Google Cloud Platform 安全性公告

以下安全性公告與 Google Cloud 相關。

GCP 2019-001

發布時間:2019 年 11 月 12 日 | 上次更新:2019 年 11 月 12 日

說明

Intel 已揭露下列安全漏洞:

安全漏洞

嚴重性

CVE

CVE-2019-11135:此安全漏洞稱為 TSX 非同步取消 (TAA),可用於在 TSX 交易中濫用推測性執行功能。此安全漏洞可能會透過微架構資料取樣 (MDS) 曝露的相同微架構資料結構,使資料曝光。

CVE-2019-11135

CVE-2018-12207:此屬阻斷服務 (DoS) 安全漏洞,影響對象為虛擬機器主機 (不是客體)。此問題稱為「變更頁面大小時發生機器檢查錯誤」(Machine Check Error on Page Size Change)。

CVE-2018-12207

詳情請參閱 Intel 揭露說明:

Google Cloud 影響

託管 Google Cloud 與 Google 產品的基礎架構具有保護措施,不受這些安全漏洞影響。以下按個別產品列出額外詳細資料。

產品

影響

Compute Engine

CVE-2019-11135

大部分的客戶無須採取其他動作。

在 Compute Engine 虛擬機器中,於自己的多用戶群服務內執行不受信任程式碼的 N2、C2 或 M2 客戶應先停止再啟動 VM,以確保 VM 具有最新的安全性緩解措施。

CVE-2018-12207

所有客戶均無須採取其他動作。

Google Kubernetes Engine

CVE-2019-11135

大部分的客戶無須採取其他動作。

如果您使用具有 N2、M2 或 C2 節點的節點集區,且這些節點在您自己的多用戶群 GKE 叢集中執行不受信任的程式碼,則應重新啟動節點。如要重新啟動節點集區中的所有節點,請升級受影響的集區

CVE-2018-12207

所有客戶均無須採取其他動作。

App Engine 標準環境

無須採取其他動作。

App Engine 彈性環境

CVE-2019-11135

無須採取其他動作。

客戶應檢閱 Intel 最佳做法中對應用程式層級分享的說明,因為 Flex VM 中的超執行緒之間可能會發生此類分享。

CVE-2018-12207

無須採取其他動作。

Cloud Run

無須採取其他動作。

Cloud Functions

無須採取其他動作。

Cloud Composer

無須採取其他動作。

Dataflow

CVE-2019-11135

大部分的客戶無須採取其他動作。

Dataflow 客戶如在 Dataflow 代管之 N2、C2 或 M2 Compute Engine VM 上執行多個不受信任的工作負載,且擔心發生客體內攻擊,則應考慮重新啟動任何目前正在執行的串流管道。您也可以取消並重新執行批次管道。如果是今天之後啟動的管道,則無須採取任何動作。

CVE-2018-12207

所有客戶均無須採取其他動作。

Dataproc

CVE-2019-11135

大部分的客戶無須採取其他動作。

Cloud Dataproc 客戶如在 Compute Engine N2、C2 或 M2 VM 上的同一個 Cloud Dataproc 叢集執行多個不受信任的工作負載,且擔心發生客體內攻擊,則應重新部署叢集

CVE-2018-12207

所有客戶均無須採取其他動作。

Cloud SQL

無須採取其他動作。