Boletins de segurança

Os boletins de segurança a seguir estão relacionados aos produtos do Google Cloud.

Use este feed XML para se inscrever nos boletins de segurança desta página. Assinar

GCP-2021-018

Publicação: 15/09/2021

Descrição

Descrição Gravidade Observações

Um problema de segurança foi descoberto no Kubernetes, CVE-2021-25741, em que um usuário pode criar um contêiner com ativações de volume de subcaminho para acessar arquivos e diretórios fora do volume, inclusive no host{101 }.

Para instruções e mais detalhes, consulte:

Alta CVE-2021-25741 (em inglês)

GCP-2021-017

Publicação: 01/09/2021

Descrição

Descrição Gravidade Observações

Duas vulnerabilidades de segurança, CVE-2021-33909 e CVE-2021-33910, foram descobertas no kernel do Linux. Elas podem levar a uma falha no SO ou um encaminhamento para a raiz de um usuário sem privilégios. Essa vulnerabilidade afeta todos os sistemas operacionais dos nós do GKE (COS e Ubuntu).

Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança:

Alta CVE-2021-33909 (em inglês), CVE-2021-33910

GCP-2021-016

Publicação:
24/08/2021

Descrição

Descrição Gravidade Observações

As seguintes CVEs do Envoy e do Istio expõem o Anthos Service Mesh e o Istio no GKE para serem exploradas remotamente por vulnerabilidades:

  • CVE-2021-39156: solicitações HTTP com um fragmento (uma seção no fim de um URI que começa com um caractere #) no caminho do URI podem ignorar as políticas de autorização baseadas em caminho de URI do Istio.
  • CVE-2021-39155: solicitações HTTP podem ignorar uma política de autorização do Istio ao usar regras baseadas em hosts ou notHosts.
  • CVE-2021-32781: afeta as extensões decompressor, json-transcoder ou grpc-web do Envoy do Envoy ou as extensões proprietárias que modificam e aumentam o tamanho dos corpos de solicitações ou respostas. Modificar e aumentar o tamanho do corpo em uma extensão do Envoy além do tamanho do buffer interno pode fazer com que o Envoy acesse a memória desalocada e termine de forma anormal.
  • CVE-2021-32780: um serviço upstream não confiável pode fazer com que o Envoy seja encerrado de maneira anormal enviando o frame GOAWAY seguido do frame SETTINGS com o parâmetro SETTINGS_MAX_CONCURRENT_STREAMS definido como 0. (Não aplicável ao Istio no GKE)
  • CVE-2021-32778: a abertura e o redefinição de um grande número de solicitações HTTP/2 com um cliente Envoy podem levar ao consumo excessivo da CPU. (Não aplicável ao Istio no GKE)
  • CVE-2021-32777: solicitações HTTP com vários cabeçalhos de valor podem fazer uma verificação de política de autorização incompleta quando a extensão ext_authz é usada.

Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança:

Alta

GCP-2021-015

Publicação: 13/07/2021
Atualizado em: 15/07/2021

Descrição

Descrição Gravidade Observações

Foi descoberta uma nova vulnerabilidade de segurança, a CVE-2021-22555 (em inglês), em que um ator mal-intencionado com privilégios CAP_NET_ADMIN pode causar uma falha de root no contêiner. Essa vulnerabilidade afeta todos os clusters do GKE e clusters do Anthos no VMware que executam o Linux versão 2.6.19 ou posterior.

Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança:

Alta CVE-2021-22555

GCP-2021-014

Publicação: 05/07/2021

Descrição

Descrição Gravidade Observações

A Microsoft publicou um boletim de segurança sobre uma vulnerabilidade de execução remota de código (RCE, na sigla em inglês), CVE-2021-34527, que afeta o spooler de impressão nos servidores do Windows. O CERT Coordination Center (CERT/CC) publicou uma nota de atualização sobre uma vulnerabilidade relacionada, chamada de "Printnightmare", que também afeta os spoolers de impressão do Windows. Vulnerabilidade do Spooler de impressão crítica do Windows

Para instruções e mais detalhes, consulte o boletim de segurança do GKE.

Alta CVE-2021-34527

GCP-2021-012

Publicação: 24/06/2021
Atualizado em: 09/07/2021

Descrição

Descrição Gravidade Observações

Recentemente, o projeto Istio anunciou uma vulnerabilidade de segurança em que as credenciais especificadas no campo Gateway e no DestinationRule credentialName podem ser acessadas de diferentes namespaces.

Para ver instruções específicas do produto e mais detalhes, consulte:

Alta CVE-2021-34824 (em inglês)

GCP-2021-011

Publicação: 04/06/2021

Descrição

Descrição Gravidade Observações

Recentemente, a comunidade de segurança divulgou uma nova vulnerabilidade de segurança (CVE-2021-30465) encontrada em runc, que tem potencial para permitir acesso total a um sistema de arquivos de nós. de dados.

Para o GKE, como a exploração dessa vulnerabilidade requer a capacidade de criar pods, classificamos a gravidade dessa vulnerabilidade no MÉDIO.

Para instruções e mais detalhes, consulte o boletim de segurança do GKE.

Médio CVE-2021-30465 (em inglês)

GCP-2021-010

Publicado em: 25/05/2021

Descrição

Descrição Gravidade Observações

De acordo com o aviso de segurança da VMware VMSA-2021-0010, a execução remota de código e as vulnerabilidades de desvio de autenticação no vSphere Client (HTML5) foram relatadas de modo privado à VMware. A VMware disponibilizou atualizações para corrigir essas vulnerabilidades nos produtos da VMware afetados.

Aplicamos os patches fornecidos pela VMware na pilha vSphere de acordo com o aviso de segurança da VMware. Essa atualização aborda as vulnerabilidades de segurança descritas na CVE-2021-21985 e na CVE-2021-21986. As versões de imagem em execução na nuvem particular do VMware Engine não refletem nenhuma alteração no momento para indicar os patches aplicados. Os patches apropriados foram instalados e o ambiente está protegido contra essas vulnerabilidades.

Impacto no VMware Engine

Com base nas nossas investigações, nenhum cliente foi afetado.

O que fazer?

Como os clusters do VMware Engine não são afetados por essa vulnerabilidade, nenhuma outra ação é necessária.

Crítica

GCP-2021-008

Publicação: 17/05/2021

Descrição

Descrição Gravidade Observações

O Istio contém uma vulnerabilidade que pode ser explorada remotamente, em que um cliente externo pode acessar serviços inesperados no cluster, ignorando as verificações de autorização quando um gateway é configurado com a configuração de roteamento AUTO_PASSTHROUGH.

Para instruções e mais detalhes, consulte o boletim de segurança do Anthos Service Mesh.

Alta

CVE-2021-31921 (em inglês)

GCP-2021-007

Publicação: 17/05/2021

Descrição

Descrição Gravidade Observações

O Istio contém uma vulnerabilidade que pode ser explorada remotamente, em que um caminho de solicitação HTTP com várias barras ou caracteres de barra de escape (%2F ou %5C) poderia, potencialmente, ignorar uma política de autorização do Istio quando houver regras de autorização baseadas em caminho são usados.

Para instruções e mais detalhes, consulte o boletim de segurança do Anthos Service Mesh.

Alta

CVE-2021-31920 (em inglês)

GCP-2021-006

Publicação: 11/05/2021

Descrição

Descrição Gravidade Observações

Recentemente, o projeto Istio divulgou uma nova vulnerabilidade de segurança (CVE-2021-31920) que afeta o Istio.

O Istio contém uma vulnerabilidade que pode ser explorada remotamente, em que uma solicitação HTTP com várias barras ou caracteres de barra de escape pode ignorar a política de autorização do Istio quando as regras de autorização baseadas em caminho são usadas.

Para instruções e mais detalhes, consulte:

Alta

CVE-2021-31920 (em inglês)

GCP-2021-005

Publicação: 11/05/2021

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade reportada mostrou que o Envoy não decodifica sequências de barras com escape %2F e %5C em caminhos de URL HTTP nas versões 1.18.2 e anteriores do Envoy. Além disso, alguns produtos baseados no Envoy não ativam controles de normalização de caminho. Um invasor remoto pode criar um caminho com barras com escape (por exemplo, /something%2F..%2Fadmin,) para ignorar o controle de acesso (por exemplo, um bloco em /admin). Um servidor de back-end poderia decodificar sequências de barras e normalizar o caminho para fornecer um acesso de invasor além do escopo fornecido pela política de controle de acesso.

O que fazer?

Se os servidores de back-end tratarem/ e%2F ou os\ e%5C intercambiável, e uma correspondência baseada em caminho do URL está configurada, recomendamos reconfigurar o servidor de back-end para não tratar\ e%2F ou os\ e%5C alternadamente, se possível.

Quais mudanças comportamentais foram introduzidas?

As opções normalize_path e merge barras adjacentes do Envoy foram ativadas para resolver outras vulnerabilidades comuns de confusão de caminho em produtos baseados no Envoy.

Alta

CVE-2021-29492 (em inglês)

GCP-2021-004

Publicação: 06/05/2021

Descrição

Descrição Gravidade Observações

Recentemente, os projetos do Envoy e do Istio anuncioram várias vulnerabilidades de segurança novas (CVE-2021-28683, CVE-2021-28682). e CVE-2021-29258, que podem permitir que um invasor falhe no Envoy.

Os clusters do Google Kubernetes Engine não executam o Istio por padrão e não são vulneráveis. Se o Istio tiver sido instalado em um cluster e configurado para expor serviços à Internet, esses serviços poderão ser vulneráveis à negação de serviço.

Os clusters do Anthos em bare metal e os clusters do Anthos no VMware usam o Envoy por padrão para o Ingress. Portanto, os serviços do Ingress podem ficar vulneráveis à negação de serviço.

Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança:

Médio

GCP-2021-003

Publicação: 19/04/2021

Descrição

Descrição Gravidade Observações

O projeto do Kubernetes anunciou recentemente uma nova vulnerabilidade de segurança, CVE-2021-25735, que pode permitir que as atualizações de nó ignorem uma validação do webhook de admissão.

Em um cenário em que um invasor tem privilégios suficientes e em que uma validação do webhook de admissão foi implementado que usa propriedades de objetos Node antigas (por exemplo, campos em Node.NodeSpec), o invasor pode atualizar propriedades de um nó que podem levar a um comprometimento do cluster. Nenhuma das políticas aplicadas pelos controladores de admissão integrados do GKE e do Kubernetes é afetada. No entanto, recomendamos que os clientes verifiquem os webhooks de admissão adicionais instalados.

Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança:

Médio

CVE-2021-25735

GCP-2021-002

Publicado: 05-03-2021

Descrição

Descrição Gravidade Observações

De acordo com o alerta de segurança da VMware VMSA-2021-0002, a VMware recebeu relatórios de várias vulnerabilidades no VMware ESXi e no cliente vSphere (HTML5). A VMware disponibilizou atualizações para corrigir essas vulnerabilidades nos produtos da VMware afetados.

Aplicamos as soluções documentadas oficialmente da pilha do vSphere de acordo com o aviso de segurança da VMware. Essa atualização aborda as vulnerabilidades de segurança descritas na CVE-2021-21972, CVE-2021-21973 e CVE-2021-21974.

Impacto no VMware Engine

Com base nas nossas investigações, nenhum cliente foi afetado.

O que fazer?

Como os clusters do VMware Engine não são afetados por essa vulnerabilidade, nenhuma outra ação é necessária.

Crítica

GCP-2021-001

Publicação: 28/01/2021

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade foi descoberta recentemente no utilitário sudo do Linux, descrito em CVE-2021-3156, que pode permitir que um invasor com acesso shell local não privilegiado em um sistema com o sudo instalado encaminhe seus privilégios à raiz do sistema.

A infraestrutura subjacente que executa o Compute Engine não é afetada por essa vulnerabilidade.

Todos os clusters do Google Kubernetes Engine (GKE), do Anthos em VMware, do Anthos na AWS e no Anthos em clusters bare metal não são afetados por essa vulnerabilidade.

Para receber instruções e mais detalhes, consulte os seguintes boletins de segurança:

Nenhum CVE-2021-3156

GCP-2020-015

Publicação: 07/12/2020

Descrição

Descrição Gravidade Observações

O projeto Kubernetes descobriu recentemente uma nova vulnerabilidade de segurança, CVE-2020-8554, que pode permitir que um invasor que tenha permissões para criar um serviço do Kubernetes do tipo LoadBalancer ou ClusterIP intercepte o tráfego de rede proveniente de outros pods no cluster. Essa vulnerabilidade em si não concede permissões a um invasor para criar um serviço do Kubernetes.

Todos os clusters do Google Kubernetes Engine (GKE), do Anthos no VMware e do Anthos em clusters da AWS são afetados por essa vulnerabilidade.

O que fazer?

Para instruções e mais detalhes, consulte:

Médio

CVE-2020-8554

GCP-2020-014

Publicação: 20/10/2020
Atualizado em: 20/10/2020

Descrição

Descrição Gravidade Observações

Recentemente, foram descobertos vários problemas do Kubernetes que permitem a exposição de dados secretos quando as opções de registro detalhado estão ativadas. Os problemas são os seguintes:

  • CVE-2020-8563: vazamentos de secret em registros para o provedor vSphere kube-controller-manager.
  • CVE-2020-8564: os secrets de configuração do Docker vazaram quando o arquivo estava malformado e com logLevel >= 4.
  • CVE-2020-8565: correção incompleta para CVE-2019-11250 no Kubernetes possibilita o vazamento de token nos registros com logLevel >= 9. Descoberto pela segurança do GKE.
  • CVE-2020-8566: adminSecrets do Ceph RBD expostos em registros com logLevel >= 4

O que fazer?

Nenhuma outra ação é necessária devido aos níveis de registro detalhado padrão do GKE.

Nenhum

Impacto no Google Cloud

Veja detalhes por produto abaixo.

Produto

Impacto

Google Kubernetes Engine (GKE)

O Google Kubernetes Engine (GKE) não foi afetado.

GKE On-Prem

O GKE On-Prem não é afetado.

GKE na AWS

O GKE na AWS não é afetado.

GCP-2020-013

Publicação: 29/09/2020

Descrição

A Microsoft divulgou a seguinte vulnerabilidade:

Vulnerabilidade

Gravidade

CVE

CVE-2020-1472— Uma vulnerabilidade no Windows Server permite que invasores usem o protocolo remoto Netlogon para executar um aplicativo especialmente desenvolvido em um dispositivo na rede.

Pontuação base do NVD: 10 (crítico)

CVE-2020-1472

Para mais informações, consulte a divulgação da Microsoft.

Impacto no Google Cloud

A infraestrutura que hospeda os produtos do Google Cloud e do Google não é afetada por essa vulnerabilidade. Veja abaixo mais detalhes de acordo com o produto.

Produto

Impacto

Compute Engine

CVE-2020-1472

Para a maioria dos clientes, nenhuma outra ação é necessária.

Os clientes que usam máquinas virtuais do Compute Engine que executam o Windows Server precisam garantir que suas instâncias foram atualizadas com o patch mais recente do Windows ou o uso de imagens do Windows Server publicadas após 17/08/2020 (v20200813 ou posterior).

Google Kubernetes Engine

CVE-2020-1472

Para a maioria dos clientes, nenhuma outra ação é necessária.

Todos os clientes que hospedam controladores de domínio nos nós do GKE do Windows Server precisam garantir que os nós e as cargas de trabalho em contêiner executadas neles tenham a imagem do nó do Windows mais recente quando estiver disponível. Uma nova versão da imagem do nó será anunciada nas Notas de lançamento do GKE em outubro.

Serviço gerenciado para o Microsoft Active Directory

CVE-2020-1472

Para a maioria dos clientes, nenhuma outra ação é necessária.

O patch de agosto lançado pela Microsoft, que inclui correções no protocolo NetLogon, foi aplicado a todos os controladores de domínio do Microsoft AD gerenciados. Esse patch oferece a funcionalidade de proteção contra possíveis explorações. A aplicação oportuna dos patches é uma das principais vantagens do uso do serviço gerenciado no Microsoft Active Directory. Todos os clientes que executam o Microsoft Active Directory manualmente (e não utilizam o serviço gerenciado do Google Cloud) precisam garantir que as instâncias deles tenham o patch do Windows mais recente ou usem imagens do Windows Server.

Google Workspace

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Ambiente padrão do App Engine

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Ambiente flexível do App Engine

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud Run

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud Functions

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud Composer

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Dataflow

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Dataproc

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud SQL

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

GCP-2020-012

Publicação: 14/09/2020
Atualizado em: 17/09/2020

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade foi descoberta recentemente no kernel do Linux, descrita em CVE-2020-14386, que pode permitir que os escapes de contêineres recebam privilégios raiz no nó host.

Essa vulnerabilidade afeta todos os nós do GKE. Os pods em execução no GKE Sandbox não são afetados por essa vulnerabilidade.

Para instruções e mais detalhes, consulte:


Qual vulnerabilidade é corrigida por esse patch?

O patch reduz a seguinte vulnerabilidade:

A vulnerabilidade CVE-2020-14386, que permite que contêineres com CAP_NET_RAW
gravem de 1 a 10 bytes de memória do kernel e possivelmente escapem o contêiner e recebam privilégios raiz no nó host. Isso é classificado como uma vulnerabilidade de alto nível de gravidade.

Alta

CVE-2020-14386

GCP-2020-011

Publicação: 24/07/2020

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade de rede, CVE-2020-8558, foi descoberta recentemente no Kubernetes. Às vezes, os serviços se comunicam com outros aplicativos em execução no mesmo pod usando a interface de loopback local (127.0.0.1). Essa vulnerabilidade permite que um invasor com acesso à rede do cluster envie tráfego para a interface de loopback de pods e nós adjacentes. Os serviços que dependem da interface de loopback e não são acessados fora do pod podem ser explorados.

Para instruções e mais detalhes, consulte:

Baixo (clusters do GKE e Anthos na AWS),
Mídia (clusters do Anthos no VMware)

CVE-2020-8558 (em inglês)

GCP-2020-010

Publicação: 27/07/2020

Descrição

A Microsoft divulgou a seguinte vulnerabilidade:

Vulnerabilidade

Gravidade

CVE

CVE-2020-1350: os Windows Servers que atendem em uma capacidade de servidor DNS podem ser explorados para executar códigos não confiáveis pela conta do sistema local.

Pontuação base do NVD: 10.0 (crítico)

CVE-2020-1350

Para mais informações, consulte a divulgação da Microsoft.

Impacto no Google Cloud

A infraestrutura que hospeda os produtos do Google Cloud e do Google não é afetada por essa vulnerabilidade. Veja abaixo mais detalhes de acordo com o produto.

Produto

Impacto

Compute Engine

CVE-2020-1350

Para a maioria dos clientes, nenhuma outra ação é necessária.

Os clientes que usam máquinas virtuais do Compute Engine que executam o Windows Server em uma capacidade de servidor DNS precisam garantir que as instâncias deles tenham o patch do Windows mais recente ou usem imagens do Windows Server fornecidas a partir de 14/07/2020.

Google Kubernetes Engine

CVE-2020-1350

Para a maioria dos clientes, nenhuma outra ação é necessária.

Os clientes que usam o GKE com o nó do Windows Server em uma capacidade de servidor DNS precisam atualizar manualmente os nós e as cargas de trabalho em contêiner executadas nesses nós para uma versão do Windows Server contendo a correção.

Serviço gerenciado para o Microsoft Active Directory

CVE-2020-1350

Para a maioria dos clientes, nenhuma outra ação é necessária.

Todos os domínios gerenciados do Microsoft AD foram atualizados automaticamente com a imagem em patch. Todos os clientes que executam o Microsoft Active Directory e não utilizam o Microsoft AD gerenciado devem garantir que as instâncias deles tenham o patch do Windows mais recente ou usar imagens do Windows Server fornecidas a partir de 14/07/2020.

Google Workspace

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Ambiente padrão do App Engine

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Ambiente flexível do App Engine

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud Run

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud Functions

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud Composer

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Dataflow

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Dataproc

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud SQL

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

GCP-2020-009

Publicação: 15/07/2020

Descrição

Descrição Gravidade Observações

Uma vulnerabilidade de escalonamento de privilégios, CVE-2020-8559, foi descoberta recentemente no Kubernetes. Essa vulnerabilidade permite que um invasor que já tenha comprometido um nó execute um comando em qualquer pod do cluster. Dessa forma, o invasor pode usar o nó já afetado para comprometer outros nós e, possivelmente, ler informações ou causar ações destrutivas.

Para que um invasor explore essa vulnerabilidade, é preciso que um nó do cluster já tenha sido comprometido. Essa vulnerabilidade, por si só, não comprometerá os nós do cluster.

Para instruções e mais detalhes, consulte:

Médio

CVE-2020-8559 (em inglês)

GCP-2020-008

Publicação: 19/06/2020

Descrição

Descrição Gravidade Notas

Descrição

As VMs que têm o login do SO ativado podem ser suscetíveis a vulnerabilidades de escalonamento de privilégios. Com essas vulnerabilidades, os usuários que têm permissões de login do SO sem acesso de administrador podem encaminhar para o acesso raiz na VM.

Para instruções e mais detalhes, consulte o boletim de segurança do Compute Engine.

Alta

GCP-2020-007

Publicação: 01/06/2020

Descrição

Descrição Gravidade Observações

A vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) CVE-2020-8555 foi descoberta recentemente no Kubernetes. Ela permite que determinados usuários autorizados vazem até 500 bytes de informações confidenciais da rede do host do plano de controle. O plano de controle do Google Kubernetes Engine (GKE, na sigla em inglês) usa controladores do Kubernetes e, portanto, é afetado por essa vulnerabilidade. Recomendamos que você atualize o plano de controle para a versão mais recente do patch. Não é necessário fazer upgrade do nó.

Para instruções e mais detalhes, consulte:

Médio

CVE-2020-8555 (em inglês)

GCP-2020-006

Publicação: 01/06/2020

Descrição

Descrição Gravidade Observações

O Kubernetes divulgou uma vulnerabilidade que permite que um contêiner com privilégios redirecione o tráfego do nó para outro contêiner. O tráfego TLS/SSH mútuo, como entre o kubelet e o servidor da API, e o tráfego de aplicativos que usam mTLS não podem ser lidos ou modificados por esse ataque. Todos os nós do Google Kubernetes Engine (GKE) são afetados por essa vulnerabilidade. Recomendamos que você faça o upgrade para a versão mais recente do patch.

Para instruções e mais detalhes, consulte:

Médio

Problema 91507 do Kubernetes

GCP-2020-005

Publicação: 07/05/2020

Descrição

Vulnerabilidade

Gravidade

CVE

Uma vulnerabilidade foi recentemente descoberta no kernel do Linux, descrita em CVE-2020-8835 (em inglês), permitindo que o escape de contêiner receba privilégios de raiz no nó do host.

Os nós do Ubuntu do GKE que executam o GKE 1.16 ou 1.17 são afetados por essa vulnerabilidade. Recomendamos que você faça o upgrade para a versão mais recente do patch o mais rápido possível.

Consulte o boletim de segurança do GKE para instruções e mais detalhes.

Alta

CVE-2020-8835 (em inglês)

GCP-2020-004

Publicação: 31/03/2020
Atualizado em: 31/03/2020

Descrição

O Kubernetes divulgou as seguintes vulnerabilidades:

Vulnerabilidade

Gravidade

CVE

CVE-2019-11254 — é uma vulnerabilidade de negação de serviço (DoS) que afeta o servidor da API.

Médio

CVE-2019-11254 (em inglês)

Consulte o boletim de segurança dos clusters do Anthos na VMware para ver instruções e mais detalhes.

GCP-2020-003

Publicação: 31/03/2020
Atualizado em: 31/03/2020

Descrição

O Kubernetes divulgou as seguintes vulnerabilidades:

Vulnerabilidade

Gravidade

CVE

CVE-2019-11254 — é uma vulnerabilidade de negação de serviço (DoS) que afeta o servidor da API.

Médio

CVE-2019-11254 (em inglês)

Consulte o boletim de segurança do GKE para instruções e mais detalhes.

GCP-2020-002

Publicação: 23/03/2020
Atualizado em: 23/03/2020

Descrição

O Kubernetes divulgou as seguintes vulnerabilidades:

Vulnerabilidade

Gravidade

CVE

CVE-2020-8551 — é uma vulnerabilidade de negação de serviço (DoS) que afeta o kubelet.

Médio

CVE-2020-8551 (em inglês)

CVE-2020-8552 — é uma vulnerabilidade de negação de serviço (DoS) que afeta o servidor de API.

Médio

CVE-2020-8552 (em inglês)

Consulte o boletim de segurança do GKE para instruções e mais detalhes.

GCP-2020-001

Publicação: 21/01/2020
Atualizado em: 21/01/2020

Descrição

A Microsoft divulgou a seguinte vulnerabilidade:

Vulnerabilidade

Gravidade

CVE

CVE-2020-0601 — é uma vulnerabilidade também é conhecida como a vulnerabilidade de spoofing da API Windows Crypto. Ela pode ser explorada para fazer executáveis maliciosos parecerem confiáveis ou permitir que o invasor realize ataques "man-in-the-middle" e descriptografe informações confidenciais nas conexões do usuário com o software afetado.

Pontuação base do NVD: 8,1 (alta)

CVE-2020-0601

Para mais informações, consulte a divulgação da Microsoft.

Impacto no Google Cloud

A infraestrutura que hospeda os produtos do Google Cloud e do Google não é afetada por essa vulnerabilidade. Veja abaixo mais detalhes de acordo com o produto.

Produto

Impacto

Compute Engine

CVE-2020-0601

Para a maioria dos clientes, nenhuma outra ação é necessária.

Os clientes que usam máquinas virtuais do Compute Engine e executam o Windows Server devem garantir que as instâncias deles tenham o patch do Windows mais recente ou usem imagens do Windows Server fornecidas a partir de 15/01/2020. Consulte o boletim de segurança do Compute Engine para saber mais detalhes.

Google Kubernetes Engine

CVE-2020-0601

Para a maioria dos clientes, nenhuma outra ação é necessária.

Os nós e as cargas de trabalho em contêiner que são executadas nesses nós precisam ser atualizados para versões em patch para reduzir a vulnerabilidade caso o usuário use o GKE com nós do Windows Server. Consulte o boletim de segurança do GKE para instruções e mais detalhes.

Serviço gerenciado para o Microsoft Active Directory

CVE-2020-0601

Para a maioria dos clientes, nenhuma outra ação é necessária.

Todos os domínios gerenciados do Microsoft AD foram atualizados automaticamente com a imagem em patch. Todos os clientes que executam o Microsoft Active Directory e não utilizam o Microsoft AD gerenciado devem garantir que as instâncias deles tenham o patch do Windows mais recente ou usar imagens do Windows Server fornecidas a partir de 15/01/2020.

Google Workspace

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Ambiente padrão do App Engine

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Ambiente flexível do App Engine

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud Run

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud Functions

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud Composer

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Dataflow

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Dataproc

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

Cloud SQL

Nenhuma ação do cliente é necessária.

Este serviço não é afetado por esta vulnerabilidade.

GCP 2019-001

Publicação: 12/11/2019
Atualizado em: 12/11/2019

Descrição

A Intel divulgou as seguintes vulnerabilidades:

Vulnerabilidade

Gravidade

CVE

CVE-2019-11135 — Essa vulnerabilidade, chamada TSX Async Abort (TAA, na sigla em inglês), pode ser usada para explorar a execução especulativa em uma transação do TSX. Essa vulnerabilidade permite que os dados sejam possivelmente expostos por meio das mesmas estruturas de dados de microarquitetura expostas pela amostragem de dados de microarquitetura (MDS, na sigla em inglês).

Médio

CVE-2019-11135

CVE-2018-12207 — essa é uma vulnerabilidade de negação de serviço (DoS) que afeta hosts (não convidados) de máquinas virtuais. Esse problema é conhecido como "Erro de verificação da máquina na alteração de tamanho da página".

Médio

CVE-2018-12207

Para mais informações, consulte as divulgações da Intel:

Impacto no Google Cloud

A infraestrutura que hospeda os produtos do Google Cloud e do Google é protegida contra essas vulnerabilidades. Abaixo, são listados mais detalhes de acordo com o produto.

Produto

Impacto

Compute Engine

CVE-2019-11135

Para a maioria dos clientes, nenhuma outra ação é necessária.

Os clientes N2, C2 ou M2 que executam código não confiável nos próprios serviços com vários locatários em máquinas virtuais do Compute Engine precisam encerrar e iniciar as VMs para garantir que elas tenham as mitigações de segurança mais recentes.

CVE-2018-12207

Para todos os clientes, nenhuma outra ação é necessária.

Google Kubernetes Engine

CVE-2019-11135

Para a maioria dos clientes, nenhuma outra ação é necessária.

Se você usar pools com nós N2, M2 ou C2 e esses nós executarem o código não confiável nos próprios clusters do GKE com vários locatários, será necessário reiniciá-los. Se você quiser reiniciar todos os nós de um pool, faça upgrade do pool afetado.

CVE-2018-12207

Para todos os clientes, nenhuma outra ação é necessária.

Ambiente padrão do App Engine

Nenhuma outra ação é necessária.

Ambiente flexível do App Engine

CVE-2019-11135

Nenhuma outra ação é necessária.

Os clientes precisam rever as práticas recomendadas da Intel com relação ao compartilhamento no nível do aplicativo que pode ocorrer entre hyperthreads em uma VM flexível.

CVE-2018-12207

Nenhuma outra ação é necessária.

Cloud Run

Nenhuma outra ação é necessária.

Cloud Functions

Nenhuma outra ação é necessária.

Cloud Composer

Nenhuma outra ação é necessária.

Dataflow

CVE-2019-11135

Para a maioria dos clientes, nenhuma outra ação é necessária.

Os clientes do Dataflow que executam várias cargas de trabalho não confiáveis em VMs do Compute Engine N2, C2 ou M2 gerenciadas pelo Dataflow e que estão preocupados com ataques entre os convidados precisam reiniciar todos os pipelines de streaming em execução no momento. Como opção, os pipelines em lote podem ser cancelados e executados novamente. Nenhuma ação é necessária com relação aos pipelines lançados de amanhã em diante.

CVE-2018-12207

Para todos os clientes, nenhuma outra ação é necessária.

Dataproc

CVE-2019-11135

Para a maioria dos clientes, nenhuma outra ação é necessária.

Os clientes do Cloud Dataproc que executam várias cargas de trabalho não confiáveis no mesmo cluster do Cloud Dataproc que está em execução em VMs do Compute Engine N2, C2 ou M2 e que estão preocupados com ataques entre os convidados precisam reimplantar os clusters.

CVE-2018-12207

Para todos os clientes, nenhuma outra ação é necessária.

Cloud SQL

Nenhuma outra ação é necessária.