Google Cloud Platform のセキュリティに関する情報

次のセキュリティに関する情報は、Google Cloud に関連するものです。

GCP-2020-009

公開日: 2020 年 7 月 15 日

説明

説明	重大度	注
最近、Kubernetes で権限昇格の脆弱性 CVE-2020-8559 が発見されました。この脆弱性により、ノードを不正使用した攻撃者が、クラスタ内の任意のポッド内でコマンドを実行できるようになります。攻撃者は、すでに不正使用されたことのあるノードを使用して他のノードを不正使用し、場合によっては情報を読み取る、または破壊的な操作を行うことができます。攻撃者がこの脆弱性を悪用するためには、クラスタ内のノードがすでに不正使用されている必要があります。この脆弱性だけで、クラスタ内のノードが侵害されることはありません。設定手順と詳細については、以下をご覧ください。 GKE のセキュリティ情報 GKE on-prem のセキュリティ情報 AWS 上の GKE のセキュリティ情報	中	CVE-2020-8559

重大度

注

最近、Kubernetes で権限昇格の脆弱性 CVE-2020-8559 が発見されました。この脆弱性により、ノードを不正使用した攻撃者が、クラスタ内の任意のポッド内でコマンドを実行できるようになります。攻撃者は、すでに不正使用されたことのあるノードを使用して他のノードを不正使用し、場合によっては情報を読み取る、または破壊的な操作を行うことができます。

攻撃者がこの脆弱性を悪用するためには、クラスタ内のノードがすでに不正使用されている必要があります。この脆弱性だけで、クラスタ内のノードが侵害されることはありません。

設定手順と詳細については、以下をご覧ください。

中

CVE-2020-8559

GCP-2020-008

公開日: 2020 年 6 月 19 日

説明

説明	重大度	注
説明 OS ログインが有効になっている VM は、権限昇格の脆弱性の影響を受けやすい場合があります。これらの脆弱性により、OS ログイン権限を付与された（管理者権限は付与されていない）ユーザーは、VM 内のルートアクセスにエスカレーションできます。手順と詳細については、Compute Engine のセキュリティに関する情報をご覧ください。	高	CVE-2020-8903 CVE-2020-8907 CVE-2020-8933

重大度

注

説明

OS ログインが有効になっている VM は、権限昇格の脆弱性の影響を受けやすい場合があります。これらの脆弱性により、OS ログイン権限を付与された（管理者権限は付与されていない）ユーザーは、VM 内のルートアクセスにエスカレーションできます。

手順と詳細については、Compute Engine のセキュリティに関する情報をご覧ください。

高

GCP-2020-007

公開日: 2020 年 6 月 1 日

説明

説明	重大度	注
最近、Kubernetes でサーバー側のリクエストフォージェリ（SSRF）の脆弱性 CVE-2020-8555 が検出され、特定の承認済みユーザーがコントロールプレーンホストネットワークから最大 500 バイトの機密情報を漏洩する可能性が生じました。Google Kubernetes Engine（GKE）コントロールプレーンでは、Kubernetes のコントローラを使用するため、この脆弱性の影響を受けます。コントロールプレーンを最新のパッチバージョンにアップグレードすることをおすすめします。ノードのアップグレードは不要です。設定手順と詳細については、以下をご覧ください。 GKE のセキュリティ情報 GKE on-prem のセキュリティ情報 AWS 上の GKE のセキュリティ情報	中	CVE-2020-8555

重大度

注

最近、Kubernetes でサーバー側のリクエストフォージェリ（SSRF）の脆弱性 CVE-2020-8555 が検出され、特定の承認済みユーザーがコントロールプレーンホストネットワークから最大 500 バイトの機密情報を漏洩する可能性が生じました。Google Kubernetes Engine（GKE）コントロールプレーンでは、Kubernetes のコントローラを使用するため、この脆弱性の影響を受けます。コントロールプレーンを最新のパッチバージョンにアップグレードすることをおすすめします。ノードのアップグレードは不要です。

設定手順と詳細については、以下をご覧ください。

中

CVE-2020-8555

GCP-2020-006

公開日: 2020 年 6 月 1 日

説明

説明	重大度	注
Kubernetes は、特権コンテナでノードトラフィックを別のコンテナにリダイレクトできるようになる脆弱性を公表しました。kubelet と API サーバーの間の相互 TLS/SSH トラフィックや、mTLS を使用するアプリケーションからのトラフィックは、この攻撃によって読み取ることも変更することもできません。この脆弱性は、すべての Google Kubernetes Engine（GKE）ノードに影響します。最新のパッチバージョンにアップグレードすることをおすすめします。設定手順と詳細については、以下をご覧ください。 GKE のセキュリティ情報 GKE on-prem のセキュリティ情報 AWS 上の GKE のセキュリティ情報	中	Kubernetes の問題 91507

重大度

注

Kubernetes は、特権コンテナでノードトラフィックを別のコンテナにリダイレクトできるようになる脆弱性を公表しました。kubelet と API サーバーの間の相互 TLS/SSH トラフィックや、mTLS を使用するアプリケーションからのトラフィックは、この攻撃によって読み取ることも変更することもできません。この脆弱性は、すべての Google Kubernetes Engine（GKE）ノードに影響します。最新のパッチバージョンにアップグレードすることをおすすめします。

設定手順と詳細については、以下をご覧ください。

中

Kubernetes の問題 91507

GCP-2020-005

公開日: 2020 年 5 月 7 日

説明

脆弱性	重大度	CVE
先ごろ、Linux カーネルに脆弱性 CVE-2020-8835 が発見されました。この脆弱性により、コンテナがエスケープ処理を行ってホストノードの root 権限を奪ってしまうおそれがあります。この脆弱性は、GKE 1.16 または 1.17 を実行する Google Kubernetes Engine（GKE）Ubuntu ノードはに影響します。できるだけ早く最新のパッチバージョンにアップグレードすることをおすすめします。手順と詳細については、GKE のセキュリティに関する情報をご覧ください。	高	CVE-2020-8835

脆弱性

重大度

CVE

先ごろ、Linux カーネルに脆弱性 CVE-2020-8835 が発見されました。この脆弱性により、コンテナがエスケープ処理を行ってホストノードの root 権限を奪ってしまうおそれがあります。

この脆弱性は、GKE 1.16 または 1.17 を実行する Google Kubernetes Engine（GKE）Ubuntu ノードはに影響します。できるだけ早く最新のパッチバージョンにアップグレードすることをおすすめします。

手順と詳細については、GKE のセキュリティに関する情報をご覧ください。

高

CVE-2020-8835

GCP-2020-004

公開日: 2020 年 3 月 31 日 | 最終更新日: 2020 年 3 月 31 日

説明

次の脆弱性が Kubernetes により公表されました。

脆弱性	重大度	CVE
CVE-2019-11254 - これは API サーバーに影響を与えるサービス拒否攻撃（DoS）の脆弱性です。	中	CVE-2019-11254

手順と詳細については、GKE On-Prem のセキュリティ情報をご覧ください。

GCP-2020-003

公開日: 2020 年 3 月 31 日 | 最終更新日: 2020 年 3 月 31 日

説明

次の脆弱性が Kubernetes により公表されました。

脆弱性	重大度	CVE
CVE-2019-11254 - これは API サーバーに影響を与えるサービス拒否攻撃（DoS）の脆弱性です。	中	CVE-2019-11254

手順と詳細については、GKE のセキュリティ情報をご覧ください。

GCP-2020-002

公開日: 2020 年 3 月 23 日 | 最終更新日: 2020 年 3 月 23 日

説明

次の脆弱性が Kubernetes により公表されました。

脆弱性	重大度	CVE
CVE-2020-8551 - これは kubelet に影響を与えるサービス拒否攻撃（DoS）の脆弱性です。	中	CVE-2020-8551
CVE-2020-8552 - これは API サーバーに影響を与えるサービス拒否攻撃（DoS）の脆弱性です。	中	CVE-2020-8552

手順と詳細については、GKE のセキュリティ情報をご覧ください。

GCP-2020-001

公開日: 2020 年 1 月 21 日 | 最終更新日: 2020 年 1 月 21 日

説明

次の脆弱性が Microsoft により公表されました。

脆弱性	重大度	CVE
CVE-2020-0601 - この脆弱性は Windows Crypto API のなりすましの脆弱性とも呼ばれます。これを悪用すると、悪意ある実行可能ファイルを信頼されたもののように見せかけることができます。また、攻撃者が中間者攻撃を行って標的ソフトウェアへの接続上で秘密情報を復号することも可能です。	NVD ベーススコア: 8.1（高）	CVE-2020-0601

詳しくは、Microsoft の開示情報をご覧ください。

Google Cloud への影響

この脆弱性は、Google Cloud と Google のサービスをホストするインフラストラクチャには影響しません。プロダクトごとの詳細については、以下をご覧ください。

プロダクト	影響
Compute Engine	CVE-2020-0601 ほとんどのお客様は、以後の対応は必要ありません。 Windows Server を実行している Compute Engine 仮想マシンでは、インスタンスに最新の Windows パッチを適用するか、1/15/2020 以降の Windows Server イメージを使用する必要があります。詳細については、Compute Engine のセキュリティに関する情報をご覧ください。
Google Kubernetes Engine	CVE-2020-0601 ほとんどのお客様は、以後の対応は必要ありません。 Windows Server ノードで GKE を使用している場合は、この脆弱性を軽減するために、ノードとそれらのノード上で実行されるコンテナ化されたワークロードの両方をパッチ適用済みバージョンに更新する必要があります。手順と詳細については、GKE のセキュリティ情報をご覧ください。
Managed Service for Microsoft Active Directory	CVE-2020-0601 ほとんどのお客様は、以後の対応は必要ありません。管理対象の Microsoft AD ドメインはすべて、パッチ適用済みのイメージで自動的に更新されています。Microsoft Active Directory を手動で実行する（マネージド Microsoft AD を使用しない）お客様は、インスタンスに最新の Windows パッチを適用するか、1/15/2020 以降の Windows Server イメージを使用する必要があります。
G Suite	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
App Engine スタンダード環境	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
App Engine フレキシブル環境	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud Run	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud Functions	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud Composer	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Dataflow	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Dataproc	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud SQL	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。

GCP-2019-001

公開日: 2019 年 11 月 12 日 | 最終更新日: 2019 年 11 月 12 日

説明

Intel により次の脆弱性が開示されました。

脆弱性	重大度	CVE
CVE-2019-11135 - TSX の非同期中止（TAA）と呼ばれるこの脆弱性は、TSX のトランザクション内で投機的実行の悪用に使用される可能性があります。この脆弱性により、Microarchitectural Data Sampling（MDS）によって読み出されたマイクロアーキテクチャのデータ構造を通してデータが公開されてしまう可能性があります。	中	CVE-2019-11135
CVE-2018-12207 - 仮想マシンのホスト（ゲストではない）に影響を及ぼすサービス拒否攻撃（DoS）の脆弱性が存在します。この問題は、「ページサイズ変更によるマシンチェックエラー」として知られています。	中	CVE-2018-12207

詳しくは、Intel の開示情報をご覧ください。

Google Cloud への影響

Google Cloud および Google プロダクトをホストしているインフラストラクチャは、これらの脆弱性から保護されています。プロダクトごとの詳細については、以下をご覧ください。

プロダクト	影響
Compute Engine	CVE-2019-11135 ほとんどのお客様は、追加のアクションを行う必要はありません。 Compute Engine 仮想マシン内の独自のマルチテナントサービスで信頼できないコードを実行している N2、C2、M2 のお客様は、VM をいったん停止してから再起動して、最新のセキュリティ対策が適用された状態にする必要があります。注: 詳細については、Compute Engine のセキュリティに関する情報をご覧ください。 CVE-2018-12207 お客様が追加のアクションを行う必要はありません。
Google Kubernetes Engine	CVE-2019-11135 ほとんどのお客様は、追加のアクションを行う必要はありません。使用しているノードプールに N2、M2、または C2 マシンタイプのノードが含まれていて、それらのノードが独自のマルチテナント GKE クラスタ内で信頼できないコードを実行している場合は、ノードを再起動する必要があります。ノードプール内のすべてのノードを再起動する場合は、影響を受けるノードプールをアップグレードしてください。注: ノードプールをアップグレードする場合も、同じ GKE バージョンを指定できます。詳細については、GKE のセキュリティに関する情報をご覧ください。 CVE-2018-12207 お客様が追加のアクションを行う必要はありません。
App Engine スタンダード環境	追加のアクションを行う必要はありません。
App Engine フレキシブル環境	CVE-2019-11135 追加のアクションを行う必要はありません。フレキシブル環境の VM 内のハイパースレッド間でアプリケーションレベルの共有が起こる可能性に関連して、Intel からベストプラクティスが公開されています。必ずご確認ください。 CVE-2018-12207 追加のアクションを行う必要はありません。
Cloud Run	追加のアクションを行う必要はありません。
Cloud Functions	追加のアクションを行う必要はありません。
Cloud Composer	追加のアクションを行う必要はありません。
Dataflow	CVE-2019-11135 ほとんどのお客様は、追加のアクションを行う必要はありません。 Dataflow によって管理されている N2、C2、または M2 マシンタイプの Compute Engine VM で複数の信頼できないワークロードを実行している Dataflow のお客様で、ゲスト内攻撃の心配がある場合は、現在実行中のストリーミングパイプラインの再起動を検討してください。必要に応じて、バッチパイプラインをいったんキャンセルし、再実行します。本日以降に開始したパイプラインの場合は、必要なアクションはありません。 CVE-2018-12207 お客様が追加のアクションを行う必要はありません。
Dataproc	CVE-2019-11135 ほとんどのお客様は、追加のアクションを行う必要はありません。 N2、C2、または M2 マシンタイプの Compute Engine VM で実行されている 1 つの Cloud Dataproc クラスタで、複数の信頼できないワークロードを実行している Cloud Dataproc のお客様で、ゲスト内攻撃の心配がある場合は、クラスタを再デプロイしてください。 CVE-2018-12207 お客様が追加のアクションを行う必要はありません。
Cloud SQL	追加のアクションを行う必要はありません。