보안 게시판

최근 서비스 거부(DoS) 취약점(CVE-2023-45288)이 Kubernetes에서 사용하는 golang HTTP 서버를 포함하여 HTTP/2 프로토콜의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Google Kubernetes Engine(GKE) 제어 영역에 대한 DoS가 발생할 수 있습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 GKE 보안 게시판

Compute Engine은 liblzma 라이브러리에서 xz-utils 패키지의 5.6.0 및 5.6.1 버전에 영향을 주고 OpenSSH 유틸리티 손상으로 이어질 수 있는 CVE-2024-3094의 영향을 받지 않습니다.

자세한 내용은 Compute Engine 보안 게시판을 참조하세요.

연구원들이 Ray에서 취약점(CVE-2023-48022)을 발견했습니다. Ray는 AI 워크로드를 위한 서드 파티 오픈소스 도구입니다. Ray는 인증이 필요하지 않기 때문에 위협 행위자가 공개적으로 노출된 인스턴스에 작업을 제출하여 원격 코드 실행을 달성할 수 있습니다. 이 취약점은 Ray 개발사인 Anyscale에서 제기되었습니다. Ray에서 이 기능은 핵심 제품 기능의 중요한 부분이며 보안 조치는 Ray 클러스터 외부에서 별개로 적용되어야 합니다. Ray 클러스터에 대한 의도치 않은 네트워크 노출은 보안 위험으로 이어질 수 있습니다.

응답에 따라 이 CVE는 유효성에 대한 의견이 일치하지 않은 상태이며 취약점 스캐너에 표시되지 않을 수 있습니다. 그럼에도 불구하고 이 문제는 실제 상황에서 악용되고 있으므로 사용자는 아래 제안에 따라 사용을 구성해야 합니다.

어떻게 해야 하나요?

Ray 권장사항과 가이드라인을 준수하세요. 여기에는 Ray 워크로드 보안을 위해 신뢰할 수 있는 네트워크에서 신뢰할 수 있는 코드를 실행하는 것도 포함됩니다. 고객 클라우드 인스턴스에 ray.io를 배포하는 것은 공유 책임 모델에 포함됩니다.

Google Kubernetes Engine(GKE) 보안팀은 GKE에서 Ray 지원에 대한 블로그를 게시했습니다.

Ray 서비스에 인증 및 승인을 추가하는 방법에 대한 자세한 내용은 IAP(Identity-Aware Proxy) 문서를 참조하세요. GKE 사용자는 이 안내에 따라 또는 블로그에 링크된 Terraform 모듈을 활용해서 IAP를 구현할 수 있습니다.

2024년 4월 4일 업데이트: GKE Container-Optimized OS 노드 풀의 최소 버전이 수정되었습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-1085

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 GKE 보안 게시판

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3611

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 GKE 보안 게시판

VMware는 VMSA-2024-0006에서 고객 환경에 배포된 ESXi 구성요소에 영향을 미치는 여러 취약점을 공개했습니다.

Cloud Customer Care 영향

보안 취약점이 해결되도록 프라이빗 클라우드가 업데이트되었습니다.

어떻게 해야 하나요?

개발자가 취해야 할 조치는 없습니다.

• VMSA-2024-0006
• CVE-2024-22252
• CVE-2024-22253
• CVE-2024-22254
• CVE-2024-22255

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3776

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 GKE 보안 게시판

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3610

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 GKE 보안 게시판

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2024-0193

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 GKE 보안 게시판

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-6932

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 GKE 보안 게시판

2024년 4월 17일 업데이트: VMware용 GKE의 패치 버전이 추가되었습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-6931

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 GKE 보안 게시판

2024년 2월 13일 AMD는 3세대 "Milan"과 4세대 "Genoa" Zen 코어를 기반으로 EPYC CPU에서 SEV-SNP에 영향을 주는 두 가지 취약점을 공개했습니다. 이 취약점으로 인해 권한을 얻은 공격자가 게스트에서 오래된 데이터에 액세스하거나 게스트 무결성 손실을 일으킬 수 있습니다.

Google은 고객 보호를 위해 Google Cloud를 포함하여 영향을 받는 애셋에 수정 사항을 적용했습니다. 현재까지 이에 대한 악용 증거는 Google에서 발견되거나 보고되지 않았습니다.

어떻게 해야 하나요?

고객이 별도의 조치를 취하지 않아도 됩니다. Compute Engine을 포함하여 Google Cloud의 Google 서버 Fleet에 수정 사항이 이미 적용되었습니다.

자세한 내용은 AMD 보안 권고 AMD-SN-3007을 참조하세요.

• CVE-2023-31346
• CVE-2023-31347

CVE-2023-5528을 사용하면 공격자가 이러한 노드에서 관리자 권한 에스컬레이션을 사용 설정하는 방식으로 Windows 노드에 포드 및 영구 볼륨을 만들 수 있습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 GKE 보안 게시판

다음 CVE는 Anthos Service Mesh를 악용 가능한 취약점에 노출합니다.

• CVE-2024-23322: 백오프 간격 내에 시도 제한 시간당 유휴 및 요청이 발생하면 Envoy가 충돌합니다.
• CVE-2024-23323: URI 템플릿 일치자가 정규식을 사용하여 구성된 경우 CPU 사용량이 과도합니다.
• CVE-2024-23324: 프록시 프로토콜 필터가 잘못된 UTF-8 메타데이터를 설정할 때 외부 승인을 우회할 수 있습니다.
• OS에서 지원되지 않는 주소 유형을 사용할 때 Envoy가 충돌합니다.
• CVE-2024-23327: 명령어 유형이 LOCAL일 때 프록시 프로토콜에서 충돌이 발생합니다.

자세한 내용 및 안내는 Anthos Service Mesh 보안 게시판을 참조하세요.

• CVE-2024-23322
  
• CVE-2024-23323
  
• CVE-2024-23324
  
• CVE-2024-23325
  
• CVE-2024-23327
  

Apigee API 관리 프록시가 대상 엔드포인트 또는 대상 서버에 연결되면 프록시는 기본적으로 대상 엔드포인트 또는 대상 서버에서 제공한 인증서에 대해 호스트 이름 검증을 수행하지 않습니다. 다음 옵션 중 하나를 사용하여 호스트 이름 검증을 사용 설정하지 않으면 대상 엔드포인트 또는 대상 서버에 연결하는 Apigee 프록시가 승인된 사용자의 중간자 공격 위험에 노출될 수 있습니다. 자세한 내용은 Edge에서 백엔드로 TLS 구성(Cloud 및 프라이빗 클라우드)을 참조하세요.

다음 Apigee 플랫폼의 Apigee 프록시 배포가 영향을 받습니다.

• 퍼블릭 클라우드용 Apigee Edge
• 프라이빗 클라우드용 Apigee Edge

자세한 안내 및 정보는 Apigee 보안 게시판을 참조하세요.

2024년 4월 2일 업데이트: 베어메탈용 GKE의 패치 버전이 추가되었습니다.

2024년 3월 6일 업데이트: VMware용 GKE의 패치 버전이 추가되었습니다.

2024년 2월 28일 업데이트: Ubuntu 패치 버전이 추가되었습니다.

2024년 2월 15일 업데이트: 2024년 2월 14일 업데이트의 1.25 및 1.26 Ubuntu 패치 버전으로 인해 비정상 노드가 발생할 수 있음을 명확히 했습니다.

2024년 2월 14일 업데이트: Ubuntu 패치 버전이 추가되었습니다.

2024년 2월 6일 업데이트: Container-Optimized OS의 패치 버전이 추가되었습니다.

Container-Optimized OS 및 Ubuntu 노드에서 포드를 만들 수 있는 권한이 있는 사용자가 노드 파일 시스템에 대한 전체 액세스 권한을 얻을 수 있는 runc에서 보안 취약점 CVE-2024-21626이 발견되었습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 GKE 보안 게시판

2024년 2월 7일 업데이트: Ubuntu 패치 버전이 추가되었습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-6817

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 GKE 보안 게시판

2024년 1월 26일 업데이트: 영향을 받은 클러스터의 개수와 영향을 완화하기 위해 Google이 수행한 조치를 명확하게 설명했습니다. 자세한 내용은 GCP-2024-003 보안 게시판을 참조하세요.

Google 계정을 가진 모든 사용자를 포함하는 system:authenticated 그룹에 대한 Kubernetes 권한이 사용자에게 부여된 클러스터가 여러 개 식별되었습니다. 이러한 유형의 바인딩은 최소 권한의 원칙을 위반하고 대규모 사용자 그룹에 액세스 권한을 부여하므로 권장되지 않습니다. 이러한 유형의 바인딩을 찾는 방법은 '어떻게 해야 하나요'의 안내를 참고하세요.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판

2024년 2월 20일 업데이트: VMware용 GKE의 패치 버전이 추가되었습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-6111

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 GKE 보안 게시판

TianoCore EDK II UEFI 펌웨어에서 몇 가지 취약점이 발견되었습니다. 이 펌웨어는 Google Compute Engine VM에서 사용됩니다. 악용될 경우 취약점에서 보안 부팅의 우회를 허용하여 보안 VM에서 사용되는 경우를 포함해 보안 부팅 프로세스에서 잘못된 측정을 제공할 수 있습니다.

어떻게 해야 하나요?

별도의 조치가 필요하지 않습니다. Google에서는 Compute Engine에서 이 취약점을 패치했으며 모든 VM이 이 취약점으로부터 보호됩니다.

이 패치로 어떤 취약점이 해결되나요?

이 패치로 다음의 취약점이 완화되었습니다.

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3609

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 GKE 보안 게시판

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3389

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 GKE 보안 게시판

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3090

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 GKE 보안 게시판

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터가 영향을 받지 않음을 명확하게 설명했습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3390

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 GKE 보안 게시판

Fluent Bit 로깅 컨테이너를 손상시킨 공격자가 Anthos Service Mesh(사용 설정된 클러스터에서)에서 클러스터에 필요한 권한을 에스컬레이션하기 위해 필요한 고급 권한과 해당 액세스 권한을 결합할 수 있습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 GKE 보안 게시판

2024년 3월 4일 업데이트: VMware용 GKE의 GKE 버전이 추가되었습니다.

2024년 1월 22일 업데이트: Ubuntu 패치 버전 추가

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-5717

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 GKE 보안 게시판

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터가 영향을 받지 않음을 명확하게 설명했습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-5197

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

11월 14일에 AMD는 다양한 AMD 서버 CPU에 영향을 미치는 여러 취약점을 공개했습니다. 특히 이 취약점은 Zen Core 2세대 'Rome', 3세대 'Milan' 및 4세대 'Genoa'를 활용하는 EPYC 서버 CPU에 영향을 미칩니다.

Google은 고객을 보호하기 위해 Google Cloud를 포함한 영향을 받는 애셋에 수정 사항을 적용했습니다. 현재 Google에 악용 사례가 발견되거나 보고되지 않았습니다.

어떻게 해야 하나요?

고객이 별도의 조치를 취하지 않아도 됩니다.

수정 사항은 이미 Google Compute Engine을 포함한 Google Cloud 서버 Fleet에 적용되었습니다.

해결되는 취약점은 무엇인가요?

이 패치로 다음의 취약점이 완화되었습니다.

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2023-20521
• CVE-2021-46766
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

자세한 내용은 AMD 보안 권고 AMD-SN-3005: 'AMD INVD 안내 보안 알림'(CacheWarp로도 게시됨) 및 AMD-SN-3002: 'AMD 서버 취약점' - 2023년 11월'을 참조하세요.

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

Intel은 일부 프로세서의 CPU 취약점을 공개했습니다. Google은 고객을 보호하기 위해 Google Cloud용 Google Compute Engine과 Chrome OS 기기를 포함한 서버 제품군을 완화하기 위한 조치를 취했습니다.

취약점 세부정보:

• CVE-2023-23583

어떻게 해야 하나요?

고객이 별도의 조치를 취하지 않아도 됩니다.

영향을 받은 프로세서에 대해 Intel이 제공한 완화 조치는 Google Cloud용 Google Compute Engine을 포함한 Google 서버 제품군에 적용되었습니다.

현재 Google Distributed Cloud Edge에는 OEM의 업데이트가 필요합니다. 업데이트가 출시되면 Google에서 이 문제를 해결하며 게시판이 이에 따라 업데이트됩니다.

프로세서에 영향을 받은 Chrome OS 기기는 출시 버전 119, 118, 114(LTS)의 일부로 자동 수정이 제공됩니다.

해결되는 취약점은 무엇인가요?

CVE-2023-23583. 자세한 내용은 Intel Security Advisory INTEL-SA-00950을 참조하세요.

2023년 11월 15일 업데이트: 나열된 부 버전만 GKE의 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4147

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터가 영향을 받지 않음을 명확하게 설명했습니다.

2023년 12월 5일 업데이트: Container-Optimized OS 노드 풀용 GKE 버전이 추가되었습니다.

2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4004

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터가 영향을 받지 않음을 명확하게 설명했습니다.

2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4921

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다.

2023년 11월 16일 업데이트: 이 보안 게시판과 관련된 취약점은 CVE-2023-4622입니다. 보안 게시판의 CVE-2023-4623이 취약점으로 잘못 나열되었습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4623

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터가 영향을 받지 않음을 명확하게 설명했습니다.

2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4623

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터가 영향을 받지 않음을 명확하게 설명했습니다.

2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4015

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

Deep Learning VM Image는 즉시 실행할 수 있는 딥 러닝 프레임워크가 포함되어 사전 패키징된 가상 머신 이미지 세트입니다. 최근에 `libwebp` 라이브러리의 `ReadHuffmanCodes()` 함수에서 범위를 벗어나는 쓰기 취약점이 발견되었습니다. 이로 인해 이 라이브러리를 사용하는 이미지에 영향을 줄 수 있습니다.

Google Cloud는 공개적으로 게시된 이미지를 계속 스캔하고 패치 적용된 배포판이 고객이 채택할 수 있는 최신 출시 버전에 포함되도록 보장하기 위해 패키지를 업데이트하고 있습니다. 최신 VM 이미지에 패치 적용된 배포판이 포함될 수 있도록 Deep Learning VM Image가 업데이트되었습니다. 최신 VM 이미지를 채택한 고객은 이 취약점에 노출되지 않습니다.

어떻게 해야 하나요?

게시된 VM 이미지를 사용하는 Google Cloud 고객은 최신 이미지를 채택하고 해당 환경이 공유 책임 모델에 따라 최신 상태로 유지되는지 확인해야 합니다.

공격자가 CVE-2023-4863을 악용해서 임의 코드를 실행할 수 있습니다. 이 취약점은 116.0.5845.187 이전의 Google Chrome 및 1.3.2 이전의 `libwebp`에서 식별되었으며 CVE-2023-4863으로 등록되었습니다.

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터가 영향을 받지 않음을 명확하게 설명했습니다.

2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

VMware에서 고객 환경에 배포된 vCenter 구성요소에 영향을 주는 VMSA-2023-0023의 여러 취약점이 공개되었습니다.

Cloud Customer Care 영향

• 이 취약점은 vCenter Server에서 특정 포트에 액세스하여 악용될 수 있습니다. 이러한 포트는 공개 인터넷에 노출되지 않습니다.
• 신뢰할 수 없는 시스템이 vCenter 포트 2012/tcp, 2014/tcp, 2020/tcp에 액세스할 수 없는 경우에는 이 취약점에 노출되지 않습니다.
• Google은 이미 vCenter Server에서 취약한 포트를 차단하여 이 취약점이 악용될 가능성을 방지했습니다.
• 또한 Google은 이후의 모든 vCenter Server 배포가 이 취약점에 노출되지 않도록 보장할 것입니다.
• 게시판 작성 시점에 VMware는 이 문제가 "실제 상황"에서 악용되고 있다는 증거를 발견하지 못했습니다. 자세한 내용은 VMware 문서를 참조하세요.

어떻게 해야 하나요?

현재로서는 별도의 조치를 취하지 않으셔도 됩니다.

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않으며 GKE Sandbox 워크로드는 영향을 받지 않음을 명확하게 설명하였습니다.

2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다.

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

• CVE-2023-3777

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

2023년 11월 3일 업데이트: 프라이빗 클라우드용 Apigee Edge에 대한 알려진 문제가 추가되었습니다.

최근 서비스 거부(DoS) 취약점이 Apigee X 및 Apigee Hybrid에서 사용하는 Apigee 인그레스(Anthos Service Mesh) 서비스를 포함하여 HTTP/2 프로토콜(CVE-2023-44487)의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Apigee API 관리 기능에 대한 DoS가 발생할 수 있습니다.

자세한 내용과 안내는 Apigee 보안 게시판을 참조하세요.

DoS 공격이 HTTP/2 프로토콜을 사용할 때 데이터 영역에 영향을 줄 수 있습니다. 자세한 내용과 안내는 Anthos Service Mesh 보안 게시판을 참조하세요.

2024년 3월 20일 업데이트: CVE-2023-44487의 최신 패치가 포함된 AWS 기반 GKE 및 Azure 기반 GKE의 패치 버전이 추가되었습니다.

2024년 2월 14일 업데이트: VMware용 GKE의 패치 버전이 추가되었습니다.

2023년 11월 9일 업데이트: CVE-2023-39325가 추가되었습니다. CVE-2023-44487 및 CVE-2023-39325의 최신 패치로 GKE 버전이 업데이트되었습니다.

최근 서비스 거부(DoS) 취약점이 Kubernetes에서 사용하는 golang HTTP 서버를 포함하여 HTTP/2 프로토콜(CVE-2023-44487)의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Google Kubernetes Engine(GKE) 제어 영역에 대한 DoS가 발생할 수 있습니다. 승인된 네트워크가 구성된 GKE 클러스터는 네트워크 액세스 제한을 통해 보호되지만 다른 모든 클러스터는 영향을 받습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

TorchServe는 온라인 예측을 위해 PyTorch 머신러닝 모델을 호스팅하는 데 사용됩니다. Vertex AI는 TorchServe에 의존하는 컨테이너를 제공하는 사전 빌드된 PyTorch 모델을 제공합니다. 모델 관리 API가 노출된 경우 공격자가 TorchServe 배포를 제어할 수 있는 취약점이 최근 TorchServe에서 발견되었습니다. Vertex AI는 TorchServe의 모델 관리 API를 노출하지 않기 때문에 Vertex AI 온라인 예측에 PyTorch 모델이 배포된 고객은 이러한 취약점의 영향을 받지 않습니다. Vertex AI 외부에서 TorchServe를 사용하는 고객은 해당 배포가 올바르게 설정되었는지 주의해야 합니다.

어떻게 해야 하나요?

Vertex AI의 배포는 인터넷에 TorchServe의 관리 서버를 노출하지 않기 때문에 Vertex AI의 사전 빌드된 PyTorch 제공 컨테이너를 사용하여 모델을 배포한 Vertex AI 고객은 취약점 해결을 위한 조치를 취할 필요가 없습니다.

다른 컨텍스트에서 사전 빌드된 PyTorch 컨테이너를 사용 중이거나 커스텀 빌드된 또는 타사에서 배포된 TorchServe를 사용 중인 고객은 다음을 수행해야 합니다.

• TorchServe의 모델 관리 API가 인터넷에 노출되지 않도록 해야 합니다. management_address가 127.0.0.1에 바인딩되었는지만 확인하여 모델 관리 API를 로컬 액세스로 제한할 수 있습니다.
• allowed_urls 설정을 사용해서 의도한 소스에서만 모델을 로드할 수 있도록 보장합니다.
• 가능한 한 빨리 이 문제의 해결 방법이 포함된 버전 0.8.2로 TorchServe를 업그레이드합니다. 안전 대책으로 Vertex AI는 2023년 10월 13일까지 수정된 사전 빌드된 컨테이너를 출시할 예정입니다.

해결되는 취약점은 무엇인가요?

TorchServe의 관리 API는 Vertex AI에서 릴리스되는 항목을 포함하여 기본적으로 대부분의 TorchServe Docker 이미지에서 0.0.0.0에 바인딩되어 외부 요청에 액세스할 수 있습니다. 관리 API의 기본 IP 주소는 이러한 문제 해결을 위해 TorchServe 0.8.2에서 127.0.0.1로 변경되었습니다.

CVE-2023-43654 및 CVE-2022-1471는 사용자가 관리 API에 액세스하여 임의 소스에서 모델을 로드하고 원격으로 코드를 실행할 수 있게 해줍니다. 이러한 두 문제 모두에 대한 해결이 TorchServe 0.8.2에 포함되어, 원격 코드 실행 경로가 삭제되었고 allowed_urls의 기본값이 사용되면 경고가 방출됩니다.

고객이 수집 피드를 사용하여 고객 소유의 Cloud Storage 버킷에서 데이터를 수집하도록 Chronicle을 구성할 수 있습니다. 최근까지 Chronicle은 고객이 버킷에 대한 권한을 부여하는 데 사용하는 공유 서비스 계정을 제공했습니다. 이로 인해 한 고객의 Chronicle 인스턴스가 다른 고객의 Cloud Storage 버킷에서 데이터를 수집하도록 구성될 수 있었습니다. 영향 분석을 수행한 결과 이러한 취약점에 대한 현재 또는 이전의 악용 사례는 발견되지 않았습니다. 이 취약점은 2023년 9월 19일 이전의 모든 Chronicle 버전에서 발생했습니다.

어떻게 해야 하나요?

2023년 9월 19일부터 이 취약점이 해결되도록 Chronicle이 업데이트되었습니다. 고객이 별도의 조치를 취하지 않아도 됩니다.

해결되는 취약점은 무엇인가요?

이전에 Chronicle은 고객이 버킷에 대한 권한을 부여하는 데 사용한 공유 서비스 계정을 제공했습니다. 여러 고객이 자신의 버킷에 동일한 Chronicle 서비스 계정 권한을 부여했으므로 피드가 생성되거나 수정될 때 한 고객의 피드가 다른 고객의 버킷에 액세스하도록 허용하는 악용 벡터가 존재했습니다. 이러한 악용 벡터에는 버킷 URI에 대한 지식이 필요했습니다. 이제는 피드 생성 또는 수정 중에 Chronicle은 고객마다 고유한 서비스 계정을 사용합니다.

VMware vCenter Server 업데이트는 여러 메모리 손상 취약점(CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896)을 해결합니다.

고객 지원 영향

VMware vCenter Server(vCenter Server) 및 VMware Cloud Foundation(Cloud Foundation)

어떻게 해야 하나요?

고객은 영향을 받지 않으며 별도의 조치를 취할 필요가 없습니다.

• CVE-2023-20893

Windows 노드에 포드를 만들 수 있는 사용자가 해당 노드의 관리자 권한으로 에스컬레이션할 수 있는 3가지 취약점(CVE-2023-3676, CVE-2023-3955, CVE-2023-3893)이 Kubernetes에서 발견되었습니다. 이러한 취약점은 Kubelet 및 Kubernetes CSI 프록시의 Windows 버전에 영향을 줍니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

Intel은 최근 일부 프로세서 제품군에 영향을 미치는 Intel Security Advisory INTEL-SA-00828을 발표했습니다. 권고에 따라 위험을 평가하는 것이 좋습니다.

Google Cloud VMware Engine 영향

Google Fleet은 영향을 받는 프로세서 제품군을 활용합니다. 배포에서는 전체 서버가 한 명의 고객 전용입니다. 따라서 Google의 배포 모델은 이 취약점의 평가에 추가적인 위험을 더하지 않습니다.

Google은 파트너와 협력하여 필요한 패치를 획득하고 있으며 앞으로 몇 주 내에 표준 업그레이드 프로세스를 사용하여 이러한 패치를 Fleet 전체에 우선 배포할 예정입니다.

어떻게 해야 하나요?

별도의 조치를 취하지 않아도 모든 영향을 받는 시스템을 업그레이드하기 위해 작업하고 있습니다.

• CVE-2022-40982

2023년 8월 10일 업데이트: ChromeOS LTS 버전 번호가 추가되었습니다.

Intel은 일부 프로세서의 취약점(CVE-2022-40982)을 공개했습니다. Google은 고객 보호를 위해 Google Cloud를 포함한 서버 제품군을 완화하는 조치를 취했습니다.

취약점 세부정보:

• CVE-2022-40982(Intel IPU 2023.3, 'GDS' 일명 'Downfall')

어떻게 해야 하나요?

고객이 별도의 조치를 취하지 않아도 됩니다.

사용 가능한 모든 패치가 Google Compute Engine을 포함한 Google Cloud 서버 Fleet에 이미 적용되었습니다.

현재 다음 제품은 파트너 및 공급업체의 추가 업데이트가 필요합니다.

• Google Cloud VMware Engine
• Google Distributed Cloud Hosted
• Google Distributed Cloud Edge
• Google Cloud 베어메탈 솔루션
• 개선된 패킷 코어

이러한 패치를 사용할 수 있게 되면 Google은 해당 제품에 조치를 취하고 그에 따라 이 게시판이 업데이트됩니다.

Google Chromebook 및 ChromeOS Flex 고객은 Stable(115), LTS(108), Beta(116), LTC(114)에서 Intel이 제공한 완화 기능을 자동으로 받았습니다. 이전 출시 버전에 고정된 Chromebook 및 ChromeOS Flex 고객은 이 버전 및 기타 취약점 수정 사항을 받을 수 있도록 고정 해제하고 Stable 또는 LTS 출시 버전으로 이동하는 것을 고려해야 합니다.

해결되는 취약점은 무엇인가요?

CVE-2022-40982 - 자세한 내용은 Intel Security Advisory INTEL-SA-00828을 참조하세요.

AMD는 일부 프로세서(CVE-2023-20569)의 취약점을 공개했습니다. Google은 고객 보호를 위해 Google Cloud를 포함한 서버 제품군을 완화하는 조치를 취했습니다.

취약점 세부정보:

• CVE-2023-20569(AMD SB-7005 일명 'Inception')

어떻게 해야 하나요?

Compute Engine VM 사용자가 인스턴스 내 신뢰할 수 없는 코드 실행을 사용하는 경우 OS 제공 완화를 고려해야 합니다. 자세한 내용은 고객이 OS 공급업체에 문의하는 것이 좋습니다.

수정 사항은 이미 Google Compute Engine을 포함한 Google Cloud 서버 Fleet에 적용되었습니다.

해결되는 취약점은 무엇인가요?

CVE-2023-20569 - 자세한 내용은 AMD SB-7005를 참조하세요.

1.57 버전 이전의 gRPC C++ 구현에서 취약점이 발견되었습니다. gRPC의 C++ 구현 내 서비스 거부 취약점입니다. 1.53.2, 1.54.3, 1.55.2, 1.56.2, 1.57 버전에서 수정되었습니다.

어떻게 해야 하나요?

다음 소프트웨어 패키지의 최신 버전을 사용하고 있는지 확인합니다.

• gRPC(C++, Python, Ruby) 1.53, 1.54, 1.55, 1.56 버전은 다음 패치 버전으로 업그레이드해야 합니다.
• 1.53.2
• 1.54.3
• 1.55.2
• 1.56.2
• gRPC(C++, Python, Ruby) 1.52 및 이전 버전은 승인된 패치 버전(예: 1.53.2, 1.54.3, 1.53.4) 중 하나로 업그레이드해야 합니다.

해결되는 취약점은 무엇인가요?

이러한 패치로 완화되는 취약점은 다음과 같습니다.

• gRPC C++ 구현 내 서비스 거부 취약점: 특별히 작성된 요청이 프록시와 백엔드 간의 연결 해제를 초래할 수 있습니다.

다음 CVE는 Anthos Service Mesh를 악용 가능한 취약점에 노출합니다.

• CVE-2023-35941: 일부 특정 시나리오에서 악의적인 클라이언트가 영구적으로 유효한 사용자 인증 정보를 생성할 수 있습니다. 예를 들어 HMAC 페이로드의 호스트 및 만료 시간 조합은 항상 OAuth2 필터의 HMAC 검사에서 유효할 수 있습니다.
• CVE-2023-35942: 리스너의 전역 범위를 사용하는 gRPC 액세스 로거에서 리스너 드레이닝 시 해제 후 사용 비정상 종료가 발생할 수 있습니다. 동일한 gRPC 액세스 로그 구성을 사용하는 LDS 업데이트에서 트리거될 수 있습니다.
• CVE-2023-35943: origin 헤더가 request_headers_to_remove: origin으로 삭제되도록 구성된 경우 CORS 필터가 segfault되고 Envoy가 비정상 종료됩니다.
• CVE-2023-35944: 공격자가 혼합 스킴 요청을 보내 Envoy의 스킴 검사를 우회할 수 있습니다. 예를 들어 혼합 스킴 HTTP가 있는 요청이 OAuth2 필터로 전송되면 HTTP의 일치검색 검사가 실패하고 스킴이 HTTPS임을 원격 엔드포인트에 알리므로 HTTP 요청과 관련된 OAuth2 검사가 우회될 수 있습니다.

자세한 내용 및 안내는 Anthos Service Mesh 보안 게시판을 참조하세요.

• CVE-2023-35941
  
• CVE-2023-35942
  
• CVE-2023-35943
  
• CVE-2023-35944
  

AMD에서 하드웨어 보안 취약점(CVE-2023-20593)을 해결하는 마이크로코드 업데이트를 출시했습니다. Google은 Google Cloud Platform용 서버를 포함하여 이 취약점에 필요한 수정사항을 서버 Fleet에 적용했습니다. 테스트에서는 시스템 성능에 영향을 미치지 않는 것으로 나타납니다.

어떻게 해야 하나요?

Google Cloud Platform용 Google 서버 Fleet에 수정사항이 이미 적용되어 있으므로 고객이 별도로 취해야 할 조치는 없습니다.

해결되는 취약점은 무엇인가요?

CVE-2023-20593은 일부 AMD CPU의 취약점을 해결합니다. 자세한 내용은 여기에서 확인할 수 있습니다.

신뢰할 수 없는 업스트림 서비스에서 특별히 제작된 응답으로 인해 메모리 소진을 통한 서비스 거부가 발생할 수 있는 새로운 취약점(CVE-2023-35945)이 Envoy에서 발견되었습니다. 이 문제는 업스트림 서버에서 RST_STREAM 수신 직후 GOAWAY 프레임이 오는 헤더 맵과 부기 구조를 유출할 수 있는 Envoy의 HTTP/2 코덱으로 인해 발생합니다.

자세한 내용 및 안내는 Anthos Service Mesh 보안 게시판을 참조하세요.

Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-2235)이 발견되었습니다. GKE Autopilot 노드에서 항상 Container-Optimized OS 노드 이미지를 사용하므로 GKE Autopilot 클러스터가 영향을 받습니다. Container-Optimized OS 노드 이미지를 실행하는 버전 1.25 이상의 GKE Standard 클러스터가 영향을 받습니다.

GKE 클러스터는 Ubuntu 노드 이미지만 실행하거나, 1.25 이전 버전을 실행하거나, GKE Sandbox를 사용하는 경우 영향을 받지 않습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

2023년 7월 11일 업데이트: CVE-2023-31436 패치를 적용하는 최신 Ubuntu 버전을 포함하도록 새 GKE 버전이 업데이트되었습니다.

Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-31436)이 발견되었습니다. Autopilot 클러스터를 포함한 GKE 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 GKE 클러스터는 영향을 받지 않습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

Anthos Service Mesh에서 사용되는 Envoy에서 악의적인 공격자가 서비스 거부를 일으키거나 Envoy를 비정상 종료할 수 있는 여러 취약점이 발견되었습니다. 각각 GCP-2023-002로 보고되었습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

Linux 커널에서 새로운 취약점인 CVE-2023-0468이 발견되었습니다. io_poll_get_ownership이 모든 io_poll_wake에서 req->poll_refs를 계속 증가시킨 다음 0에 오버플로되어 fput req->file을 두 번 입력하면 구조체 파일 refcount 문제를 일으킬 때 권한이 없는 사용자가 권한을 루트로 에스컬레이션할 수 있습니다. Linux 커널 버전 5.15를 사용하는 Container-Optimized OS를 포함한 Autopilot 클러스터 등의 GKE 클러스터가 영향을 받습니다. Ubuntu 이미지를 사용하거나 GKE Sandbox를 사용하는 GKE 클러스터는 영향을 받지 않습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

2023년 8월 11일 업데이트: VMware용 GKE, AWS용 GKE, Azure용 GKE, 베어메탈용 Google Distributed Cloud Virtual의 패치 버전이 추가되었습니다.

Kubernetes에서 사용자가 임시 컨테이너와 ImagePolicyWebhook(CVE-2023-2727) 또는 ServiceAccount 허용 플러그인(CVE-2023-2728)을 사용할 때 정책 제한을 우회하는 컨테이너를 실행할 수 있는 두 가지 새로운 보안 문제가 발견되었습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

프로젝트에서 Cloud Build API를 사용 설정하면 Cloud Build가 사용자 대신 빌드를 실행할 기본 서비스 계정을 자동으로 만듭니다. 이전에는 이 Cloud Build 서비스 계정에 logging.privateLogEntries.list IAM 권한이 있었기 때문에 빌드가 기본적으로 비공개 로그를 나열할 수 있습니다. 최소 권한의 보안 원칙을 준수하기 위해 Cloud Build 서비스 계정에서 이 권한이 취소되었습니다.

자세한 안내 및 세부정보는 Cloud Build 보안 게시판을 참조하세요.

Google에서는 gRPC C++ 구현에서 세 가지 새로운 취약점을 발견했습니다. 이들은 곧 CVE-2023-1428, CVE-2023-32731, CVE-2023-32732로 공개적으로 게시됩니다.

지난 4월에 1.53 및 1.54 버전에서 두 가지 취약점이 발견되었습니다. 각각 gRPC C++ 구현 내 서비스 거부 취약점과 원격 데이터 무단 반출 취약점입니다. 이러한 취약점은 1.53.1, 1.54.2 및 이후 버전에서 수정되었습니다.

이전 3월에는 사내 팀이 정기적인 퍼징 테스트를 수행하던 중 gRPC의 C++ 구현 내부에서 서비스 거부 취약점을 발견했습니다. 이 취약점은 gRPC 1.52 버전에서 발견되었으며 1.52.2 및 1.53 버전에서 수정되었습니다.

어떻게 해야 하나요?

다음 소프트웨어 패키지의 최신 버전을 사용하고 있는지 확인합니다.

• grpc(C++, Python, Ruby) 버전 1.52, 1.53, 1.54는 다음 패치 출시 버전으로 업그레이드해야 합니다.
• 1.52.2
• 1.53.1
• 1.54.2
• grpc(C++, Python, Ruby) 버전 1.51 이하는 영향을 받지 않으므로, 이 버전을 사용하는 사용자는 조치를 취할 수 없습니다.

이러한 패치로 어떤 취약점이 해결되나요?

이러한 패치로 완화되는 취약점은 다음과 같습니다.

• 1.53.1, 1.54.2 및 이후 버전에서 해결되는 문제: gRPC C++ 구현의 서비스 거부 취약점. 특별히 작성된 요청이 프록시와 백엔드 간의 연결 해제를 초래할 수 있습니다. 원격 데이터 무단 반출 취약점: 헤더 크기 제한으로 인한 HPACK 테이블의 비동기화 때문에 프록시 백엔드에서 프록시에 연결된 다른 클라이언트의 헤더 데이터가 유출될 수 있습니다.
• 1.52.2, 1.53 및 이후 버전에서 해결되는 문제: gRPC C++ 구현 내 서비스 거부 취약점: 특별히 작성된 일부 요청을 파싱하는 경우 비정상 종료로 이어져 서버에 영향을 미칠 수 있습니다.

위에 나열된 다음 소프트웨어 패키지의 최신 버전으로 업그레이드하는 것이 좋습니다.

드라이버 로그에 액세스할 수 있는 행위자가 서비스 계정 토큰을 관찰할 수 있는 secret-store-csi-driver에서 새 취약점(CVE-2023-2878)이 발견되었습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

Linux 커널에서 노드 루트로 권한 에스컬레이션을 일으킬 수 있는 새로운 취약점(CVE-2023-1872)이 발견되었습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

SQL Server용 Cloud SQL에서 고객 관리자 계정이 tempdb 데이터베이스에 트리거를 만들고 이를 사용해서 인스턴스에서 sysadmin 권한을 획득할 수 있는 취약점이 최근에 발견되었습니다. sysadmin 권한이 있으면 공격자가 시스템 데이터베이스에 액세스할 수 있고 해당 SQL Server 인스턴스를 실행하는 머신에 대한 부분 액세스 권한이 부여됩니다.

Google Cloud는 2023년 3월 1일 보안 취약점 패치를 통해 이 문제를 해결했습니다. Google Cloud에서는 고객 인스턴스가 손상된 것을 발견하지 못했습니다.

자세한 안내 및 세부정보는 Cloud SQL 보안 게시판을 참조하세요.

2023년 6월 6일 업데이트: 새 GKE 버전이 CVE-2023-1281 및 CVE-2023-1829를 패치하는 최신 Ubuntu 버전을 포함하도록 업데이트되었습니다.

Linux 커널에서 노드의 루트에 권한 에스컬레이션이 발생할 수 있는 두 가지 새로운 취약점(CVE-2023-1281 및 CVE-2023-1829)이 발견되었습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

Trusted Platform Module(TPM) 2.0에서 두 가지 취약점(CVE-2023-1017 및 CVE-2023-1018)이 발견되었습니다.

이 취약점으로 인해 정교한 공격자가 특정 Compute Engine VM에서 범위를 벗어난 2바이트의 읽기/쓰기를 악용할 수 있습니다.

자세한 내용 및 안내는 Compute Engine 보안 게시판을 참조하세요.

• CVE-2023-1017
• CVE-2023-1018

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터가 영향을 받지 않음을 명확하게 설명했습니다.

Linux 커널에서 권한이 없는 사용자가 권한을 에스컬레이션할 수 있는 두 가지 새로운 취약점 CVE-2023-0240 및 CVE-2023-23586이 발견되었습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

다음 CVE는 Anthos Service Mesh를 악용 가능한 취약점에 노출합니다.

• CVE-2023-27496: Envoy에서 활성화된 OAuth 필터가 노출된 상태로 실행 중인 경우 악의적인 행위자가 Envoy를 비정상 종료하여 서비스 거부를 유발할 수 있는 요청을 생성할 수 있습니다.
• CVE-2023-27488: 공격자는 이 취약점을 이용하여 ext_authz가 사용될 때 인증 검사를 우회할 수 있습니다.
• CVE-2023-27493: Envoy 구성에는 피어 인증서 SAN인 요청의 입력을 사용하여 생성된 요청 헤더를 추가하는 옵션도 포함해야 합니다.
• CVE-2023-27492: 공격자는 Lua 필터가 사용 설정된 경로에 대해 대규모 요청 본문을 전송하고 비정상 종료를 트리거할 수 있습니다.
• CVE-2023-27491: 공격자는 HTTP/1 업스트림 서비스에서 파싱 오류를 트리거하도록 특별히 제작된 HTTP/2 또는 HTTP/3 요청을 보낼 수 있습니다.
• CVE-2023-27487: x-envoy-original-path 헤더는 내부 헤더여야 하지만, Envoy는 신뢰할 수 없는 클라이언트에서 보낸 요청 처리 시작 시 요청에서 이 헤더를 삭제하지 않습니다.

자세한 내용 및 안내는 Anthos Service Mesh 보안 게시판을 참조하세요.

• CVE-2023-27496
  
• CVE-2023-27488
  
• CVE-2023-27493
  
• CVE-2023-27492
  
• CVE-2023-27491
  
• CVE-2023-27487
  

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터가 영향을 받지 않음을 명확하게 설명했습니다.

Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-4696)이 발견되었습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

OpenSSL v3.0.6에서 충돌을 일으킬 수 있는 두 가지 새로운 취약점(CVE-2022-3786 및 CVE-2022-3602)이 발견되었습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

• CVE-2022-3786
• CVE-2022-3602

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터가 영향을 받지 않음을 명확하게 설명했습니다.

2023년 1월 19일 업데이트: GKE 버전 1.21.14-gke.14100을 사용할 수 있다는 정보가 추가되었습니다.

OpenSSL v3.0.6에서 충돌을 일으킬 수 있는 두 가지 새로운 취약점(CVE-2022-3786 및 CVE-2022-3602)이 발견되었습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

• CVE-2022-3786
• CVE-2022-3602

2023년 1월 19일 업데이트: GKE 버전 1.21.14-gke.14100을 사용할 수 있다는 정보가 추가되었습니다.

2022년 12월 16일 업데이트: GKE 및 VMware용 GKE의 패치 버전이 추가되었습니다.

Linux 커널에서 전체 컨테이너가 노드의 루트로 침입할 수 있는 두 가지 새로운 취약점(CVE-2022-2585 및 CVE-2022-2588)이 발견되었습니다.

자세한 내용 및 안내는 다음을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

• CVE-2022-2585
• CVE-2022-2588

Anthos Service Mesh에서 사용되는 Istio에서 악의적인 공격자가 제어 영역을 비정상 종료할 수 있는 보안 취약점 CVE-2022-39278이 발견되었습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

2022년 12월 14일 업데이트: GKE 및 VMware용 GKE의 패치 버전이 추가되었습니다.

Linux 커널에서 권한 없는 사용자가 시스템 실행 권한으로 에스컬레이션할 수 있는 새로운 취약점(CVE-2022-20409)이 발견되었습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터가 영향을 받지 않음을 명확하게 설명했습니다.

2023년 1월 19일 업데이트: GKE 버전 1.21.14-gke.14100을 사용할 수 있다는 정보가 추가되었습니다.

2022년 12월 15일 업데이트: Google Kubernetes Engine 버전 1.21.14-gke.9400은 출시 대기 중이며 더 높은 버전 번호로 대체될 수 있다는 정보가 업데이트되었습니다.

2022년 11월 22일 업데이트: VMware용 GKE, AWS용 GKE, Azure용 GKE에 대한 패치 버전이 추가되었습니다.

Linux 커널에서 로컬 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-3176)이 발견되었습니다. 이 취약점으로 인해 권한이 없는 사용자가 노드에서 루트로 가는 전체 컨테이너에 침입할 수 있습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

Istio 제어 영역 istiod는 요청 처리 오류에 취약하므로 클러스터의 검증 웹훅이 공개적으로 노출될 때 악의적인 공격자가 특수하게 조작된 메시지를 보내 제어 영역에서 충돌이 발생할 수 있습니다. 이 엔드포인트는 TLS 포트 15017을 통해 제공되지만 공격자의 인증이 필요하지 않습니다.

자세한 내용 및 안내는 Anthos Service Mesh 보안 게시판을 참조하세요.

ProtocolBuffer의 C++ 및 Python 구현의 메시지 파싱 및 메모리 관리 취약점으로 인해 특별히 작성된 메시지를 처리할 때 메모리 부족(OOM) 오류가 트리거될 수 있습니다. 이로 인해 라이브러리를 사용하는 서비스에 대한 서비스 거부(DoS)가 발생할 수 있습니다.

어떻게 해야 하나요?

다음 소프트웨어 패키지의 최신 버전을 사용하고 있는지 확인합니다.

• protobuf-cpp(3.18.3, 3.19.5, 3.20.2, 3.21.6)
• protobuf-python(3.18.3, 3.19.5, 3.20.2, 4.21.6)

이 패치로 어떤 취약점이 해결되나요?

이 패치로 다음의 취약점이 완화됩니다.

실행 중인 서비스가 대량의 RAM을 할당하도록 하는 특별히 구성된 작은 크기의 메시지 메시지입니다. 요청의 크기가 작으면 쉽게 취약점을 활용하고 리소스를 소진할 수 있습니다. 신뢰할 수 없는 protobuf를 소비하는 C++ 및 Python 시스템은 RPC 요청에 MessageSet 객체가 포함된 경우 DoS 공격에 취약합니다.

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터가 영향을 받지 않음을 명확하게 설명했습니다.

2022년 9월 14일 업데이트: VMware용 GKE, AWS용 GKE, Azure용 GKE의 패치 버전이 추가되었습니다.

Linux 커널에서 로컬 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-2327)이 발견되었습니다. 이 취약점으로 인해 권한이 없는 사용자가 노드에서 루트로 가는 전체 컨테이너에 침입할 수 있습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

2022년 11월 22일 업데이트: GKE Sandbox를 사용하는 워크로드는 이러한 취약점의 영향을 받지 않습니다.

2022년 7월 21일 업데이트: VMware용 GKE에 대한 추가 정보입니다.

Linux 커널 버전 5.10 및 5.11에서 새로운 취약점(CVE-2022-1786)이 발견되었습니다. 이 취약점으로 인해 클러스터에 대한 로컬 액세스 권한이 있는 권한이 없는 사용자가 노드의 루트에 대한 전체 컨테이너에 침입할 수 있습니다. Container-Optimized OS를 실행하는 클러스터만 영향을 받습니다. GKE Ubuntu 버전은 커널 5.4 또는 5.15 버전을 사용하며 영향을 받지 않습니다.

자세한 내용 및 안내는 다음을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

2022년 11월 22일 업데이트: Autopilot 클러스터는 CVE-2022-29581의 영향을 받지 않지만 CVE-2022-29582 및 CVE-2022-1116에 취약합니다.

Linux 커널에서 3개의 새로운 메모리 손상 취약점(CVE-2022-29581, CVE-2022-29582, CVE-2022-1116)이 발견되었습니다. 이 취약점으로 인해 클러스터에 대한 로컬 액세스 권한이 없는 사용자가 노드의 루트에 대한 전체 컨테이너에 침입할 수 있습니다. 모든 Linux 클러스터(Container-Optimized OS 및 Ubuntu)가 영향을 받습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

• CVE-2022-29581
• CVE-2022-29582
• CVE-2022-1116

2022년 6월 10일 업데이트: Anthos Service Mesh 버전이 업데이트되었습니다. 자세한 내용 및 안내는 Anthos Service Mesh 보안 게시판을 참조하세요.

다음 Envoy 및 Istio CVE는 Anthos Service Mesh와 Istio on GKE를 원격으로 악용 가능한 취약점에 노출합니다.

• CVE-2022-31045: 메타데이터 교환 및 통계 확장 프로그램이 사용 설정되면 Istio 데이터 영역이 안전하지 않은 방식으로 메모리에 액세스할 수 있습니다.
• CVE-2022-29225: 악의적인 공격자가 고도로 압축된 작은 페이로드(zip 폭탄 공격)를 전달하면 데이터가 중간 버퍼 한도를 초과할 수 있습니다.
• CVE-2021-29224: GrpcHealthCheckerImpl의 잠재적인 null 포인터 역참조.
• CVE-2021-29226: OAuth 필터로 간단한 우회가 허용됩니다.
• CVE-2022-29228: OAuth 필터는 메모리를 손상시키거나(이전 버전) ASSERT()를 트리거할 수 있습니다(이후 버전).
• CVE-2022-29227: 본문 또는 트레일러 요청에 대한 내부 리디렉션 장애입니다.

자세한 내용 및 안내는 Anthos Service Mesh 보안 게시판을 참조하세요.

• CVE-2022-31045
  
• CVE-2022-29225
  
• CVE-2021-29224
  
• CVE-2021-29226
  
• CVE-2022-29228
  
• CVE-2022-29227
  

2022년 11월 22일 업데이트: GKE Sandbox에서 실행되는 GKE Autopilot 클러스터 및 워크로드는 영향을 받지 않습니다.

2022년 5월 12일 업데이트: AWS용 GKE 및 Azure용 GKE 버전이 업데이트되었습니다. 자세한 내용 및 안내는 다음을 참조하세요.

• AWS용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

---

Linux 커널에서 두 가지 보안 취약점 CVE-2022-1055 및 CVE-2022-27666이 발견되었습니다. 이로 인해 로컬 공격자가 컨테이너 브레이크아웃, 호스트에서 권한 에스컬레이션을 수행하거나 둘 다 수행할 수 있습니다. 이러한 취약점은 모든 GKE 노드 운영체제(Container-Optimized OS 및 Ubuntu)에 영향을 줍니다. 자세한 내용 및 안내는 다음 보안 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

보안 취약점 CVE-2022-23648은 OCI 이미지 볼륨 사양의 containerd 경로 순회 처리에서 발견되었습니다. 특별히 제작된 이미지 구성으로 containerd의 CRI 구현을 통해 시작된 컨테이너는 호스트의 임의 파일 및 디렉터리에 대한 전체 읽기 액세스 권한을 얻을 수 있습니다. 이 취약점은 컨테이너 설정에 대한 정책 기반 시행(Kubernetes 포드 보안 정책 포함)을 우회할 수 있습니다.

자세한 내용 및 안내는 다음 보안 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

2022년 11월 22일 업데이트: Standard 및 Autopilot 모드의 GKE 클러스터의 경우 GKE Sandbox를 사용하는 워크로드는 영향을 받지 않습니다.

Linux 커널 버전 5.8 이상에서 보안 취약점 CVE-2022-0847이 발견되었으며 컨테이너 권한이 루트로 에스컬레이션될 수 있습니다. 이 취약점은 다음 제품에 영향을 미칩니다.

• Container-Optimized OS 이미지(Container-Optimized OS 93 이상)를 사용하는 GKE 노드 풀 버전 1.22 이상
• Container-Optimized OS 이미지용 VMware용 GKE v1.10
• AWS용 GKE v1.21 및 AWS용 GKE(이전 세대) v1.19, v1.20, v1.21(Ubuntu 사용)
• Ubuntu를 사용하는 Azure용 GKE v1.21의 관리형 클러스터

자세한 내용 및 안내는 다음 보안 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

2022년 8월 11일 업데이트: 동시 멀티 스레딩(SMT) 구성에 대한 자세한 정보가 추가되었습니다. SMT는 사용 중지되었지만 나열된 버전에서 사용 설정되었습니다.

샌드박스 처리된 노드 풀에 수동으로 SMT를 사용 설정한 경우 이 문제가 발생하더라도 SMT는 수동으로 사용 설정된 상태를 유지합니다.

GKE Sandbox 이미지에 하이퍼 스레딩이라고도 하는 동시 멀티 스레딩(SMT)이 잘못 구성되어 있습니다. 잘못된 구성으로 인해 노드가 마이크로아키텍처 데이터 샘플링(MDS)과 같은 부채널 공격에 노출될 수 있습니다. 자세한 내용은 GKE Sandbox 문서를 참조하세요. 영향을 받는 다음 버전을 사용하지 않는 것이 좋습니다.

• 1.22.4-gke.1501
• 1.22.6-gke.300
• 1.23.2-gke.300
• 1.23.3-gke.600

자세한 안내 및 정보는 GKE 보안 게시판을 참조하세요.

다음 Istio CVE는 Anthos Service Mesh를 원격으로 악용 가능한 취약점에 노출합니다.

• CVE-2022-24726: Istio 제어 영역 `istiod`는 요청 처리 오류에 취약하므로 클러스터의 검증 웹훅이 공개적으로 노출될 때 악의적인 공격자가 특수하게 조작된 메시지를 보내 제어 영역에서 충돌이 발생할 수 있습니다. 이 엔드포인트는 TLS 포트 15017을 통해 제공되지만 공격자의 인증이 필요하지 않습니다.

자세한 내용 및 안내는 다음 보안 게시판을 참조하세요.

• Anthos Service Mesh 보안 게시판

• CVE-2022-24726

GKE Autopilot 클러스터에서 노드 VM에 액세스하기 위한 일부 예기치 않은 경로가 클러스터의 권한 승격을 위해 사용되었습니다. 이 문제는 해결되었으며 추가 조치가 필요하지 않습니다. 이 수정사항은 취약성 발견 보상 프로그램을 통해 보고된 문제를 해결합니다.

자세한 내용 및 안내는 GKE 보안 게시판을 참조하세요.

2022년 4월 28일 업데이트: 이러한 취약점을 해결하는 VMware용 GKE 버전이 추가되었습니다. 자세한 내용은 VMware용 GKE 보안 게시판을 참조하세요.

• CVE-2022-23606: 클러스터 검색 서비스(CDS)를 통해 클러스터가 삭제되면 해당 클러스터의 엔드포인트에 설정된 모든 유휴 연결이 끊어집니다. Envoy 버전 1.19에서는 클러스터에 많은 수의 유휴 연결이 있을 때 스택 소진 및 비정상 프로세스 종료를 초래할 수 있는 유휴 연결 해제 절차에 반복이 잘못 도입되었습니다.
• CVE-2022-21655: Envoy의 내부 리디렉션 코드는 경로 항목이 존재한다고 가정합니다. 직접 반응 항목이 있고 경로 항목이 없는 경로로 내부 리디렉션이 수행되면 null 포인터가 역참조되고 다운됩니다.
• CVE-2021-43826: HTTP를 통한 업스트림 터널링과 다운스트림 TLS 종료를 사용하는 tcp_proxy를 사용하도록 Envoy가 구성된 경우, HTTP 스트림을 아직 설정하는 동안 TLS 핸드셰이크 중에 다운스트림 연결이 끊기면 Envoy는 비정상 종료됩니다. 다운스트림 연결 해제는 클라이언트 또는 서버에서 시작될 수 있습니다. 클라이언트는 어떠한 이유로든 연결을 해제할 수 있습니다. 예를 들어 클라이언트와 호환되는 TLS 암호화 또는 TLS 프로토콜 버전이 없는 경우 서버의 연결이 해제될 수 있습니다. 다른 다운스트림 구성에서도 이 비정상 종료가 발생할 수 있습니다.
• CVE-2021-43825: 로컬로 생성된 응답을 전송하면 요청 또는 응답 데이터의 추가 처리가 중단되어야 합니다. Envoy는 버퍼링된 요청과 응답 데이터의 양을 추적하고, 버퍼링된 데이터의 양이 413개 또는 500개의 응답을 전송하여 한도를 초과하는 경우 요청을 취소합니다. 그러나 필터 체인에서 응답이 처리되는 동안 내부 버퍼 오버플로로 인해 로컬에서 생성된 응답이 전송되면 작업이 올바르게 취소되지 않고 해제된 메모리 블록에 액세스할 수 있습니다.
• CVE-2021-43824: JWT 필터를 'safe_regex' 일치 규칙과 함께 사용하고 'CONNECT host:port HTTP/1.1'과 같이 특별히 제작된 요청을 사용할 때 Envoy가 다운됩니다. JWT 필터에 도달하면 'safe_regex' 규칙이 URL 경로를 평가해야 하지만 여기에 경로가 없고, Envoy는 segfault와 함께 비정상 종료됩니다.
• CVE-2022-21654: Envoy는 mTLS 유효성 검사 설정이 재구성된 후 TLS 세션 재개를 잘못 허용합니다. 클라이언트 인증서가 이전 구성에서는 허용되었지만 새 구성에서는 허용되지 않은 경우, 클라이언트는 현재 TLS 구성에서 허용하지 않더라도 이전 TLS 세션을 재개할 수 있습니다. 영향을 받는 설정은 다음과 같습니다.
  • match_subject_alt_names
  • CRL 변경사항
  • allow_expired_certificate
  • Trust_chain_verification
  • only_verify_leaf_cert_crl
• CVE-2022-21657 Envoy는 피어에서 수락하는 인증서 집합을 TLS 클라이언트 또는 TLS 서버로 제한하지 않으며 필요한 extendedKeyUsage(각각 id-kp-serverAuth 및 id-kp-clientAuth)가 포함된 인증서만 제한합니다. 즉, 피어는 이메일 인증서(예: id-kp-emailProtection)를 리프 인증서 또는 체인의 CA로 제공할 수 있으며 TLS에 대해 수락됩니다. 이는 CVE-2022-21656과 결합되는 경우 특히 문제가 됩니다. S/MIME에서만 사용할 수 있는 웹 PKI CA가 허용되므로 감사 또는 감독에서 면제되어 Envoy에서 수락할 TLS 인증서를 발급합니다.
• CVE-2022-21656: 기본 인증서 유효성 검사 루틴을 구현하는 데 사용되는 검사기 구현에는 subjectAltNames를 처리할 때 '유형 혼동' 버그가 있습니다. 이 처리를 통해 예를 들어 rfc822Name 또는 uniformResourceIndicator를 도메인 이름으로 인증할 수 있습니다. 이러한 혼동은 기본 OpenSSL/BoringSSL 구현에 의해 처리되는 nameConstraints를 우회하여 임의의 서버 명의 도용 가능성을 노출합니다.

• Anthos Service Mesh 보안 게시판

• Istio on GKE 보안 게시판

• GKE
• VMware용 GKE
• 베어메탈용 Google Distributed Cloud Virtual

다음 Envoy 및 Istio CVE는 Anthos Service Mesh와 Istio on GKE를 원격으로 악용 가능한 취약점에 노출합니다.

• CVE-2022-23635: 특별히 제작된 authorization 헤더로 요청 수신 시 Istiod가 비정상 종료됨
• CVE-2021-43824: JWT 필터 safe_regex 일치를 사용할 때 발생할 수 있는 null 포인터 역참조
• CVE-2021-43825: 응답 필터가 응답 데이터를 늘리고 증가된 데이터가 다운스트림 버퍼 한도를 초과할 때, Use-after-free
• CVE-2021-43826: HTTP를 통해 TCP를 터널링할 때 Use-after-free(업스트림 연결 설정 중에 다운스트림 연결이 끊어지는 경우)
• CVE-2022-21654: 잘못된 구성 처리로 검증 설정이 변경된 후 재검증 없이 mTLS 세션 재사용 허용
• CVE-2022-21655: 직접 응답 항목이 있는 경로에 대한 내부 리디렉션을 잘못 처리
• CVE-2022-23606: 클러스터 탐색 서비스를 통해 클러스터가 삭제될 때 스택 소진

자세한 내용 및 안내는 다음 보안 게시판을 참조하세요.

• Anthos Service Mesh 보안 게시판
• Istio on GKE 보안 게시판

• CVE-2022-23635
  
• CVE-2021-43824
  
• CVE-2021-43825
  
• CVE-2021-43826
  
• CVE-2022-21654
  
• CVE-2022-21655
  
• CVE-2022-23606
  

2022년 5월 16일 업데이트: 이 취약점을 해결하기 위한 코드가 있는 버전 목록에 GKE 버전 1.19.16-gke.7800 이상이 추가되었습니다. 자세한 내용은 GKE 보안 게시판을 참조하세요.

2022년 5월 12일 업데이트: GKE, VMware용 GKE, AWS용 GKE, Azure용 GKE 버전이 업데이트되었습니다. 자세한 내용 및 안내는 다음을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판

Linux 커널의 cgroup_release_agent_write 함수에서 보안 취약점 CVE-2022-0492가 발견되었습니다. 공격은 권한이 없는 사용자 네임스페이스를 사용하며 특정 상황에서 이 취약점이 컨테이너 침입에 악용될 수 있습니다.

자세한 내용 및 안내는 다음을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• Azure용 GKE 보안 게시판

보안 취약점 CVE-2021-43527은 3.73 또는 3.68.1 이전 버전의 NSS(네트워크 보안 서비스)에서 발견된 취약한 libnss3 버전에 연결되는 바이너리에서 발견되었습니다. 인증서 유효성 검사나 기타 TLS, X.509, OCSP 또는 CRL 기능에 NSS를 사용하는 애플리케이션은 NSS 사용/구성 방식에 따라 영향을 받을 수 있습니다.

자세한 내용 및 안내는 다음을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• Azure용 GKE 보안 게시판

Linux 정책 키트 패키지(polkit)의 일부인 pkexec에서 보안 취약점 CVE-2021-4034가 발견되었으며, 이 취약점은 인증된 사용자가 권한 에스컬레이션 공격을 수행할 수 있도록 합니다. PolicyKit는 일반적으로 루트가 아닌 사용자가 정책에 따라 시스템 재부팅, 패키지 설치, 서비스 재시작과 같은 작업을 수행할 수 있도록 하는 Linux 데스크톱 시스템에서만 사용됩니다.

자세한 내용 및 안내는 다음을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• Azure용 GKE 보안 게시판

2022년 2월 25일 업데이트: GKE 버전이 업데이트되었습니다. 자세한 내용 및 안내는 다음을 참조하세요.

• GKE 보안 게시판

2022년 2월 23일 업데이트: GKE 및 VMware용 GKE 버전이 업데이트되었습니다. 자세한 내용 및 안내는 다음을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판

2022년 2월 4일 업데이트: GKE 패치 버전의 출시 시작일은 2월 2일였습니다.

Linux 커널에서 CVE-2021-4154, CVE-2021-22600, CVE-2022-0185의 세 가지 보안 취약점이 발견되었으며, 각각은 컨테이너 침입, 호스트의 권한 에스컬레이션 또는 둘 다로 이어질 수 있습니다. 이러한 취약점은 GKE의 모든 노드 운영체제(COS 및 Ubuntu), VMware용 GKE, AWS용 GKE(현재 및 이전 세대), Azure용 GKE에 영향을 미칩니다. GKE Sandbox를 사용하는 포드는 이 취약점에 취약하지 않습니다. 자세한 내용은 COS 출시 노트를 참조하세요.

자세한 내용 및 안내는 다음을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판

• CVE-2021-4154
• CVE-2021-22600
• CVE-2022-0185

protobuf-java의 잠재적인 서비스 거부 문제가 바이너리 데이터의 파싱 절차에서 발견되었습니다.

어떻게 해야 하나요?

다음 소프트웨어 패키지의 최신 버전을 사용하고 있는지 확인합니다.

• protobuf-java(3.16.1, 3.18.2, 3.19.2)
• protobuf-kotlin(3.18.2, 3.19.2)
• google-protobuf [JRuby gem](3.19.2)

Protobuf 'javalite' 사용자(일반적으로 Android)는 영향을 받지 않습니다.

이 패치로 어떤 취약점이 해결되나요?

이 패치로 다음의 취약점이 완화됩니다.

Java에서 알 수 없는 필드가 파싱되는 방식의 구현 단점입니다. 소량(800KB 미만)의 악성 페이로드는 반복 가비지 컬렉션 일시중지를 자주 초래하는 단기 객체를 대량으로 만들어 몇 분 동안 파서를 차지할 수 있습니다.

Kubernetes ingress-nginx 컨트롤러 CVE-2021-25742에 보안 문제가 검색되었습니다. Ingress-nginx 커스텀 스니펫은 모든 네임스페이스에서 ingress-nginx 서비스 계정 토큰 및 보안 비밀을 검색하도록 허용합니다.

자세한 내용 및 안내는 다음을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

해당 서비스에서 활성 Google Cloud Armor 보안 정책을 삭제하는 v1beta1 API를 사용하여 BackendConfig 리소스를 업데이트할 때 알려진 문제가 있습니다.

자세한 내용 및 안내는 GKE 보안 게시판을 참조하세요.

키 생성에 사용되는 시드 키를 예측할 수 있는 VMware용 GKE 버전 1.8 및 1.8.1의 AIS(GKE Enterprise Identity Service) LDAP 모듈에서 취약점이 발견되었습니다. 이 취약점으로 인해 인증된 사용자는 임의 클레임을 추가하고 권한을 무기한 에스컬레이션할 수 있습니다.

자세한 안내 및 정보는 VMware용 GKE 보안 게시판을 참조하세요.

보안 취약점 CVE-2020-8561이 Kubernetes에서 발견되었으며, 이 API에서 특정 웹훅을 만들면 kube-apiserver 요청을 이 API 서버의 비공개 네트워크로 리디렉션할 수 있습니다.

자세한 내용 및 안내는 다음을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

VMware 보안 자문 VMSA-2021-0020에 따라 VMware는 vCenter의 여러 취약점에 대한 보고서를 받았습니다. VMware는 영향을 받은 VMware 제품의 이러한 취약점을 해결하기 위한 업데이트를 만들었습니다.

VMware 보안 권장사항에 따라 VMware에서 vSphere 스택에 제공하는 패치를 Google Cloud VMware Engine에 이미 적용했습니다. 이 업데이트는 CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008, CVE-2021-22010에 설명된 보안 취약점을 해결합니다. 기타 심각하지 않은 보안 문제는 예정된 VMware 스택 업그레이드에서 해결될 예정입니다(7월에 전송된 사전 알림에 따라 업그레이드의 특정 일정에서 자세한 내용이 곧 제공될 예정).

VMware Engine의 영향

조사에 따르면 영향을 받는 고객은 없는 것으로 확인되었습니다.

어떻게 해야 하나요?

VMware Engine 클러스터는 이 취약점의 영향을 받지 않으므로 추가 작업이 필요하지 않습니다.

• VMSA-2021-0020
• CVE-2021-22005
• CVE-2021-22006
• CVE-2021-22007
• CVE-2021-22008
• CVE-2021-22010

IAP(Identity-Aware Proxy)가 사용 설정된 백엔드 서비스로 라우팅하는 특정 Google Cloud 부하 분산기가 제한된 조건에서 신뢰할 수 없는 당사자에게 취약할 수 있었습니다. 이번 변경은 Google의 취약성 발견 보상 프로그램에서 보고된 문제를 다룹니다.

• HTTP(S) 부하 분산기였으며
• 기본 백엔드 또는 와일드 카드 호스트 매핑 규칙(host="*")이 있는 백엔드를 사용하였습니다.

또한 조직의 사용자는 신뢰할 수 없는 사용자가 보낸 특별히 제작된 링크를 클릭하였습니다.

이 조치로 이제 문제가 해결되었습니다. 2021년 9월 17일부터 승인된 호스트에만 쿠키를 발급하도록 IAP가 업데이트되었습니다. 호스트는 부하 분산기에 설치된 인증서 중 하나에서 1개 이상의 주체 대체 이름(SAN)과 일치하는 경우 승인된 호스트로 간주됩니다.

필요한 조치

일부 사용자의 경우 앱이나 서비스에 액세스하려는 동안 IAP 오류 코드 52와 함께 HTTP 401 Unauthorized 응답 오류가 발생할 수 있습니다. 이러한 오류 코드는 클라이언트가 부하 분산기의 SSL 인증서와 연결된 주체 대체 이름과 일치하지 않는 Host 헤더를 보냈음을 의미합니다. 부하 분산기 관리자는 사용자가 IAP로 보호되는 앱 또는 서비스에 액세스하는 데 사용하는 모든 호스트 이름이 주체 대체 이름(SAN) 목록에 포함되도록 SSL 인증서를 업데이트해야 합니다. IAP 오류 코드에 대해 자세히 알아보세요.

Kubernetes, CVE-2021-25741에서 보안 문제가 발견되었으며, 여기에는 사용자가 subpath 볼륨 마운트를 사용하는 컨테이너를 생성해 호스트 파일 시스템을 포함한 볼륨 외부의 파일 및 디렉터리에 액세스할 수 있다는 문제가 있습니다.

자세한 내용 및 안내는 다음을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

2021년 9월 23일 업데이트: GKE Sandbox 내에서 실행되는 컨테이너는 컨테이너 내부에서 발생한 공격에 대한 이 취약점의 영향을 받지 않습니다.

Linux 커널에서 2개의 보안 취약점 CVE-2021-33909 및 CVE-2021-33910이 발견되었습니다. OS 비정상 종료 또는 권한이 없는 사용자의 루트 에스컬레이션으로 이어질 수 있습니다. 이 취약점은 모든 GKE 노드 운영체제(COS 및 Ubuntu)에 영향을 미칩니다.

자세한 내용 및 안내는 다음 보안 게시판을 참조하세요.

• GKE 보안 게시판
• AWS용 GKE 보안 게시판

다음 Envoy 및 Istio CVE는 Anthos Service Mesh와 Istio on GKE를 원격으로 악용 가능한 취약점에 노출합니다.

• CVE-2021-39156: URI 경로에 조각(URI의 끝 부분에 # 문자로 시작하는 섹션)이 있는 HTTP 요청은 Istio의 URI 경로 기반 승인 정책을 우회할 수 있습니다.
• CVE-2021-39155: hosts 또는 notHosts 기반 규칙 사용 시 HTTP 요청이 Istio 승인 정책을 우회할 수 있습니다.
• CVE-2021-32781: 요청 또는 응답 본문의 크기를 수정하고 늘리는 Envoy의 decompressor, json-transcoder, grpc-web 확장 프로그램 또는 독점 확장 프로그램에 영향을 미칩니다. Envoy 확장 프로그램에서 본문 크기를 내부 버퍼 크기 이상으로 수정하고 늘리면 Envoy가 할당 해제된 메모리에 액세스하고 비정상적으로 종료될 수 있습니다.
• CVE-2021-32780: 신뢰할 수 없는 업스트림 서비스가 GOAWAY 프레임을 전송하고 이어서 SETTINGS_MAX_CONCURRENT_STREAMS 매개변수가 0로 설정된 SETTINGS 프레임을 전송하여 Envoy가 비정상적으로 종료될 수 있습니다. (Istio on GKE에는 적용되지 않음)
• CVE-2021-32778: Envoy 클라이언트를 연 후 많은 수의 HTTP/2 요청을 재설정하면 CPU가 과도하게 사용될 수 있습니다. (Istio on GKE에는 적용되지 않음)
• CVE-2021-32777: ext_authz 확장 프로그램을 사용되는 경우 값 헤더가 여러 개인 HTTP 요청이 불완전한 승인 정책 검사를 수행할 수 있습니다.

자세한 내용 및 안내는 다음 보안 게시판을 참조하세요.

• Anthos Service Mesh 보안 게시판
• Istio on GKE 보안 게시판

• CVE-2021-39156
• CVE-2021-39155
• CVE-2021-32781
• CVE-2021-32780
• CVE-2021-32778
• CVE-2021-32777

CAP_NET_ADMIN 권한이 있는 악의적인 행위자가 호스트의 루트에 컨테이너 침입을 유발할 수 있는 신규 보안 취약점인 CVE-2021-22555가 발견되었습니다. 이 취약점은 Linux 버전 2.6.19 이상을 실행하는 모든 GKE 클러스터와 VMware용 GKE에 영향을 미칩니다.

자세한 내용 및 안내는 다음 보안 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판

Microsoft는 Windows 서버에서 인쇄 스풀러에 영향을 주는 원격 코드 실행(RCE) 취약점에 대한 보안 게시글 CVE-2021-34527을 게시했습니다. CERT 조정 센터(CERT/CC)는 PrintNightmare, Critical Windows Print Spooler Vulnerability라는 Windows 인쇄 스풀러에도 영향을 주는 'PrintNightmare'라는 표현을 이용해서 관련 취약점에 대한 업데이트 정보를 게시했습니다.

자세한 내용 및 안내는 GKE 보안 게시판을 참조하세요.

Istio 프로젝트는 최근 게이트웨이 및 DestinationRule credentialName 필드에 지정된 사용자 인증 정보에 여러 네임스페이스에서 액세스할 수 있는 보안 취약점을 발표했습니다.

제품별 자세한 내용 및 안내는 다음을 참조하세요.

• Anthos Service Mesh 보안 게시판
• Google Kubernetes Engine, 베어메탈용 Google Distributed Cloud Virtual, VMware용 GKE와 관련된 정보는 GKE Enterprise 보안 게시판 GCP-2021-012를 참조하세요.

2021년 10월 19일 업데이트:

자세한 내용 및 안내는 다음 보안 게시판을 참조하세요.

• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

runc에서 발견된 노드 파일 시스템에 대해 전체 액세스를 허용할 수 있는 새로운 보안 취약점(CVE-2021-30465)이 최근 보안 커뮤니티에서 공개되었습니다.

GKE의 경우 이 취약점을 악용하기 위해서는 포드 만들기 기능이 필요하기 때문에 이 취약점의 심각도가 보통으로 지정되었습니다.

자세한 내용 및 안내는 GKE 보안 게시판을 참조하세요.

VMware 보안 권고 VMSA-2021-0010에 따라 vSphere 클라이언트(HTML5)의 원격 코드 실행 및 인증 우회 취약점이 VMware에 비공개로 보고되었습니다. VMware는 영향을 받은 VMware 제품의 이러한 취약점을 해결하기 위한 업데이트를 만들었습니다.

VMware 보안 권고에 따라 VMware에서 제공한 패치를 vSphere 스택에 적용했습니다. 이 업데이트는 CVE-2021-21985 및 CVE-2021-21986에 설명된 보안 취약점을 해결합니다. VMware Engine 프라이빗 클라우드에서 실행되는 이미지 버전은 적용된 패치를 나타내는 현재의 변경사항을 반영하지 않습니다. 적절한 패치가 설치되었으며 이러한 취약점으로부터 환경이 보호되고 있으므로 안심하셔도 됩니다.

VMware Engine의 영향

조사에 따르면 영향을 받는 고객은 없는 것으로 확인되었습니다.

어떻게 해야 하나요?

VMware Engine 클러스터는 이 취약점의 영향을 받지 않으므로 추가 작업이 필요하지 않습니다.

• VMSA-2021-0010
• CVE-2021-21985
• CVE-2021-21986

Istio에는 게이트웨이가 AUTO_PASSTHROUGH 라우팅 구성으로 구성된 경우 외부 클라이언트가 승인 검사를 우회하여 클러스터의 예상치 못한 서비스에 액세스할 수 있는 원격으로 악용 가능한 취약점이 포함되어 있습니다.

자세한 내용 및 안내는 Anthos Service Mesh 보안 게시판을 참조하세요.

높음

Istio에는 슬래시 또는 이스케이프된 슬래시 문자(%2F 또는 %5C)가 여러 개 있는 HTTP 요청 경로가 경로 기반 승인 규칙을 사용할 때 Istio 승인 정책을 우회할 수 있는 원격으로 악용 가능한 취약점이 포함되어 있습니다.

자세한 내용 및 안내는 Anthos Service Mesh 보안 게시판을 참조하세요.

높음

Istio 프로젝트는 최근 Istio에 영향을 미치는 새로운 보안 취약점(CVE-2021-31920)을 공개했습니다.

Istio에는 슬래시 또는 이스케이프된 슬래시 문자가 여러 개 있는 HTTP 요청이 경로 기반 승인 규칙을 사용할 때 Istio 승인 정책을 우회할 수 있는 원격으로 악용 가능한 취약점이 포함되어 있습니다.

자세한 내용 및 안내는 다음을 참조하세요.

• GKE 보안 게시판

높음

보고된 취약점에 따르면 Envoy가 Envoy 버전 1.18.2 이하의 HTTP URL 경로에서 이스케이프된 슬래시 시퀀스 %2F와 %5C를 디코딩하지 않습니다. 또한 일부 Envoy 기반 제품에서도 경로 정규화 제어를 사용 설정하지 않습니다. 원격 공격자가 이스케이프된 슬래시(예: /something%2F..%2Fadmin,)를 사용한 경로를 만들어 액세스 제어를 우회(예: /admin의 블록)할 수 있습니다. 이후 백엔드 서버에서 슬래시 시퀀스를 디코딩하고 경로를 정규화하여 액세스 제어 정책에서 제공하는 범위 이상의 액세스 권한을 공격자에게 제공할 수 있습니다.

어떻게 해야 하나요?

백엔드 서버가 / 및 %2F 또는\ 및 %5C를 서로 바꿔서 처리하고 URL 경로 기반 일치가 구성되면 가능한 경우 백엔드 서버를 재구성해 \ 및 %2F 또는 \ 및 %5C를 서로 바꿔서 처리하지 않도록 하는 것이 좋습니다.

어떤 동작 변경사항이 도입되었나요?

Envoy의 normalize_path 및 인접한 슬래시 병합 옵션이 Envoy 기반 제품의 다른 일반적인 경로 혼동 취약점을 해결하기 위해 사용 설정되었습니다.

높음

Envoy 및 Istio 프로젝트는 최근 공격자가 Envoy를 손상시킬 수 있는 몇 가지 새로운 보안 취약점(CVE-2021-28683, CVE-2021-28682, CVE-2021-29258)을 발표했습니다.

Google Kubernetes Engine 클러스터는 기본적으로 Istio를 실행하지 않으므로 취약하지 않습니다. Istio가 클러스터에 설치되고 인터넷에 서비스를 노출하도록 구성된 경우 서비스는 서비스 거부에 취약할 수 있습니다.

베어메탈용 Google Distributed Cloud Virtual 및 VMware용 GKE는 기본적으로 Envoy를 인그레스에 사용하므로 인그레스 서비스가 서비스 거부에 취약할 수 있습니다.

자세한 내용 및 안내는 다음 보안 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

보통

• CVE-2021-28683
• CVE-2021-28682
• CVE-2021-29258

Kubernetes 프로젝트에서 최근에 발표한 새로운 보안 취약점인 CVE-2021-25735는 노드 업데이트가 검증 허용 웹훅을 우회할 수 있습니다.

공격자가 충분한 권한이 있고 이전 Node 객체 속성(예: Node.NodeSpec의 필드)을 사용하는 검증 허용 웹훅이 구현된 시나리오에서 공격자는 클러스터를 손상시킬 수 있는 노드의 속성을 업데이트할 수 있습니다. GKE 및 Kubernetes 기본 제공 허용 컨트롤러에서 시행하는 어떠한 정책도 영향을 받지 않지만 고객이 설치한 추가 허용 웹훅을 확인하는 것이 좋습니다.

자세한 내용 및 안내는 다음 보안 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판

보통

CVE-2021-25735

VMware 보안 권고 VMSA-2021-0002에 따라 VMware는 VMware ESXi 및 vSphere Client(HTML5)의 여러 취약점에 대한 보고를 받았습니다. VMware는 영향을 받은 VMware 제품의 이러한 취약점을 해결하기 위한 업데이트를 만들었습니다.

VMware 보안 권고에 따라 vSphere 스택에 대한 공식적으로 작성된 해결 방법을 적용했습니다. 이 업데이트는 CVE-2021-21972, CVE-2021-21973, CVE-2021-21974에 설명된 보안 취약점을 해결합니다.

VMware Engine의 영향

조사에 따르면 영향을 받는 고객은 없는 것으로 확인되었습니다.

어떻게 해야 하나요?

VMware Engine 클러스터는 이 취약점의 영향을 받지 않으므로 추가 작업이 필요하지 않습니다.

• VMSA-2021-0002
• CVE-2021-21972
• CVE-2021-21973
• CVE-2021-21974

CVE-2021-3156의 설명대로 최근 Linux 유틸리티 sudo에서 취약점이 발견되었습니다. 이 취약점은 sudo가 설치된 시스템에서 권한 없는 로컬 셸 액세스 권한을 가진 공격자를 허용하여 공격자의 권한을 시스템의 루트로 에스컬레이션할 수 있습니다.

Compute Engine이 실행되는 기본 인프라는 이 취약점의 영향을 받지 않습니다.

모든 Google Kubernetes Engine(GKE), VMware용 GKE, AWS용 GKE, 베어메탈용 Google Distributed Cloud Virtual 클러스터는 이 취약점의 영향을 받지 않습니다.

자세한 내용 및 안내는 다음 보안 게시판을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판
• 베어메탈용 Google Distributed Cloud Virtual 보안 게시판
• Compute Engine 보안 게시판

업데이트: 2021년 12월 22일 다음 섹션의 GKE 명령어는 gcloud 명령어 대신 gcloud beta를 사용해야 합니다.

gcloud container clusters update –no-enable-service-externalips

1. GKE 버전 1.21부터 기본적으로 새 클러스터에 사용 설정되는 DenyServiceExternalIPs 허용 컨트롤러에서 ExternalIP가 포함된 서비스를 차단합니다.
2. GKE 버전 1.21로 업그레이드하는 고객은 다음 명령어를 사용하여 ExternalIP가 있는 서비스를 차단할 수 있습니다.

   
   gcloud container clusters update –no-enable-service-externalips
   

자세한 내용은 클러스터 보안 강화를 참조하세요.

Kubernetes 프로젝트에서 최근에 발견한 새로운 보안 취약점인 CVE-2020-8554은 LoadBalancer 또는 ClusterIP 유형의 Kubernetes 서비스를 생성할 권한을 얻은 공격자가 클러스터의 다른 포드에서 발생하는 네트워크 트래픽을 가로챌 수 있습니다. 이 취약점 자체로 인해 공격자가 Kubernetes 서비스를 만들 수 있는 권한이 부여되지는 않습니다.

모든 Google Kubernetes Engine(GKE), VMware용 GKE, AWS용 GKE 클러스터가 이 취약점의 영향을 받습니다.

어떻게 해야 하나요?

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판

보통

최근 Kubernetes 프로젝트에서는 상세 로깅 옵션이 사용 설정된 경우 보안 비밀 데이터를 노출할 가능성이 있는 여러 문제가 발견되었습니다. 문제는 다음과 같습니다.

• CVE-2020-8563: vSphere Provider kube-controller-manager의 로그 보안 비밀 유출.
• CVE-2020-8564: 파일 형식이 잘못되었으며 loglevel 값이 4 이상인 경우 Docker 구성 보안 비밀이 유출됨.
• CVE-2020-8565: Kubernetes의 CVE-2019-11250에 대한 불완전한 수정으로 logLevel 값이 9 이상인 경우 토큰이 유출될 수 있음. GKE 보안으로 발견됨.
• CVE-2020-8566: loglevel이 4 이상인 경우 로그의 Ceph RBD adminSecrets 노출.

어떻게 해야 하나요?

GKE의 기본 세부정보 수준 로깅 레벨로 인해 추가 작업이 필요하지 않습니다.

없음

• CVE-2020-8563
• CVE-2020-8564
• CVE-2020-8565
• CVE-2020-8566

Google Kubernetes Engine(GKE)

Google Kubernetes Engine(GKE)은 영향을 받지 않습니다.

GKE On-Prem

GKE On-Prem은 영향을 받지 않습니다.

AWS용 GKE

AWS용 GKE는 영향을 받지 않습니다.

CVE-2020-1472 - Windows Server의 취약점으로 인해 공격자가 Netlogon 원격 프로토콜을 사용하여 네트워크 기기에서 특별히 제작된 애플리케이션을 실행할 수 있습니다.

NVD 기본 점수: 10(중요)

CVE-2020-1472

Compute Engine

CVE-2020-1472

대부분 고객의 경우 추가 조치는 필요하지 않습니다.

Windows Server를 실행하는 Compute Engine 가상 머신을 사용하는 고객은 인스턴스를 최신 Windows 패치로 업데이트하거나 2020년 8월 17일 이후에 게시된 Windows Server 이미지(v20200813 이상)를 사용해야 합니다.

Google Kubernetes Engine

CVE-2020-1472

대부분 고객의 경우 추가 조치는 필요하지 않습니다.

GKE Windows Server 노드에서 도메인 컨트롤러를 호스팅하는 모든 고객은 노드와 이러한 노드에서 실행되는 컨테이너화된 워크로드가 모두 최신 Windows 노드 이미지가 출시되면 반드시 이를 보유해야 합니다. 새로운 노드 이미지 버전은 10월 GKE 출시 노트에 공지됩니다.

Microsoft Active Directory용 관리형 서비스

CVE-2020-1472

대부분 고객의 경우 추가 조치는 필요하지 않습니다.

NetLogon 프로토콜에 대한 수정사항이 포함된 Microsoft에서 출시한 8월 패치는 모든 관리형 Microsoft AD 도메인 컨트롤러에 적용되었습니다. 이 패치는 잠재적인 악용으로부터 보호하는 기능을 제공합니다. 시기적절한 패치 적용 애플리케이션은 Microsoft Active Directory용 관리형 서비스를 사용할 때의 주요 이점 중 하나입니다. Microsoft Active Directory를 수동으로 실행하며 Google Cloud의 관리형 서비스를 사용하지 않는 고객은 인스턴스에 최신 Windows 패치가 설치되어 있거나 Windows Server 이미지를 사용해야 합니다.

Google Workspace

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

App Engine 표준 환경

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

App Engine 가변형 환경

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Cloud Run

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Cloud Functions

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Cloud Composer

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Dataflow

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Dataproc

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Cloud SQL

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

CVE-2020-14386에 설명된 바와 같이 최근 Linux 커널에서 취약점이 발견되었으며, 이 취약점은 컨테이너 이스케이프가 호스트 노드의 루트 권한을 확보할 수 있다는 문제를 안고 있습니다.

모든 GKE 노드가 영향을 받습니다. GKE Sandbox에서 실행되는 포드는 이 취약점을 활용할 수 없습니다.

자세한 내용 및 안내는 다음을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판

높음

CVE-2020-14386

네트워킹 취약점인 CVE-2020-8558이 최근 Kubernetes에서 발견되었습니다. 경우에 따라 서비스는 로컬 루프백 인터페이스(127.0.0.1)를 사용하여 동일한 포드에서 실행되는 다른 애플리케이션과 통신합니다. 이 취약점으로 인해 클러스터의 네트워크에 대한 액세스 권한이 있는 공격자가 인접 포드 및 노드의 루프백 인터페이스로 트래픽을 전송할 수 있습니다. 포드 외부에서 액세스할 수 없는 루프백 인터페이스를 사용하는 서비스는 악용될 수 있습니다.

자세한 내용 및 안내는 다음을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판

낮음(GKE 및 AWS용 GKE),
중간(VMware용 GKE)

CVE-2020-8558

CVE-2020-1350 — 로컬 시스템 계정으로 신뢰할 수 없는 코드를 실행하기 위해 DNS 서버 용량으로 제공되는 Windows Server가 악용될 수 있습니다.

NVD 기본 점수: 10.0(중요)

CVE-2020-1350

Compute Engine

CVE-2020-1350

대부분 고객의 경우 추가 조치는 필요하지 않습니다.

DNS 서버 용량에서 Windows Server를 실행하는 Compute Engine 가상 머신을 사용하는 고객은 인스턴스에 최신 Windows 패치가 설치되어 있거나 2020년 7월 14일 이후 제공된 Windows Server 이미지를 사용해야 합니다.

Google Kubernetes Engine

CVE-2020-1350

대부분 고객의 경우 추가 조치는 필요하지 않습니다.

DNS 서버 용량에서 Windows Server 노드로 GKE를 사용하는 고객은 노드와 해당 노드에서 실행되는 컨테이너화된 워크로드를 수정이 포함된 Windows Server 버전으로 수동으로 업데이트해야 합니다.

Microsoft Active Directory용 관리형 서비스

CVE-2020-1350

대부분 고객의 경우 추가 조치는 필요하지 않습니다.

모든 관리 대상 Microsoft AD 도메인은 패치된 이미지로 자동 업데이트되었습니다. Microsoft Active Directory를 수동으로 실행하고 Managed Microsoft AD를 사용하지 않는 고객은 인스턴스에 최신 Windows 패치가 설치되어 있거나 2020년 7월 14일 이후 제공된 Windows Server 이미지를 사용해야 합니다.

Google Workspace

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

App Engine 표준 환경

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

App Engine 가변형 환경

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Cloud Run

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Cloud Functions

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Cloud Composer

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Dataflow

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Dataproc

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Cloud SQL

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

권한 에스컬레이션 취약점인 CVE-2020-8559가 최근 Kubernetes에서 발견되었습니다. 이 취약점으로 인해 노드를 이미 손상시킨 공격자가 클러스터의 모든 포드에서 명령어를 실행할 수 있습니다. 따라서 공격자는 이미 손상된 노드를 사용하여 다른 노드를 손상시킬 수 있으며 정보를 읽거나 파괴적인 작업을 유발할 수 있습니다.

공격자가 이 취약점을 악용하려는 경우 클러스터의 노드는 이미 손상되었을 것입니다. 이 취약점 자체는 클러스터에 있는 노드를 손상시키지 않습니다.

자세한 내용 및 안내는 다음을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판

보통

CVE-2020-8559

설명

OS 로그인이 사용 설정된 VM은 권한 에스컬레이션 취약점에 취약할 수 있습니다. 이러한 취약성으로 인해 OS 로그인 권한이 부여된 사용자(관리자 액세스 권한은 부여되지 않음)는 VM의 루트 액세스로 에스컬레이션할 수 있습니다.

자세한 내용과 안내는 Compute Engine 보안 게시판을 참조하세요.

• CVE-2020-8903
• CVE-2020-8907
• CVE-2020-8933

서버 측 요청 위조(SSRF) 취약점인 CVE-2020-8555가 최근 Kubernetes에서 감지되었습니다. 이 취약점은 승인된 특정 사용자가 제어 영역 호스트 네트워크의 민감한 정보를 500바이트까지 유출할 수 있도록 합니다. Google Kubernetes Engine(GKE) 제어 영역은 Kubernetes의 컨트롤러를 사용하므로 이 취약점의 영향을 받습니다. 제어 영역을 최신 패치 버전으로 업그레이드하는 것이 좋습니다. 노드 업그레이드는 필요하지 않습니다.

자세한 내용 및 안내는 다음을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판

보통

CVE-2020-8555

Kubernetes에서는 권한이 있는 컨테이너가 노드 트래픽을 다른 컨테이너로 리디렉션하도록 허용하는 취약점을 공개했습니다. 이 공격을 받으면 상호 TLS/SSH 트래픽(예: Kubelet과 API 서버 사이 또는 mTLS를 사용하는 애플리케이션의 트래픽)을 읽거나 수정할 수 없습니다. 모든 Google Kubernetes Engine(GKE) 노드가 이 취약점의 영향을 받습니다. 최신 패치 버전으로 업그레이드하는 것이 좋습니다.

자세한 내용 및 안내는 다음을 참조하세요.

• GKE 보안 게시판
• VMware용 GKE 보안 게시판
• AWS용 GKE 보안 게시판

보통

Kubernetes 문제 91507

CVE-2020-8835에 설명된 바와 같이 최근 Linux 커널에서 취약점이 발견되었으며, 이 취약점은 컨테이너 이스케이프가 호스트 노드의 루트 권한을 확보할 수 있다는 문제를 안고 있습니다.

GKE 1.16 또는 1.17을 실행하는 Google Kubernetes Engine(GKE) Ubuntu 노드는 이 취약점의 영향을 받으며 가능한 한 빨리 최신 패치 버전으로 업그레이드하는 것이 좋습니다.

자세한 내용 및 안내는 GKE 보안 게시판을 참조하세요.

높음

CVE-2020-8835

CVE-2019-11254 — 이 서비스 거부(DoS) 취약점은 API 서버에 영향을 미칩니다.

보통

CVE-2019-11254

CVE-2019-11254 — 이 서비스 거부(DoS) 취약점은 API 서버에 영향을 미칩니다.

보통

CVE-2019-11254

CVE-2020-8551 — 이 서비스 거부(DoS) 취약점은 kubelet에 영향을 미칩니다.

보통

CVE-2020-8551

CVE-2020-8552 — 이 서비스 거부(DoS) 취약점은 API 서버에 영향을 미칩니다.

보통

CVE-2020-8552

CVE-2020-0601 - 이 취약점은 Windows Crypto API 스푸핑 취약점이라고도 하며, 악성 실행 파일을 신뢰할 수 있는 파일인 것처럼 보이게 하거나 공격자가 중간에 데이터를 가로채는 공격을 수행하고 사용자 연결의 기밀 정보를 영향을 받는 소프트웨어에 복호화하는 데 악용될 수 있습니다.

NVD 기본 점수: 8.1(높음)

CVE-2020-0601

Compute Engine

CVE-2020-0601

대부분 고객의 경우 추가 조치는 필요하지 않습니다.

Windows Server를 실행하는 Compute Engine 가상 머신을 사용하는 고객은 인스턴스에 최신 Windows 패치가 설치되어 있거나 2020년 1월 15일 이후에 제공된 Windows Server 이미지를 사용해야 합니다. 자세한 내용은 Compute Engine 보안 게시판을 참조하세요.

Google Kubernetes Engine

CVE-2020-0601

대부분 고객의 경우 추가 조치는 필요하지 않습니다.

Windows Server 노드와 함께 GKE를 사용하고 있는 고객의 경우 노드와 노드에서 실행되는 컨테이너화된 워크로드를 모두 패치 버전으로 업데이트해야 이 취약점을 해결할 수 있습니다. 자세한 내용 및 안내는 GKE 보안 게시판을 참조하세요.

Microsoft Active Directory용 관리형 서비스

CVE-2020-0601

대부분 고객의 경우 추가 조치는 필요하지 않습니다.

모든 관리 대상 Microsoft AD 도메인은 패치된 이미지로 자동 업데이트되었습니다. Microsoft Active Directory를 수동으로 실행하고 Managed Microsoft AD를 사용하지 않는 고객은 인스턴스에 최신 Windows 패치가 설치되어 있거나 2020년 1월 15일 이후 제공된 Windows Server 이미지를 사용해야 합니다.

Google Workspace

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

App Engine 표준 환경

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

App Engine 가변형 환경

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Cloud Run

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Cloud Functions

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Cloud Composer

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Dataflow

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Dataproc

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Cloud SQL

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

CVE-2019-11135 — TSX 비동기 중단(TAA)이라고 부르는 이 취약점은 TSX 트랜잭션의 예측 실행 악용에 이용될 수 있습니다. 이 취약점에는 마이크로아키텍처 데이터 샘플링(MDS)으로 노출되는 동일 마이크로아키텍처 데이터 구조를 통해 데이터가 노출될 가능성이 있습니다.

보통

CVE-2019-11135

CVE-2018-12207 — (게스트가 아닌) 가상 머신 호스트에 영향을 미치는 서비스 거부(DoS) 취약점입니다. 이 문제를 '페이지 크기 변경에 대한 머신 확인 오류'라고 부릅니다.

보통

CVE-2018-12207

Compute Engine

CVE-2019-11135

대부분의 고객이 별도의 조치를 취하지 않아도 됩니다.

Compute Engine 가상 머신 내 자체 멀티 테넌트 서비스에서 신뢰할 수 없는 코드를 실행하는 N2, C2 또는 M2 고객은 최신 보안 완화 조치가 적용되도록 VM을 중지했다가 시작해야 합니다.

CVE-2018-12207

모든 고객이 별도의 조치를 취하지 않아도 됩니다.

Google Kubernetes Engine

CVE-2019-11135

대부분의 고객이 별도의 조치를 취하지 않아도 됩니다.

N2, M2 또는 C2 노드를 포함한 노드 풀을 사용하는데 이러한 노드가 자체 멀티 테넌트 GKE 클러스터 내에서 신뢰할 수 없는 코드를 실행한다면 노드를 다시 시작해야 합니다. 노드 풀에서 모든 노드를 다시 시작하려면 영향을 받는 노드 풀을 업그레이드하면 됩니다.

CVE-2018-12207

모든 고객이 별도의 조치를 취하지 않아도 됩니다.

App Engine 표준 환경

별도의 조치를 취하지 않아도 됩니다.

App Engine 가변형 환경

CVE-2019-11135

별도의 조치를 취하지 않아도 됩니다.

고객은 Flex VM 내의 하이퍼 스레드 간에 발생할 수 있는 애플리케이션 수준 공유와 관련된 Intel 권장사항을 검토해야 합니다.

CVE-2018-12207

별도의 조치를 취하지 않아도 됩니다.

Cloud Run

별도의 조치를 취하지 않아도 됩니다.

Cloud Functions

별도의 조치를 취하지 않아도 됩니다.

Cloud Composer

별도의 조치를 취하지 않아도 됩니다.

Dataflow

CVE-2019-11135

대부분의 고객이 별도의 조치를 취하지 않아도 됩니다.

Dataflow에서 관리하는 N2, C2 또는 M2 Compute Engine VM에서 신뢰할 수 없는 여러 워크로드를 실행하며 내부-게스트 공격이 우려되는 Dataflow 고객은 현재 실행 중인 스트리밍 파이프라인을 다시 시작해야 합니다. 또는 일괄 파이프라인을 취소하고 다시 실행할 수도 있습니다. 오늘 이후 실행되는 파이프라인의 경우 별도의 조치를 취하지 않아도 됩니다.

CVE-2018-12207

모든 고객이 별도의 조치를 취하지 않아도 됩니다.

Dataproc

CVE-2019-11135

대부분의 고객이 별도의 조치를 취하지 않아도 됩니다.

Compute Engine N2, C2 또는 M2 VM에서 실행되는 동일 Cloud Dataproc 클러스터에서 신뢰할 수 없는 여러 워크로드를 실행하며 내부-게스트 공격이 우려되는 Cloud Dataproc 고객은 클러스터를 다시 배포해야 합니다.

CVE-2018-12207

모든 고객이 별도의 조치를 취하지 않아도 됩니다.

Cloud SQL

별도의 조치를 취하지 않아도 됩니다.