次のセキュリティに関する情報は、Google Cloud 製品に関連するものです。
このページのセキュリティ情報を定期的に受け取るには、こちらの XML フィードを使用してください。
GCP-2022-014
公開日: 2022 年 4 月 26 日
説明
説明 | 重大度 | メモ |
---|---|---|
Linux カーネルで CVE-2022-1055 と CVE-2022-27666 の 2 つのセキュリティの脆弱性が発見されました。いずれの場合も、ローカルの攻撃者がコンテナのブレークアウト、ホストでの権限昇格、またはその両方を実行できる可能性があります。これらの脆弱性は、すべての GKE ノード オペレーティング システム(Container-Optimized OS と Ubuntu)に影響します。手順と詳細については、次のセキュリティ情報をご覧ください。 |
高 |
CVE-2022-1055 CVE-2022-27666 |
GCP-2022-013
公開日: 2022 年 4 月 11 日
最終更新日: 2022 年 4 月 22 日
説明
説明 | 重大度 | メモ |
---|---|---|
セキュリティ上の脆弱性(CVE-2022-23648)が、OCI イメージ ボリューム仕様におけるコンテナパスのパス走査の処理で見つかりました。特別に作成されたイメージ構成で containerd の CRI 実装を使ってコンテナが起動されると、ホスト上の任意のファイルとディレクトリへの完全な読み取りアクセス権を取得できます。この脆弱性により、コンテナの設定に対するポリシーベースの適用(Kubernetes Pod セキュリティ ポリシーを含む)がバイパスされる可能性があります。 手順と詳細については、次のセキュリティ情報をご覧ください。 |
中 | CVE-2022-23648 |
GCP-2022-012
公開日: 2022 年 4 月 7 日
Description
説明 | 重大度 | メモ |
---|---|---|
Linux カーネル バージョン 5.8 以降で、コンテナの権限を root に昇格できる可能性があるセキュリティ上の脆弱性(CVE-2022-0847)が見つかりました。この脆弱性の影響があるのは次のプロダクトです。
手順と詳細については、次のセキュリティ情報をご覧ください。 |
高 | CVE-2022-0847 |
GCP-2022-011
公開済み: 2022-03-22
Description
説明 | 重大度 |
---|---|
GKE Sandbox イメージに、ハイパー スレッディングとも呼ばれる同時マルチ スレッディング(SMT)の構成ミスが存在します。構成ミスにより、ノードがマイクロアーキテクチャ データ サンプリング(MDS)などのサイドチャネル攻撃を受ける可能性があります(詳細については、GKE Sandbox のドキュメントをご覧ください)。次の影響を受けるバージョンの使用はおすすめしません。
手順と詳細については、GKE のセキュリティ情報をご覧ください。 |
中 |
GCP-2022-010
説明
説明 | 重大度 | メモ |
---|---|---|
次の Istio CVE では、Anthos Service Mesh がリモートからの攻撃に利用できる脆弱性にさらされます。
手順と詳細については、次のセキュリティ情報をご覧ください。 |
高 |
GCP-2022-009
公開日: 2022 年 3 月 1 日説明
説明 | 重大度 |
---|---|
GKE Autopilot クラスタのノード VM にアクセスする予期せぬパスの一部が、クラスタ内の権限を昇格させるために使用された可能性があります。これらの問題は修正済みであり、これ以上の操作は必要ありません。この修正は、脆弱性報奨金プログラムを通じて報告された事象に対処したものです。 手順と詳細については、GKE のセキュリティ情報をご覧ください。 |
低 |
GCP-2022-008
公開日: 2022 年 2 月 23 日説明
説明 | 重大度 | メモ |
---|---|---|
先ごろ、Envoy プロジェクトで、一連の脆弱性が発見されました。以下の問題はすべて、Envoy リリース 1.21.1 で修正されています。
必要な対策 独自の Envoy を管理しているユーザーは、Envoy リリース 1.21.1 を使用する必要があります。独自の Envoy を管理する Envoy ユーザーは、GitHub などのソースからバイナリをビルドしてデプロイします。 マネージド Envoy(GCP が Envoy バイナリを提供)を実行しているユーザーが行う必要がある操作はありません。Cloud プロダクトは 1.21.1 に切り替わります。 |
高 |
CVE-2022-23606 CVE-2022-21655 CVE-2021-43826 CVE-2021-43825 CVE-2021-43824 CVE-2022-21654 CVE-2022-21657 CVE-2022-21656 |
GCP-2022-007
公開日: 2022 年 2 月 22 日説明
説明 | 重大度 | メモ |
---|---|---|
次の Envoy と Istio の CVE は、リモートで悪用可能な脆弱性に対して Anthos Service Mesh と GKE on Istio が無防備な状態になります。
手順と詳細については、次のセキュリティ情報をご覧ください。 |
高 |
GCP-2022-006
公開日: 2022 年 2 月 14 日最終更新日: 2022 年 2 月 23 日
説明
説明 | 重大度 | メモ |
---|---|---|
セキュリティ上の脆弱性 CVE-2022-0492 が Linux カーネルの |
低 |
設定手順と詳細については、以下をご覧ください。 |
GCP-2022-005
公開日: 2022 年 2 月 11 日最終更新日: 2022 年 2 月 15 日
説明
説明 | 重大度 | メモ |
---|---|---|
3.73 または 3.68.1 より前の NSS(Network Security Services)バージョンで見つかった脆弱性のあるバージョンの libnss3 にリンクするバイナリで、セキュリティ上の脆弱性 CVE-2021-43527 が発見されました。NSS を証明書の検証や、TLS、X.509、OCSP、CRL などの機能に使用しているアプリケーションは、NSS の使用方法や構成に応じて影響を受ける可能性があります。 設定手順と詳細については、以下をご覧ください。 |
中 | CVE-2021-43527 |
GCP-2022-004
公開日: 2022 年 2 月 4 日説明
説明 | 重大度 | メモ |
---|---|---|
セキュリティ上の脆弱性 CVE-2021-4034 が Linux ポリシーキット パッケージ(polkit)の一部である pkexec で発見されました。この脆弱性は、認証済みのユーザーが権限昇格攻撃を実行できるというものです。PolicyKit は通常、Linux デスクトップ システム上でのみ使用され、root 以外のユーザーがポリシーに沿ってシステムの再起動、パッケージのインストール、サービスの再起動などの操作を実行できるようにするものです。 設定手順と詳細については、以下をご覧ください。 |
なし | CVE-2021-4034 |
GCP-2022-002
公開日: 2022 年 2 月 1 日最終更新日: 2022 年 2 月 25 日
説明
説明 | 重大度 | メモ |
---|---|---|
2022 年 2 月 25 日更新: GKE のバージョンが更新されました。設定手順と詳細については、以下をご覧ください。 2022 年 2 月 23 日更新: GKE と Anthos clusters on VMware のバージョンが更新されました。設定手順と詳細については、以下をご覧ください。 2022 年 2 月 4 日更新: GKE パッチ バージョンのロールアウト開始日は 2 月 2 日でした。 Linux カーネルで 3 つのセキュリティ脆弱性 CVE-2021-4154、CVE-2021-22600、CVE-2022-0185 が発見されました。これらは、それぞれ、コンテナ ブレークアウト、ホストに対する権限昇格、またはその両方につながる可能性があります。これらの脆弱性は、GKE 上のすべてのノード オペレーティング システム(COS と Ubuntu)、Anthos clusters on VMware、AWS 上の Anthos クラスタ(最新および旧世代)、Azure on Azure に影響します。GKE Sandbox を使用する Pod には、これらの脆弱性はありません。詳細については、COS リリースノートをご覧ください。 設定手順と詳細については、以下をご覧ください。 |
高 |
GCP-2022-001
公開日: 2022 年 1 月 6 日説明
説明 | 重大度 | メモ |
---|---|---|
バイナリデータの解析手順で、 必要な対策 次のソフトウェア パッケージの最新バージョンを使用していることを確認してください。
Protobuf「javalite」ユーザー(通常は Android)は影響を受けません。 このパッチで対処される脆弱性 このパッチで緩和される脆弱性は以下のとおりです。 Java で不明なフィールドを解析する方法の実装に存在する脆弱性。800 KB 程度の小さな悪意のあるペイロードにより、短命なオブジェクトを多数作成することでガベージ コレクションを頻繁かつ繰り返し発生させ、パーサーを数分間占有することが可能です。 |
高 | CVE-2021-22569 |
GCP-2021-024
公開日: 2021 年 10 月 21 日説明
説明 | 重大度 | メモ |
---|---|---|
Kubernetes の ingress-nginx コントローラ CVE-2021-25742 でセキュリティの問題が見つかりました。Ingress-nginx カスタム スニペットを使用すると、すべての名前空間で ingress-nginx サービス アカウント トークンとシークレットを取得できます。 設定手順と詳細については、以下をご覧ください。 | なし | CVE-2021-25742 |
GCP-2021-019
公開日: 2021 年 9 月 29 日説明
説明 | 重大度 | 注 |
---|---|---|
手順と詳細については、GKE のセキュリティ関する情報をご覧ください。 |
低 |
GCP-2021-022
公開日: 2021 年 9 月 22 日説明
説明 | 重大度 | 注 |
---|---|---|
Anthos clusters on VMware バージョン 1.8 および 1.8.1 の Anthos Identity Service(AIS)LDAP モジュールで、鍵の生成に使用されるシード鍵を予測できる脆弱性が見つかりました。この脆弱性により、認証されたユーザーが任意のクレームを追加して、権限を無期限にエスカレーションできるようになります。 手順と詳細については、Anthos clusters on VMware に関するセキュリティ情報をご覧ください。 |
高 |
GCP-2021-021
公開日: 2021 年 9 月 22 日説明
説明 | 重大度 | 注 |
---|---|---|
セキュリティ上の脆弱性 CVE-2020-8561 が Kubernetes で発見されました。これは、kube-apiserver リクエストをその API サーバーのプライベート ネットワークにリダイレクトする Webhook を作成できるものです。 設定手順と詳細については、以下をご覧ください。 |
中 | CVE-2020-8561 |
GCP-2021-023
公開日: 2021 年 9 月 21 日説明
説明 | 重大度 | 注 |
---|---|---|
VMware セキュリティ アドバイザリ VMSA-2021-0020 によると、vCenter に関して複数の脆弱性が報告されました。VMware は、影響を受ける VMware 製品の脆弱性の修正のためにアップデートを行いました。 vSphere スタック用に VMware から提供されたパッチを、VMware セキュリティ アドバイザリに従って Google Cloud VMware Engine にすでに適用しています。このアップデートは、CVE-2021-22005、CVE-2021-22006、CVE-2021-22007、CVE-2021-22008、CVE-2021-22010 に記載されているセキュリティの脆弱性に対応しています。その他の重要ではないセキュリティの問題は、今後の VMware スタックのアップグレードで対処されます(7 月に送信された事前通知に従い、詳細についてはアップグレードの具体的なタイムラインで提供されます)。 VMware Engine への影響調査の結果、影響を受けたお客様は見つかりませんでした。 必要な対策VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。 |
重大 |
GCP-2021-020
公開日: 2021 年 9 月 17 日説明
説明 | 重大度 | 注 |
---|---|---|
Identity-Aware Proxy(IAP)が有効なバックエンド サービスにルーティングする Google Cloud の特定のロードバランサで、限定された条件下にて、信頼できないグループに対して脆弱である恐れがあります。これは、Google の脆弱性報奨金プログラムを通じて報告された事象に対処したものです。 条件は、サーバーが以下の通りであることでした。
さらに、組織内のユーザーが、信頼できないグループから送信された特別に作成されたリンクをクリックしなければなりません。 現在、この問題は解決しています。2021 年 9 月 17 日の時点で、認証済みのホストにのみ Cookie を発行するように IAP が更新されました。ホストが認証済みとみなされるのは、ロードバランサにインストールされているいずれかの証明書の少なくとも 1 つのサブジェクト代替名(SAN)と一致する場合です。 手順
貴社の一部のユーザーは、アプリまたはサービスにアクセスしようとしたときに、HTTP 401 Unauthorized レスポンスと IAP エラーコード 52 が返される場合があります。このエラー コードは、ロードバランサの SSL 証明書に関連付けられたサブジェクト代替名と一致しない |
高 |
GCP-2021-018
公開日: 2021 年 9 月 15 日最終更新日: 2021 年 9 月 20 日
説明
説明 | 重大度 | 注 |
---|---|---|
Kubernetes で CVE-2021-25741 に記載されたセキュリティの問題が見つかりました。これにより、ユーザーが subpath ボリューム マウントを使用するコンテナを作成し、ボリュームの外部(ホストのファイルシステムを含む)にあるファイルとディレクトリにアクセスできる可能性があります。 設定手順と詳細については、以下をご覧ください。 |
高 | CVE-2021-25741 |
GCP-2021-017
公開日: 2021 年 9 月 1 日最終更新日: 2021 年 9 月 23 日
説明
説明 | 重大度 | 注 |
---|---|---|
2021 年 9 月 23 日更新: GKE Sandbox 内で動作するコンテナは、コンテナ内で発生した攻撃に対して、この脆弱性の影響を受けません。 Linux カーネルで 2 つのセキュリティ脆弱性 CVE-2021-33909 と CVE-2021-33910 が発見されました。これらは、OS のクラッシュや権限のないユーザーによる root へのエスカレーションにつながる可能性があります。この脆弱性は、すべての GKE ノードのオペレーティング システム(COS と Ubuntu)に影響を及ぼします。 手順と詳細については、次のセキュリティ情報をご覧ください。 |
高 | CVE-2021-33909、 CVE-2021-33910 |
GCP-2021-016
公開日: 2021 年 8 月 24 日
説明
説明 | 重大度 | 注 |
---|---|---|
次の Envoy と Istio の CVE は、リモートで悪用可能な脆弱性に対して Anthos Service Mesh と GKE on Istio が無防備な状態になります。
手順と詳細については、次のセキュリティ情報をご覧ください。 |
高 |
GCP-2021-015
公開日: 2021 年 7 月 13 日最終更新日: 2021 年 7 月 15 日
説明
説明 | 重大度 | 注 |
---|---|---|
新たなセキュリティ上の脆弱性 CVE-2021-22555 が発見されました。この脆弱性によって、 手順と詳細については、次のセキュリティ情報をご覧ください。 |
高 | CVE-2021-22555 |
GCP-2021-014
公開日: 2021 年 7 月 5 日説明
説明 | 重大度 | 注 |
---|---|---|
Microsoft は、Windows Server の印刷スプーラーに影響するリモートコード実行(RCE)の脆弱性 CVE-2021-34527 についてのセキュリティ情報を公開しました。CERT Coordination Center(CERT/CC)は、「Printnightmare」と呼ばれる、関連する脆弱性に対する更新メモを公開しました。この脆弱性は Windows 印刷スプーラーにも影響します。Printnightmare、重大な Windows 印刷スプーラーの脆弱性 手順と詳細については、GKE のセキュリティ情報をご覧ください。 |
高 | CVE-2021-34527 |
GCP-2021-012
公開日: 2021 年 6 月 24 日最終更新日: 2021 年 7 月 9 日
説明
説明 | 重大度 | 注 |
---|---|---|
先ごろ、Istio プロジェクトによって、ゲートウェイと DestinationRule の credentialName フィールドで指定された認証情報に異なる名前空間からアクセスできるようになるというセキュリティの脆弱性が発表されました。 サービス固有の手順と詳細については、以下をご覧ください。
|
高 | CVE-2021-34824 |
GCP-2021-011
公開日: 2021 年 6 月 4 日最終更新日: 2021 年 10 月 19 日
説明
説明 | 重大度 | メモ |
---|---|---|
2021 年 10 月 19 日更新: 手順と詳細については、次のセキュリティ情報をご覧ください。 先ごろ、セキュリティ コミュニティが この脆弱性を悪用するためにはポッドを作成する能力が必要であるため、GKE では、この脆弱性の重大度を MEDIUM と評価しています。 手順と詳細については、GKE のセキュリティ情報をご覧ください。 |
中 | CVE-2021-30465 |
GCP-2021-010
公開日: 2021 年 5 月 25 日説明
説明 | 重大度 | 注 |
---|---|---|
VMware セキュリティ アドバイザリ VMSA-2021-0010 によると、vSphere Client(HTML5)のリモートコード実行と認証バイパスに関する脆弱性が VMware に非公開で報告されました。VMware は、影響を受ける VMware 製品の脆弱性の修正のためにアップデートを作成しました。 Google では、VMware セキュリティ アドバイザリに従い、vSphere スタック用に VMware が提供するパッチを適用しました。このアップデートは、CVE-2021-21985、CVE-2021-21986 に記載されている脆弱性に対応しています。この時点で、VMware Engine Private Cloud で実行されているイメージ バージョンには、パッチが適用済みであることを示す変更の反映はありません。適切なパッチがインストールされ、これらの脆弱性からお客様の環境が保護されていますのでご安心ください。 VMware Engine への影響調査の結果、影響を受けたお客様は見つかりませんでした。 必要な対策VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。 |
重大 |
GCP-2021-008
公開日: 2021 年 5 月 17 日説明
説明 | 重大度 | 注 |
---|---|---|
ゲートウェイが 設定手順と詳細については、Anthos Service Mesh のセキュリティ情報をご覧ください。 |
高 |
CVE-2021-31921 |
GCP-2021-007
公開日: 2021 年 5 月 17 日説明
説明 | 重大度 | 注 |
---|---|---|
Istio には、パスベースの認可ルールを使用している場合にリモートから悪用できる脆弱性が含まれており、これを利用すると、複数のスラッシュやエスケープされたスラッシュ文字( 設定手順と詳細については、Anthos Service Mesh のセキュリティ情報をご覧ください。 |
高 |
CVE-2021-31920 |
GCP-2021-006
公開日: 2021 年 5 月 11 日説明
説明 | 重大度 | 注 |
---|---|---|
先ごろ、Istio プロジェクトでは、Istio に影響を与える新しいセキュリティの脆弱性(CVE-2021-31920)が公表されました。 Istio には、パスベースの承認ルールを使用している場合にリモートから悪用できる脆弱性が含まれており、これを利用すると、複数のスラッシュやエスケープされたスラッシュ記号を含む HTTP リクエストが Istio 認可ポリシーを迂回できるようになります。 設定手順と詳細については、以下をご覧ください。 |
高 |
CVE-2021-31920 |
GCP-2021-005
公開日: 2021 年 5 月 11 日説明
説明 | 重大度 | 注 |
---|---|---|
報告された脆弱性により、Envoy は Envoy バージョン 1.18.2 以前の HTTP URL パス内のエスケープされたスラッシュ シーケンス 必要な対策
バックエンド サーバーが 導入された動作変更の内容Envoy の normalize_path オプションと隣接するスラッシュを結合するオプションを使用して、Envoy ベースのプロダクトで他の一般的なパスの混乱の脆弱性に対処できるようになりました。 |
高 |
CVE-2021-29492 |
GCP-2021-004
公開日: 2021 年 5 月 6 日説明
説明 | 重大度 | 注 |
---|---|---|
Envoy と Istio のプロジェクトは、最近、攻撃者が Envoy をクラッシュさせるおそれがある新しいセキュリティ上の脆弱性(CVE-2021-28683、CVE-2021-28682、CVE-2021-29258)を発表しました。 Google Kubernetes Engine クラスタは、デフォルトでは Istio を実行せず、脆弱性はありません。 Istio がクラスタにインストールされ、インターネットにサービスを公開するように構成されている場合、そうしたサービスにはサービス拒否攻撃に対する脆弱性が存在する可能性があります。 ベアメタル版 Anthos と Anthos clusters on VMware は、デフォルトで Ingress に Envoy を使用するため、Ingress サービスがサービス拒否攻撃に対して脆弱性を持つ可能性があります。 手順と詳細については、次のセキュリティ情報をご覧ください。 |
中 |
GCP-2021-003
公開日: 2021 年 4 月 19 日説明
説明 | 重大度 | 注 |
---|---|---|
先ごろ、Kubernetes プロジェクトが新しいセキュリティ上の脆弱性 CVE-2021-25735 を発表しました。この脆弱性が悪用されると、ノードの更新で Validating Admission Webhook がバイパスされる可能性があります。
攻撃者に十分な権限があり、古い 手順と詳細については、次のセキュリティ情報をご覧ください。 |
中 |
GCP-2021-002
公開日: 2021 年 3 月 5 日説明
説明 | 重大度 | 注 |
---|---|---|
VMware セキュリティ アドバイザリ VMSA-2021-0002 によると、VMware は、VMware ESXi と vSphere クライアント(HTML5)に複数の脆弱性に関する報告を受けました。VMware には、影響を受ける VMware プロダクトにおけるこれらの脆弱性の修正のためのアップデートを行いました。 Google では、VMware セキュリティ アドバイザリに従い、公式のドキュメントに記載されている回避策を vSphere スタックに適用しました。このアップデートは、CVE-2021-21972、CVE-2021-21973、CVE-2021-21974 に記載されている脆弱性に対応しています。 VMware Engine への影響調査の結果、影響を受けたお客様は見つかりませんでした。 必要な対策VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。 |
重大 |
GCP-2021-001
公開日: 2021 年 1 月 28 日説明
説明 | 重大度 | 注 |
---|---|---|
先ごろ、Linux ユーティリティ Compute Engine を実行する基盤となるインフラストラクチャはこの脆弱性の影響を受けません。 この脆弱性は、すべての Google Kubernetes Engine(GKE)、Anthos clusters on VMware、AWS 上の Anthos クラスタ、ベアメタル クラスタ上の Anthos には影響しません。 手順と詳細については、次のセキュリティ情報をご覧ください。 |
なし | CVE-2021-3156 |
GCP-2020-015
公開日: 2020 年 12 月 7 日最終更新日: 2020 年 12 月 22 日
説明
説明 | 重大度 | メモ |
---|---|---|
更新: 2021 年 12 月 22 日 次のセクションの GKE のコマンドでは、 gcloud container clusters update –no-enable-service-externalips 更新: 2021 年 12 月 15 日 GKE について、以下の緩和策が利用可能です。
詳細については、クラスタのセキュリティの強化をご覧ください。 Kubernetes プロジェクトで最近見つかった新しいセキュリティの脆弱性 CVE-2020-8554 では、LoadBalancer または ClusterIP タイプの Kubernetes Service を作成する権限を取得した攻撃者が、クラスタ内の他の Pod から発信されるネットワーク トラフィックをインターセプトできる可能性があります。この脆弱性だけでは、攻撃者に Kubernetes Service を作成する権限は付与されません。 この脆弱性の影響を受けるのは、すべての Google Kubernetes Engine(GKE)、VMware 上の Anthos クラスタ、AWS クラスタ上の Anthos クラスタです。 必要な対策設定手順と詳細については、以下をご覧ください。 |
中 |
CVE-2020-8554 |
GCP-2020-014
公開日: 2020 年 10 月 20 日最終更新日: 2020 年 10 月 20 日
説明
説明 | 重大度 | 注 |
---|---|---|
最近、Kubernetes プロジェクトでは、詳細ロギング オプションが有効になっている場合にシークレット データが公開されてしまういくつかの問題を確認しました。問題は次のとおりです。
必要な対策GKE のデフォルトの詳細ロギングレベルでは、これ以上のアクションは必要ありません。 |
なし |
Google Cloud への影響
プロダクトごとの詳細については、以下をご覧ください。
プロダクト |
影響 |
---|---|
Google Kubernetes Engine(GKE)は影響を受けません。 |
|
GKE On-Prem は影響を受けません。 |
|
GKE on AWS は影響を受けません。 |
GCP-2020-013
公開日: 2020 年 9 月 29 日説明
次の脆弱性が Microsoft により公表されました。
脆弱性 |
重大度 |
CVE |
---|---|---|
CVE-2020-1472 - Windows Server の脆弱性により、攻撃者が Netlogon Remote Protocol を使用して、ネットワーク上のデバイス上で特別に細工したアプリケーションを実行するおそれがあります。 |
NVD ベーススコア: 10(重大) |
詳しくは、Microsoft の開示情報をご覧ください。
Google Cloud への影響
この脆弱性は、Google Cloud と Google のサービスをホストするインフラストラクチャには影響しません。プロダクトごとの詳細については、以下をご覧ください。
プロダクト |
影響 |
---|---|
Compute Engine |
CVE-2020-1472 |
Google Kubernetes Engine |
CVE-2020-1472 |
Managed Service for Microsoft Active Directory |
CVE-2020-1472 |
Google Workspace |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
App Engine スタンダード環境 |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
App Engine フレキシブル環境 |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Cloud Run |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Cloud Functions |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Cloud Composer |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Dataflow |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Dataproc |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Cloud SQL |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
GCP-2020-012
公開日: 2020 年 9 月 14 日最終更新日: 2020 年 9 月 17 日
説明
説明 | 重大度 | 注 |
---|---|---|
先ごろ、Linux カーネルに脆弱性 CVE-2020-14386 が発見されました。この脆弱性により、コンテナがエスケープ処理を行ってホストノードの root 権限を奪ってしまうおそれがあります。 すべての GKE ノードが影響を受けます。GKE Sandbox で実行中の Pod はこの脆弱性の影響を受けません。 設定手順と詳細については、以下をご覧ください。 このパッチで対処される脆弱性 このパッチで緩和される脆弱性は以下のとおりです: 脆弱性 CVE-2020-14386。CAP_NET_RAW を備えたコンテナでは、1 ~ 10 バイトのカーネルメモリを書き込み、場合によってはコンテナをエスケープしてホストノードのルート権限を取得できます。この脆弱性の重大度評価は高です。 |
高 |
GCP-2020-011
公開日: 2020 年 7 月 24 日説明
説明 | 重大度 | 注 |
---|---|---|
先ごろ、ネットワークに関する脆弱性 CVE-2020-8558 が Kubernetes で発見されました。Service は、ローカル ループバック インターフェース(127.0.0.1)を使用して同じ Pod 内で実行されている他のアプリケーションと通信することがあります。この脆弱性により、クラスタのネットワークにアクセスできる攻撃者が、隣接する Pod とノードのループバック インターフェースにトラフィックを送信できてしまいます。ループバック インターフェースが Pod の外部からアクセスできないことに依存しているサービスが侵害される可能性があります。 設定手順と詳細については、以下をご覧ください。 |
低(GKE および AWS 上の Anthos クラスタ)、 |
GCP-2020-010
公開日: 2020 年 7 月 27 日説明
次の脆弱性が Microsoft により公表されました。
脆弱性 |
重大度 |
CVE |
---|---|---|
CVE-2020-1350 - DNS サーバーとして動作する Windows Server には、ローカル システム アカウントで信頼できないコードを実行できるという脆弱性があります。 |
NVD ベーススコア: 10.0(重大) |
詳しくは、Microsoft の開示情報をご覧ください。
Google Cloud への影響
この脆弱性は、Google Cloud と Google のサービスをホストするインフラストラクチャには影響しません。プロダクトごとの詳細については、以下をご覧ください。
プロダクト |
影響 |
---|---|
Compute Engine |
CVE-2020-1350 |
Google Kubernetes Engine |
CVE-2020-1350 |
Managed Service for Microsoft Active Directory |
CVE-2020-1350 |
Google Workspace |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
App Engine スタンダード環境 |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
App Engine フレキシブル環境 |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Cloud Run |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Cloud Functions |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Cloud Composer |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Dataflow |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Dataproc |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Cloud SQL |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
GCP-2020-009
公開: 2020-07-15説明
説明 | 重大度 | 注 |
---|---|---|
先ごろ、権限昇格に関する脆弱性 CVE-2020-8559 が Kubernetes で発見されました。この脆弱性により、ノードを不正使用した攻撃者が、クラスタ内の任意の Pod でコマンドを実行できてしまいます。これにより、攻撃者はすでに不正使用したノードを使用して他のノードを不正使用し、情報の読み取りや、破壊的な操作をする可能性があります。 攻撃者がこの脆弱性を悪用するには、クラスタ内のノードがすでに不正使用されている必要があります。この脆弱性だけで、クラスタ内のノードが不正使用されることはありません。 設定手順と詳細については、以下をご覧ください。 |
中 |
GCP-2020-008
公開日: 2020 年 6 月 19 日説明
説明 | 重大度 | 注 |
---|---|---|
説明OS Loginが有効になっている VM は、権限昇格の脆弱性の影響を受けやすい場合があります。これらの脆弱性により、OS Login権限を付与された(しかし管理者アクセス権は付与されていない)ユーザーは VM 内のルートアクセス権に昇格できます。 手順と詳細については、Compute Engine のセキュリティに関する情報をご覧ください。
|
高 |
GCP-2020-007
公開日: 2020 年 6 月 1 日説明
説明 | 重大度 | 注 |
---|---|---|
最近、Kubernetes でサーバー側のリクエスト フォージェリ(SSRF)の脆弱性 CVE-2020-8555 が検出され、特定の承認済みユーザーがコントロール プレーン ホスト ネットワークから最大 500 バイトの機密情報を漏洩する可能性が生じました。Google Kubernetes Engine(GKE)コントロール プレーンでは、Kubernetes のコントローラを使用するため、この脆弱性の影響を受けます。コントロール プレーンを最新のパッチ バージョンにアップグレードすることをおすすめします。ノードのアップグレードは不要です。 設定手順と詳細については、以下をご覧ください。 |
中 |
GCP-2020-006
公開日: 2020 年 6 月 1 日説明
説明 | 重大度 | 注 |
---|---|---|
Kubernetes は、特権コンテナでノード トラフィックを別のコンテナにリダイレクトできるようになる脆弱性を公表しました。kubelet と API サーバーの間の相互 TLS/SSH トラフィックや、mTLS を使用するアプリケーションからのトラフィックは、この攻撃によって読み取ることも変更することもできません。この脆弱性は、すべての Google Kubernetes Engine(GKE)ノードに影響します。最新のパッチ バージョンにアップグレードすることをおすすめします。 設定手順と詳細については、以下をご覧ください。 |
中 |
GCP-2020-005
公開日: 2020 年 5 月 7 日説明
脆弱性 |
重大度 |
CVE |
---|---|---|
先ごろ、Linux カーネルに脆弱性 CVE-2020-8835 が発見されました。この脆弱性により、コンテナがエスケープ処理を行ってホストノードのルート権限を奪ってしまうおそれがあります。 この脆弱性は、GKE 1.16 または 1.17 を実行する Google Kubernetes Engine(GKE)Ubuntu ノードはに影響します。できるだけ早く最新のパッチ バージョンにアップグレードすることをおすすめします。 手順と詳細については、GKE のセキュリティに関する情報をご覧ください。 |
高 |
GCP-2020-004
公開日: 2020 年 3 月 31 日最終更新日: 2020 年 3 月 31 日
説明
次の脆弱性が Kubernetes により公表されました。
脆弱性 |
重大度 |
CVE |
---|---|---|
CVE-2019-11254 - これは API サーバーに影響を与えるサービス拒否攻撃(DoS)の脆弱性です。 |
中 |
手順と詳細については、VMware 上の Anthos クラスタのセキュリティ情報をご覧ください。
GCP-2020-003
公開日: 2020 年 3 月 31 日最終更新日: 2020 年 3 月 31 日
説明
次の脆弱性が Kubernetes により公表されました。
脆弱性 |
重大度 |
CVE |
---|---|---|
CVE-2019-11254 - これは API サーバーに影響を与えるサービス拒否攻撃(DoS)の脆弱性です。 |
中 |
手順と詳細については、GKE のセキュリティ情報をご覧ください。
GCP-2020-002
公開日: 2020 年 3 月 23 日最終更新日: 2020 年 3 月 23 日
説明
次の脆弱性が Kubernetes により公表されました。
脆弱性 |
重大度 |
CVE |
---|---|---|
CVE-2020-8551 - これは kubelet に影響を与えるサービス拒否攻撃(DoS)の脆弱性です。 |
中 |
|
CVE-2020-8552 - これは API サーバーに影響を与えるサービス拒否攻撃(DoS)の脆弱性です。 |
中 |
手順と詳細については、GKE のセキュリティ情報をご覧ください。
GCP-2020-001
公開日: 2020 年 1 月 21 日最終更新日: 2020 年 1 月 21 日
説明
次の脆弱性が Microsoft により公表されました。
脆弱性 |
重大度 |
CVE |
---|---|---|
CVE-2020-0601 - この脆弱性は Windows Crypto API のなりすましの脆弱性とも呼ばれます。これを悪用すると、悪意ある実行可能ファイルを信頼されたもののように見せかけることができます。また、攻撃者が中間者攻撃を行って標的ソフトウェアへの接続上で秘密情報を復号することも可能です。 |
NVD ベーススコア: 8.1(高) |
詳しくは、Microsoft の開示情報をご覧ください。
Google Cloud への影響
この脆弱性は、Google Cloud と Google のサービスをホストするインフラストラクチャには影響しません。プロダクトごとの詳細については、以下をご覧ください。
プロダクト |
影響 |
---|---|
Compute Engine |
CVE-2020-0601 |
Google Kubernetes Engine |
CVE-2020-0601 |
Managed Service for Microsoft Active Directory |
CVE-2020-0601 |
Google Workspace |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
App Engine スタンダード環境 |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
App Engine フレキシブル環境 |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Cloud Run |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Cloud Functions |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Cloud Composer |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Dataflow |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Dataproc |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Cloud SQL |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
GCP-2019-001
公開日: 2019 年 11 月 12 日最終更新日: 2019 年 11 月 12 日
説明
Intel により次の脆弱性が開示されました。
脆弱性 |
重大度 |
CVE |
---|---|---|
CVE-2019-11135 - TSX の非同期中止(TAA)と呼ばれるこの脆弱性は、TSX のトランザクション内で投機的実行の悪用に使用される可能性があります。この脆弱性により、Microarchitectural Data Sampling(MDS)によって読み出されたマイクロアーキテクチャのデータ構造を通してデータが公開されてしまう可能性があります。 |
中 |
|
CVE-2018-12207 - 仮想マシンのホスト(ゲストではない)に影響を及ぼすサービス拒否攻撃(DoS)の脆弱性が存在します。この問題は、「ページサイズ変更によるマシンチェック エラー」として知られています。 |
中 |
詳しくは、Intel の開示情報をご覧ください。
Google Cloud への影響
Google Cloud および Google プロダクトをホストしているインフラストラクチャは、これらの脆弱性から保護されています。プロダクトごとの詳細については、以下をご覧ください。
プロダクト |
影響 |
---|---|
Compute Engine |
CVE-2019-11135 CVE-2018-12207 |
Google Kubernetes Engine |
CVE-2019-11135 CVE-2018-12207 |
App Engine スタンダード環境 |
追加のアクションを行う必要はありません。 |
App Engine フレキシブル環境 |
CVE-2019-11135 CVE-2018-12207 |
Cloud Run |
追加のアクションを行う必要はありません。 |
Cloud Functions |
追加のアクションを行う必要はありません。 |
Cloud Composer |
追加のアクションを行う必要はありません。 |
Dataflow |
CVE-2019-11135 CVE-2018-12207 |
Dataproc |
CVE-2019-11135 CVE-2018-12207 |
Cloud SQL |
追加のアクションを行う必要はありません。 |