21.1 を使用する必要があります。独自の Envoy を管理する Envoy ユーザーは、GitHub などのソースからバイナリをビルドしてデプロイします。マネージド Envoy（GCP が Envoy バイナリを提供）を実行しているユーザーが行う必要がある操作はありません。Cloud プロダクトは 1.21.1 に切り替わります。	高	CVE-2022-23606 CVE-2022-21655 CVE-2021-43826 CVE-2021-43825 CVE-2021-43824 CVE-2022-21654 CVE-2022-21657 CVE-2022-21656

重大度

メモ

先ごろ、Envoy プロジェクトで、一連の脆弱性が発見されました。以下の問題はすべて、Envoy リリース 1.21.1 で修正されています。

CVE-2022-23606: クラスタ検出サービス（CDS）でクラスタが削除されると、そのクラスタ内のエンドポイントに対して確立されたすべてのアイドル状態の接続が切断されます。Envoy バージョン 1.19 では、クラスタに多数のアイドル状態の接続がある場合に、スタックの枯渇や異常なプロセスの終了を引き起こす可能性がある手順として、誤って再帰が発生しました。
CVE-2022-21655: Envoy の内部リダイレクトのコードでは、ルートエントリが存在することを前提としています。ダイレクトレスポンスエントリがあり、ルートエントリが存在しないルートに対して内部リダイレクトが行われると、null ポインタが参照解除され、クラッシュします。
CVE-2021-43826: Envoy が、アップストリームトンネリング（HTTP 経由）とダウンストリーム TLS 終端を使用する tcp_proxy を使用するように構成されている場合、アップストリーム HTTP ストリームの確立中に、ダウンストリームクライアントの TLS handshake で切断されると、Envoy がクラッシュします。ダウンストリームは、クライアントまたはサーバーのいずれかによって切断されます。クライアントは、なんらかの理由で切断される可能性があります。サーバーに関しては、たとえば、クライアントと互換性のある TLS 暗号や TLS プロトコルのバージョンがない場合、接続を切断することがあります。こうしたクラッシュは、他のダウンストリーム構成でもトリガーされる可能性があります。
CVE-2021-43825: ローカルで生成されたレスポンスを送信すると、リクエストまたはレスポンスデータのそれ以降の処理を停止する必要があります。Envoy は、バッファリングされたリクエストデータとレスポンスデータの量を追跡し、バッファ内のデータの量が上限を超えた場合には 413 または 500 のレスポンスを送信してリクエストを中止します。ただし、フィルタチェーンによってレスポンスが処理されているときに、内部バッファのオーバーフローが原因でローカルで生成したレスポンスが送信されると、オペレーションが正しく中止されず、解放されたメモリブロックにアクセスする可能性があります。
CVE-2021-43824: 「safe_regex」一致ルールを使用した JWT フィルタと「CONNECT host:port HTTP/1.1」のような特別に作成されたリクエストを使用している場合、Envoy がクラッシュします。JWT フィルタに到達すると、「safe_regex」ルールで URL パスが評価されても何もなく、Envoy は segfaults でクラッシュします。
CVE-2022-21654: mTLS 検証設定が再構成されると、Envoy が TLS セッション再開を誤って許可します。以前の構成でクライアント証明書が許可されており、新しい構成では許可されていない場合、現在の構成で禁止されていても、クライアントは以前の TLS セッションを再開できます。次の設定の変更が影響を受けます。
- match_subject_alt_names
- CRL の変更
- allow_expired_certificate
- Trust_chain_verification
- only_verify_leaf_cert_crl
CVE-2022-21657: Envoy は、ピアから受け入れる証明書のセットを、TLS クライアントまたは TLS サーバーとして、必要な extendedKeyUsage（それぞれ d-kp-serverAuth と id-kp-clientAuth）が含まれる証明書のみに制限しません。つまり、ピアはリーフ証明書またはチェーン内の CA としてメール証明書（id-kp-emailProtection など）を提示でき、TLS に受け入れられます。これは、CVE-2022-21656 と組み合わさると特に悪影響を及ぼします。つまり、S/MIME での使用のみを目的とした Web PKI CA を許容し、監査や管理対象外となって Envoy が受け入れる TLS 証明書を発行するためです。
CVE-2022-21656: デフォルトの証明書検証ルーチンの実装に使用されるバリデータ実装に、subjectAltNames の処理時の「型混乱」のバグがあります。この処理により、たとえば rfc822Name や uniformResourceIndicator がドメイン名として認証されます。この混乱により、基盤となる OpenSSL/BoringSSL 実装で処理される際に nameConstraints がバイパスされ、任意のサーバーになりすます可能性があります。

特定のプロダクトに関する詳細な手順については、次のセキュリティに関する情報をご覧ください。

Anthos Service Mesh のセキュリティに関する情報。

Istio の GKE セキュリティ情報。

必要な対策
独自の Envoy を管理しているユーザーは、Envoy リリース 1.21.1 を使用する必要があります。独自の Envoy を管理する Envoy ユーザーは、GitHub などのソースからバイナリをビルドしてデプロイします。

マネージド Envoy（GCP が Envoy バイナリを提供）を実行しているユーザーが行う必要がある操作はありません。Cloud プロダクトは 1.21.1 に切り替わります。

高

CVE-2022-23606
CVE-2022-21655
CVE-2021-43826
CVE-2021-43825
CVE-2021-43824
CVE-2022-21654
CVE-2022-21657
CVE-2022-21656

GCP-2022-007

公開日: 2022 年 2 月 22 日

説明

説明重大度メモ

説明	重大度	メモ
次の Envoy と Istio の CVE は、リモートで悪用可能な脆弱性に対して Anthos Service Mesh と GKE on Istio が無防備な状態になります。 CVE-2022-23635: 特別に作成された `authorization` ヘッダーでリクエストを受信すると、Istio がクラッシュします。 CVE-2021-43824: JWT フィルタ `safe_regex` の一致を使用すると null ポインタ逆参照が発生する可能性があります。 CVE-2021-43825: レスポンスフィルターがレスポンスデータを増加させ、増加したデータがダウンストリームバッファ制限を超える場合の「解放後の使用」。 CVE-2021-43826: アップストリーム接続の確立中にダウンストリームが切断された場合に、HTTP 経由で TCP をトンネリングする場合の「解放後の使用」。 CVE-2022-21654: 誤った構成処理により、検証設定が変更された後、再検証せずに mTLS セッションを再利用できます。 CVE-2022-21655: ダイレクトレスポンスエントリを含むルートへの内部リダイレクトが正しく処理されません。 CVE-2022-23606: クラスタディスカバリサービスを介してクラスタが削除されると、スタックが枯渇します。手順と詳細については、次のセキュリティ情報をご覧ください。 Anthos Service Mesh のセキュリティに関する情報。 Istio の GKE セキュリティ情報。	高	CVE-2022-23635 CVE-2021-43824 CVE-2021-43825 CVE-2021-43826 CVE-2022-21654 CVE-2022-21655 CVE-2022-23606

次の Envoy と Istio の CVE は、リモートで悪用可能な脆弱性に対して Anthos Service Mesh と GKE on Istio が無防備な状態になります。

CVE-2022-23635: 特別に作成された authorization ヘッダーでリクエストを受信すると、Istio がクラッシュします。
CVE-2021-43824: JWT フィルタ safe_regex の一致を使用すると null ポインタ逆参照が発生する可能性があります。
CVE-2021-43825: レスポンスフィルターがレスポンスデータを増加させ、増加したデータがダウンストリームバッファ制限を超える場合の「解放後の使用」。
CVE-2021-43826: アップストリーム接続の確立中にダウンストリームが切断された場合に、HTTP 経由で TCP をトンネリングする場合の「解放後の使用」。
CVE-2022-21654: 誤った構成処理により、検証設定が変更された後、再検証せずに mTLS セッションを再利用できます。
CVE-2022-21655: ダイレクトレスポンスエントリを含むルートへの内部リダイレクトが正しく処理されません。
CVE-2022-23606: クラスタディスカバリサービスを介してクラスタが削除されると、スタックが枯渇します。

手順と詳細については、次のセキュリティ情報をご覧ください。

高

GCP-2022-006

公開日: 2022 年 2 月 14 日
最終更新日: 2022 年 2 月 23 日

説明

説明重大度メモ

説明	重大度	メモ
セキュリティ上の脆弱性 CVE-2022-0492 が Linux カーネルの `cgroup_release_agent_write` 関数で発見されました。攻撃には権限のないユーザーの名前空間が使用され、特定の状況下でこの脆弱性を悪用してコンテナブレイクアウトが実行される可能性があります。	低	設定手順と詳細については、以下をご覧ください。 GKE のセキュリティ情報 VMware 上の Anthos クラスタのセキュリティ情報 AWS 上の Anthos クラスタのセキュリティ情報 Anthos on Azure のセキュリティ情報

セキュリティ上の脆弱性 CVE-2022-0492 が Linux カーネルの cgroup_release_agent_write 関数で発見されました。攻撃には権限のないユーザーの名前空間が使用され、特定の状況下でこの脆弱性を悪用してコンテナブレイクアウトが実行される可能性があります。

低

設定手順と詳細については、以下をご覧ください。

GCP-2022-005

公開日: 2022 年 2 月 11 日
最終更新日: 2022 年 2 月 15 日

説明

説明	重大度	メモ
3.73 または 3.68.1 より前の NSS（Network Security Services）バージョンで見つかった脆弱性のあるバージョンの libnss3 にリンクするバイナリで、セキュリティ上の脆弱性 CVE-2021-43527 が発見されました。NSS を証明書の検証や、TLS、X.509、OCSP、CRL などの機能に使用しているアプリケーションは、NSS の使用方法や構成に応じて影響を受ける可能性があります。設定手順と詳細については、以下をご覧ください。 GKE のセキュリティ情報 VMware 上の Anthos クラスタのセキュリティ情報 Anthos on Azure のセキュリティ情報	中	CVE-2021-43527

重大度

メモ

3.73 または 3.68.1 より前の NSS（Network Security Services）バージョンで見つかった脆弱性のあるバージョンの libnss3 にリンクするバイナリで、セキュリティ上の脆弱性 CVE-2021-43527 が発見されました。NSS を証明書の検証や、TLS、X.509、OCSP、CRL などの機能に使用しているアプリケーションは、NSS の使用方法や構成に応じて影響を受ける可能性があります。

設定手順と詳細については、以下をご覧ください。

中

CVE-2021-43527

GCP-2022-004

公開日: 2022 年 2 月 4 日

説明

説明	重大度	メモ
セキュリティ上の脆弱性 CVE-2021-4034 が Linux ポリシーキットパッケージ（polkit）の一部である pkexec で発見されました。この脆弱性は、認証済みのユーザーが権限昇格攻撃を実行できるというものです。PolicyKit は通常、Linux デスクトップシステム上でのみ使用され、root 以外のユーザーがポリシーに沿ってシステムの再起動、パッケージのインストール、サービスの再起動などの操作を実行できるようにするものです。設定手順と詳細については、以下をご覧ください。 GKE のセキュリティ情報 VMware 上の Anthos クラスタのセキュリティ情報 Anthos on Azure のセキュリティ情報	なし	CVE-2021-4034

重大度

メモ

セキュリティ上の脆弱性 CVE-2021-4034 が Linux ポリシーキットパッケージ（polkit）の一部である pkexec で発見されました。この脆弱性は、認証済みのユーザーが権限昇格攻撃を実行できるというものです。PolicyKit は通常、Linux デスクトップシステム上でのみ使用され、root 以外のユーザーがポリシーに沿ってシステムの再起動、パッケージのインストール、サービスの再起動などの操作を実行できるようにするものです。

設定手順と詳細については、以下をご覧ください。

なし

CVE-2021-4034

GCP-2022-002

公開日: 2022 年 2 月 1 日
最終更新日: 2022 年 2 月 25 日

説明

説明	重大度	メモ
2022 年 2 月 25 日更新: GKE のバージョンが更新されました。設定手順と詳細については、以下をご覧ください。 GKE のセキュリティ情報 2022 年 2 月 23 日更新: GKE と Anthos clusters on VMware のバージョンが更新されました。設定手順と詳細については、以下をご覧ください。 GKE のセキュリティ情報 VMware 上の Anthos クラスタのセキュリティ情報 2022 年 2 月 4 日更新: GKE パッチバージョンのロールアウト開始日は 2 月 2 日でした。注: クラスタでこれらのバージョンを直ちに使用できない場合があります。ロールアウトは 2 月 2 日に開始され、すべての Google Cloud ゾーンで完了するまでに 4 営業日以上かかります。 Linux カーネルで 3 つのセキュリティ脆弱性 CVE-2021-4154、CVE-2021-22600、CVE-2022-0185 が発見されました。これらは、それぞれ、コンテナブレークアウト、ホストに対する権限昇格、またはその両方につながる可能性があります。これらの脆弱性は、GKE 上のすべてのノードオペレーティングシステム（COS と Ubuntu）、Anthos clusters on VMware、AWS 上の Anthos クラスタ（最新および旧世代）、Azure on Azure に影響します。GKE Sandbox を使用する Pod には、これらの脆弱性はありません。詳細については、COS リリースノートをご覧ください。設定手順と詳細については、以下をご覧ください。 GKE のセキュリティ情報 VMware 上の Anthos クラスタのセキュリティ情報	高	CVE-2021-4154 CVE-2021-22600 CVE-2022-0185

重大度

メモ

2022 年 2 月 25 日更新: GKE のバージョンが更新されました。設定手順と詳細については、以下をご覧ください。

GKE のセキュリティ情報

2022 年 2 月 23 日更新: GKE と Anthos clusters on VMware のバージョンが更新されました。設定手順と詳細については、以下をご覧ください。

2022 年 2 月 4 日更新: GKE パッチバージョンのロールアウト開始日は 2 月 2 日でした。

Linux カーネルで 3 つのセキュリティ脆弱性 CVE-2021-4154、CVE-2021-22600、CVE-2022-0185 が発見されました。これらは、それぞれ、コンテナブレークアウト、ホストに対する権限昇格、またはその両方につながる可能性があります。これらの脆弱性は、GKE 上のすべてのノードオペレーティングシステム（COS と Ubuntu）、Anthos clusters on VMware、AWS 上の Anthos クラスタ（最新および旧世代）、Azure on Azure に影響します。GKE Sandbox を使用する Pod には、これらの脆弱性はありません。詳細については、COS リリースノートをご覧ください。

設定手順と詳細については、以下をご覧ください。

高

GCP-2022-001

公開日: 2022 年 1 月 6 日

説明

説明重大度メモ

説明	重大度	メモ
バイナリデータの解析手順で、`protobuf-java` におけるサービス拒否攻撃の問題が発見されました。必要な対策次のソフトウェアパッケージの最新バージョンを使用していることを確認してください。 `protobuf-java` (3.16.1, 3.18.2, 3.19.2) `protobuf-kotlin` (3.18.2, 3.19.2) `google-protobuf` [JRuby gem] (3.19.2) Protobuf「javalite」ユーザー（通常は Android）は影響を受けません。このパッチで対処される脆弱性このパッチで緩和される脆弱性は以下のとおりです。 Java で不明なフィールドを解析する方法の実装に存在する脆弱性。800 KB 程度の小さな悪意のあるペイロードにより、短命なオブジェクトを多数作成することでガベージコレクションを頻繁かつ繰り返し発生させ、パーサーを数分間占有することが可能です。	高	CVE-2021-22569

バイナリデータの解析手順で、protobuf-java におけるサービス拒否攻撃の問題が発見されました。

必要な対策

次のソフトウェアパッケージの最新バージョンを使用していることを確認してください。

protobuf-java (3.16.1, 3.18.2, 3.19.2)
protobuf-kotlin (3.18.2, 3.19.2)
google-protobuf [JRuby gem] (3.19.2)

Protobuf「javalite」ユーザー（通常は Android）は影響を受けません。

このパッチで対処される脆弱性

このパッチで緩和される脆弱性は以下のとおりです。

Java で不明なフィールドを解析する方法の実装に存在する脆弱性。800 KB 程度の小さな悪意のあるペイロードにより、短命なオブジェクトを多数作成することでガベージコレクションを頻繁かつ繰り返し発生させ、パーサーを数分間占有することが可能です。

高

CVE-2021-22569

GCP-2021-024

公開日: 2021 年 10 月 21 日

説明

説明	重大度	メモ
Kubernetes の ingress-nginx コントローラ CVE-2021-25742 でセキュリティの問題が見つかりました。Ingress-nginx カスタムスニペットを使用すると、すべての名前空間で ingress-nginx サービスアカウントトークンとシークレットを取得できます。設定手順と詳細については、以下をご覧ください。 GKE のセキュリティ情報 VMware 上の Anthos クラスタのセキュリティ情報 AWS 上の Anthos クラスタのセキュリティ情報ベアメタル上の Anthos のセキュリティ情報	なし	CVE-2021-25742

重大度

メモ

Kubernetes の ingress-nginx コントローラ CVE-2021-25742 でセキュリティの問題が見つかりました。Ingress-nginx カスタムスニペットを使用すると、すべての名前空間で ingress-nginx サービスアカウントトークンとシークレットを取得できます。

設定手順と詳細については、以下をご覧ください。

なし

CVE-2021-25742

GCP-2021-019

公開日: 2021 年 9 月 29 日

説明

説明重大度注

説明	重大度	注
`v1beta1` API を使用して `BackendConfig` リソースを更新すると、そのサービスからアクティブな Google Cloud Armor セキュリティポリシーが削除されるという既知の問題があります。手順と詳細については、GKE のセキュリティ関する情報をご覧ください。	低

v1beta1 API を使用して BackendConfig リソースを更新すると、そのサービスからアクティブな Google Cloud Armor セキュリティポリシーが削除されるという既知の問題があります。

手順と詳細については、GKE のセキュリティ関する情報をご覧ください。

低

GCP-2021-022

公開日: 2021 年 9 月 22 日

説明

説明	重大度	注
Anthos clusters on VMware バージョン 1.8 および 1.8.1 の Anthos Identity Service（AIS）LDAP モジュールで、鍵の生成に使用されるシード鍵を予測できる脆弱性が見つかりました。この脆弱性により、認証されたユーザーが任意のクレームを追加して、権限を無期限にエスカレーションできるようになります。手順と詳細については、Anthos clusters on VMware に関するセキュリティ情報をご覧ください。	高

重大度

注

Anthos clusters on VMware バージョン 1.8 および 1.8.1 の Anthos Identity Service（AIS）LDAP モジュールで、鍵の生成に使用されるシード鍵を予測できる脆弱性が見つかりました。この脆弱性により、認証されたユーザーが任意のクレームを追加して、権限を無期限にエスカレーションできるようになります。

手順と詳細については、Anthos clusters on VMware に関するセキュリティ情報をご覧ください。

高

GCP-2021-021

公開日: 2021 年 9 月 22 日

説明

説明	重大度	注
セキュリティ上の脆弱性 CVE-2020-8561 が Kubernetes で発見されました。これは、kube-apiserver リクエストをその API サーバーのプライベートネットワークにリダイレクトする Webhook を作成できるものです。設定手順と詳細については、以下をご覧ください。 GKE のセキュリティ情報 VMware 上の Anthos クラスタのセキュリティ情報 AWS 上の Anthos クラスタのセキュリティ情報ベアメタル上の Anthos のセキュリティ情報	中	CVE-2020-8561

重大度

注

セキュリティ上の脆弱性 CVE-2020-8561 が Kubernetes で発見されました。これは、kube-apiserver リクエストをその API サーバーのプライベートネットワークにリダイレクトする Webhook を作成できるものです。

設定手順と詳細については、以下をご覧ください。

中

CVE-2020-8561

GCP-2021-023

公開日:　2021 年 9 月 21 日

説明

説明	重大度	注
VMware セキュリティアドバイザリ VMSA-2021-0020 によると、vCenter に関して複数の脆弱性が報告されました。VMware は、影響を受ける VMware 製品の脆弱性の修正のためにアップデートを行いました。 vSphere スタック用に VMware から提供されたパッチを、VMware セキュリティアドバイザリに従って Google Cloud VMware Engine にすでに適用しています。このアップデートは、CVE-2021-22005、CVE-2021-22006、CVE-2021-22007、CVE-2021-22008、CVE-2021-22010 に記載されているセキュリティの脆弱性に対応しています。その他の重要ではないセキュリティの問題は、今後の VMware スタックのアップグレードで対処されます（7 月に送信された事前通知に従い、詳細についてはアップグレードの具体的なタイムラインで提供されます）。 VMware Engine への影響調査の結果、影響を受けたお客様は見つかりませんでした。必要な対策 VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。	重大	VMSA-2021-0020 CVE-2021-22005 CVE-2021-22006 CVE-2021-22007 CVE-2021-22008 CVE-2021-22010

重大度

注

VMware セキュリティアドバイザリ VMSA-2021-0020 によると、vCenter に関して複数の脆弱性が報告されました。VMware は、影響を受ける VMware 製品の脆弱性の修正のためにアップデートを行いました。

vSphere スタック用に VMware から提供されたパッチを、VMware セキュリティアドバイザリに従って Google Cloud VMware Engine にすでに適用しています。このアップデートは、CVE-2021-22005、CVE-2021-22006、CVE-2021-22007、CVE-2021-22008、CVE-2021-22010 に記載されているセキュリティの脆弱性に対応しています。その他の重要ではないセキュリティの問題は、今後の VMware スタックのアップグレードで対処されます（7 月に送信された事前通知に従い、詳細についてはアップグレードの具体的なタイムラインで提供されます）。

VMware Engine への影響

調査の結果、影響を受けたお客様は見つかりませんでした。

必要な対策

VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。

重大

GCP-2021-020

公開日: 2021 年 9 月 17 日

説明

説明重大度注

説明	重大度	注
Identity-Aware Proxy（IAP）が有効なバックエンドサービスにルーティングする Google Cloud の特定のロードバランサで、限定された条件下にて、信頼できないグループに対して脆弱である恐れがあります。これは、Google の脆弱性報奨金プログラムを通じて報告された事象に対処したものです。条件は、サーバーが以下の通りであることでした。 HTTP(S) ロードバランサであった、およびデフォルトのバックエンド、またはワイルドカードホストマッピングルール（つまり、host=""）を持つバックエンドを使用したさらに、組織内のユーザーが、信頼できないグループから送信された特別に作成されたリンクをクリックしなければなりません。現在、この問題は解決しています。2021 年 9 月 17 日の時点で、認証済みのホストにのみ Cookie を発行するように IAP が更新されました。ホストが認証済みとみなされるのは、ロードバランサにインストールされているいずれかの証明書の少なくとも 1 つのサブジェクト代替名（SAN）と一致する場合です。手順貴社の一部のユーザーは、アプリまたはサービスにアクセスしようとしたときに、HTTP 401 Unauthorized レスポンスと IAP エラーコード 52 が返される場合があります。このエラーコードは、ロードバランサの SSL 証明書に関連付けられたサブジェクト代替名と一致しない `Host`* ヘッダーをクライアントが送信したことを意味します。ロードバランサ管理者は、SSL 証明書を更新して、サブジェクト代替名（SAN）リストに、IAP で保護されたアプリまたはサービスにユーザーがアクセスするために使用するすべてのホスト名が含まれるようにする必要があります。IAP エラーコードについて学ぶ。	高

Identity-Aware Proxy（IAP）が有効なバックエンドサービスにルーティングする Google Cloud の特定のロードバランサで、限定された条件下にて、信頼できないグループに対して脆弱である恐れがあります。これは、Google の脆弱性報奨金プログラムを通じて報告された事象に対処したものです。

条件は、サーバーが以下の通りであることでした。

HTTP(S) ロードバランサであった、および
デフォルトのバックエンド、またはワイルドカードホストマッピングルール（つまり、host="*"）を持つバックエンドを使用した

さらに、組織内のユーザーが、信頼できないグループから送信された特別に作成されたリンクをクリックしなければなりません。

現在、この問題は解決しています。2021 年 9 月 17 日の時点で、認証済みのホストにのみ Cookie を発行するように IAP が更新されました。ホストが認証済みとみなされるのは、ロードバランサにインストールされているいずれかの証明書の少なくとも 1 つのサブジェクト代替名（SAN）と一致する場合です。

手順

貴社の一部のユーザーは、アプリまたはサービスにアクセスしようとしたときに、HTTP 401 Unauthorized レスポンスと IAP エラーコード 52 が返される場合があります。このエラーコードは、ロードバランサの SSL 証明書に関連付けられたサブジェクト代替名と一致しない Host ヘッダーをクライアントが送信したことを意味します。ロードバランサ管理者は、SSL 証明書を更新して、サブジェクト代替名（SAN）リストに、IAP で保護されたアプリまたはサービスにユーザーがアクセスするために使用するすべてのホスト名が含まれるようにする必要があります。IAP エラーコードについて学ぶ。

高

GCP-2021-018

公開日: 2021 年 9 月 15 日
最終更新日: 2021 年 9 月 20 日

説明

説明	重大度	注
Kubernetes で CVE-2021-25741 に記載されたセキュリティの問題が見つかりました。これにより、ユーザーが subpath ボリュームマウントを使用するコンテナを作成し、ボリュームの外部（ホストのファイルシステムを含む）にあるファイルとディレクトリにアクセスできる可能性があります。設定手順と詳細については、以下をご覧ください。 GKE のセキュリティ情報 VMware 上の Anthos クラスタのセキュリティ情報 AWS 上の Anthos クラスタのセキュリティ情報ベアメタル上の Anthos のセキュリティ情報	高	CVE-2021-25741

重大度

注

Kubernetes で CVE-2021-25741 に記載されたセキュリティの問題が見つかりました。これにより、ユーザーが subpath ボリュームマウントを使用するコンテナを作成し、ボリュームの外部（ホストのファイルシステムを含む）にあるファイルとディレクトリにアクセスできる可能性があります。

設定手順と詳細については、以下をご覧ください。

高

CVE-2021-25741

GCP-2021-017

公開日: 2021 年 9 月 1 日
最終更新日: 2021 年 9 月 23 日

説明

説明	重大度	注
2021 年 9 月 23 日更新: GKE Sandbox 内で動作するコンテナは、コンテナ内で発生した攻撃に対して、この脆弱性の影響を受けません。 Linux カーネルで 2 つのセキュリティ脆弱性 CVE-2021-33909 と CVE-2021-33910 が発見されました。これらは、OS のクラッシュや権限のないユーザーによる root へのエスカレーションにつながる可能性があります。この脆弱性は、すべての GKE ノードのオペレーティングシステム（COS と Ubuntu）に影響を及ぼします。手順と詳細については、次のセキュリティ情報をご覧ください。 GKE のセキュリティ情報。 AWS 上の Anthos クラスタのセキュリティ情報。	高	CVE-2021-33909、 CVE-2021-33910

重大度

注

2021 年 9 月 23 日更新: GKE Sandbox 内で動作するコンテナは、コンテナ内で発生した攻撃に対して、この脆弱性の影響を受けません。

Linux カーネルで 2 つのセキュリティ脆弱性 CVE-2021-33909 と CVE-2021-33910 が発見されました。これらは、OS のクラッシュや権限のないユーザーによる root へのエスカレーションにつながる可能性があります。この脆弱性は、すべての GKE ノードのオペレーティングシステム（COS と Ubuntu）に影響を及ぼします。

手順と詳細については、次のセキュリティ情報をご覧ください。

高

CVE-2021-33909、 CVE-2021-33910

GCP-2021-016

公開日: 2021 年 8 月 24 日

説明

説明重大度注

説明	重大度	注
次の Envoy と Istio の CVE は、リモートで悪用可能な脆弱性に対して Anthos Service Mesh と GKE on Istio が無防備な状態になります。 CVE-2021-39156: URI パスにフラグメント（`#` 文字で始まる URI の末尾の部分）を含む HTTP リクエストが、Istio の URI パスベースの認可ポリシーをバイパスする可能性があります。 CVE-2021-39155: `hosts` または `notHosts` ベースのルールを使用している場合、HTTP リクエストで Istio 認証ポリシーがバイパスされる可能性があります。 CVE-2021-32781: Envoy の `decompressor`、`json-transcoder`、`grpc-web` 拡張機能またはリクエストやレスポンスの本文のサイズを変更および拡大する独自の拡張機能に影響します。Envoy の拡張機能で本文のサイズを変更し、内部バッファサイズより大きくすると、Envoy が割り当て解除されたメモリにアクセスし、異常終了する可能性があります。 CVE-2021-32780: 信頼できないアップストリームサービスが、`SETTINGS_MAX_CONCURRENT_STREAMS` パラメータが `0` に設定された `GOAWAY` フレームとそれに続く `SETTINGS` フレームを送信することで、Envoy が異常終了する可能性があります。（Istio on GKE には適用されません。） CVE-2021-32778: Envoy クライアントが多数の HTTP/2 リクエストを開いてリセットすると、CPU が過剰に消費される可能性があります。（Istio on GKE には適用されません。） CVE-2021-32777: `ext_authz` 拡張機能が使用されている場合、複数の値ヘッダーを含む HTTP リクエストで不完全な承認ポリシーチェックが実行されることがあります。手順と詳細については、次のセキュリティ情報をご覧ください。 Anthos Service Mesh のセキュリティに関する情報。 Istio の GKE セキュリティ情報。	高	CVE-2021-39156 CVE-2021-39155 CVE-2021-32781 CVE-2021-32780 CVE-2021-32778 CVE-2021-32777

次の Envoy と Istio の CVE は、リモートで悪用可能な脆弱性に対して Anthos Service Mesh と GKE on Istio が無防備な状態になります。

CVE-2021-39156: URI パスにフラグメント（# 文字で始まる URI の末尾の部分）を含む HTTP リクエストが、Istio の URI パスベースの認可ポリシーをバイパスする可能性があります。
CVE-2021-39155: hosts または notHosts ベースのルールを使用している場合、HTTP リクエストで Istio 認証ポリシーがバイパスされる可能性があります。
CVE-2021-32781: Envoy の decompressor、json-transcoder、grpc-web 拡張機能またはリクエストやレスポンスの本文のサイズを変更および拡大する独自の拡張機能に影響します。Envoy の拡張機能で本文のサイズを変更し、内部バッファサイズより大きくすると、Envoy が割り当て解除されたメモリにアクセスし、異常終了する可能性があります。
CVE-2021-32780: 信頼できないアップストリームサービスが、SETTINGS_MAX_CONCURRENT_STREAMS パラメータが 0 に設定された GOAWAY フレームとそれに続く SETTINGS フレームを送信することで、Envoy が異常終了する可能性があります。（Istio on GKE には適用されません。）
CVE-2021-32778: Envoy クライアントが多数の HTTP/2 リクエストを開いてリセットすると、CPU が過剰に消費される可能性があります。（Istio on GKE には適用されません。）
CVE-2021-32777: ext_authz 拡張機能が使用されている場合、複数の値ヘッダーを含む HTTP リクエストで不完全な承認ポリシーチェックが実行されることがあります。

手順と詳細については、次のセキュリティ情報をご覧ください。

高

GCP-2021-015

公開日: 2021 年 7 月 13 日
最終更新日: 2021 年 7 月 15 日

説明

説明重大度注

説明	重大度	注
新たなセキュリティ上の脆弱性 CVE-2021-22555 が発見されました。この脆弱性によって、`CAP_NET_ADMIN` 権限を持つ悪意のある人物が、ホストへのルート上でコンテナのブレークアウトを引き起こすおそれがあります。この脆弱性は、Linux バージョン 2.6.19 以降を実行している Anthos clusters on VMware のすべての GKE クラスタに影響します。手順と詳細については、次のセキュリティ情報をご覧ください。 GKE のセキュリティ情報。 VMware 上の Anthos クラスタのセキュリティ情報。	高	CVE-2021-22555

新たなセキュリティ上の脆弱性 CVE-2021-22555 が発見されました。この脆弱性によって、CAP_NET_ADMIN 権限を持つ悪意のある人物が、ホストへのルート上でコンテナのブレークアウトを引き起こすおそれがあります。この脆弱性は、Linux バージョン 2.6.19 以降を実行している Anthos clusters on VMware のすべての GKE クラスタに影響します。

手順と詳細については、次のセキュリティ情報をご覧ください。

高

CVE-2021-22555

GCP-2021-014

公開日: 2021 年 7 月 5 日

説明

説明	重大度	注
Microsoft は、Windows Server の印刷スプーラーに影響するリモートコード実行（RCE）の脆弱性 CVE-2021-34527 についてのセキュリティ情報を公開しました。CERT Coordination Center（CERT/CC）は、「Printnightmare」と呼ばれる、関連する脆弱性に対する更新メモを公開しました。この脆弱性は Windows 印刷スプーラーにも影響します。Printnightmare、重大な Windows 印刷スプーラーの脆弱性手順と詳細については、GKE のセキュリティ情報をご覧ください。	高	CVE-2021-34527

重大度

注

Microsoft は、Windows Server の印刷スプーラーに影響するリモートコード実行（RCE）の脆弱性 CVE-2021-34527 についてのセキュリティ情報を公開しました。CERT Coordination Center（CERT/CC）は、「Printnightmare」と呼ばれる、関連する脆弱性に対する更新メモを公開しました。この脆弱性は Windows 印刷スプーラーにも影響します。Printnightmare、重大な Windows 印刷スプーラーの脆弱性

手順と詳細については、GKE のセキュリティ情報をご覧ください。

高

CVE-2021-34527

GCP-2021-012

公開日: 2021 年 6 月 24 日
最終更新日: 2021 年 7 月 9 日

説明

説明	重大度	注
先ごろ、Istio プロジェクトによって、ゲートウェイと DestinationRule の credentialName フィールドで指定された認証情報に異なる名前空間からアクセスできるようになるというセキュリティの脆弱性が発表されました。サービス固有の手順と詳細については、以下をご覧ください。 Anthos Service Mesh のセキュリティに関する情報。 Anthos セキュリティ情報 GCP-2021-012 では、Google Kubernetes Engine、ベアメタル版 Anthos、Anthos clusters on VMware に固有の情報を提供しています。	高	CVE-2021-34824

重大度

注

先ごろ、Istio プロジェクトによって、ゲートウェイと DestinationRule の credentialName フィールドで指定された認証情報に異なる名前空間からアクセスできるようになるというセキュリティの脆弱性が発表されました。

サービス固有の手順と詳細については、以下をご覧ください。

Anthos Service Mesh のセキュリティに関する情報。
Anthos セキュリティ情報 GCP-2021-012 では、Google Kubernetes Engine、ベアメタル版 Anthos、Anthos clusters on VMware に固有の情報を提供しています。

高

CVE-2021-34824

GCP-2021-011

公開日: 2021 年 6 月 4 日
最終更新日: 2021 年 10 月 19 日

説明

説明重大度メモ

説明	重大度	メモ
2021 年 10 月 19 日更新: 手順と詳細については、次のセキュリティ情報をご覧ください。 VMware 上の Anthos クラスタのセキュリティ情報 AWS 上の Anthos クラスタのセキュリティ情報ベアメタル上の Anthos のセキュリティ情報先ごろ、セキュリティコミュニティが `runc` にセキュリティ上の新しい脆弱性（CVE-2021-30465）があることを発表しました。これはノードファイルシステムへの完全アクセス権を可能にするおそれがあります。この脆弱性を悪用するためにはポッドを作成する能力が必要であるため、GKE では、この脆弱性の重大度を MEDIUM と評価しています。手順と詳細については、GKE のセキュリティ情報をご覧ください。	中	CVE-2021-30465

2021 年 10 月 19 日更新:

手順と詳細については、次のセキュリティ情報をご覧ください。

先ごろ、セキュリティコミュニティが runc にセキュリティ上の新しい脆弱性（CVE-2021-30465）があることを発表しました。これはノードファイルシステムへの完全アクセス権を可能にするおそれがあります。

この脆弱性を悪用するためにはポッドを作成する能力が必要であるため、GKE では、この脆弱性の重大度を MEDIUM と評価しています。

手順と詳細については、GKE のセキュリティ情報をご覧ください。

中

CVE-2021-30465

GCP-2021-010

公開日: 2021 年 5 月 25 日

説明

説明	重大度	注
VMware セキュリティアドバイザリ VMSA-2021-0010 によると、vSphere Client（HTML5）のリモートコード実行と認証バイパスに関する脆弱性が VMware に非公開で報告されました。VMware は、影響を受ける VMware 製品の脆弱性の修正のためにアップデートを作成しました。 Google では、VMware セキュリティアドバイザリに従い、vSphere スタック用に VMware が提供するパッチを適用しました。このアップデートは、CVE-2021-21985、CVE-2021-21986 に記載されている脆弱性に対応しています。この時点で、VMware Engine Private Cloud で実行されているイメージバージョンには、パッチが適用済みであることを示す変更の反映はありません。適切なパッチがインストールされ、これらの脆弱性からお客様の環境が保護されていますのでご安心ください。 VMware Engine への影響調査の結果、影響を受けたお客様は見つかりませんでした。必要な対策 VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。	重大	VMSA-2021-0010 CVE-2021-21985 CVE-2021-21986

重大度

注

VMware セキュリティアドバイザリ VMSA-2021-0010 によると、vSphere Client（HTML5）のリモートコード実行と認証バイパスに関する脆弱性が VMware に非公開で報告されました。VMware は、影響を受ける VMware 製品の脆弱性の修正のためにアップデートを作成しました。

Google では、VMware セキュリティアドバイザリに従い、vSphere スタック用に VMware が提供するパッチを適用しました。このアップデートは、CVE-2021-21985、CVE-2021-21986 に記載されている脆弱性に対応しています。この時点で、VMware Engine Private Cloud で実行されているイメージバージョンには、パッチが適用済みであることを示す変更の反映はありません。適切なパッチがインストールされ、これらの脆弱性からお客様の環境が保護されていますのでご安心ください。

VMware Engine への影響

調査の結果、影響を受けたお客様は見つかりませんでした。

必要な対策

VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。

重大

GCP-2021-008

公開日: 2021 年 5 月 17 日

説明

説明重大度注

説明	重大度	注
ゲートウェイが `AUTO_PASSTHROUGH` ルーティング構成で構成されている場合、Istio には、外部クライアントが認可チェックを迂回してクラスタ内の想定されていないサービスにアクセスできるという、リモートから悪用可能な脆弱性が含まれています。設定手順と詳細については、Anthos Service Mesh のセキュリティ情報をご覧ください。	高	CVE-2021-31921

ゲートウェイが AUTO_PASSTHROUGH ルーティング構成で構成されている場合、Istio には、外部クライアントが認可チェックを迂回してクラスタ内の想定されていないサービスにアクセスできるという、リモートから悪用可能な脆弱性が含まれています。

設定手順と詳細については、Anthos Service Mesh のセキュリティ情報をご覧ください。

高

CVE-2021-31921

GCP-2021-007

公開日: 2021 年 5 月 17 日

説明

説明重大度注

説明	重大度	注
Istio には、パスベースの認可ルールを使用している場合にリモートから悪用できる脆弱性が含まれており、これを利用すると、複数のスラッシュやエスケープされたスラッシュ文字（`%2F` または `%5C`）を含む HTTP リクエストパスが、Istio 認可ポリシーを迂回できるようになります。設定手順と詳細については、Anthos Service Mesh のセキュリティ情報をご覧ください。	高	CVE-2021-31920

Istio には、パスベースの認可ルールを使用している場合にリモートから悪用できる脆弱性が含まれており、これを利用すると、複数のスラッシュやエスケープされたスラッシュ文字（%2F または %5C）を含む HTTP リクエストパスが、Istio 認可ポリシーを迂回できるようになります。

設定手順と詳細については、Anthos Service Mesh のセキュリティ情報をご覧ください。

高

CVE-2021-31920

GCP-2021-006

公開日: 2021 年 5 月 11 日

説明

説明	重大度	注
先ごろ、Istio プロジェクトでは、Istio に影響を与える新しいセキュリティの脆弱性（CVE-2021-31920）が公表されました。 Istio には、パスベースの承認ルールを使用している場合にリモートから悪用できる脆弱性が含まれており、これを利用すると、複数のスラッシュやエスケープされたスラッシュ記号を含む HTTP リクエストが Istio 認可ポリシーを迂回できるようになります。設定手順と詳細については、以下をご覧ください。 GKE のセキュリティ情報	高	CVE-2021-31920

重大度

注

先ごろ、Istio プロジェクトでは、Istio に影響を与える新しいセキュリティの脆弱性（CVE-2021-31920）が公表されました。

Istio には、パスベースの承認ルールを使用している場合にリモートから悪用できる脆弱性が含まれており、これを利用すると、複数のスラッシュやエスケープされたスラッシュ記号を含む HTTP リクエストが Istio 認可ポリシーを迂回できるようになります。

設定手順と詳細については、以下をご覧ください。

GKE のセキュリティ情報

高

CVE-2021-31920

GCP-2021-005

公開日: 2021 年 5 月 11 日

説明

説明重大度注

説明	重大度	注
報告された脆弱性により、Envoy は Envoy バージョン 1.18.2 以前の HTTP URL パス内のエスケープされたスラッシュシーケンス `%2F` と `%5C` をデコードしないことがわかりました。また、Envoy ベースの一部のプロダクトでは、パスの正規化コントロールが有効になりません。リモートの攻撃者がエスケープされたスラッシュ（`/something%2F..%2Fadmin,` など）付きのパスを作成して、アクセス制御（`/admin` に対するブロックなど）をバイパスする可能性があります。バックエンドサーバーがスラッシュシーケンスのデコードとパスの正規化を行うことによって、攻撃者がアクセス制御ポリシーによって提供されるスコープを超えてアクセスできる可能性が生じます。必要な対策バックエンドサーバーが `/` と `%2F` または `\` と `%5C` を同義として扱い、URL パスに基づくマッチングが構成されている場合、`\` と `%2F` または `\` と `%5C` を同義として扱わないようにバックエンドサーバーを再構成することをおすすめします（可能な場合）。導入された動作変更の内容 Envoy の normalize_path オプションと隣接するスラッシュを結合するオプションを使用して、Envoy ベースのプロダクトで他の一般的なパスの混乱の脆弱性に対処できるようになりました。	高	CVE-2021-29492

報告された脆弱性により、Envoy は Envoy バージョン 1.18.2 以前の HTTP URL パス内のエスケープされたスラッシュシーケンス %2F と %5C をデコードしないことがわかりました。また、Envoy ベースの一部のプロダクトでは、パスの正規化コントロールが有効になりません。リモートの攻撃者がエスケープされたスラッシュ（/something%2F..%2Fadmin, など）付きのパスを作成して、アクセス制御（/admin に対するブロックなど）をバイパスする可能性があります。バックエンドサーバーがスラッシュシーケンスのデコードとパスの正規化を行うことによって、攻撃者がアクセス制御ポリシーによって提供されるスコープを超えてアクセスできる可能性が生じます。

必要な対策

バックエンドサーバーが / と %2F または \ と %5C を同義として扱い、URL パスに基づくマッチングが構成されている場合、\ と %2F または \ と %5C を同義として扱わないようにバックエンドサーバーを再構成することをおすすめします（可能な場合）。

導入された動作変更の内容

Envoy の normalize_path オプションと隣接するスラッシュを結合するオプションを使用して、Envoy ベースのプロダクトで他の一般的なパスの混乱の脆弱性に対処できるようになりました。

高

CVE-2021-29492

GCP-2021-004

公開日: 2021 年 5 月 6 日

説明

説明	重大度	注
Envoy と Istio のプロジェクトは、最近、攻撃者が Envoy をクラッシュさせるおそれがある新しいセキュリティ上の脆弱性（CVE-2021-28683、CVE-2021-28682、CVE-2021-29258）を発表しました。 Google Kubernetes Engine クラスタは、デフォルトでは Istio を実行せず、脆弱性はありません。 Istio がクラスタにインストールされ、インターネットにサービスを公開するように構成されている場合、そうしたサービスにはサービス拒否攻撃に対する脆弱性が存在する可能性があります。ベアメタル版 Anthos と Anthos clusters on VMware は、デフォルトで Ingress に Envoy を使用するため、Ingress サービスがサービス拒否攻撃に対して脆弱性を持つ可能性があります。手順と詳細については、次のセキュリティ情報をご覧ください。 GKE のセキュリティ情報 VMware 上の Anthos クラスタのセキュリティ情報ベアメタル上の Anthos のセキュリティ情報	中	CVE-2021-28683 CVE-2021-28682 CVE-2021-29258

重大度

注

Envoy と Istio のプロジェクトは、最近、攻撃者が Envoy をクラッシュさせるおそれがある新しいセキュリティ上の脆弱性（CVE-2021-28683、CVE-2021-28682、CVE-2021-29258）を発表しました。

Google Kubernetes Engine クラスタは、デフォルトでは Istio を実行せず、脆弱性はありません。 Istio がクラスタにインストールされ、インターネットにサービスを公開するように構成されている場合、そうしたサービスにはサービス拒否攻撃に対する脆弱性が存在する可能性があります。

ベアメタル版 Anthos と Anthos clusters on VMware は、デフォルトで Ingress に Envoy を使用するため、Ingress サービスがサービス拒否攻撃に対して脆弱性を持つ可能性があります。

手順と詳細については、次のセキュリティ情報をご覧ください。

中

GCP-2021-003

公開日: 2021 年 4 月 19 日

説明

説明重大度注

説明	重大度	注
先ごろ、Kubernetes プロジェクトが新しいセキュリティ上の脆弱性 CVE-2021-25735 を発表しました。この脆弱性が悪用されると、ノードの更新で Validating Admission Webhook がバイパスされる可能性があります。攻撃者に十分な権限があり、古い `Node` オブジェクトプロパティ（`Node.NodeSpec` のフィールドなど）を使用する Validating Admission Webhook が実装されている場合、攻撃者はノードのプロパティの更新が可能となり、これによりクラスタが侵害される可能性があります。GKE と Kubernetes の組み込みのアドミッションコントローラによって適用されるポリシーは影響を受けませんが、お客様がインストールした追加の Admission Webhook を確認することをおすすめします。手順と詳細については、次のセキュリティ情報をご覧ください。 GKE のセキュリティ情報 VMware 上の Anthos クラスタのセキュリティ情報 AWS 上の Anthos クラスタのセキュリティ情報ベアメタル上の Anthos のセキュリティ情報	中	CVE-2021-25735

先ごろ、Kubernetes プロジェクトが新しいセキュリティ上の脆弱性 CVE-2021-25735 を発表しました。この脆弱性が悪用されると、ノードの更新で Validating Admission Webhook がバイパスされる可能性があります。

攻撃者に十分な権限があり、古い Node オブジェクトプロパティ（Node.NodeSpec のフィールドなど）を使用する Validating Admission Webhook が実装されている場合、攻撃者はノードのプロパティの更新が可能となり、これによりクラスタが侵害される可能性があります。GKE と Kubernetes の組み込みのアドミッションコントローラによって適用されるポリシーは影響を受けませんが、お客様がインストールした追加の Admission Webhook を確認することをおすすめします。

手順と詳細については、次のセキュリティ情報をご覧ください。

中

CVE-2021-25735

GCP-2021-002

公開日: 2021 年 3 月 5 日

説明

説明	重大度	注
VMware セキュリティアドバイザリ VMSA-2021-0002 によると、VMware は、VMware ESXi と vSphere クライアント（HTML5）に複数の脆弱性に関する報告を受けました。VMware には、影響を受ける VMware プロダクトにおけるこれらの脆弱性の修正のためのアップデートを行いました。 Google では、VMware セキュリティアドバイザリに従い、公式のドキュメントに記載されている回避策を vSphere スタックに適用しました。このアップデートは、CVE-2021-21972、CVE-2021-21973、CVE-2021-21974 に記載されている脆弱性に対応しています。 VMware Engine への影響調査の結果、影響を受けたお客様は見つかりませんでした。必要な対策 VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。	重大	VMSA-2021-0002 CVE-2021-21972 CVE-2021-21973 CVE-2021-21974

重大度

注

VMware セキュリティアドバイザリ VMSA-2021-0002 によると、VMware は、VMware ESXi と vSphere クライアント（HTML5）に複数の脆弱性に関する報告を受けました。VMware には、影響を受ける VMware プロダクトにおけるこれらの脆弱性の修正のためのアップデートを行いました。

Google では、VMware セキュリティアドバイザリに従い、公式のドキュメントに記載されている回避策を vSphere スタックに適用しました。このアップデートは、CVE-2021-21972、CVE-2021-21973、CVE-2021-21974 に記載されている脆弱性に対応しています。

VMware Engine への影響

調査の結果、影響を受けたお客様は見つかりませんでした。

必要な対策

VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。

重大

GCP-2021-001

公開日: 2021 年 1 月 28 日

説明

説明重大度注

説明	重大度	注
先ごろ、Linux ユーティリティ `sudo` に脆弱性（CVE-2021-3156 に記載）が発見されました。この脆弱性により、特権を持たないローカルシェルセッションの攻撃者がインストールされている `sudo` を使用してシステムにアクセスし、権限をシステムの root に昇格させるおそれがあります。 Compute Engine を実行する基盤となるインフラストラクチャはこの脆弱性の影響を受けません。この脆弱性は、すべての Google Kubernetes Engine（GKE）、Anthos clusters on VMware、AWS 上の Anthos クラスタ、ベアメタルクラスタ上の Anthos には影響しません。手順と詳細については、次のセキュリティ情報をご覧ください。 GKE のセキュリティ情報 VMware 上の Anthos クラスタのセキュリティ情報 AWS 上の Anthos クラスタのセキュリティ情報ベアメタル上の Anthos のセキュリティ情報 Compute Engine のセキュリティ情報	なし	CVE-2021-3156

先ごろ、Linux ユーティリティ sudo に脆弱性（CVE-2021-3156 に記載）が発見されました。この脆弱性により、特権を持たないローカルシェルセッションの攻撃者がインストールされている sudo を使用してシステムにアクセスし、権限をシステムの root に昇格させるおそれがあります。

Compute Engine を実行する基盤となるインフラストラクチャはこの脆弱性の影響を受けません。

この脆弱性は、すべての Google Kubernetes Engine（GKE）、Anthos clusters on VMware、AWS 上の Anthos クラスタ、ベアメタルクラスタ上の Anthos には影響しません。

手順と詳細については、次のセキュリティ情報をご覧ください。

なし

CVE-2021-3156

GCP-2020-015

公開日: 2020 年 12 月 7 日
最終更新日: 2020 年 12 月 22 日

説明

説明重大度メモ

説明	重大度	メモ
更新: 2021 年 12 月 22 日次のセクションの GKE のコマンドでは、`gcloud` コマンドではなく `gcloud beta` を使用する必要があります。 gcloud container clusters update –no-enable-service-externalips 更新: 2021 年 12 月 15 日 GKE について、以下の緩和策が利用可能です。 GKE バージョン 1.21 以降、ExternalIP を持つサービスは、新しいクラスタ用にデフォルトで有効になっている `DenyServiceExternalIPs` アドミッションコントローラによってブロックされます。 GKE バージョン 1.21 にアップグレードするお客様は、次のコマンドを使用して ExternalIPs を持つサービスをブロックできます。 gcloud container clusters update –no-enable-service-externalips 詳細については、クラスタのセキュリティの強化をご覧ください。 Kubernetes プロジェクトで最近見つかった新しいセキュリティの脆弱性 CVE-2020-8554 では、LoadBalancer または ClusterIP タイプの Kubernetes Service を作成する権限を取得した攻撃者が、クラスタ内の他の Pod から発信されるネットワークトラフィックをインターセプトできる可能性があります。この脆弱性だけでは、攻撃者に Kubernetes Service を作成する権限は付与されません。この脆弱性の影響を受けるのは、すべての Google Kubernetes Engine（GKE）、VMware 上の Anthos クラスタ、AWS クラスタ上の Anthos クラスタです。必要な対策設定手順と詳細については、以下をご覧ください。 GKE のセキュリティ情報 VMware 上の Anthos クラスタのセキュリティ情報 AWS 上の Anthos クラスタのセキュリティ情報	中	CVE-2020-8554

更新: 2021 年 12 月 22 日 次のセクションの GKE のコマンドでは、gcloud コマンドではなく gcloud beta を使用する必要があります。


gcloud container clusters update –no-enable-service-externalips

更新: 2021 年 12 月 15 日 GKE について、以下の緩和策が利用可能です。

GKE バージョン 1.21 以降、ExternalIP を持つサービスは、新しいクラスタ用にデフォルトで有効になっている DenyServiceExternalIPs アドミッションコントローラによってブロックされます。
GKE バージョン 1.21 にアップグレードするお客様は、次のコマンドを使用して ExternalIPs を持つサービスをブロックできます。
```
gcloud container clusters update –no-enable-service-externalips
```

詳細については、クラスタのセキュリティの強化をご覧ください。

Kubernetes プロジェクトで最近見つかった新しいセキュリティの脆弱性 CVE-2020-8554 では、LoadBalancer または ClusterIP タイプの Kubernetes Service を作成する権限を取得した攻撃者が、クラスタ内の他の Pod から発信されるネットワークトラフィックをインターセプトできる可能性があります。この脆弱性だけでは、攻撃者に Kubernetes Service を作成する権限は付与されません。

この脆弱性の影響を受けるのは、すべての Google Kubernetes Engine（GKE）、VMware 上の Anthos クラスタ、AWS クラスタ上の Anthos クラスタです。

必要な対策

設定手順と詳細については、以下をご覧ください。

中

CVE-2020-8554

GCP-2020-014

公開日: 2020 年 10 月 20 日
最終更新日: 2020 年 10 月 20 日

説明

説明	重大度	注
最近、Kubernetes プロジェクトでは、詳細ロギングオプションが有効になっている場合にシークレットデータが公開されてしまういくつかの問題を確認しました。問題は次のとおりです。 CVE-2020-8563: vSphere プロバイダ kube-controller-manager のログで Secret が漏えいする CVE-2020-8564: ファイルが不正で、ログレベルが 4 以上の場合に Docker 構成ファイルの Secret が漏えいする CVE-2020-8565: Kubernetes の CVE-2019-11250 の不完全な修正により、ログレベルが 9 以上の場合にログのトークンが漏えいするこれは、GKE Security によって発見されました。 CVE-2020-8566: ログレベルが 4 以上の場合に、ログの Ceph RBD adminSecret が漏えいする必要な対策 GKE のデフォルトの詳細ロギングレベルでは、これ以上のアクションは必要ありません。	なし	CVE-2020-8563 CVE-2020-8564 CVE-2020-8565 CVE-2020-8566

重大度

注

最近、Kubernetes プロジェクトでは、詳細ロギングオプションが有効になっている場合にシークレットデータが公開されてしまういくつかの問題を確認しました。問題は次のとおりです。

CVE-2020-8563: vSphere プロバイダ kube-controller-manager のログで Secret が漏えいする
CVE-2020-8564: ファイルが不正で、ログレベルが 4 以上の場合に Docker 構成ファイルの Secret が漏えいする
CVE-2020-8565: Kubernetes の CVE-2019-11250 の不完全な修正により、ログレベルが 9 以上の場合にログのトークンが漏えいするこれは、GKE Security によって発見されました。
CVE-2020-8566: ログレベルが 4 以上の場合に、ログの Ceph RBD adminSecret が漏えいする

必要な対策

GKE のデフォルトの詳細ロギングレベルでは、これ以上のアクションは必要ありません。

なし

Google Cloud への影響

プロダクトごとの詳細については、以下をご覧ください。

プロダクト	影響
Google Kubernetes Engine（GKE）	Google Kubernetes Engine（GKE）は影響を受けません。
GKE On-Prem	GKE On-Prem は影響を受けません。
GKE on AWS	GKE on AWS は影響を受けません。

GCP-2020-013

公開日: 2020 年 9 月 29 日

説明

次の脆弱性が Microsoft により公表されました。

脆弱性	重大度	CVE
CVE-2020-1472 - Windows Server の脆弱性により、攻撃者が Netlogon Remote Protocol を使用して、ネットワーク上のデバイス上で特別に細工したアプリケーションを実行するおそれがあります。	NVD ベーススコア: 10（重大）	CVE-2020-1472

詳しくは、Microsoft の開示情報をご覧ください。

Google Cloud への影響

この脆弱性は、Google Cloud と Google のサービスをホストするインフラストラクチャには影響しません。プロダクトごとの詳細については、以下をご覧ください。

プロダクト	影響
Compute Engine	CVE-2020-1472 ほとんどのお客様は、以後の対応は必要ありません。 Windows Server を実行している Compute Engine 仮想マシンでは、インスタンスに最新の Windows パッチを適用するか、2020 年 8 月 17 日以降に公開された Windows Server イメージ（v20200813 以降）を使用する必要があります。
Google Kubernetes Engine	CVE-2020-1472 ほとんどのお客様は、以後の対応は必要ありません。 GKE Windows Server ノードでドメインコントローラをホストしているお客様は、ノードと、ノード上で実行されるコンテナ化されたワークロードの両方で、最新の Windows ノードイメージ（使用可能である場合）を使用する必要があります。新しいノードイメージバージョンは 10 月に GKE リリースノートで発表される予定です。
Managed Service for Microsoft Active Directory	CVE-2020-1472 ほとんどのお客様は、以後の対応は必要ありません。 NetLogon プロトコルに対する修正が含まれる Microsoft がリリースした 8 月パッチが、すべてのマネージド Microsoft AD ドメインコントローラに適用されました。このパッチでは、潜在的な悪用を防ぐための機能が提供されます。パッチを適時に適用することは、Managed Service for Microsoft Active Directory を使用する主な利点の 1 つです。Microsoft Active Directory を手動で実行する（マネージド Microsoft AD を使用しない）お客様は、インスタンスに最新の Windows パッチを適用するか、Windows Server イメージを使用する必要があります。
Google Workspace	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
App Engine スタンダード環境	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
App Engine フレキシブル環境	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud Run	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud Functions	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud Composer	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Dataflow	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Dataproc	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud SQL	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。

GCP-2020-012

公開日: 2020 年 9 月 14 日
最終更新日: 2020 年 9 月 17 日

説明

説明	重大度	注
先ごろ、Linux カーネルに脆弱性 CVE-2020-14386 が発見されました。この脆弱性により、コンテナがエスケープ処理を行ってホストノードの root 権限を奪ってしまうおそれがあります。すべての GKE ノードが影響を受けます。GKE Sandbox で実行中の Pod はこの脆弱性の影響を受けません。設定手順と詳細については、以下をご覧ください。 GKE のセキュリティ情報 VMware 上の Anthos クラスタのセキュリティ情報。 AWS 上の Anthos クラスタのセキュリティ情報。このパッチで対処される脆弱性このパッチで緩和される脆弱性は以下のとおりです: 脆弱性 CVE-2020-14386。CAP_NET_RAW を備えたコンテナでは、1 ～ 10 バイトのカーネルメモリを書き込み、場合によってはコンテナをエスケープしてホストノードのルート権限を取得できます。この脆弱性の重大度評価は高です。	高	CVE-2020-14386

重大度

注

先ごろ、Linux カーネルに脆弱性 CVE-2020-14386 が発見されました。この脆弱性により、コンテナがエスケープ処理を行ってホストノードの root 権限を奪ってしまうおそれがあります。

すべての GKE ノードが影響を受けます。GKE Sandbox で実行中の Pod はこの脆弱性の影響を受けません。

設定手順と詳細については、以下をご覧ください。

このパッチで対処される脆弱性

このパッチで緩和される脆弱性は以下のとおりです:

脆弱性 CVE-2020-14386。CAP_NET_RAW
を備えたコンテナでは、1 ～ 10 バイトのカーネルメモリを書き込み、場合によってはコンテナをエスケープしてホストノードのルート権限を取得できます。この脆弱性の重大度評価は高です。

高

CVE-2020-14386

GCP-2020-011

公開日: 2020 年 7 月 24 日

説明

説明	重大度	注
先ごろ、ネットワークに関する脆弱性 CVE-2020-8558 が Kubernetes で発見されました。Service は、ローカルループバックインターフェース（127.0.0.1）を使用して同じ Pod 内で実行されている他のアプリケーションと通信することがあります。この脆弱性により、クラスタのネットワークにアクセスできる攻撃者が、隣接する Pod とノードのループバックインターフェースにトラフィックを送信できてしまいます。ループバックインターフェースが Pod の外部からアクセスできないことに依存しているサービスが侵害される可能性があります。設定手順と詳細については、以下をご覧ください。 GKE のセキュリティ情報 VMware 上の Anthos クラスタのセキュリティ情報 AWS 上の Anthos クラスタのセキュリティ情報	低（GKE および AWS 上の Anthos クラスタ）、中（VMware 上の Anthos クラスタ）	CVE-2020-8558

重大度

注

先ごろ、ネットワークに関する脆弱性 CVE-2020-8558 が Kubernetes で発見されました。Service は、ローカルループバックインターフェース（127.0.0.1）を使用して同じ Pod 内で実行されている他のアプリケーションと通信することがあります。この脆弱性により、クラスタのネットワークにアクセスできる攻撃者が、隣接する Pod とノードのループバックインターフェースにトラフィックを送信できてしまいます。ループバックインターフェースが Pod の外部からアクセスできないことに依存しているサービスが侵害される可能性があります。

設定手順と詳細については、以下をご覧ください。

低（GKE および AWS 上の Anthos クラスタ）、
中（VMware 上の Anthos クラスタ）

CVE-2020-8558

GCP-2020-010

公開日: 2020 年 7 月 27 日

説明

次の脆弱性が Microsoft により公表されました。

脆弱性	重大度	CVE
CVE-2020-1350 - DNS サーバーとして動作する Windows Server には、ローカルシステムアカウントで信頼できないコードを実行できるという脆弱性があります。	NVD ベーススコア: 10.0（重大）	CVE-2020-1350

詳しくは、Microsoft の開示情報をご覧ください。

Google Cloud への影響

プロダクト	影響
Compute Engine	CVE-2020-1350 ほとんどのお客様は、以後の対応は必要ありません。 DNS サーバーとして Windows Server を実行している Compute Engine 仮想マシンを使用する場合は、インスタンスに最新の Windows パッチを適用するか、07/14/2020 以降の Windows Server イメージを使用する必要があります。
Google Kubernetes Engine	CVE-2020-1350 ほとんどのお客様は、以後の対応は必要ありません。 DNS サーバーとして使用している Windows Server ノードで GKE を使用している場合、ノードとそのノードで実行するコンテナ化されたワークロードを、修正を含んだ Windows サーバーバージョンに手動で更新する必要があります。
Managed Service for Microsoft Active Directory	CVE-2020-1350 ほとんどのお客様は、以後の対応は必要ありません。管理対象の Microsoft AD ドメインはすべて、パッチ適用済みのイメージで自動的に更新されています。Microsoft Active Directory を手動で実行している（かつ、マネージド Microsoft AD を使用していない）場合、インスタンスに最新の Windows パッチを適用するか、07/14/2020 以降の Windows Server イメージを使用する必要があります。
Google Workspace	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
App Engine スタンダード環境	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
App Engine フレキシブル環境	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud Run	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud Functions	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud Composer	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Dataflow	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Dataproc	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud SQL	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。

GCP-2020-009

公開: 2020-07-15

説明

説明	重大度	注
先ごろ、権限昇格に関する脆弱性 CVE-2020-8559 が Kubernetes で発見されました。この脆弱性により、ノードを不正使用した攻撃者が、クラスタ内の任意の Pod でコマンドを実行できてしまいます。これにより、攻撃者はすでに不正使用したノードを使用して他のノードを不正使用し、情報の読み取りや、破壊的な操作をする可能性があります。攻撃者がこの脆弱性を悪用するには、クラスタ内のノードがすでに不正使用されている必要があります。この脆弱性だけで、クラスタ内のノードが不正使用されることはありません。設定手順と詳細については、以下をご覧ください。 GKE のセキュリティ情報 VMware 上の Anthos クラスタのセキュリティ情報 AWS 上の Anthos クラスタのセキュリティ情報	中	CVE-2020-8559

重大度

注

先ごろ、権限昇格に関する脆弱性 CVE-2020-8559 が Kubernetes で発見されました。この脆弱性により、ノードを不正使用した攻撃者が、クラスタ内の任意の Pod でコマンドを実行できてしまいます。これにより、攻撃者はすでに不正使用したノードを使用して他のノードを不正使用し、情報の読み取りや、破壊的な操作をする可能性があります。

攻撃者がこの脆弱性を悪用するには、クラスタ内のノードがすでに不正使用されている必要があります。この脆弱性だけで、クラスタ内のノードが不正使用されることはありません。

設定手順と詳細については、以下をご覧ください。

中

CVE-2020-8559

GCP-2020-008

公開日: 2020 年 6 月 19 日

説明

説明	重大度	注
説明 OS Loginが有効になっている VM は、権限昇格の脆弱性の影響を受けやすい場合があります。これらの脆弱性により、OS Login権限を付与された（しかし管理者アクセス権は付与されていない）ユーザーは VM 内のルートアクセス権に昇格できます。手順と詳細については、Compute Engine のセキュリティに関する情報をご覧ください。	高	CVE-2020-8903 CVE-2020-8907 CVE-2020-8933

重大度

注

説明

OS Loginが有効になっている VM は、権限昇格の脆弱性の影響を受けやすい場合があります。これらの脆弱性により、OS Login権限を付与された（しかし管理者アクセス権は付与されていない）ユーザーは VM 内のルートアクセス権に昇格できます。

手順と詳細については、Compute Engine のセキュリティに関する情報をご覧ください。

高

GCP-2020-007

公開日: 2020 年 6 月 1 日

説明

説明	重大度	注
最近、Kubernetes でサーバー側のリクエストフォージェリ（SSRF）の脆弱性 CVE-2020-8555 が検出され、特定の承認済みユーザーがコントロールプレーンホストネットワークから最大 500 バイトの機密情報を漏洩する可能性が生じました。Google Kubernetes Engine（GKE）コントロールプレーンでは、Kubernetes のコントローラを使用するため、この脆弱性の影響を受けます。コントロールプレーンを最新のパッチバージョンにアップグレードすることをおすすめします。ノードのアップグレードは不要です。設定手順と詳細については、以下をご覧ください。 GKE のセキュリティ情報 VMware 上の Anthos クラスタのセキュリティ情報 AWS 上の Anthos クラスタのセキュリティ情報	中	CVE-2020-8555

重大度

注

最近、Kubernetes でサーバー側のリクエストフォージェリ（SSRF）の脆弱性 CVE-2020-8555 が検出され、特定の承認済みユーザーがコントロールプレーンホストネットワークから最大 500 バイトの機密情報を漏洩する可能性が生じました。Google Kubernetes Engine（GKE）コントロールプレーンでは、Kubernetes のコントローラを使用するため、この脆弱性の影響を受けます。コントロールプレーンを最新のパッチバージョンにアップグレードすることをおすすめします。ノードのアップグレードは不要です。

設定手順と詳細については、以下をご覧ください。

中

CVE-2020-8555

GCP-2020-006

公開日: 2020 年 6 月 1 日

説明

説明	重大度	注
Kubernetes は、特権コンテナでノードトラフィックを別のコンテナにリダイレクトできるようになる脆弱性を公表しました。kubelet と API サーバーの間の相互 TLS/SSH トラフィックや、mTLS を使用するアプリケーションからのトラフィックは、この攻撃によって読み取ることも変更することもできません。この脆弱性は、すべての Google Kubernetes Engine（GKE）ノードに影響します。最新のパッチバージョンにアップグレードすることをおすすめします。設定手順と詳細については、以下をご覧ください。 GKE のセキュリティ情報 VMware 上の Anthos クラスタのセキュリティ情報 AWS 上の Anthos クラスタのセキュリティ情報	中	Kubernetes の問題 91507

重大度

注

Kubernetes は、特権コンテナでノードトラフィックを別のコンテナにリダイレクトできるようになる脆弱性を公表しました。kubelet と API サーバーの間の相互 TLS/SSH トラフィックや、mTLS を使用するアプリケーションからのトラフィックは、この攻撃によって読み取ることも変更することもできません。この脆弱性は、すべての Google Kubernetes Engine（GKE）ノードに影響します。最新のパッチバージョンにアップグレードすることをおすすめします。

設定手順と詳細については、以下をご覧ください。

中

Kubernetes の問題 91507

GCP-2020-005

公開日: 2020 年 5 月 7 日

説明

脆弱性	重大度	CVE
先ごろ、Linux カーネルに脆弱性 CVE-2020-8835 が発見されました。この脆弱性により、コンテナがエスケープ処理を行ってホストノードのルート権限を奪ってしまうおそれがあります。この脆弱性は、GKE 1.16 または 1.17 を実行する Google Kubernetes Engine（GKE）Ubuntu ノードはに影響します。できるだけ早く最新のパッチバージョンにアップグレードすることをおすすめします。手順と詳細については、GKE のセキュリティに関する情報をご覧ください。	高	CVE-2020-8835

脆弱性

重大度

CVE

先ごろ、Linux カーネルに脆弱性 CVE-2020-8835 が発見されました。この脆弱性により、コンテナがエスケープ処理を行ってホストノードのルート権限を奪ってしまうおそれがあります。

この脆弱性は、GKE 1.16 または 1.17 を実行する Google Kubernetes Engine（GKE）Ubuntu ノードはに影響します。できるだけ早く最新のパッチバージョンにアップグレードすることをおすすめします。

手順と詳細については、GKE のセキュリティに関する情報をご覧ください。

高

CVE-2020-8835

GCP-2020-004

公開日: 2020 年 3 月 31 日
最終更新日: 2020 年 3 月 31 日

説明

次の脆弱性が Kubernetes により公表されました。

脆弱性	重大度	CVE
CVE-2019-11254 - これは API サーバーに影響を与えるサービス拒否攻撃（DoS）の脆弱性です。	中	CVE-2019-11254

手順と詳細については、VMware 上の Anthos クラスタのセキュリティ情報をご覧ください。

GCP-2020-003

公開日: 2020 年 3 月 31 日
最終更新日: 2020 年 3 月 31 日

説明

次の脆弱性が Kubernetes により公表されました。

脆弱性	重大度	CVE
CVE-2019-11254 - これは API サーバーに影響を与えるサービス拒否攻撃（DoS）の脆弱性です。	中	CVE-2019-11254

手順と詳細については、GKE のセキュリティ情報をご覧ください。

GCP-2020-002

公開日: 2020 年 3 月 23 日
最終更新日: 2020 年 3 月 23 日

説明

次の脆弱性が Kubernetes により公表されました。

脆弱性	重大度	CVE
CVE-2020-8551 - これは kubelet に影響を与えるサービス拒否攻撃（DoS）の脆弱性です。	中	CVE-2020-8551
CVE-2020-8552 - これは API サーバーに影響を与えるサービス拒否攻撃（DoS）の脆弱性です。	中	CVE-2020-8552

手順と詳細については、GKE のセキュリティ情報をご覧ください。

GCP-2020-001

公開日: 2020 年 1 月 21 日
最終更新日: 2020 年 1 月 21 日

説明

次の脆弱性が Microsoft により公表されました。

脆弱性	重大度	CVE
CVE-2020-0601 - この脆弱性は Windows Crypto API のなりすましの脆弱性とも呼ばれます。これを悪用すると、悪意ある実行可能ファイルを信頼されたもののように見せかけることができます。また、攻撃者が中間者攻撃を行って標的ソフトウェアへの接続上で秘密情報を復号することも可能です。	NVD ベーススコア: 8.1（高）	CVE-2020-0601

詳しくは、Microsoft の開示情報をご覧ください。

Google Cloud への影響

プロダクト	影響
Compute Engine	CVE-2020-0601 ほとんどのお客様は、以後の対応は必要ありません。 Windows Server を実行している Compute Engine 仮想マシンでは、インスタンスに最新の Windows パッチを適用するか、1/15/2020 以降の Windows Server イメージを使用する必要があります。詳細については、Compute Engine のセキュリティに関する情報をご覧ください。
Google Kubernetes Engine	CVE-2020-0601 ほとんどのお客様は、以後の対応は必要ありません。 Windows Server ノードで GKE を使用している場合は、この脆弱性を軽減するために、ノードとそれらのノード上で実行されるコンテナ化されたワークロードの両方をパッチ適用済みバージョンに更新する必要があります。手順と詳細については、GKE のセキュリティ情報をご覧ください。
Managed Service for Microsoft Active Directory	CVE-2020-0601 ほとんどのお客様は、以後の対応は必要ありません。管理対象の Microsoft AD ドメインはすべて、パッチ適用済みのイメージで自動的に更新されています。Microsoft Active Directory を手動で実行する（マネージド Microsoft AD を使用しない）お客様は、インスタンスに最新の Windows パッチを適用するか、1/15/2020 以降の Windows Server イメージを使用する必要があります。
Google Workspace	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
App Engine スタンダード環境	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
App Engine フレキシブル環境	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud Run	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud Functions	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud Composer	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Dataflow	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Dataproc	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud SQL	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。

GCP-2019-001

公開日: 2019 年 11 月 12 日
最終更新日: 2019 年 11 月 12 日

説明

Intel により次の脆弱性が開示されました。

脆弱性	重大度	CVE
CVE-2019-11135 - TSX の非同期中止（TAA）と呼ばれるこの脆弱性は、TSX のトランザクション内で投機的実行の悪用に使用される可能性があります。この脆弱性により、Microarchitectural Data Sampling（MDS）によって読み出されたマイクロアーキテクチャのデータ構造を通してデータが公開されてしまう可能性があります。	中	CVE-2019-11135
CVE-2018-12207 - 仮想マシンのホスト（ゲストではない）に影響を及ぼすサービス拒否攻撃（DoS）の脆弱性が存在します。この問題は、「ページサイズ変更によるマシンチェックエラー」として知られています。	中	CVE-2018-12207

詳しくは、Intel の開示情報をご覧ください。

Google Cloud への影響

Google Cloud および Google プロダクトをホストしているインフラストラクチャは、これらの脆弱性から保護されています。プロダクトごとの詳細については、以下をご覧ください。

プロダクト	影響
Compute Engine	CVE-2019-11135 ほとんどのお客様は、追加のアクションを行う必要はありません。 Compute Engine 仮想マシン内の独自のマルチテナントサービスで信頼できないコードを実行している N2、C2、M2 のお客様は、VM をいったん停止してから再起動して、最新のセキュリティ対策が適用された状態にする必要があります。注: 詳細については、Compute Engine のセキュリティに関する情報をご覧ください。 CVE-2018-12207 お客様が追加のアクションを行う必要はありません。
Google Kubernetes Engine	CVE-2019-11135 ほとんどのお客様は、追加のアクションを行う必要はありません。使用しているノードプールに N2、M2、または C2 マシンタイプのノードが含まれていて、それらのノードが独自のマルチテナント GKE クラスタ内で信頼できないコードを実行している場合は、ノードを再起動する必要があります。ノードプール内のすべてのノードを再起動する場合は、影響を受けるノードプールをアップグレードしてください。注: ノードプールをアップグレードする場合も、同じ GKE バージョンを指定できます。詳細については、GKE のセキュリティに関する情報をご覧ください。 CVE-2018-12207 お客様が追加のアクションを行う必要はありません。
App Engine スタンダード環境	追加のアクションを行う必要はありません。
App Engine フレキシブル環境	CVE-2019-11135 追加のアクションを行う必要はありません。フレキシブル環境の VM 内のハイパースレッド間でアプリケーションレベルの共有が起こる可能性に関連して、Intel からベストプラクティスが公開されています。必ずご確認ください。 CVE-2018-12207 追加のアクションを行う必要はありません。
Cloud Run	追加のアクションを行う必要はありません。
Cloud Functions	追加のアクションを行う必要はありません。
Cloud Composer	追加のアクションを行う必要はありません。
Dataflow	CVE-2019-11135 ほとんどのお客様は、追加のアクションを行う必要はありません。 Dataflow によって管理されている N2、C2、または M2 マシンタイプの Compute Engine VM で複数の信頼できないワークロードを実行している Dataflow のお客様で、ゲスト内攻撃の心配がある場合は、現在実行中のストリーミングパイプラインの再起動を検討してください。必要に応じて、バッチパイプラインをいったんキャンセルし、再実行します。本日以降に開始したパイプラインの場合は、必要なアクションはありません。 CVE-2018-12207 お客様が追加のアクションを行う必要はありません。
Dataproc	CVE-2019-11135 ほとんどのお客様は、追加のアクションを行う必要はありません。 N2、C2、または M2 マシンタイプの Compute Engine VM で実行されている 1 つの Cloud Dataproc クラスタで、複数の信頼できないワークロードを実行している Cloud Dataproc のお客様で、ゲスト内攻撃の心配がある場合は、クラスタを再デプロイしてください。 CVE-2018-12207 お客様が追加のアクションを行う必要はありません。
Cloud SQL	追加のアクションを行う必要はありません。