セキュリティに関する情報

VMware セキュリティ アドバイザリ VMSA-2024-0020 によると、VMware NSX の複数の脆弱性が VMware に責任を持って報告されました。

VMware Engine 環境で実行されている NSX-T のバージョンは、CVE-2024-38815、CVE-2024-38818、CVE-2024-38817 の影響を受けません。

必要な対策

VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。

• VMSA-2024-0020
• CVE-2024-38815
• CVE-2024-38817
• CVE-2024-38818

VMware セキュリティ アドバイザリ VMSA-2024-0021 によると、VMware HCX の認証済み SQL インジェクションの脆弱性が非公開で VMware に報告されました。

Google は、この脆弱性に対処するために VMware が承認した緩和策を適用しました。この修正は、CVE-2024-38814 に記載されているセキュリティの脆弱性に対処しています。現時点で、VMware Engine プライベート クラウドで実行されているイメージ バージョンには、パッチが適用済みであることを示す変更は反映されていません。適切な緩和策がインストールされており、お客様の環境はこの脆弱性から保護されています。

必要な対策

VMware HCX バージョン 4.9.2 にアップグレードすることをおすすめします。

• VMSA-2024-0021
• CVE-2024-38814

Migrate to Containers for Windows バージョン 1.1.0 ～ 1.2.2 では、管理者権限を持つローカル m2cuser が作成されました。これにより、analyze または generate コマンドがユーザーによって中断された場合や、内部エラーが原因でローカル ユーザー m2cuser の削除アクションがスキップされた場合に、セキュリティ リスクが発生していました。

必要な対策

次のバージョンの Migrate to Containers CLI for Windows は更新されており、この脆弱性を修正するためのコードが追加されています。Migrate to Containers CLI を手動で次のバージョン以降にアップグレードすることをおすすめします。

• 2024 年 10 月 8 日にリリースされた Migrate to Containers CLI for Windows 1.2.3 - Migrate to Containers CLI リリースノート | Google Cloud

対処されている脆弱性

この脆弱性（CVE-2024-9858）により、攻撃者は Migrate to Containers ソフトウェアによって作成されたローカル管理者ユーザーを使用して、影響を受ける Windows マシンへの管理者アクセス権を取得できます。

2024 年 10 月 15 日更新: GDC（VMware）のパッチ バージョンを追加しました。GKE と GDC（VMware）の重大度レベルを更新しました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2024-45016

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• VMware 用 GDC ソフトウェアのセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• ベアメタル向け GDC ソフトウェアのセキュリティに関する公開情報

一部の Linux ディストリビューションで使用されている CUPS 印刷システムで、リモートコード実行につながる可能性がある脆弱性チェーン（CVE-2024-47076、CVE-2024-47175、CVE-2024-47176、CVE-2024-47177）が見つかりました。CUPS サービスが UDP ポート 631 でリッスンしていて、攻撃者がそのポートに接続できる場合、攻撃者はこの脆弱性を悪用できます。

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• VMware 用 GDC ソフトウェアのセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• ベアメタル向け GDC ソフトウェアのセキュリティに関する公開情報

• CVE-2024-47076
• CVE-2024-47175
• CVE-2024-47176
• CVE-2024-47177

Looker の HTTP リクエスト スマグリング脆弱性により、不正な攻撃者が正当なユーザー宛ての HTTP レスポンスをキャプチャできるようになりました。

Looker でホストされる Looker には、次の 2 つのバージョンがあります。

• Looker（Google Cloud コア）: 脆弱性が見つかりました。この問題はすでに軽減されており、調査の結果、Google の脆弱性を利用した不正は確認されませんでした。
• Looker（オリジナル）はこの問題の影響を受けませんでした。

セルフホスト型 Looker インスタンスに脆弱性が見つかったため、次のいずれかのバージョンにアップグレードする必要があります。

この脆弱性は、サポートされているすべてのバージョンのセルフホスト型 Looker でパッチが適用されています。これらのバージョンは、Looker のダウンロード ページで入手できます。

必要な対策

• Looker（Google Cloud コア）インスタンスを含むすべての Looker ホスト型インスタンスの場合、必要な対策はありません。
• Looker セルフホスト型インスタンスの場合は、できるだけ早くサポートされている最新バージョンの Looker に更新してください。この脆弱性から保護するため、以下のバージョンはすべて更新されています。これらのバージョンは、Looker のダウンロード ページからダウンロードできます。
  • 23.12 -> 23.12.123+
  • 23.18 -> 23.18.117+
  • 24.0 -> 24.0.92+
  • 24.6 -> 24.6.77+
  • 24.8 -> 24.8.66+
  • 24.10 -> 24.10.78+
  • 24.12 -> 24.12.56+
  • 24.14 -> 24.14.37+

対処されている脆弱性

CVE-2024-8912 という脆弱性により、攻撃者は不正な HTTP リクエスト ヘッダーを Looker に送信できるため、他のユーザー宛ての HTTP レスポンスがインターセプトされる可能性があります。

これらのレスポンスには機密情報が含まれている可能性があります。

この脆弱性は、特定の構成下でのみ悪用される可能性があります。

Windows ノードを使用する Kubernetes クラスタでセキュリティの問題が見つかりました。この問題により、BUILTIN\Users がコンテナ ログを読み取ることができ、NT AUTHORITY\Authenticated ユーザーがコンテナ ログを変更できる可能性があります。

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• VMware 用 GDC ソフトウェアのセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• ベアメタル向け GDC ソフトウェアのセキュリティに関する公開情報

Protobuf Java Full ライブラリと Lite ライブラリで不明なフィールドを解析する際に、悪意を持って作成されたメッセージが原因で StackOverflow エラーが発生し、プログラムがクラッシュする可能性があります。

必要な対策

Google は、この問題の解決に全力で取り組んでおり、現在利用可能な緩和策をリリースしました。次のソフトウェア パッケージの最新バージョンを使用することをおすすめします。

• protobuf-java（3.25.5、4.27.5、4.28.2）
• protobuf-javalite（3.25.5、4.27.5、4.28.2）
• protobuf-kotlin（3.25.5、4.27.5、4.28.2）
• protobuf-kotlin-lite（3.25.5、4.27.5、4.28.2）
• com-protobuf [JRuby gem のみ]（3.25.5、4.27.5、4.28.2）

このパッチで対処される脆弱性

この脆弱性は、サービス拒否攻撃の可能性があります。

ネストされたグループを DiscardUnknownFieldsParser または Java Protobuf Lite パーサーで不明なフィールドとして解析するか、Protobuf マップ フィールドに対して解析すると、攻撃者によって悪用される可能性がある無制限の再帰が発生します。

CVSS4.0 スコア 8.7

高

次の CVE は、Cloud Service Mesh を悪用可能な脆弱性にさらします。

• CVE-2024-45807: OnBeginHeadersForStream で oghttp2 がクラッシュする
• CVE-2024-45808: アクセスログを介した悪意のあるログ挿入
• CVE-2024-45806: 外部ソースからの「x-envoy」ヘッダーを操作する可能性
• CVE-2024-45809: リモート JWKS を使用したクリアルート キャッシュで JWT フィルタがクラッシュする
• CVE-2024-45810: http 非同期クライアントの LocalReply に対して Envoy がクラッシュする

手順と詳細については、Cloud Service Mesh のセキュリティに関する公開情報をご覧ください。

• CVE-2024-45807
  
• CVE-2024-45808
  
• CVE-2024-45806
  
• CVE-2024-45809
  
• CVE-2024-45810
  

VMware は、VMSA-2024-0019 でお客様の環境にデプロイされた vCenter コンポーネントに影響する複数の脆弱性が開示されました。

VMware Engine への影響

• Google では、この脆弱性を悪用する可能性のあるものをすでに無効にしています。たとえば、Google は、この脆弱性が悪用される可能性のあるポートをブロックしています。
• また Google は、今後 vCenter で行われるすべてのデプロイがこの脆弱性にさらされないようにします。

必要な対策

現時点ではこれ以上のご対応は必要ございません。

• CVE-2024-38812
• CVE-2024-38813

Windows で新しいリモートコード実行の脆弱性（CVE-2024-38063）が見つかりました。攻撃者は、特別に細工した IPv6 パケットをホストに送信することで、この脆弱性をリモートで悪用する可能性があります。

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• VMware 用 GDC ソフトウェアのセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• ベアメタル向け GDC ソフトウェアのセキュリティに関する公開情報

2024 年 10 月 21 日更新: GDC（VMware）のパッチ バージョンを追加し、重大度を更新しました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2024-36978

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• VMware 用 GDC ソフトウェアのセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• ベアメタル向け GDC ソフトウェアのセキュリティに関する公開情報

2024 年 10 月 25 日更新: GDC（VMware）のパッチ バージョンを追加し、重大度を更新しました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2024-41009

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• VMware 用 GDC ソフトウェアのセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• ベアメタル向け GDC ソフトウェアのセキュリティに関する公開情報

2024 年 10 月 21 日更新: GDC（VMware）のパッチ バージョンを追加し、重大度を更新しました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2024-39503

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• VMware 用 GDC ソフトウェアのセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• ベアメタル向け GDC ソフトウェアのセキュリティに関する公開情報

AMD は、AMD EPYC 第 3 世代（Milan）と第 4 世代（Genoa）CPU の SEV-SNP に影響する 3 つの新しいファームウェアの脆弱性（2 つは中程度のリスク、1 つは高リスク）について Google に通知しました。

Google では、Google Cloud を含む関連アセットに修正を適用し、お客様を確実に保護してきました。現時点では、悪用された形跡は見つからず、Google に対する報告もありません。

必要な対策

お客様による対応は必要ありません。 Google サーバー フリートにはすでに修正が適用されています。

詳細については、AMD セキュリティ アドバイザリ AMD-SN-3007 をご覧ください。

CVE-2023-31355

CVE-2024-21978

CVE-2024-21980

2024 年 9 月 19 日更新: VMware 用 GDC ソフトウェアのパッチ バージョンを追加しました。

2024 年 8 月 21 日更新: GKE の Ubuntu ノードプールのパッチ バージョンを追加しました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2024-26925

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• VMware 用 GDC ソフトウェアのセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• ベアメタル向け GDC ソフトウェアのセキュリティに関する公開情報

2024 年 10 月 21 日更新: GDC（VMware）のパッチ バージョンを追加し、重大度を更新しました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2024-36972

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• VMware 用 GDC ソフトウェアのセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• ベアメタル向け GDC ソフトウェアのセキュリティに関する公開情報

2024 年 10 月 2 日更新: GKE の Ubuntu ノードプールのパッチ バージョンを追加しました。

2024 年 9 月 20 日更新: VMware 用 GDC ソフトウェアのパッチ バージョンを追加しました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2024-26921

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• VMware 用 GDC ソフトウェアのセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• ベアメタル向け GDC ソフトウェアのセキュリティに関する公開情報

2024 年 7 月 18 日更新: デフォルト構成の Autopilot クラスタは影響を受けないことを明記しました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2024-26809

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• VMware 用 GDC ソフトウェアのセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• ベアメタル向け GDC ソフトウェアのセキュリティに関する公開情報

2024 年 9 月 16 日更新: VMware 用 GDC ソフトウェアのパッチ バージョンを追加しました。

2024 年 7 月 19 日更新: GKE の Ubuntu ノードプールのパッチ バージョンを追加しました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2023-52654
• CVE-2023-52656

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• VMware 用 GDC ソフトウェアのセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• ベアメタル向け GDC ソフトウェアのセキュリティに関する公開情報

• CVE-2023-52654
• CVE-2023-52656

2024-07-16 更新:

一部のサーバーレス VPC アクセスをご利用のお客様は、OpenSSH の脆弱性（CVE-2024-6387）の影響を受ける可能性があります。悪用されると、認証されていないリモートの攻撃者が、ターゲット仮想マシンでルート権限で任意のコードを実行できるようになります。悪用は困難であると考えられます。たとえば、お客様が VM にアクセスできず、VM にパブリック IP がない場合があります。悪用されたという報告は確認されていません。

必要な対策

サーバーレス VPC アクセスのデプロイは、可能な限り Google によって自動的に更新されています。ただし、Google マネージド サービス エージェントに必要なロールがあることを確認する必要があります。そうでない場合、サーバーレス VPC アクセス コネクタは引き続き脆弱な状態である可能性があります。修正を含む必要な更新が適用されるように、ダイレクト VPC 下り（外向き）に移行するか、新しいコネクタをデプロイして古いコネクタを削除することをおすすめします。

2024 年 7 月 11 日更新: VMware、GKE on AWS、GKE on Azure の GDC ソフトウェアのパッチ バージョンを追加しました。詳細については、GKE ドキュメントの次の公開情報をご覧ください。

• VMware 用 GDC ソフトウェアのセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報

2024-07-10 更新:

• Migrate to Virtual Machines のセキュリティに関する公開情報を追加しました。

2024-07-09 更新:

App Engine フレキシブル環境をご利用のお客様の中には、OpenSSH の脆弱性（CVE-2024-6387）の影響を受ける可能性があるお客様がいらっしゃいます。悪用されると、認証されていないリモートの攻撃者が、ターゲット仮想マシンでルート権限で任意のコードを実行できるようになります。

必要な対策

フレキシブル環境のデプロイは、可能な限りすでに自動的に更新されています。ただし、Google 管理のサービス エージェントを無効にしたお客様や、Google Cloud API や他のデフォルト構成を変更したお客様は、更新されず、引き続き脆弱性の影響を受ける可能性があります。修正を含むアップデートを取得するには、アプリの新しいバージョンをデプロイする必要があります。

更新されたデプロイで報告される SSH バージョンは OpenSSH_9.6p1 になります。このバージョンには、CVE-2024-6387 の修正がパッチされています。

対処されている脆弱性

CVE-2024-6387 の脆弱性。認証されていないリモートの攻撃者が、ターゲット マシンに対してルート権限で任意のコードを実行できるようになります。

2024-07-08 更新:

イメージ バージョン 2.2（すべてのオペレーティング システム）と 2.1（Debian のみ）で実行されている Google Compute Engine の Dataproc クラスタは、OpenSSH の脆弱性（CVE-2024-6387）の影響を受けます。この脆弱性が悪用されると、未認証のリモート攻撃者がターゲット マシンで root として任意のコードを実行できる可能性があります。

Google Compute Engine 上の Dataproc イメージ バージョン 2.0 と 1.5、および Debian で実行されていない Dataproc イメージ バージョン 2.1 は影響を受けません。個人認証が有効になっている Dataproc クラスタは影響を受けません。Dataproc Serverless も影響を受けません。

必要な対策

Google Compute Engine 上の Dataproc クラスタを次のいずれかのバージョンに更新してください。

• 2.2.24 以降
• 2.1.58 以降

Dataproc クラスタを上記のいずれかのバージョンに更新できない場合は、gs://dataproc-initialization-actions/hotfixes/openssh-CVE-2024-6387-mitigation.sh で利用可能な初期化アクションを使用することをおすすめします。

Dataproc の初期化アクションを指定する方法については、次の手順をご覧ください。既存のクラスタでは、初期化アクションをすべてのノード（マスターとワーカー）で実行する必要があります。

2024-07-03 更新:

• GKE のパッチ バージョンを追加しました。
• GDC コネクテッドに関するセキュリティに関する公開情報を追加しました。

2024-07-02 更新:

• Autopilot クラスタが影響を受け、ユーザーによる操作が必要になることを明確にしました。
• VMware、GKE on AWS、GKE on Azure の GDC ソフトウェアの影響評価と緩和手順を追加しました。
• ベアメタル版 GDC ソフトウェアのセキュリティに関する公開情報を修正し、ベアメタル版 GDC ソフトウェアは直接影響を受けず、パッチについては OS ベンダーに確認する必要があることを明確にしました。

先日、OpenSSH において、リモートコード実行の脆弱性である CVE-2024-6387 が発見されました。この脆弱性により、リモートシェルへのアクセス権の取得が可能な競合状態が悪用され、攻撃者が root アクセス権を取得する可能性があります。本情報の公開時点において、悪用は困難であり、攻撃にはマシン 1 台あたり数時間かかると考えられています。悪用されたという報告は確認されていません。

手順と詳細については、次の公開情報をご覧ください。

• Compute Engine のセキュリティに関する公開情報
• GKE のセキュリティに関する公開情報
• VMware 用 GDC ソフトウェアのセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• ベアメタル向け GDC ソフトウェアのセキュリティに関する公開情報
• Google Cloud VMware Engine のセキュリティに関する公開情報
• Apigee のセキュリティに関する公開情報
• Dataflow のセキュリティに関する公開情報
• GDC コネクテッドのセキュリティに関する公開情報
• Migrate to Virtual Machines のセキュリティに関する公開情報

2024 年 9 月 25 日更新: VMware 用 GDC ソフトウェアのパッチ バージョンを追加しました。

2024 年 8 月 20 日更新: GKE の Ubuntu ノードプールのパッチ バージョンを追加しました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2024-26923

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• VMware 用 GDC ソフトウェアのセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• ベアメタル向け GDC ソフトウェアのセキュリティに関する公開情報

2024 年 9 月 17 日更新: VMware 用 GDC ソフトウェアのパッチ バージョンを追加しました。

2024 年 8 月 6 日更新: GKE の Ubuntu ノードプールのパッチ バージョンを追加しました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2024-26924

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• VMware 用 GDC ソフトウェアのセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• ベアメタル向け GDC ソフトウェアのセキュリティに関する公開情報

VMware は、VMSA-2024-0012 でお客様の環境にデプロイされた vCenter コンポーネントに影響する複数の脆弱性が開示されました。

Google Cloud VMware Engine への影響

• この脆弱性は、vCenter Server の特定のポートにアクセスすることで悪用される可能性があります。vCenter Server 上の脆弱なポートは、脆弱性が悪用されるのを防ぐため、Google によりすでにブロックされています。
• また Google は、今後 vCenter で行われるすべてのデプロイがこの脆弱性にさらされないようにします。

必要な対策

現時点ではこれ以上のご対応は必要ございません。

• CVE-2024-37079
• CVE-2024-37080
• CVE-2024-37081

Linux カーネルに、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2024-26584

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• GKE on Bare Metal のセキュリティに関する公開情報

2024 年 7 月 18 日更新: GKE の Ubuntu ノードプールのパッチ バージョンを追加し、Container-Optimized OS ノードプールのバージョン 1.27 のパッチ バージョンを追加しました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2024-26584

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• GKE on Bare Metal のセキュリティに関する公開情報

2024 年 7 月 10 日更新: マイナー バージョン 1.26 と 1.27 を実行する Container-Optimized OS ノードのパッチ バージョンを追加し、Ubuntu ノードのパッチ バージョンを追加しました。

Linux カーネルに、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2024-26583

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• GKE on Bare Metal のセキュリティに関する公開情報

2024 年 9 月 26 日更新: VMware 用 GDC ソフトウェアのパッチ バージョンを追加しました。

Linux カーネルに、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2022-23222

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• GKE on Bare Metal のセキュリティに関する公開情報

次の CVE は、Cloud Service Mesh を悪用可能な脆弱性にさらします。

• CVE-2024-23326: アップグレード モードに入ると、Envoy は HTTP 200 レスポンスを誤って受け入れます。
• CVE-2024-32974: EnvoyQuicServerStream::OnInitialHeadersComplete() でクラッシュが発生する。
• CVE-2024-32975: QuicheDataReader::PeekVarInt62Length() でクラッシュが発生する。
• CVE-2024-32976: 追加の入力で Brotli データを解凍中のエンドレス ループ。
• CVE-2024-34362: EnvoyQuicServerStream で（use-after-free による）クラッシュが発生する。
• CVE-2024-34363: キャッチされなかった nlohmann JSON 例外により、クラッシュが発生する。
• CVE-2024-34364: ミラー レスポンス用の無制限のレスポンス バッファを持つ HTTP 非同期クライアントからの Envoy OOM ベクトル。

手順と詳細については、Cloud Service Mesh のセキュリティに関する公開情報をご覧ください。

• CVE-2024-23326
  
• CVE-2024-32974
  
• CVE-2024-32975
  
• CVE-2024-32976
  
• CVE-2024-34362
  
• CVE-2024-34363
  
• CVE-2024-34364
  

Fluent Bit で、リモートコード実行につながる新しい脆弱性（CVE-2024-4323）が見つかりました。Fluent Bit バージョン 2.0.7～3.0.3 が影響を受けます。

GKE、GKE on VMware、GKE on AWS、GKE on Azure、GKE on Bare Metal は、脆弱なバージョンの Fluent Bit を使用していないため、影響を受けません。

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• GKE on Bare Metal のセキュリティに関する公開情報

2024 年 7 月 18 日更新: GKE の Ubuntu ノードプールのパッチ バージョンを追加しました

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2023-52620

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• GKE on Bare Metal のセキュリティに関する公開情報

2024 年 8 月 19 日更新: GKE の Ubuntu ノードプールのパッチ バージョンを追加しました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2024-26642

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• GKE on Bare Metal のセキュリティに関する公開情報

2024 年 5 月 22 日更新: Ubuntu のパッチ バージョンを追加しました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2024-26581

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• GKE on Bare Metal のセキュリティに関する公開情報

2024 年 9 月 25 日更新: VMware 用 GDC ソフトウェアのパッチ バージョンを追加しました。

2024 年 5 月 15 日更新: GKE Ubuntu ノードプールのパッチ バージョンを追加しました。

2024 年 5 月 9 日更新: 重大度を中から高に修正し、デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明記しました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2024-26808

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• GKE on Bare Metal のセキュリティに関する公開情報

2024 年 8 月 6 日更新: GKE の Ubuntu ノードプールのパッチ バージョンを追加しました。

2024 年 5 月 9 日更新: 重大度を中から高に修正しました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2024-26643

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• GKE on Bare Metal のセキュリティに関する公開情報

Looker では、Google および Alphabet の脆弱性報奨プログラム（VRP）プログラムを介して外部研究者から報告された脆弱性は修正されましたが、悪用の証拠は見られませんでした。この問題は現在すでに解決されています。Looker（Google Cloud コア）および Looker（オリジナル）の Looker でホストされているお客様によるご対応は必要ありません。自己ホスト型の Looker インスタンスについては、サポートされている最新バージョンに更新することをおすすめします。

必要な対策

Looker でホストされるインスタンス: Looker（Google Cloud コア）と Looker（オリジナル）のインスタンス

お客様による対応は必要ありません。

自己ホスト型の Looker インスタンスのみ

Looker インスタンスが自己ホスト型の場合は、Looker インスタンスを次のいずれかのバージョンにアップグレードすることをおすすめします。

• 24.6.12+
• 24.4.27+
• 24.2.58+
• 24.0.65+
• 23.18.100+
• 23.12.105+
• 23.6.163+

問題の解決

Google は、Looker アプリケーションから内部データベースへの直接管理者権限の無効化、テナント間のアクセスを可能にする権限昇格の削除、公開されたシークレットのローテーションを行いました。さらに、サービス アカウントの認証情報の漏洩を引き起こす可能性があるパス トラバーサルの脆弱性にもパッチを適用しました。また、同様の潜在的な脆弱性を特定、対処するために、コードとシステムの徹底的なレビューも実施しています。

2024 年 7 月 18 日更新: GKE の Ubuntu ノードプールのパッチ バージョンを追加しました

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2024-26585

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• GKE on Bare Metal のセキュリティに関する公開情報

次の CVE は、Cloud Service Mesh を悪用可能な脆弱性にさらします。

• CVE-2024-27919: HTTP/2: CONTINUATION フレーム フラッディングによるメモリ枯渇。
• CVE-2024-30255: HTTP/2: CONTINUATION フレーム フラッディングによる CPU の枯渇
• CVE-2024-32475: 255 文字を超える「:authority」ヘッダーで「auto_sni」を使用する場合の異常終了。
• CVE-2023-45288: HTTP/2 CONTINUATION フレームが DoS 攻撃に利用される可能性があります。

手順と詳細については、Cloud Service Mesh のセキュリティに関する公開情報をご覧ください。

• CVE-2024-27919
  
• CVE-2024-30255
  
• CVE-2024-32475
  
• CVE-2023-45288
  

2024 年 7 月 17 日更新: GKE on VMware のパッチ バージョンを追加しました。

2024 年 7 月 9 日更新: GKE on Bare Metal のパッチ バージョンを追加しました。

2024 年 4 月 24 日更新: GKE のパッチ バージョンを追加しました。

先ごろ、サービス拒否攻撃（DoS）の脆弱性（CVE-2023-45288）が HTTP/2 プロトコルの複数の実装で発見されました。これには、Kubernetes で使用されている GoLang HTTP サーバーも含まれます。この脆弱性により、Google Kubernetes Engine（GKE）コントロール プレーンの DoS が発生する可能性があります。

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• GKE on Bare Metal のセキュリティに関する公開情報

Compute Engine は CVE-2024-3094 の影響を受けません。これは、liblzma ライブラリの xz-utils パッケージのバージョン 5.6.0 と 5.6.1 に影響します。これにより、OpenSSH ユーティリティが侵害されるおそれがあります。

詳細については、Compute Engine のセキュリティに関する公開情報をご覧ください。

研究者によって Ray の脆弱性（CVE-2023-48022）が発見されました。Ray は、AI ワークロード用のサードパーティのオープンソース ツールです。Ray では認証が不要であるため、脅威の行為者は一般公開されているインスタンスにジョブを送信することでリモート コード実行を実行できます。この脆弱性は、Ray のデベロッパーである Anyscale によって異議申し立てされています。Ray は、その機能が意図したコア プロダクト機能であると維持されています。セキュリティは、Ray クラスタの意図しないネットワーク公開によって侵害される可能性があるため、代わりに Ray クラスタの外部で実装する必要があります。

レスポンスに基づいて、この CVE は異議を申し立てられ、脆弱性スキャナに表示されない可能性があります。いずれにしても、実際に悪用されていることから、ユーザーは次のように使用を構成する必要があります。

必要な対策

Ray ワークロードを保護するには、Ray のベスト プラクティスとガイドライン（信頼できるネットワークで信頼できるコードを実行するなど）に従ってください。お客様のクラウド インスタンスへの ray.io のデプロイは、共有責任モデルに分類されます。

Google Kubernetes Engine（GKE）のセキュリティは、GKE での Ray の強化に関するブログを公開しています。

Ray サービスに認証と認可を追加する方法の詳細については、Identity-Aware Proxy（IAP）のドキュメントをご覧ください。GKE ユーザーは、このガイダンスに従うか、ブログにリンクされた Terraform モジュールを再利用することで、IAP を実装できます。

2024 年 5 月 6 日更新: GKE Ubuntu ノードプールのパッチ バージョンを追加しました。

2024 年 4 月 4 日更新: GKE Container-Optimized OS ノードプールの最小バージョンを修正しました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2024-1085

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• GKE on Bare Metal のセキュリティに関する公開情報

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2023-3611

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• GKE on Bare Metal のセキュリティに関する公開情報

VMware は、VMSA-2024-0006 でお客様の環境にデプロイされた ESXi コンポーネントに影響する複数の脆弱性が開示されました。

Google Cloud VMware Engine への影響

セキュリティの脆弱性に対処するため、プライベート クラウドが更新されました。

必要な対策

お客様側での対応は必要ありません。

• VMSA-2024-0006
• CVE-2024-22252
• CVE-2024-22253
• CVE-2024-22254
• CVE-2024-22255

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2023-3776

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• GKE on Bare Metal のセキュリティに関する公開情報

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2023-3610

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• GKE on Bare Metal のセキュリティに関する公開情報

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2024-0193

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• GKE on Bare Metal のセキュリティに関する公開情報

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2023-6932

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• GKE on Bare Metal のセキュリティに関する公開情報

2024 年 4 月 17 日更新: GKE on VMware のパッチ バージョンを追加しました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2023-6931

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• GKE on Bare Metal のセキュリティに関する公開情報

AMD は 2024 年 2 月 13 日に、第 3 世代「Milan」と第 4 世代「Genoa」の Zen コアをベースにした EPYC CPU 上で SEV-SNP に影響する 2 つの脆弱性を公表しました。この脆弱性により、特権を持つ攻撃者がゲストの古いデータにアクセスしたり、ゲストの完全性を失わせたりする可能性があります。

Google では、Google Cloud を含む関連アセットに修正を適用し、お客様を確実に保護してきました。現時点では、悪用された形跡は見つからず、Google に対する報告もありません。

必要な対策

お客様による対応は必要ありません。 Compute Engine を含む Google Cloud の Google サーバー フリートには、すでに修正が適用されています。

詳細については、AMD セキュリティ アドバイザリ AMD-SN-3007 をご覧ください。

• CVE-2023-31346
• CVE-2023-31347

CVE-2023-5528 により、攻撃者は Windows ノードで Pod と永続ボリュームを作成し、それらのノードで管理者権限昇格を実行できるようになります。

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• GKE on Bare Metal のセキュリティに関する公開情報

次の CVE は、Cloud Service Mesh を悪用可能な脆弱性にさらします。

• CVE-2024-23322: Envoy がアイドル状態の場合にクラッシュし、バックオフ間隔内で試行がタイムアウトするたびにリクエストが発生する。
• CVE-2024-23323: 正規表現を使用して URI テンプレート マッチャーを構成すると、CPU 使用率が極端に大きくなる。
• CVE-2024-23324: プロキシ プロトコルのフィルタによって無効な UTF-8 メタデータが設定されている場合、外部認証をバイパスできるようになる。
• OS でサポートされていないアドレスタイプを使用すると Envoy がクラッシュする。
• CVE-2024-23327: コマンドのタイプが LOCAL の場合、プロキシ プロトコルでクラッシュが発生する。

手順と詳細については、Cloud Service Mesh のセキュリティに関する公開情報をご覧ください。

• CVE-2024-23322
  
• CVE-2024-23323
  
• CVE-2024-23324
  
• CVE-2024-23325
  
• CVE-2024-23327
  

Apigee API 管理プロキシがターゲット エンドポイントまたは ターゲット サーバーに接続した際に、デフォルトでは、プロキシはターゲット エンドポイントまたはターゲット サーバーによって提示された証明書のホスト名検証を実行しません。 次のいずれかのオプションを使用してホスト名検証を有効にしていない場合、ターゲット エンドポイントまたはターゲット サーバーに接続している Apigee プロキシが、承認済みユーザーによる中間者攻撃を受けるリスクがあります。詳細については、Edge からバックエンドへの TLS の構成（Cloud、Private Cloud）をご覧ください。

次の Apigee プラットフォームの Apigee プロキシのデプロイが影響を受けます。

• Apigee Edge for Public Cloud
• Apigee Edge for Private Cloud

手順と詳細については、Apigee のセキュリティに関する公開情報をご覧ください。

2024 年 5 月 6 更新日: GKE on AWS と GKE on Azure のパッチ バージョンを追加しました。

2024 年 4 月 2 日更新: GKE on Bare Metal のパッチ バージョンを追加しました。

2024 年 3 月 6 日更新: GKE on VMware のパッチ バージョンを追加しました。

2024 年 2 月 28 日更新: Ubuntu のパッチ バージョンを追加しました。

2024 年 2 月 15 日更新: 2024 年 2 月 14 日の更新で、Ubuntu パッチ バージョン 1.25 と 1.26 が原因でノードに異常が発生する可能性があることを明記しました。

2024 年 2 月 14 日更新: Ubuntu のパッチ バージョンを追加しました。

2024 年 2 月 6 日更新: Container-Optimized OS のパッチ バージョンを追加しました。

セキュリティ上の脆弱性 CVE-2024-21626 が runc で発見されました。この脆弱性により、Container-Optimized OS ノードと Ubuntu ノードで Pod を作成する権限を持つユーザーが、ノードのファイルシステムへの完全アクセス権を取得できる可能性があります。

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• GKE on Bare Metal のセキュリティに関する公開情報

2024 年 2 月 7 日更新: Ubuntu のパッチ バージョンを追加しました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2023-6817

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• GKE on Bare Metal のセキュリティに関する公開情報

2024 年 1 月 26 日更新: 影響を受けたクラスタの数と、その影響を軽減するために Google が行ったアクションを明確にしました。詳細については、GCP-2024-003 セキュリティに関する公開情報をご覧ください。

ユーザーが Google アカウントを持つすべてのユーザーが含まれる system:authenticated グループにユーザーが Kubernetes 権限を付与しているクラスタをいくつか特定しました。これらのタイプのバインディングは、最小権限の原則に違反し、大規模なユーザー グループにアクセスを許可するため、推奨されません。これらのタイプのバインディングを見つける方法については、必要な対策のガイダンスをご覧ください。

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報

2024 年 2 月 20 日更新: GKE on VMware のパッチ バージョンを追加しました。

Linux カーネルで、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2023-6111

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• GKE on Bare Metal のセキュリティに関する公開情報

TianoCore EDK II UEFI ファームウェアで複数の脆弱性が見つかりました。このファームウェアは Google Compute Engine VM で使われています。この脆弱性が悪用されると、セキュアブートをバイパスできる可能性があります。これにより、Shielded VM で使用する場合など、セキュアブート プロセスで誤った測定が行われる可能性があります。

必要な対策

必要なご対応は特にありません。Google は、Compute Engine 全体でこの脆弱性にパッチを適用し、すべての VM を脆弱性から保護しました。

このパッチで対処される脆弱性

このパッチで緩和された脆弱性は以下のとおりです。

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2023-3609

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• GKE on Bare Metal のセキュリティに関する公開情報

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2023-3389

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• GKE on Bare Metal のセキュリティに関する公開情報

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2023-3090

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• GKE on Bare Metal のセキュリティに関する公開情報

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明記しました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2023-3390

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• GKE on Bare Metal のセキュリティに関する公開情報

Fluent Bit ロギング コンテナを侵害した攻撃者によって、そのアクセス権を Cloud Service Mesh で必要な高い権限（権限を有効にしたクラスタにおいて）と組み合わせ、クラスタ内の権限を昇格させられる危険性が見つかりました。

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• GKE on Bare Metal のセキュリティに関する公開情報

2024 年 3 月 4 日更新: GKE on VMware の GKE バージョンを追加しました。

2024 年 1 月 22 日更新: Ubuntu パッチ バージョンを追加しました

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2023-5717

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• GKE on Bare Metal のセキュリティに関する公開情報

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明記しました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2023-5197

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

11 月 14 日、AMD はさまざまな AMD サーバー CPU に影響する複数の脆弱性を公開しました。具体的には、脆弱性は Zen コア第 2 世代「Rome」、第 3 世代「Milan」、第 4 世代「Genoa」を利用した EPYC サーバー CPU に影響します。

Google では、Google Cloud を含む関連アセットに修正を適用し、お客様を確実に保護してきました。現時点では、悪用された形跡は見つからず、Google に対する報告もありません。

必要な対策

お客様による対応は必要ありません。

Google Compute Engine を含む Google Cloud の Google サーバー フリートには、すでに修正が適用されています。

対処されている脆弱性

このパッチで緩和された脆弱性は以下のとおりです。

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2023-20521
• CVE-2021-46766
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

詳細については、CacheWarp としても公開されている AMD のセキュリティ アドバイザリ AMD-SN-3005: 「AMD INVD Instruction Security Notice」、AMD-SN-3002: 「AMD Server Vulnerabilities – November 2023」 をご覧ください。

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

Intel は、一部のプロセッサの CPU の脆弱性を公表しました。Google では、Google Cloud の Google Compute Engine や ChromeOS デバイスを含むサーバー フリートを軽減して、お客様を確実に保護するための対策を講じています。

脆弱性の詳細:

• CVE-2023-23583

必要な対策

お客様による対応は必要ありません。

影響を受けるプロセッサに対して Intel が提供している緩和策は、Google Cloud の Google Compute Engine を含む Google のサーバー フリートに適用されています。

現在のところ、Google Distributed Cloud Edge には OEM からの更新が必要です。このセキュリティに関する公開情報は、更新が利用可能になり次第、修正を行います。また、この情報も更新されます。

影響を受けるプロセッサを搭載した ChromeOS デバイスには、リリース 119、118、114（LTS）の一部として修正が自動的に適用されています。

対処されている脆弱性

CVE-2023-23583詳細については、Intel Security Advisory INTEL-SA-00950 をご覧ください。

2023 年 11 月 15 日更新: GKE の対応するパッチ適用済みバージョンへのアップグレードが必要なのは、リストされているマイナー バージョンのみであることを明確にしました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2023-4147

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明記しました。

2023 年 12 月 5 日更新: Container-Optimized OS ノードプールの GKE バージョンを追加しました。

2023 年 11 月 21 日更新: GKE の対応するパッチ適用済みバージョンへのアップグレードが必要なのは、リストされているマイナー バージョンのみであることを明確にしました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2023-4004

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明記しました。

2023 年 11 月 21 日更新: GKE の対応するパッチ適用済みバージョンへのアップグレードが必要なのは、リストされているマイナー バージョンのみであることを明確にしました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2023-4921

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

2023 年 11 月 21 日更新: GKE の対応するパッチ適用済みバージョンへのアップグレードが必要なのは、リストされているマイナー バージョンのみであることを明確にしました。

2023 年 11 月 16 日更新: このセキュリティに関する公開情報に関連する脆弱性は CVE-2023-4622 です。CVE-2023-4623 は、以前のバージョンのセキュリティに関する公開情報における脆弱性として誤ってリストされました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2023-4623

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明記しました。

2023 年 11 月 21 日更新: GKE の対応するパッチ適用済みバージョンへのアップグレードが必要なのは、リストされているマイナー バージョンのみであることを明確にしました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2023-4623

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明記しました。

2023 年 11 月 21 日更新: GKE の対応するパッチ適用済みバージョンへのアップグレードが必要なのは、リストされているマイナー バージョンのみであることを明確にしました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2023-4015

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

Deep Learning VM Image は、初期設定の状態で実行できるディープ ラーニング フレームワークを含むパッケージ化された仮想マシンイメージのセットです。最近、「libwebp」ライブラリの「ReadHuffmanCodes()」関数で範囲外書き込みの脆弱性が発見されました。このライブラリを使用するイメージに影響する可能性があります。

Google Cloud は、一般公開されているイメージを継続的にスキャンし、パッケージを更新して、お客様が利用可能な最新リリースにパッチ適用済みのディストリビューションが含まれるようにしています。Deep Learning VM Image が更新され、最新の VM イメージにパッチ適用済みのディストリビューションが含まれるようになりました。最新の VM イメージを採用しているお客様は、この脆弱性の影響を受けません。

必要な対策

公開されている VM イメージを使用する Google Cloud のお客様は、最新のイメージを採用し、共有責任モデルに従って自社の環境が最新であることを確認する必要があります。

CVE-2023-4863 を攻撃者が悪用して任意のコードを実行するおそれがあります。この脆弱性は、Google Chrome 116.0.5845.187 より前のバージョンと libwebp 1.3.2 より前のバージョンで特定されており、CVE-2023-4863 に記載されています。

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明記しました。

2023 年 11 月 21 日更新: GKE の対応するパッチ適用済みバージョンへのアップグレードが必要なのは、リストされているマイナー バージョンのみであることを明確にしました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

VMware は、VMSA-2023-0023 でお客様の環境にデプロイされた vCenter コンポーネントに影響する複数の脆弱性が開示されました。

Cloud カスタマーケアへの影響

• この脆弱性は、vCenter Server の特定のポートにアクセスすることで悪用される可能性があります。これらのポートは公共のインターネットには公開されていません。
• vCenter ポート 2012/tcp、2014/tcp、2020/tcp に信頼されないシステムからアクセスできない場合、この脆弱性にさらされることはありません。
• Google では、すでに vCenter Server の脆弱なポートをブロックしており、この脆弱性が悪用される可能性を防いでいます。
• さらに、Google は今後 vCenter Server のすべてのデプロイがこの脆弱性にさらされないようにします。
• この情報の時点では、VMware は「実際」の悪用については認識していません。 詳細については、VMware のドキュメントをご覧ください。

必要な対策

現時点ではこれ以上のご対応は必要ございません。

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けず、GKE Sandbox ワークロードは影響を受けないことを明記しました。

2023 年 11 月 21 日更新: GKE の対応するパッチ適用済みバージョンへのアップグレードが必要なのは、リストされているマイナー バージョンのみであることを明確にしました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

• CVE-2023-3777

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

2023 年 11 月 3 日更新: Apigee Edge for Private Cloud の 既知の問題を追加しました。

先ごろ、サービス拒否攻撃（DoS）の脆弱性が HTTP/2 プロトコル（CVE-2023-44487）の複数の実装で発見されました。これには、Apigee X と Apigee ハイブリッドで使用されている Apigee Ingress（Cloud Service Mesh）サービスも含まれます。この脆弱性により、Apigee API 管理機能の DoS が発生する可能性があります。

手順と詳細については、GKE のセキュリティに関する公開情報をご覧ください。

HTTP/2 プロトコルを使用している場合、データプレーンがサービス拒否攻撃の影響を受ける可能性があります。手順と詳細については、Cloud Service Mesh のセキュリティに関する公開情報をご覧ください。

2024 年 3 月 20 日更新: CVE-2023-44487 の最新のパッチを含む GKE on AWS と GKE on Azure のパッチ バージョンを追加しました。

2024 年 2 月 14 日更新: GKE on VMware のパッチ バージョンを追加しました。

2023 年 11 月 9 日更新: CVE-2023-39325 を追加しました。CVE-2023-44487 と CVE-2023-39325 の最新のパッチで GKE バージョンを更新しました。

先ごろ、サービス拒否攻撃（DoS）の脆弱性が HTTP/2 プロトコル（CVE-2023-44487）の複数の実装で発見されました（CVE-2023-44487）。これには、Kubernetes で使用される golang HTTP サーバーも含まれます。この脆弱性により、Google Kubernetes Engine（GKE）コントロール プレーンの DoS が発生する可能性があります。承認済みネットワークが構成されている GKE クラスタはネットワーク アクセスを制限することで保護されますが、他のすべてのクラスタは影響を受けます。

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

TorchServe は、オンライン予測用に PyTorch の ML モデルをホストするために使用されます。Vertex AI は、TorchServe に依存する事前構築済みの PyTorch モデル サービング コンテナを提供します。先ごろ、TorchServe の脆弱性が発見されました。この脆弱性により、TorchServe デプロイメントのモデル管理 API を公開すると、デプロイメントが攻撃者に乗っ取られる可能性があります。Vertex AI は TorchServe のモデル管理 API を公開しないため、Vertex AI Online Prediction で PyTorch モデルをデプロイしているお客様は、この脆弱性の影響を受けません。Vertex AI の外部で TorchServe を使用しているお客様は、デプロイメントが安全に設定されるように予防措置を講じる必要があります。

必要な対策

Vertex AI で、Vertex AI のビルド済み PyTorch サービング コンテナを使用してモデルをデプロイしている場合は、Vertex AI のデプロイメントは TorchServe の管理サーバーをインターネットに公開しないため、脆弱性に対処するために必要な操作はありません。

ビルド済みの PyTorch コンテナを他のコンテキストで使用している場合、またはカスタムビルドの PyTorch またはサードパーティ ディストリビューションの TorchServe を使用している場合は、次のことを行う必要があります。

• TorchServe のモデル管理 API がインターネットに公開されないようにします。モデル管理 API をローカル アクセスに制限するには、management_address を 127.0.0.1 にバインドする必要があります。
• 目的のソースからのみモデルを読み込むようにするには、allowed_urls 設定を使用します。
• できるだけ早く TorchServe をバージョン 0.8.2 にアップグレードしてください。このバージョンには、この問題の緩和策が含まれています。予防措置として、Vertex AI は 2023 年 10 月 13 日までに修正済みのビルド済みコンテナをリリースする予定です。

対処されている脆弱性

TorchServe の管理 API は、Vertex AI によってリリースされるものを含むほとんどの TorchServe Docker イメージで、デフォルトで 0.0.0.0 にバインドされ、外部リクエストからアクセスできるようになります。TorchServe 0.8.2 では管理 API のデフォルトの IP アドレスが 127.0.0.1 に変更され、この問題は解決されました。

CVE-2023-43654 と CVE-2022-1471 の脆弱性により、管理 API にアクセスできるユーザーが任意のソースからモデルを読み込み、リモートからコードを実行することができます。TorchServe 0.8.2 には、この両方の問題を解決する機能が含まれています。リモートコード実行パスが削除され、allowed_urls のデフォルト値を使用すると警告が出ます。

お客様は、取り込みフィードを使用して、お客様所有の Cloud Storage バケットからデータを取り込むように Google Security Operations を構成できます。Google Security Operations では最近まで共有サービス アカウントを提供しており、お客様がバケットへのアクセス権を付与する用途に使われていました。ひとつのお客様の Google Security Operations インスタンスが、別のお客様の Cloud Storage バケットからデータを取り込むように構成できてしまうという可能性が存在していました。影響分析を実行したところ、この脆弱性は過去にも現在にも悪用されていることが確認されていません。この脆弱性は、2023 年 9 月 19 日より前の Google Security Operations のすべてのバージョンに存在していました。

必要な対策

2023 年 9 月 19 日時点で、Google Security Operations はこの脆弱性に対処するように更新されています。お客様による対応は必要ありません。

対処されている脆弱性

Google Security Operations では以前は共有サービス アカウントを提供しており、お客様がバケットへのアクセス権を付与する用途に使われていました。複数のお客様が、同一の Google Security Operations サービス アカウントへのアクセス権を各自のバケットに付与していたため、フィードが作成または変更されたときに、ひとつのお客様のフィードが別のお客様のバケットにアクセスできるという悪用ベクトルが存在していました。この悪用ベクトルには、バケット URI に関する知識が必要でした。現在、フィードの作成時または変更時には、Google Security Operations はお客様ごとに一意のサービス アカウントを使用します。

VMware vCenter Server の更新により、メモリ破損に関する複数の脆弱性（CVE-2023-20892、CVE-2023-20893、CVE-2023-20894、CVE-2023-20895、CVE-2023-20896）に対処

カスタマーケアへの影響

VMware vCenter Server（vCenter Server）と VMware Cloud Foundation（Cloud Foundation）。

必要な対策

お客様には影響がないため、ご対応は不要です。

• CVE-2023-20893

Kubernetes で 3 つの脆弱性（CVE-2023-3676、CVE-2023-3955、CVE-2023-3893）が見つかりました。この脆弱性により、Windows ノードで Pod を作成できるユーザーは、そのノードに対して管理者権限を持つよう昇格できる可能性があります。これらの脆弱性は、Windows バージョンの Kubelet と Kubernetes CSI プロキシに影響します。

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

Intel は最近、プロセッサ ファミリーの一部に影響する Intel Security Advisory INTEL-SA-00828 を発表しました。アドバイザリに基づいてリスクを評価することをおすすめします。

Google Cloud VMware Engine への影響

Google のフリートは、影響を受けるプロセッサ ファミリーを利用しています。Google のデプロイモデルではサーバー全体が 1 人のユーザー専用であるため、この脆弱性の評価で追加のリスクは発生しません。

Google ではパートナーと協力して必要なパッチを入手しており、今後数週間のうちに標準のアップグレード プロセスを使用して、これらのパッチをフリート全体に優先的にデプロイする予定です。

必要な対策

影響を受けるすべてのシステムを Google がアップグレードするため、お客様側での対応は不要です。

• CVE-2022-40982

2024 年 6 月 4 日更新: 次の不足しているプロダクトが更新され、この脆弱性が修正されました。

• Google Distributed Cloud Hosted
• Google Distributed Cloud Edge

2023 年 8 月 10 日更新: ChromeOS LTS のバージョン番号を追加しました。

Intel が一部のプロセッサの脆弱性（CVE-2022-40982）を公表しました。Google では、Google Cloud を含むサーバー フリートを軽減して、お客様を確実に保護するための対策を講じています。

脆弱性の詳細:

• CVE-2022-40982（Intel IPU 2023.3、「GDS」、別名「Downfall」）

必要な対策

お客様による対応は必要ありません。

利用可能なすべてのパッチは、Google Compute Engine を含む Google Cloud の Google サーバー フリートにすでに適用されています。

現在、以下のプロダクトではパートナーとベンダーによる更新が必要になります。

• Google Cloud VMware Engine
• Google Distributed Cloud Hosted
• Google Distributed Cloud Edge
• Google Cloud BMS
• Evolved Packet Core

Google は、これらのパッチが公開され次第これらのプロダクトを修正し、このセキュリティ情報を更新する予定です。

Google Chromebook と ChromeOS Flex のお客様は、Intel の　Stable（115）、LTS（108）、Beta（116）、LTC（114）で緩和策を自動的に受け取りました。古いリリースに固定された Chromebook と ChromeOS Flex のお客様は、固定を解除して Stable または LTS 版リリースに移行して、この脆弱性や他の脆弱性の修正を適用することを検討してください。

対処されている脆弱性

CVE-2022-40982 - 詳細については、Intel Security Advisory INTEL-SA-00828 をご覧ください。

AMD は一部のプロセッサの脆弱性（CVE-2023-20569）を公表しました。Google では、Google Cloud を含むサーバー フリートを軽減して、お客様を確実に保護するための対策を講じています。

脆弱性の詳細:

• CVE-2023-20569（AMD SB-7005、別名「Inception」）

必要な対策

Compute Engine VM のユーザーは、インスタンス内で信頼できないコード実行を使用する場合に、OS が提供する緩和策を検討する必要があります。具体的なガイダンスについては、OS ベンダーに問い合わせることをおすすめします。

Google Compute Engine を含む Google Cloud の Google サーバー フリートには、すでに修正が適用されています。

対処されている脆弱性

CVE-2023-20569 - 詳細については、AMD SB-7005 をご覧ください。

gRPC C++ の 1.57 リリースに先立ち、gRPC C++ の実装に脆弱性が見つかりました。これは、gRPC C++ の実装におけるサービス拒否攻撃の脆弱性であり、これらの脆弱性は、1.53.2、1.54.3、1.55.2、1.56.2、1.57 のリリースで修正されています。

必要な対策

次のソフトウェア パッケージの最新バージョンを使用していることをご確認ください。

• gRPC（C++、Python、Ruby）バージョン 1.53、1.54、1.55、1.56 を、以下のパッチリリースにアップグレードしてください。
• 1.53.2
• 1.54.3
• 1.55.2
• 1.56.2
• gRPC（C++、Python、Ruby）1.52 以前のバージョンは、承認済みのパッチリリース（（1.53.2、1.54.3、1.53.4 など）のいずれかにアップグレードする必要があります。

対処されている脆弱性

これらのパッチで緩和される脆弱性は以下のとおりです。

• gRPC C++ の実装におけるサービス拒否攻撃の脆弱性: 特別に作成されたリクエストによって、プロキシとバックエンド間の接続が停止する可能性があります。

次の CVE は、Cloud Service Mesh を悪用可能な脆弱性にさらします。

• CVE-2023-35941: 悪意のあるクライアントが、特定のシナリオで永続的な認証情報を使用して認証情報を作成することが可能です。たとえば、HMAC ペイロードのホストと有効期限の組み合わせが、OAuth2 フィルタの HMAC チェックで常に有効になる可能性があります。
• CVE-2023-35942: リスナーのグローバル スコープを使用する gRPC アクセス ロガーにより、リスナーがドレインされたときに use-after-free クラッシュが発生する可能性があります。これは、同じ gRPC アクセスログ構成の LDS 更新によってトリガーされる可能性があります。
• CVE-2023-35943: origin ヘッダーが request_headers_to_remove: origin で削除されるように構成されている場合、CORS フィルタが segfault になり Envoy がクラッシュします。
• CVE-2023-35944: 攻撃者が混合スキームのリクエストを送信して、Envoy のスキーム チェックをバイパスできます。たとえば、混合スキームの HTTP を含むリクエストが OAuth2 フィルタに送信された場合、HTTP の完全一致チェックに失敗し、スキームが HTTPS であるとリモート エンドポイントに通知されるため、HTTP リクエストに固有の OAuth2 チェックがバイパスされる可能性があります。

手順と詳細については、Cloud Service Mesh のセキュリティに関する公開情報をご覧ください。

• CVE-2023-35941
  
• CVE-2023-35942
  
• CVE-2023-35943
  
• CVE-2023-35944
  

AMD は、ハードウェア セキュリティの脆弱性（CVE-2023-20593）に対処するマイクロコード アップデートをリリースしました。Google は、Google Cloud Platform のサーバーを含むサーバー フリートに、この脆弱性に対する必要な修正を適用しました。テストでは、システムのパフォーマンスに影響がないことを示しています。

必要な対策

Google Cloud Platform の Google サーバー フリートにはすでに修正が適用されているため、お客様による対応は必要ありません。

対処されている脆弱性

CVE-2023-20593 は、一部の AMD CPU の脆弱性に対処します。詳細についてはこちらをご覧ください

Envoy で、信頼できないアップストリーム サービスからの特別に作成されたレスポンスで、メモリを枯渇させるサービス拒否を発生させることができる新しい脆弱性（CVE-2023-35945）が見つかりました。これは、Envoy の HTTP/2 コーデックが原因であり、アップストリーム サーバーから RST_STREAM を受信した直後に GOAWAY フレームを受信すると、ヘッダーマップとブックキーピング構造のメモリリークが発生する可能性があります。

手順と詳細については、Cloud Service Mesh のセキュリティに関する公開情報をご覧ください。

Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性（CVE-2023-2235）が見つかりました。GKE Autopilot ノードは常に Container-Optimized OS ノードイメージを使用するため、GKE Autopilot クラスタが影響を受けます。影響を受けるのは、Container-Optimized OS ノードイメージを実行しているバージョン 1.25 以降の GKE Standard クラスタです。

GKE クラスタは、Ubuntu ノードイメージのみを実行している場合、1.25 より前のバージョンを実行している場合、GKE Sandbox を使用している場合には影響を受けません。

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

2023 年 7 月 11 日更新: 新しい GKE バージョンが更新され、CVE-2023-31436 にパッチを適用する最新の Ubuntu バージョンが追加されました。

Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性（CVE-2023-31436）が見つかりました。Autopilot クラスタを含む GKE クラスタが影響を受けます。GKE Sandbox を使用する GKE クラスタは影響を受けません。

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

Envoy で数多くの脆弱性が発見されました。これらは Cloud Service Mesh で使用されており、悪意のある攻撃者がサービス拒否攻撃や Envoy のクラッシュを引き起こす可能性があります。これらは GCP-2023-002 として個別に報告されました。

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

Linux カーネルで、新しい脆弱性（CVE-2023-0468）が見つかりました。この脆弱性は、io_poll_get_ownership が io_poll_wake ごとに req->poll_refs を増加させ続け、その後 0 にオーバーフローして req->file を 2 回出力し、構造体ファイルの refcount 問題を引き起こす際に、権限のないユーザーの権限が root に昇格する可能性があります。Linux カーネル バージョン 5.15 を使用した Container-Optimized OS がある GKE クラスタ（Autopilot クラスタを含む）が影響を受けます。Ubuntu イメージや GKE Sandbox を使用する GKE クラスタは影響を受けません。

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

2023 年 8 月 11 日更新: GKE on VMware、GKE on AWS、GKE on Azure、Google Distributed Cloud Virtual for Bare Metal のパッチ バージョンを追加しました。

Kubernetes で 2 つの新しいセキュリティ問題が見つかりました。この脆弱性を利用すると、エフェメラル コンテナとともに ImagePolicyWebhook（CVE-2023-2727）または ServiceAccount アドミッション プラグイン（CVE-2023-2728）のどちらかを使用した際に、ポリシー制限をバイパスするコンテナを起動できる可能性があります。

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

プロジェクトで Cloud Build API を有効にすると、Cloud Build は、ユーザーに代わってビルドを実行するデフォルトのサービス アカウントを自動的に作成します。この Cloud Build サービス アカウントには、以前は logging.privateLogEntries.list IAM 権限がありました。これにより、ビルドはデフォルトでプライベート ログを一覧表示できる権限がありました。最小権限のセキュリティ原則に準拠するため、この権限は Cloud Build サービス アカウントから取り消されました。

手順と詳細については、Cloud Build のセキュリティに関する公開情報をご覧ください。

Google は、gRPC C++ の実装に 3 つの新しい脆弱性を確認しました。これらの脆弱性は、まもなく CVE-2023-1428、CVE-2023-32731、CVE-2023-32732 として一般公開されます。

4 月に、1.53 および 1.54 リリースで 2 点の脆弱性が見つかりました。1 つ目は、gRPC C++ の実装におけるサービス拒否攻撃の脆弱性です。2 つ目は、リモートデータの引き出しの脆弱性です。これらの脆弱性は、1.53.1、1.54.2 およびそれ以降のリリースで修正されています。

以前 3 月に、Google 内部のチームがルーティンのファジングを実行中に、gRPC C++ の実装におけるサービス拒否攻撃の脆弱性を発見しました。この脆弱性は gRPC 1.52 リリースで見つかり、1.52.2 および 1.53 リリースで修正されています。

必要な対策

次のソフトウェア パッケージの最新バージョンを使用していることをご確認ください。

• grpc（C++、Python、Ruby）バージョン 1.52、1.53、1.54 を、以下のパッチリリースにアップグレードしてください。
• 1.52.2
• 1.53.1
• 1.54.2
• grpc（C++、Python、Ruby）バージョン 1.51 以前は影響を受けないため、これらのバージョンを使用しているユーザーは操作を行うことはできません。

これらのパッチで対処される脆弱性

これらのパッチで緩和される脆弱性は以下のとおりです。

• 1.53.1、1.54.2 およびそれ以降のリリースは、次の脆弱性に対処しています。gRPC C++ の実装におけるサービス拒否攻撃の脆弱性。特別に作成されたリクエストによって、プロキシとバックエンド間の接続が停止する可能性があります。リモートデータの引き出しの脆弱性: ヘッダーサイズの制限に起因する HPACK テーブルの非同期化によって、プロキシ バックエンドが、プロキシに接続した他のクライアントのヘッダーデータを流出させる可能性があります。
• 1.52.2、1.53、およびそれ以降のリリースは、次の脆弱性に対処しています。gRPC C++ の実装におけるサービス拒否攻撃の脆弱性: 特殊な形式のリクエストを解析すると、サーバーに影響を与えるクラッシュが発生する可能性があります。

上記のソフトウェア パッケージを最新バージョンにアップグレードすることをおすすめします。

secrets-store-csi-driver で新しい脆弱性（CVE-2023-2878）が見つかりました。この脆弱性により、ドライバログにアクセスできる攻撃者がサービス アカウント トークンを検出できる可能性があります。

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

Linux カーネルで、ノードの root への権限昇格を引き起こす可能性がある新しい脆弱性が見つかりました。

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

最近、Cloud SQL for SQL Server に脆弱性が発見されました。この脆弱性により、お客様の管理者アカウントは tempdb データベース内にトリガーを作成し、それらを使用してインスタンス内の sysadmin 権限を取得することができます。sysadmin 権限を持つ攻撃者は、システム データベースにアクセスし、その SQL Server インスタンスを実行しているマシンに部分的にアクセスすることができます。

Google Cloud は、2023 年 3 月 1 日までにセキュリティの脆弱性にパッチを適用することでこの問題を解決しました。Google Cloud が調べた結果、不正使用された顧客インスタンスは見つかりませんでした。

手順と詳細については、Cloud SQL のセキュリティに関する公開情報をご覧ください。

2023 年 6 月 6 日更新: 新しい GKE バージョンが更新され、CVE-2023-1281 と CVE-2023-1829 にパッチを適用する最新の Ubuntu バージョンが追加されました。

Linux カーネルで 2 つの新しい脆弱性（CVE-2023-1281、CVE-2023-1829）が発見されました。この脆弱性により、ノードの root への権限昇格を引き起こす可能性があります。

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

トラステッド プラットフォーム モジュール（TPM）2.0 で 2 つの脆弱性（CVE-2023-1017 と CVE-2023-1018）が見つかりました。

この脆弱性のため、巧妙な攻撃者により、特定の Compute Engine VM で 2 バイトの境界外読み取りおよび境界外書き込みが悪用されるおそれがあります。

手順と詳細については、Compute Engine のセキュリティに関する情報をご覧ください。

• CVE-2023-1017
• CVE-2023-1018

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明記しました。

Linux カーネルで新たに 2 つの脆弱性 CVE-2023-0240 と CVE-2023-23586 が発見されました。この脆弱性により、権限のないユーザーが権限をエスカレーションできるようになります。

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

次の CVE は、Cloud Service Mesh を悪用可能な脆弱性にさらします。

• CVE-2023-27496: Envoy が OAuth フィルタを公開して実行している場合、悪意のあるアクターが Envoy をクラッシュすることでサービス拒否攻撃を引き起こすリクエストを作成できます。
• CVE-2023-27488: 攻撃者は、この脆弱性を利用して ext_authz の使用時に認証チェックをバイパスできます。
• CVE-2023-27493: Envoy の構成には、ピア証明書 SAN など、リクエストからの入力を使用して生成されたリクエスト ヘッダーを追加するオプションも含める必要があります。
• CVE-2023-27492: 攻撃者は、Lua フィルタを有効にしているルートに対して大きなリクエスト本文を送信し、クラッシュをトリガーすることができます。
• CVE-2023-27491: 攻撃者が、特別に細工された HTTP/2 または HTTP/3 リクエストを送信して、HTTP/1 アップストリーム サービスで解析エラーを誘発させる可能性があります。
• CVE-2023-27487: ヘッダー「x-envoy-original-path」は内部ヘッダーである必要がありますが、信頼できないクライアントから送信されたリクエストの場合、Envoy はリクエスト処理の開始時にこのヘッダーを削除しません。

手順と詳細については、Cloud Service Mesh のセキュリティに関する公開情報をご覧ください。

• CVE-2023-27496
  
• CVE-2023-27488
  
• CVE-2023-27493
  
• CVE-2023-27492
  
• CVE-2023-27491
  
• CVE-2023-27487
  

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明記しました。

Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性（CVE-2022-4696）が見つかりました。

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

OpenSSL v3.0.6 でクラッシュを引き起こす可能性のある 2 つの新しい脆弱性（CVE-2022-3786 と CVE-2022-3602）が発見されました。

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

• CVE-2022-3786
• CVE-2022-3602

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明記しました。

2023 年 1 月 19 日更新: GKE バージョン 1.21.14-gke.14100 が利用可能であるという情報を追加しました。

OpenSSL v3.0.6 でクラッシュを引き起こす可能性のある 2 つの新しい脆弱性（CVE-2022-3786 と CVE-2022-3602）が発見されました。

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

• CVE-2022-3786
• CVE-2022-3602

2023 年 1 月 19 日更新: GKE バージョン 1.21.14-gke.14100 が利用可能であるという情報を追加しました。

2022 年 12 月 16 日更新: GKE と GKE on VMware のパッチ バージョンを追加しました。

Linux カーネルに 2 つの新しい脆弱性（CVE-2022-2585 と CVE-2022-2588）が見つかりました。これにより、ノード上のルートで完全なコンテナ ブレイクアウトが引き起こされる可能性があります。

設定手順と詳細については、以下をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

• CVE-2022-2585
• CVE-2022-2588

Istio で、Cloud Service Mesh で使用されているセキュリティ上の脆弱性、CVE-2022-39278 が発見されました。これは、悪意のある攻撃者がコントロール プレーンをクラッシュできるというものです。

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

2022 年 12 月 14 日更新: GKE と GKE on VMware のパッチ バージョンを追加しました。

Linux カーネルで、権限のないユーザーがシステム実行権限に昇格する可能性がある新しい脆弱性（CVE-2022-20409）が見つかりました。

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明記しました。

2023 年 1 月 19 日更新: GKE バージョン 1.21.14-gke.14100 が利用可能であるという情報を追加しました。

2022 年 12 月 15 日更新: Google Kubernetes Engine のバージョン 1.21.14-gke.9400 がロールアウトを保留中であり、高いバージョン番号に置き換えられる可能性があるという情報を更新しました。

2022 年 11 月 22 日更新: GKE on VMware、GKE on AWS、GKE on Azure のパッチ バージョンを追加しました。

Linux カーネルで、ローカルでの権限昇格につながる可能性がある新しい脆弱性（CVE-2022-3176）が見つかりました。この脆弱性により、権限のないユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

Istio コントロール プレーン istiod はリクエスト処理中のエラーに対して脆弱で、悪意のある攻撃者が特別に細工されたメッセージを送信すると、クラスタの検証 Webhook が公開されたときにコントロール プレーンがクラッシュします。このエンドポイントは TLS ポート 15017 経由で提供されますが、攻撃者からの認証は必要ありません。

設定手順と詳細については、Cloud Service Mesh のセキュリティに関する公開情報をご覧ください。

ProtocolBuffer の C++ および Python 実装におけるメッセージ解析とメモリ管理の脆弱性により、特別に細工されたメッセージを処理するときにメモリ不足（OOM）障害が発生する可能性があります。これにより、ライブラリを使用するサービスに対してサービス拒否攻撃（DoS）を受けるおそれがあります。

必要な対策

次のソフトウェア パッケージの最新バージョンを使用していることを確認してください。

• protobuf-cpp（3.18.3、3.19.5、3.20.2、3.21.6）
• protobuf-python（3.18.3、3.19.5、3.20.2、4.21.6）

このパッチで対処される脆弱性

このパッチで緩和される脆弱性は以下のとおりです。

実行中のサービスによって大量の RAM が割り当てられるように特別に構成された小さなメッセージ。リクエストのサイズが小さいため、容易に脆弱性を悪用してリソースを枯渇させます。信頼できない protobuf を使用する C++ および Python システムの RPC リクエストに MessageSet オブジェクトが含まれている場合、DoS 攻撃を受ける可能性が高くなります。

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明記しました。

2022 年 9 月 14 日更新: GKE on VMware、GKE on AWS、GKE on Azure のパッチ バージョンを追加しました。

Linux カーネルで、ローカルでの権限昇格につながる可能性がある新しい脆弱性（CVE-2022-2327）が見つかりました。この脆弱性により、権限のないユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。

手順と詳細については、次の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

2022 年 11 月 22 日更新: GKE Sandbox を使用するワークロードは、これらの脆弱性の影響を受けません。

2022 年 7 月 21 日更新: GKE on VMware に関する追加情報。

Linux カーネル バージョン 5.10 と 5.11 で、新しい脆弱性（CVE-2022-1786）が見つかりました。この脆弱性により、クラスタへのローカル アクセス権限を持つ非特権ユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。Container-Optimized OS を実行しているクラスタのみが影響を受けます。GKE Ubuntu バージョンは、バージョン 5.4 または 5.15 のカーネルを使用しており、影響を受けません。

手順と詳細については、以下をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

2022 年 11 月 22 日更新: Autopilot クラスタは CVE-2022-29581 の影響を受けませんが、CVE-2022-29582 と CVE-2022-1116 の脆弱性があります。

Linux カーネルで 3 つの新しいメモリ破損の脆弱性（CVE-2022-29581、CVE-2022-29582、CVE-2022-1116）が見つかりました。この脆弱性により、クラスタへのローカル アクセス権限を持つ非特権ユーザーが、ノード上のルートで完全なコンテナ ブレイクアウトを引き起こす可能性があります。すべての Linux クラスタ（Container-Optimized OS と Ubuntu）が影響を受けます。

手順と詳細については、以下の公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

• CVE-2022-29581
• CVE-2022-29582
• CVE-2022-1116

2022 年 6 月 10 日更新: Cloud Service Mesh のバージョンが更新されました。手順と詳細については、Cloud Service Mesh のセキュリティに関する公開情報をご覧ください。

次の Envoy と Istio の CVE は、リモートで悪用可能な脆弱性に対して Cloud Service Mesh と GKE on Istio が無防備な状態になります。

• CVE-2022-31045: メタデータ交換と統計拡張機能が有効になっている場合、Istio データプレーンがメモリに安全にアクセスできない可能性があります。
• CVE-2022-29225: 悪意のある攻撃者が小さな高圧縮ペイロード（zip 爆弾攻撃）を渡すと、データが中間バッファの上限を超えることがあります。
• CVE-2021-29224: GrpcHealthCheckerImpl の null ポインタの逆参照の可能性。
• CVE-2021-29226: OAuth フィルタによりバイパスが可能になります。
• CVE-2022-29228: OAuth フィルタがメモリを破損（以前のバージョン）したり、ASSERT()（新しいバージョン）をトリガーしたりする可能性があります。
• CVE-2022-29227: 本文またはトレーラーを含むリクエストに対して内部リダイレクトがクラッシュします。

手順と詳細については、Cloud Service Mesh のセキュリティに関する公開情報をご覧ください。

• CVE-2022-31045
  
• CVE-2022-29225
  
• CVE-2021-29224
  
• CVE-2021-29226
  
• CVE-2022-29228
  
• CVE-2022-29227
  

2022 年 11 月 22 日更新: GKE Sandbox で実行されている GKE Autopilot クラスタとワークロードは影響を受けません。

2022 年 5 月 12 日更新: GKE on AWS と GKE on Azure のバージョンが更新されました。手順と詳細については、以下をご覧ください。

• AWS 上の GKE のセキュリティ情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

---

Linux カーネルで CVE-2022-1055 と CVE-2022-27666 の 2 つのセキュリティの脆弱性が見つかりました。いずれも、ローカルの攻撃者がコンテナ ブレークアウト、ホストでの権限昇格、またはその両方を実行できる可能性があります。これらの脆弱性は、すべての GKE ノード オペレーティング システム（Container-Optimized OS と Ubuntu）に影響します。手順と詳細については、次のセキュリティ情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

セキュリティ上の脆弱性（CVE-2022-23648）が、OCI イメージ ボリューム仕様におけるコンテナパスのパス走査の処理で見つかりました。特別に作成されたイメージ構成で containerd の CRI 実装を使ってコンテナが起動されると、ホスト上の任意のファイルとディレクトリへの完全な読み取りアクセス権を取得できます。この脆弱性により、コンテナの設定に対するポリシーベースの適用（Kubernetes Pod セキュリティ ポリシーを含む）がバイパスされる可能性があります。

手順と詳細については、次のセキュリティ情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

2022 年 11 月 22 日更新: Standard モードと Autopilot モードの両方の GKE クラスタで、GKE Sandbox を使用するワークロードは影響を受けません。

Linux カーネル バージョン 5.8 以降で、コンテナの権限を root に昇格できる可能性があるセキュリティ上の脆弱性（CVE-2022-0847）が見つかりました。この脆弱性の影響があるのは次のプロダクトです。

• Container-Optimized OS イメージ（Container-Optimized OS 93 以降）を使用する GKE ノードプール バージョン 1.22 以降
• Container-Optimized OS イメージ用の GKE on VMware v1.10
• GKE on AWS v1.21 と GKE on AWS（旧世代）v1.19、v1.20、v1.21（Ubuntu を使用）
• GKE on Azure v1.21 のマネージド クラスタ（Ubuntu を使用）

手順と詳細については、次のセキュリティに関する公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

2022 年 8 月 11 日更新: 同時マルチスレッディング（SMT）構成に関する情報を追加しました。SMT は無効になっていることが想定されていましたが、リストにあるバージョンでは有効になっています。

サンドボックス化されたノードプールに対して SMT を手動で有効にした場合、この問題が発生しても SMT は手動で有効にされたままになります。

GKE Sandbox イメージに、ハイパー スレッディングとも呼ばれる同時マルチ スレッディング（SMT）の構成ミスが存在します。構成ミスにより、ノードがマイクロアーキテクチャ データ サンプリング（MDS）などのサイドチャネル攻撃を受ける可能性があります（詳細については、GKE Sandbox のドキュメントをご覧ください）。次の影響を受けるバージョンの使用はおすすめしません。

• 1.22.4-gke.1501
• 1.22.6-gke.300
• 1.23.2-gke.300
• 1.23.3-gke.600

手順と詳細については、GKE のセキュリティ情報をご覧ください。

次の Istio CVE では、Cloud Service Mesh がリモートからの攻撃に利用できる脆弱性にさらされます。

• CVE-2022-24726: Istio コントロール プレーン（istiod）はリクエスト処理中のエラーに対して脆弱であり、悪意のある攻撃者が特別に細工されたメッセージを送信すると、クラスタの検証 Webhook が公開されたときにコントロール プレーンがクラッシュします。このエンドポイントは TLS ポート 15017 経由で提供されますが、攻撃者からの認証は必要ありません。

手順と詳細については、次のセキュリティ情報をご覧ください。

• Cloud Service Mesh のセキュリティに関する公開情報。

• CVE-2022-24726

GKE Autopilot クラスタのノード VM にアクセスする予期せぬパスの一部が、クラスタ内の権限を昇格させるために使用された可能性があります。これらの問題は修正済みであり、これ以上の操作は必要ありません。この修正は、脆弱性報奨金プログラムを通じて報告された事象に対処したものです。

手順と詳細については、GKE のセキュリティ情報をご覧ください。

2022 年 4 月 28 日更新: これらの脆弱性を修正した GKE on VMware のバージョンを追加しました。詳細については、GKE on VMware のセキュリティに関する公開情報をご覧ください。

• CVE-2022-23606: クラスタ検出サービス（CDS）でクラスタが削除されると、そのクラスタ内のエンドポイントに対して確立されたすべてのアイドル状態の接続が切断されます。Envoy バージョン 1.19 では、クラスタに多数のアイドル状態の接続がある場合に、スタックの枯渇や異常なプロセスの終了を引き起こす可能性がある手順として、誤って再帰が発生しました。
• CVE-2022-21655: Envoy の内部リダイレクトのコードでは、ルートエントリが存在することを前提としています。ダイレクト レスポンス エントリがあり、ルートエントリが存在しないルートに対して内部リダイレクトが行われると、null ポインタが参照解除され、クラッシュします。
• CVE-2021-43826: Envoy が、アップストリーム トンネリング（HTTP 経由）とダウンストリーム TLS 終端を使用する tcp_proxy を使用するように構成されている場合、アップストリーム HTTP ストリームの確立中に、ダウンストリーム クライアントの TLS handshake で切断されると、Envoy がクラッシュします。ダウンストリームは、クライアントまたはサーバーのいずれかによって切断されます。クライアントは、なんらかの理由で切断される可能性があります。サーバーに関しては、たとえば、クライアントと互換性のある TLS 暗号や TLS プロトコルのバージョンがない場合、接続を切断することがあります。こうしたクラッシュは、他のダウンストリーム構成でもトリガーされる可能性があります。
• CVE-2021-43825: ローカルで生成されたレスポンスを送信すると、リクエストまたはレスポンス データのそれ以降の処理を停止する必要があります。Envoy は、バッファリングされたリクエスト データとレスポンス データの量を追跡し、バッファ内のデータの量が上限を超えた場合には 413 または 500 のレスポンスを送信してリクエストを中止します。ただし、フィルタ チェーンによってレスポンスが処理されているときに、内部バッファのオーバーフローが原因でローカルで生成したレスポンスが送信されると、オペレーションが正しく中止されず、解放されたメモリブロックにアクセスする可能性があります。
• CVE-2021-43824: 「safe_regex」一致ルールを使用した JWT フィルタと「CONNECT host:port HTTP/1.1」のような特別に作成されたリクエストを使用している場合、Envoy がクラッシュします。JWT フィルタに到達すると、「safe_regex」ルールで URL パスが評価されても何もなく、Envoy は segfaults でクラッシュします。
• CVE-2022-21654: mTLS 検証設定が再構成されると、Envoy が TLS セッション再開を誤って許可します。以前の構成でクライアント証明書が許可されており、新しい構成では許可されていない場合、現在の構成で禁止されていても、クライアントは以前の TLS セッションを再開できます。次の設定の変更が影響を受けます。
  • match_subject_alt_names
  • CRL の変更
  • allow_expired_certificate
  • Trust_chain_verification
  • only_verify_leaf_cert_crl
• CVE-2022-21657: Envoy は、ピアから受け入れる証明書のセットを、TLS クライアントまたは TLS サーバーとして、必要な extendedKeyUsage（それぞれ d-kp-serverAuth と id-kp-clientAuth）が含まれる証明書のみに制限しません。つまり、ピアはリーフ証明書またはチェーン内の CA としてメール証明書（id-kp-emailProtection など）を提示でき、TLS に受け入れられます。これは、CVE-2022-21656 と組み合わさると特に悪影響を及ぼします。つまり、S/MIME での使用のみを目的とした Web PKI CA を許容し、監査や管理対象外となって Envoy が受け入れる TLS 証明書を発行するためです。
• CVE-2022-21656: デフォルトの証明書検証ルーチンの実装に使用されるバリデータ実装に、subjectAltNames の処理時の「型混乱」のバグがあります。この処理により、たとえば rfc822Name や uniformResourceIndicator がドメイン名として認証されます。この混乱により、基盤となる OpenSSL/BoringSSL 実装で処理される際に nameConstraints がバイパスされ、任意のサーバーになりすます可能性があります。

• Cloud Service Mesh のセキュリティに関する公開情報

• Istio の GKE セキュリティ情報。

• GKE
• GKE on VMware
• Bare Metal 向け Google Distributed Cloud Virtual

次の Envoy と Istio の CVE は、リモートで悪用可能な脆弱性に対して Cloud Service Mesh と GKE on Istio が無防備な状態になります。

• CVE-2022-23635: 特別に作成された authorization ヘッダーでリクエストを受信すると、Istio がクラッシュします。
• CVE-2021-43824: JWT フィルタ safe_regex の一致を使用すると null ポインタ逆参照が発生する可能性があります。
• CVE-2021-43825: レスポンス フィルターがレスポンス データを増加させ、増加したデータがダウンストリーム バッファ制限を超える場合の「解放後の使用」。
• CVE-2021-43826: アップストリーム接続の確立中にダウンストリームが切断された場合に、HTTP 経由で TCP をトンネリングする場合の「解放後の使用」。
• CVE-2022-21654: 誤った構成処理により、検証設定が変更された後、再検証せずに mTLS セッションを再利用できます。
• CVE-2022-21655: ダイレクト レスポンス エントリを含むルートへの内部リダイレクトが正しく処理されません。
• CVE-2022-23606: クラスタ ディスカバリ サービスを介してクラスタが削除されると、スタックが枯渇します。

手順と詳細については、次のセキュリティ情報をご覧ください。

• Cloud Service Mesh のセキュリティに関する公開情報。
• Istio の GKE セキュリティ情報。

• CVE-2022-23635
  
• CVE-2021-43824
  
• CVE-2021-43825
  
• CVE-2021-43826
  
• CVE-2022-21654
  
• CVE-2022-21655
  
• CVE-2022-23606
  

2022 年 5 月 16 日更新: この脆弱性を修正するためのコードが含まれているバージョンのリストに GKE バージョン 1.19.16-gke.7800 以降を追加しました。詳細については、GKE のセキュリティに関する公開情報をご覧ください。

2022 年 5 月 12 日更新: GKE、GKE on VMware、GKE on AWS、GKE on Azure のバージョンが更新されました。手順と詳細については、以下をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報

セキュリティ上の脆弱性 CVE-2022-0492 が Linux カーネルの cgroup_release_agent_write 関数で見つかりました。攻撃には権限のないユーザーの名前空間が使用され、特定の状況下でこの脆弱性を悪用してコンテナ ブレイクアウトが実行される可能性があります。

設定手順と詳細については、以下をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• GKE on Azure のセキュリティに関する公開情報

3.73 または 3.68.1 より前の NSS（Network Security Services）バージョンで見つかった脆弱性のあるバージョンの libnss3 にリンクするバイナリで、セキュリティ上の脆弱性 CVE-2021-43527 が発見されました。NSS を証明書の検証や、TLS、X.509、OCSP、CRL などの機能に使用しているアプリケーションは、NSS の使用方法や構成に応じて影響を受ける可能性があります。

設定手順と詳細については、以下をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• GKE on Azure のセキュリティに関する公開情報

セキュリティ上の脆弱性 CVE-2021-4034 が Linux ポリシーキット パッケージ（polkit）の一部である pkexec で発見されました。この脆弱性は、認証済みのユーザーが権限昇格攻撃を実行できるというものです。PolicyKit は通常、Linux デスクトップ システム上でのみ使用され、root 以外のユーザーがポリシーに沿ってシステムの再起動、パッケージのインストール、サービスの再起動などの操作を実行できるようにするものです。

設定手順と詳細については、以下をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• GKE on Azure のセキュリティに関する公開情報

2022 年 2 月 25 日更新: GKE のバージョンが更新されました。設定手順と詳細については、以下をご覧ください。

• GKE のセキュリティに関する公開情報

2022 年 2 月 23 日更新: GKE と GKE on VMware のバージョンが更新されました。設定手順と詳細については、以下をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報

2022 年 2 月 4 日更新: GKE パッチ バージョンのロールアウト開始日は 2 月 2 日でした。

Linux カーネルで 3 つのセキュリティ脆弱性 CVE-2021-4154、CVE-2021-22600、CVE-2022-0185 が見つかりました。これらは、それぞれコンテナ ブレイクアウト、ホストに対する権限昇格、またはその両方につながる可能性があります。これらの脆弱性は、GKE 上のすべてのノード オペレーティング システム（COS と Ubuntu）、GKE on VMware、GKE on AWS（最新および旧世代）、GKE on Azure に影響します。GKE Sandbox を使用する Pod には、これらの脆弱性はありません。詳細については、COS リリースノートをご覧ください。

設定手順と詳細については、以下をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報

• CVE-2021-4154
• CVE-2021-22600
• CVE-2022-0185

バイナリデータの解析手順で、protobuf-java におけるサービス拒否攻撃の問題が発見されました。

必要な対策

次のソフトウェア パッケージの最新バージョンを使用していることを確認してください。

• protobuf-java (3.16.1, 3.18.2, 3.19.2)
• protobuf-kotlin (3.18.2, 3.19.2)
• google-protobuf [JRuby gem] (3.19.2)

Protobuf「javalite」ユーザー（通常は Android）は影響を受けません。

このパッチで対処される脆弱性

このパッチで緩和される脆弱性は以下のとおりです。

Java で不明なフィールドを解析する方法の実装に存在する脆弱性。800 KB 程度の小さな悪意のあるペイロードにより、短命なオブジェクトを多数作成することでガベージ コレクションを頻繁かつ繰り返し発生させ、パーサーを数分間占有することが可能です。

Kubernetes の ingress-nginx コントローラ CVE-2021-25742 でセキュリティの問題が見つかりました。Ingress-nginx カスタム スニペットを使用すると、すべての名前空間で ingress-nginx サービス アカウント トークンとシークレットを取得できます。

設定手順と詳細については、以下をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

v1beta1 API を使用して BackendConfig リソースを更新すると、そのサービスからアクティブな Google Cloud Armor セキュリティ ポリシーが削除されるという既知の問題があります。

手順と詳細については、GKE のセキュリティ関する情報をご覧ください。

GKE on VMware バージョン 1.8 および 1.8.1 の GKE Enterprise Identity Service（AIS）LDAP モジュールで、鍵の生成に使用されるシード鍵を予測できる脆弱性が見つかりました。この脆弱性により、認証されたユーザーが任意のクレームを追加して、権限を無期限にエスカレーションできるようになります。

設定手順と詳細については、GKE on VMware のセキュリティに関する公開情報をご覧ください。

セキュリティ上の脆弱性 CVE-2020-8561 が Kubernetes で発見されました。これは、kube-apiserver リクエストをその API サーバーのプライベート ネットワークにリダイレクトする Webhook を作成できるものです。

設定手順と詳細については、以下をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

VMware セキュリティ アドバイザリ VMSA-2021-0020 によると、VMware は vCenter で複数の脆弱性に関する報告を受信しました。VMware は、影響を受ける VMware 製品の脆弱性の修正のためにアップデートを行いました。

vSphere スタック用に VMware から提供されたパッチを、VMware セキュリティ アドバイザリに従って Google Cloud VMware Engine にすでに適用しています。このアップデートは、CVE-2021-22005、CVE-2021-22006、CVE-2021-22007、CVE-2021-22008、CVE-2021-22010 に記載されているセキュリティの脆弱性に対応しています。その他の重要ではないセキュリティの問題は、今後の VMware スタックのアップグレードで対処されます（7 月に送信された事前通知に従い、詳細についてはアップグレードの具体的なタイムラインで提供されます）。

VMware Engine への影響

調査の結果、影響を受けたお客様は見つかりませんでした。

必要な対策

VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。

• VMSA-2021-0020
• CVE-2021-22005
• CVE-2021-22006
• CVE-2021-22007
• CVE-2021-22008
• CVE-2021-22010

Identity-Aware Proxy（IAP）が有効なバックエンド サービスにルーティングする Google Cloud の特定のロードバランサで、限定された条件下にて、信頼できないグループに対して脆弱である恐れがあります。これは、Google の脆弱性報奨金プログラムを通じて報告された事象に対処したものです。

• HTTP(S) ロードバランサであった、および
• デフォルトのバックエンド、またはワイルドカード ホスト マッピング ルール（つまり、host="*"）を持つバックエンドを使用した

さらに、組織内のユーザーが、信頼できないグループから送信された特別に作成されたリンクをクリックしなければなりません。

現在、この問題は解決しています。2021 年 9 月 17 日の時点で、認証済みのホストにのみ Cookie を発行するように IAP が更新されました。ホストが認証済みとみなされるのは、ロードバランサにインストールされているいずれかの証明書の少なくとも 1 つのサブジェクト代替名（SAN）と一致する場合です。

手順

貴社の一部のユーザーは、アプリまたはサービスにアクセスしようとしたときに、HTTP 401 Unauthorized レスポンスと IAP エラーコード 52 が返される場合があります。このエラー コードは、ロードバランサの SSL 証明書に関連付けられたサブジェクト代替名と一致しない Host ヘッダーをクライアントが送信したことを意味します。ロードバランサ管理者は、SSL 証明書を更新して、サブジェクト代替名（SAN）リストに、IAP で保護されたアプリまたはサービスにユーザーがアクセスするために使用するすべてのホスト名が含まれるようにする必要があります。IAP エラーコードについて学ぶ。

Kubernetes で CVE-2021-25741 に記載されたセキュリティの問題が見つかりました。これにより、ユーザーが subpath ボリューム マウントを使用するコンテナを作成し、ボリュームの外部（ホストのファイルシステムを含む）にあるファイルとディレクトリにアクセスできる可能性があります。

設定手順と詳細については、以下をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

2021 年 9 月 23 日更新: GKE Sandbox 内で動作するコンテナは、コンテナ内で発生した攻撃に対して、この脆弱性の影響を受けません。

Linux カーネルで 2 つのセキュリティ脆弱性 CVE-2021-33909 と CVE-2021-33910 が発見されました。これらは、OS のクラッシュや権限のないユーザーによる root へのエスカレーションにつながる可能性があります。この脆弱性は、すべての GKE ノードのオペレーティング システム（COS と Ubuntu）に影響を及ぼします。

手順と詳細については、次のセキュリティ情報をご覧ください。

• GKE のセキュリティに関する公開情報。
• GKE on AWS のセキュリティに関する公開情報

次の Envoy と Istio の CVE は、リモートで悪用可能な脆弱性に対して Cloud Service Mesh と GKE on Istio が無防備な状態になります。

• CVE-2021-39156: URI パスにフラグメント（# 文字で始まる URI の末尾の部分）を含む HTTP リクエストが、Istio の URI パスベースの認可ポリシーをバイパスする可能性があります。
• CVE-2021-39155: hosts または notHosts ベースのルールを使用している場合、HTTP リクエストで Istio 認証ポリシーがバイパスされる可能性があります。
• CVE-2021-32781: Envoy の decompressor、json-transcoder、grpc-web 拡張機能またはリクエストやレスポンスの本文のサイズを変更および拡大する独自の拡張機能に影響します。Envoy の拡張機能で本文のサイズを変更し、内部バッファサイズより大きくすると、Envoy が割り当て解除されたメモリにアクセスし、異常終了する可能性があります。
• CVE-2021-32780: 信頼できないアップストリーム サービスが、SETTINGS_MAX_CONCURRENT_STREAMS パラメータが 0 に設定された GOAWAY フレームとそれに続く SETTINGS フレームを送信することで、Envoy が異常終了する可能性があります。（Istio on GKE には適用されません。）
• CVE-2021-32778: Envoy クライアントが多数の HTTP/2 リクエストを開いてリセットすると、CPU が過剰に消費される可能性があります。（Istio on GKE には適用されません。）
• CVE-2021-32777: ext_authz 拡張機能が使用されている場合、複数の値ヘッダーを含む HTTP リクエストで不完全な承認ポリシー チェックが実行されることがあります。

手順と詳細については、次のセキュリティに関する公開情報をご覧ください。

• Cloud Service Mesh のセキュリティに関する公開情報。
• Istio の GKE セキュリティ情報。

• CVE-2021-39156
• CVE-2021-39155
• CVE-2021-32781
• CVE-2021-32780
• CVE-2021-32778
• CVE-2021-32777

新たなセキュリティ上の脆弱性 CVE-2021-22555 が発見されました。この脆弱性によって、CAP_NET_ADMIN 権限を持つ悪意のある人物が、ホストへのルート上でコンテナ ブレイクアウトを引き起こすおそれがあります。この脆弱性は、Linux バージョン 2.6.19 以降を実行しているすべての GKE クラスタと GKE on VMware に影響します。

手順と詳細については、次のセキュリティに関する公開情報をご覧ください。

• GKE のセキュリティに関する公開情報。
• GKE on VMware のセキュリティに関する公開情報。

Microsoft は、Windows Server の印刷スプーラーに影響するリモートコード実行（RCE）の脆弱性 CVE-2021-34527 についてのセキュリティ情報を公開しました。CERT Coordination Center（CERT/CC）は、「Printnightmare」と呼ばれる、関連する脆弱性に対する更新メモを公開しました。この脆弱性は Windows 印刷スプーラーにも影響します。Printnightmare、重大な Windows 印刷スプーラーの脆弱性

手順と詳細については、GKE のセキュリティ情報をご覧ください。

先ごろ、Istio プロジェクトによって、ゲートウェイと DestinationRule の credentialName フィールドで指定された認証情報に異なる名前空間からアクセスできるようになるというセキュリティの脆弱性が発表されました。

サービス固有の手順と詳細については、以下をご覧ください。

• Cloud Service Mesh のセキュリティに関する公開情報。
• GKE エンタープライズ セキュリティに関する公開情報 GCP-2021-012 では、Google Kubernetes Engine、Google Distributed Cloud Virtual for Bare Metal、GKE on VMware に固有の情報を提供しています。

2021 年 10 月 19 日更新:

手順と詳細については、次のセキュリティに関する公開情報をご覧ください。

• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

先ごろ、セキュリティ コミュニティが runc にセキュリティ上の新しい脆弱性（CVE-2021-30465）があることを発表しました。この脆弱性により、ノード ファイル システムに対する完全アクセス権が取得される可能性があります。

この脆弱性を悪用するためにはポッドを作成する能力が必要であるため、GKE では、この脆弱性の重大度を MEDIUM と評価しています。

手順と詳細については、GKE のセキュリティ情報をご覧ください。

VMware セキュリティ アドバイザリ VMSA-2021-0010 によると、vSphere Client（HTML5）のリモートコード実行と認証バイパスに関する脆弱性が VMware に非公開で報告されました。VMware は、影響を受ける VMware 製品の脆弱性の修正のためにアップデートを作成しました。

Google では、VMware セキュリティ アドバイザリに従い、vSphere スタック用に VMware が提供するパッチを適用しました。このアップデートは、CVE-2021-21985、CVE-2021-21986 に記載されている脆弱性に対応しています。この時点で、VMware Engine Private Cloud で実行されているイメージ バージョンには、パッチが適用済みであることを示す変更の反映はありません。適切なパッチがインストールされ、これらの脆弱性からお客様の環境が保護されていますのでご安心ください。

VMware Engine への影響

調査の結果、影響を受けたお客様は見つかりませんでした。

必要な対策

VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。

• VMSA-2021-0010
• CVE-2021-21985
• CVE-2021-21986

Istio には、ゲートウェイが AUTO_PASSTHROUGH ルーティング構成で構成されている場合に、リモートから悪用できる脆弱性が存在します。この脆弱性により、外部クライアントが認証チェックを回避し、クラスタ内の想定されていないサービスにアクセスされる可能性があります。

設定手順と詳細については、Cloud Service Mesh のセキュリティに関する公開情報をご覧ください。

高

Istio には、パスベースの認証ルールが使用されている場合に、リモートから悪用できる脆弱性が含まれています。この脆弱性により、複数のスラッシュやエスケープされたスラッシュ文字（%2F または %5C）を含む HTTP リクエストパスが、Istio 認可ポリシーを迂回できる可能性があります。

設定手順と詳細については、Cloud Service Mesh のセキュリティに関する公開情報をご覧ください。

高

先ごろ、Istio プロジェクトでは、Istio に影響を与える新しいセキュリティの脆弱性（CVE-2021-31920）が公表されました。

Istio には、パスベースの承認ルールを使用している場合にリモートから悪用できる脆弱性が含まれており、これを利用すると、複数のスラッシュやエスケープされたスラッシュ記号を含む HTTP リクエストが Istio 認可ポリシーを迂回できるようになります。

設定手順と詳細については、以下をご覧ください。

• GKE のセキュリティ情報

高

報告された脆弱性により、Envoy は Envoy バージョン 1.18.2 以前の HTTP URL パス内のエスケープされたスラッシュ シーケンス %2F と %5C をデコードしないことがわかりました。また、Envoy ベースの一部のプロダクトでは、パスの正規化コントロールが有効になりません。リモートの攻撃者がエスケープされたスラッシュ（/something%2F..%2Fadmin, など）付きのパスを作成して、アクセス制御（/admin に対するブロックなど）をバイパスする可能性があります。バックエンド サーバーがスラッシュ シーケンスのデコードとパスの正規化を行うことによって、攻撃者がアクセス制御ポリシーによって提供されるスコープを超えてアクセスできる可能性が生じます。

必要な対策

バックエンド サーバーが / と %2F または \ と %5C を同義として扱い、URL パスに基づくマッチングが構成されている場合、\ と %2F または \ と %5C を同義として扱わないようにバックエンド サーバーを再構成することをおすすめします（可能な場合）。

導入された動作変更の内容

Envoy の normalize_path オプションと隣接するスラッシュを結合するオプションを使用して、Envoy ベースのプロダクトで他の一般的なパスの混乱の脆弱性に対処できるようになりました。

高

Envoy と Istio のプロジェクトは、最近、攻撃者が Envoy をクラッシュさせるおそれがある新しいセキュリティ上の脆弱性（CVE-2021-28683、CVE-2021-28682、CVE-2021-29258）を発表しました。

Google Kubernetes Engine クラスタは、デフォルトでは Istio を実行せず、脆弱性はありません。 Istio がクラスタにインストールされ、インターネットにサービスを公開するように構成されている場合、このサービスにはサービス拒否攻撃を受ける脆弱性が存在する可能性があります。

Google Distributed Cloud Virtual for Bare Metal と GKE on VMware は、デフォルトで Ingress に Envoy を使用するため、Ingress サービスがサービス拒否攻撃に対して脆弱性を持つ可能性があります。

手順と詳細については、次のセキュリティに関する公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

中

• CVE-2021-28683
• CVE-2021-28682
• CVE-2021-29258

先ごろ、Kubernetes プロジェクトが新しいセキュリティ上の脆弱性 CVE-2021-25735 を CVE-2021-25735しました。この脆弱性が悪用されると、ノードの更新で Validating Admission Webhook がバイパスされる可能性があります。

攻撃者に十分な権限があり、古い Node オブジェクト プロパティ（Node.NodeSpec のフィールドなど）を使用する Validating Admission Webhook が実装されている場合、攻撃者はノードのプロパティの更新が可能となり、これによりクラスタが侵害される可能性があります。GKE と Kubernetes の組み込みのアドミッション コントローラによって適用されるポリシーは影響を受けませんが、お客様がインストールした追加の Admission Webhook を確認することをおすすめします。

手順と詳細については、次のセキュリティ情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報

中

CVE-2021-25735

VMware セキュリティ アドバイザリ VMSA-2021-0002 によると、VMware は、VMware ESXi と vSphere クライアント（HTML5）に複数の脆弱性に関する報告を受けました。VMware には、影響を受ける VMware プロダクトにおけるこれらの脆弱性の修正のためのアップデートを行いました。

Google では、VMware セキュリティ アドバイザリに従い、公式のドキュメントに記載されている回避策を vSphere スタックに適用しました。このアップデートは、CVE-2021-21972、CVE-2021-21973、CVE-2021-21974 に記載されているセキュリティ脆弱性に対応しています。

VMware Engine への影響

調査の結果、影響を受けたお客様は見つかりませんでした。

必要な対策

VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。

• VMSA-2021-0002
• CVE-2021-21972
• CVE-2021-21973
• CVE-2021-21974

先ごろ、Linux ユーティリティ sudo に脆弱性（CVE-2021-3156 に記載）が発見されました。この脆弱性により、特権を持たないローカルシェル セッションの攻撃者がインストールされている sudo を使用してシステムにアクセスし、権限をシステムの root に昇格させるおそれがあります。

Compute Engine を実行する基盤となるインフラストラクチャは、この脆弱性の影響を受けません。

この脆弱性は、すべての Google Kubernetes Engine（GKE）、GKE on VMware、GKE on AWS、Google Distributed Cloud Virtual for Bare Metal クラスタには影響しません。

手順と詳細については、次のセキュリティに関する公開情報をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報
• Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報
• Compute Engine のセキュリティに関する公開情報

更新: 2021 年 12 月 22 日 次のセクションの GKE のコマンドでは、gcloud コマンドではなく gcloud beta を使用する必要があります。

gcloud container clusters update –no-enable-service-externalips

1. GKE バージョン 1.21 以降、ExternalIP を持つサービスは、新しいクラスタ用にデフォルトで有効になっている DenyServiceExternalIPs アドミッション コントローラによってブロックされます。
2. GKE バージョン 1.21 にアップグレードするお客様は、次のコマンドを使用して ExternalIPs を持つサービスをブロックできます。

   gcloud container clusters update –no-enable-service-externalips
   

詳細については、クラスタのセキュリティの強化をご覧ください。

Kubernetes プロジェクトで最近見つかった新しいセキュリティの脆弱性 CVE-2020-8554 では、LoadBalancer または ClusterIP タイプの Kubernetes Service を作成する権限を取得した攻撃者が、クラスタ内の他の Pod から発信されるネットワーク トラフィックをインターセプトできる可能性があります。この脆弱性だけでは、攻撃者が Kubernetes Service を作成する権限は付与されません。

この脆弱性の影響を受けるのは、すべての Google Kubernetes Engine（GKE）、GKE on VMware、GKE on AWS クラスタです。

必要な対策

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報

中

最近、Kubernetes プロジェクトでは、詳細ロギング オプションが有効になっている場合にシークレット データが公開されてしまういくつかの問題を確認しました。問題は次のとおりです。

• CVE-2020-8563: vSphere プロバイダ kube-controller-manager のログで Secret が漏えいする
• CVE-2020-8564: ファイルが不正で、ログレベルが 4 以上の場合に Docker 構成ファイルの Secret が漏えいする
• CVE-2020-8565: Kubernetes の CVE-2019-11250 の不完全な修正により、ログレベルが 9 以上の場合にログのトークンが漏えいするこれは、GKE Security によって発見されました。
• CVE-2020-8566: ログレベルが 4 以上の場合に、ログの Ceph RBD adminSecret が漏えいする

必要な対策

GKE のデフォルトの詳細ロギングレベルでは、これ以上のアクションは必要ありません。

なし

• CVE-2020-8563
• CVE-2020-8564
• CVE-2020-8565
• CVE-2020-8566

Google Kubernetes Engine（GKE）

Google Kubernetes Engine（GKE）は影響を受けません。

GKE On-Prem

GKE On-Prem は影響を受けません。

GKE on AWS

GKE on AWS は影響を受けません。

CVE-2020-1472 - Windows Server の脆弱性により、攻撃者が Netlogon Remote Protocol を使用して、ネットワーク上のデバイス上で特別に細工したアプリケーションを実行するおそれがあります。

NVD ベーススコア: 10（重大）

CVE-2020-1472

Compute Engine

CVE-2020-1472

ほとんどのお客様は、以後の対応は必要ありません。

Windows Server を実行している Compute Engine 仮想マシンでは、インスタンスに最新の Windows パッチを適用するか、2020 年 8 月 17 日以降に公開された Windows Server イメージ（v20200813 以降）を使用する必要があります。

Google Kubernetes Engine

CVE-2020-1472

ほとんどのお客様は、以後の対応は必要ありません。

GKE Windows Server ノードでドメイン コントローラをホストしているお客様は、ノードと、ノード上で実行されるコンテナ化されたワークロードの両方で、最新の Windows ノードイメージ（使用可能である場合）を使用する必要があります。新しいノードイメージ バージョンは 10 月に GKE リリースノートで発表される予定です。

Managed Service for Microsoft Active Directory

CVE-2020-1472

ほとんどのお客様は、以後の対応は必要ありません。

NetLogon プロトコルに対する修正が含まれる Microsoft がリリースした 8 月パッチが、すべてのマネージド Microsoft AD ドメイン コントローラに適用されました。このパッチでは、潜在的な悪用を防ぐための機能が提供されます。パッチを適時に適用することは、Managed Service for Microsoft Active Directory を使用する主な利点の 1 つです。Microsoft Active Directory を手動で実行する（マネージド Microsoft AD を使用しない）お客様は、インスタンスに最新の Windows パッチを適用するか、Windows Server イメージを使用する必要があります。

Google Workspace

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

App Engine スタンダード環境

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

App Engine フレキシブル環境

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud Run

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud Run 関数

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud Composer

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Dataflow

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Dataproc

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud SQL

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

先ごろ、Linux カーネルに脆弱性 CVE-2020-14386 が発見されました。この脆弱性により、コンテナがエスケープ処理を行ってホストノードの root 権限を奪ってしまうおそれがあります。

すべての GKE ノードが影響を受けます。GKE Sandbox で実行中の Pod はこの脆弱性の影響を受けません。

設定手順と詳細については、以下をご覧ください。

• GKE のセキュリティに関する公開情報。
• GKE on VMware のセキュリティに関する公開情報。
• AWS 上の GKE のセキュリティ情報

高

CVE-2020-14386

先ごろ、ネットワークに関する脆弱性 CVE-2020-8558 が Kubernetes で発見されました。Service は、ローカル ループバック インターフェース（127.0.0.1）を使用して同じ Pod 内で実行されている他のアプリケーションと通信することがあります。この脆弱性により、クラスタのネットワークにアクセスできる攻撃者が、隣接する Pod とノードのループバック インターフェースにトラフィックを送信できてしまいます。ループバック インターフェースが Pod の外部からアクセスできないことに依存しているサービスが侵害される可能性があります。

設定手順と詳細については、以下をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報

低（GKE、GKE on AWS）、
中（GKE on VMware）

CVE-2020-8558

CVE-2020-1350 - DNS サーバーとして動作する Windows Server には、ローカル システム アカウントで信頼できないコードを実行できるという脆弱性があります。

NVD ベーススコア: 10.0（重大）

CVE-2020-1350

Compute Engine

CVE-2020-1350

ほとんどのお客様は、以後の対応は必要ありません。

DNS サーバーとして Windows Server を実行している Compute Engine 仮想マシンを使用する場合は、インスタンスに最新の Windows パッチを適用するか、07/14/2020 以降の Windows Server イメージを使用する必要があります。

Google Kubernetes Engine

CVE-2020-1350

ほとんどのお客様は、以後の対応は必要ありません。

DNS サーバーとして使用している Windows Server ノードで GKE を使用している場合、ノードとそのノードで実行するコンテナ化されたワークロードを、修正を含んだ Windows サーバー バージョンに手動で更新する必要があります。

Managed Service for Microsoft Active Directory

CVE-2020-1350

ほとんどのお客様は、以後の対応は必要ありません。

管理対象の Microsoft AD ドメインはすべて、パッチ適用済みのイメージで自動的に更新されています。Microsoft Active Directory を手動で実行している（かつ、マネージド Microsoft AD を使用していない）場合、インスタンスに最新の Windows パッチを適用するか、07/14/2020 以降の Windows Server イメージを使用する必要があります。

Google Workspace

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

App Engine スタンダード環境

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

App Engine フレキシブル環境

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud Run

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud Run 関数

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud Composer

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Dataflow

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Dataproc

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud SQL

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

先ごろ、権限昇格に関する脆弱性 CVE-2020-8559 が Kubernetes で発見されました。この脆弱性により、ノードを不正使用した攻撃者が、クラスタ内の任意の Pod でコマンドを実行できてしまいます。これにより、攻撃者はすでに不正使用したノードを使用して他のノードを不正使用し、情報の読み取りや、破壊的な操作をする可能性があります。

攻撃者がこの脆弱性を悪用するには、クラスタ内のノードがすでに不正使用されている必要があります。この脆弱性だけで、クラスタ内のノードが不正使用されることはありません。

設定手順と詳細については、以下をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報

中

CVE-2020-8559

説明

OS Loginが有効になっている VM は、権限昇格の脆弱性の影響を受けやすい場合があります。これらの脆弱性により、OS Login権限を付与された（しかし管理者アクセス権は付与されていない）ユーザーは VM 内のルートアクセス権に昇格できます。

手順と詳細については、Compute Engine のセキュリティに関する情報をご覧ください。

• CVE-2020-8903
• CVE-2020-8907
• CVE-2020-8933

最近、Kubernetes でサーバー側のリクエスト フォージェリ（SSRF）の脆弱性 CVE-2020-8555 が検出され、特定の承認済みユーザーがコントロール プレーン ホスト ネットワークから最大 500 バイトの機密情報を漏洩する可能性が生じました。Google Kubernetes Engine（GKE）コントロール プレーンでは、Kubernetes のコントローラを使用するため、この脆弱性の影響を受けます。コントロール プレーンを最新のパッチ バージョンにアップグレードすることをおすすめします。ノードのアップグレードは不要です。

設定手順と詳細については、以下をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報

中

CVE-2020-8555

Kubernetes は、特権コンテナでノード トラフィックを別のコンテナにリダイレクトできるようになる脆弱性を公表しました。kubelet と API サーバーの間の相互 TLS/SSH トラフィックや、mTLS を使用するアプリケーションからのトラフィックは、この攻撃によって読み取ることも変更することもできません。この脆弱性は、すべての Google Kubernetes Engine（GKE）ノードに影響します。最新のパッチ バージョンにアップグレードすることをおすすめします。

設定手順と詳細については、以下をご覧ください。

• GKE のセキュリティに関する公開情報
• GKE on VMware のセキュリティに関する公開情報
• AWS 上の GKE のセキュリティ情報

中

Kubernetes の問題 91507

先ごろ、Linux カーネルに脆弱性 CVE-2020-8835 が発見されました。この脆弱性により、コンテナがエスケープ処理を行い、ホストノードの root 権限が取得されるおそれがあります。

この脆弱性は、GKE 1.16 または 1.17 を実行する Google Kubernetes Engine（GKE）Ubuntu ノードはに影響します。できるだけ早く最新のパッチ バージョンにアップグレードすることをおすすめします。

手順と詳細については、GKE のセキュリティに関する情報をご覧ください。

高

CVE-2020-8835

CVE-2019-11254 - これは API サーバーに影響を与えるサービス拒否攻撃（DoS）の脆弱性です。

中

CVE-2019-11254

CVE-2019-11254 - これは API サーバーに影響を与えるサービス拒否攻撃（DoS）の脆弱性です。

中

CVE-2019-11254

CVE-2020-8551 - これは kubelet に影響を与えるサービス拒否攻撃（DoS）の脆弱性です。

中

CVE-2020-8551

CVE-2020-8552 - これは API サーバーに影響を与えるサービス拒否攻撃（DoS）の脆弱性です。

中

CVE-2020-8552

CVE-2020-0601 - この脆弱性は Windows Crypto API のなりすましの脆弱性とも呼ばれます。これを悪用すると、悪意ある実行可能ファイルを信頼されたもののように見せかけることができます。また、攻撃者が中間者攻撃を行って標的ソフトウェアへの接続上で秘密情報を復号することも可能です。

NVD ベーススコア: 8.1（高）

CVE-2020-0601

Compute Engine

CVE-2020-0601

ほとんどのお客様は、以後の対応は必要ありません。

Windows Server を実行している Compute Engine 仮想マシンでは、インスタンスに最新の Windows パッチを適用するか、1/15/2020 以降の Windows Server イメージを使用する必要があります。詳細については、Compute Engine のセキュリティに関する情報をご覧ください。

Google Kubernetes Engine

CVE-2020-0601

ほとんどのお客様は、以後の対応は必要ありません。

Windows Server ノードで GKE を使用している場合は、この脆弱性を軽減するために、ノードとそれらのノード上で実行されるコンテナ化されたワークロードの両方をパッチ適用済みバージョンに更新する必要があります。手順と詳細については、GKE のセキュリティ情報をご覧ください。

Managed Service for Microsoft Active Directory

CVE-2020-0601

ほとんどのお客様は、以後の対応は必要ありません。

管理対象の Microsoft AD ドメインはすべて、パッチ適用済みのイメージで自動的に更新されています。Microsoft Active Directory を手動で実行する（マネージド Microsoft AD を使用しない）お客様は、インスタンスに最新の Windows パッチを適用するか、1/15/2020 以降の Windows Server イメージを使用する必要があります。

Google Workspace

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

App Engine スタンダード環境

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

App Engine フレキシブル環境

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud Run

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud Run 関数

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud Composer

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Dataflow

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Dataproc

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud SQL

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

CVE-2019-11135 - TSX の非同期中止（TAA）と呼ばれるこの脆弱性は、TSX のトランザクション内で投機的実行の悪用に使用される可能性があります。この脆弱性により、Microarchitectural Data Sampling（MDS）によって読み出されたマイクロアーキテクチャのデータ構造を通してデータが公開されてしまう可能性があります。

中

CVE-2019-11135

CVE-2018-12207 - 仮想マシンのホスト（ゲストではない）に影響を及ぼすサービス拒否攻撃（DoS）の脆弱性が存在します。この問題は、「ページサイズ変更によるマシンチェック エラー」として知られています。

中

CVE-2018-12207

Compute Engine

CVE-2019-11135

ほとんどのお客様は、追加のアクションを行う必要はありません。

Compute Engine 仮想マシン内の独自のマルチテナント サービスで信頼できないコードを実行している N2、C2、M2 のお客様は、VM をいったん停止してから再起動して、最新のセキュリティ対策が適用された状態にする必要があります。

CVE-2018-12207

お客様が追加のアクションを行う必要はありません。

Google Kubernetes Engine

CVE-2019-11135

ほとんどのお客様は、追加のアクションを行う必要はありません。

使用しているノードプールに N2、M2、または C2 マシンタイプのノードが含まれていて、それらのノードが独自のマルチテナント GKE クラスタ内で信頼できないコードを実行している場合は、ノードを再起動する必要があります。ノードプール内のすべてのノードを再起動する場合は、影響を受けるノードプールをアップグレードしてください。

CVE-2018-12207

お客様が追加のアクションを行う必要はありません。

App Engine スタンダード環境

追加のアクションを行う必要はありません。

App Engine フレキシブル環境

CVE-2019-11135

追加のアクションを行う必要はありません。

フレキシブル環境の VM 内のハイパースレッド間でアプリケーション レベルの共有が起こる可能性に関連して、Intel からベスト プラクティスが公開されています。必ずご確認ください。

CVE-2018-12207

追加のアクションを行う必要はありません。

Cloud Run

追加のアクションを行う必要はありません。

Cloud Run 関数

追加のアクションを行う必要はありません。

Cloud Composer

追加のアクションを行う必要はありません。

Dataflow

CVE-2019-11135

ほとんどのお客様は、追加のアクションを行う必要はありません。

Dataflow によって管理されている N2、C2、または M2 マシンタイプの Compute Engine VM で複数の信頼できないワークロードを実行している Dataflow のお客様で、ゲスト内攻撃の心配がある場合は、現在実行中のストリーミング パイプラインの再起動を検討してください。必要に応じて、バッチ パイプラインをいったんキャンセルし、再実行します。本日以降に開始したパイプラインの場合は、必要なアクションはありません。

CVE-2018-12207

お客様が追加のアクションを行う必要はありません。

Dataproc

CVE-2019-11135

ほとんどのお客様は、追加のアクションを行う必要はありません。

N2、C2、または M2 マシンタイプの Compute Engine VM で実行されている 1 つの Cloud Dataproc クラスタで、複数の信頼できないワークロードを実行している Cloud Dataproc のお客様で、ゲスト内攻撃の心配がある場合は、クラスタを再デプロイしてください。

CVE-2018-12207

お客様が追加のアクションを行う必要はありません。

Cloud SQL

追加のアクションを行う必要はありません。