Beveiligingsbulletins voor Google Cloud Platform

De volgende beveiligingsbulletins houden verband met Google Cloud.

GCP 2019-001

Gepubliceerd: 12-11-2019 | Laatste update: 12-11-2019

Beschrijving

De volgende kwetsbaarheden zijn door Intel bekendgemaakt:

Kwetsbaarheid

Ernst

CVE

CVE-2019-11135 — Deze kwetsbaarheid, aangeduid als TSX Async Abort (TAA), kan worden gebruikt om speculatieve uitvoering binnen een TSX-transactie te misbruiken. Via deze kwetsbaarheid kunnen gegevens worden blootgelegd via dezelfde gegevensstructuren voor de microarchitectuur die worden blootgelegd door Microarchitectural Data Sampling (MDS).

Gemiddeld

CVE-2019-11135

CVE-2018-12207 — Dit is een DoS-kwetsbaarheid (Denial of Service) die van invloed is op VM-hosts (niet op gasten). Dit probleem staat bekend als 'Machine Check Error on Page Size Change' (Computercontrolefout bij wijziging van de paginagrootte).

Gemiddeld

CVE-2018-12207

Bekijk de kennisgevingen van Intel voor meer informatie:

Impact op Google Cloud

De infrastructuur die de Google Cloud- en Google-producten host, is beveiligd tegen deze kwetsbaarheden. Aanvullende details per product worden hieronder weergegeven.

Product

Resultaat

Compute Engine

CVE-2019-11135

De meeste klanten hoeven verder niets te doen.

N2-, C2- of M2-klanten die niet-vertrouwde code uitvoeren in hun eigen services met meerdere tenants op Compute Engine-VM's moeten hun VM's stoppen en opnieuw opstarten om over de meest recente beveiligingsupdates te beschikken.

CVE-2018-12207

Klanten hoeven verder niets te doen.

Google Kubernetes Engine

CVE-2019-11135

De meeste klanten hoeven verder niets te doen.

Als u node-pools met N2-, M2- of C2-nodes gebruikt en er wordt door deze nodes niet-vertrouwde code uitgevoerd in uw eigen GKE-clusters met meerdere tenants, moet u de nodes opnieuw opstarten. Upgrade de desbetreffende node-pool als u alle nodes in uw node-pool opnieuw wilt opstarten.

CVE-2018-12207

Klanten hoeven verder niets te doen.

Standaardomgeving voor App Engine

U hoeft verder niets te doen.

Flexibele omgeving voor App Engine

CVE-2019-11135

U hoeft verder niets te doen.

Klanten moeten de praktische tips van Intel bekijken met betrekking tot het delen op app-niveau dat kan plaatsvinden tussen hyperthreads op een Flex-VM.

CVE-2018-12207

U hoeft verder niets te doen.

Cloud Run

U hoeft verder niets te doen.

Cloud Functions

U hoeft verder niets te doen.

Cloud Composer

U hoeft verder niets te doen.

Dataflow

CVE-2019-11135

De meeste klanten hoeven verder niets te doen.

Dataflow-klanten die meerdere niet-vertrouwde productietaken uitvoeren op N2-, C2- of M2-VM's van Compute Engine die door Dataflow worden beheerd en die bezorgd zijn over aanvallen binnen gast-VM's, kunnen de streamingpipelines die momenteel actief zijn opnieuw opstarten. Batchpipelines kunnen eventueel worden geannuleerd en opnieuw uitgevoerd. U hoeft verder niets te doen voor pipelines die na vandaag zijn gelanceerd.

CVE-2018-12207

Klanten hoeven verder niets te doen.

Dataproc

CVE-2019-11135

De meeste klanten hoeven verder niets te doen.

Cloud Dataproc-klanten die meerdere niet-vertrouwde productietaken uitvoeren op hetzelfde Cloud Dataproc-cluster dat op N2-, C2- of M2-VM's van Compute Engine wordt uitgevoerd en die bezorgd zijn over aanvallen binnen gast-VM's, kunnen hun clusters opnieuw implementeren.

CVE-2018-12207

Klanten hoeven verder niets te doen.

Cloud SQL

U hoeft verder niets te doen.