Google Cloud Platform 安全公告

以下安全公告与 Google Cloud 相关。

GCP-2020-014

说明

发布日期:2020-10-20
更新日期:2020-10-20

说明 严重级别 备注

Kubernetes 项目最近发现了多个问题,这些问题导致在启用详细日志记录选项时 Secret 数据泄露。这些问题包括:

  • CVE-2020-8563:vSphere 提供商的 kube-controller-manager 日志中发生 Secret 泄露
  • CVE-2020-8584:当文件格式错误且日志级别大于等于 4 时,Docker 配置 Secret 发生泄露
  • CVE-2020-8565:当日志级别大于等于 9 时,Kubernetes 中 CVE-2019-11250 的不完整的修复程序导致日志中发生令牌泄露。由 GKE 安全发现。
  • CVE-2020-8566:当日志级别大于等于 4 时,日志中发生 Ceph RBD adminSecret 泄露

该怎么做?

由于 GKE 的默认详细日志记录级别,无需执行任何进一步操作。

对 Google Cloud 的影响

下面列出了与各种产品有关的详细信息。

产品

影响

Google Kubernetes Engine (GKE)

Google Kubernetes Engine (GKE) 不受影响。

GKE On-Prem

GKE On-Prem 不受影响。

GKE on AWS

GKE on AWS 不受影响。

GCP-2020-013

发布日期:2020-09-29

说明

Microsoft 披露了以下漏洞:

漏洞

严重程度

CVE

CVE-2020-1472 — 通过 Windows Server 中的漏洞,攻击者可以利用 Netlogon 远程协议在网络上的设备上运行特别设计的应用。

NVD 基准值:10(严重)

CVE-2020-1472

如需了解详情,请参阅 Microsoft 披露信息

对 Google Cloud 的影响

托管 Google Cloud 和 Google 产品的基础架构不受此漏洞的影响。下面列出了与各种产品有关的更多详情。

产品

影响

Compute Engine

CVE-2020-1472

对于大多数客户而言,无需执行任何额外操作

使用运行 Windows Server 的 Compute Engine 虚拟机的客户应确保其实例已使用最新的 Windows 补丁程序更新,或使用自 2020 年 8 月 17 日后发布的 Windows Server 映像(v20200813 或更高版本)。

Google Kubernetes Engine

CVE-2020-1472

对于大多数客户而言,无需执行任何额外操作

任何在其 GKE Server 节点托管网域控制器的客户都应确保节点和在这些节点上运行的容器化工作负载都具有最新 Windows 节点映像(当其可用时)。新的节点映像版本将于 10 月在 GKE 版本说明中公布。

Managed Service for Microsoft Active Directory

CVE-2020-1472

对于大多数客户而言,无需执行任何额外操作

Microsoft 发布的 8 月补丁程序(包括对 NetLogon 协议的修复)已应用于所有 Managed Microsoft AD 网域控制器。此补丁程序提供了可防范潜在攻击的功能。使用 Managed Service for Microsoft Active Directory 的主要优势是可及时应用补丁程序。所有手动运行 Microsoft Active Directory(且不使用 Google Cloud 代管式服务)的客户都应确保其实例拥有最新的 Windows 补丁程序或使用 Windows Server 映像。

Google Workspace

客户无需采取任何操作

这项服务不受此漏洞的影响。

App Engine 标准环境

客户无需采取任何操作

这项服务不受此漏洞的影响。

App Engine 柔性环境

客户无需采取任何操作

这项服务不受此漏洞的影响。

Cloud Run

客户无需采取任何操作

这项服务不受此漏洞的影响。

Cloud Functions

客户无需采取任何操作

这项服务不受此漏洞的影响。

Cloud Composer

客户无需采取任何操作

这项服务不受此漏洞的影响。

Dataflow

客户无需采取任何操作

这项服务不受此漏洞的影响。

Dataproc

客户无需采取任何操作

这项服务不受此漏洞的影响。

Cloud SQL

客户无需采取任何操作

这项服务不受此漏洞的影响。

GCP-2020-012

发布日期:2020 年 09 月 14 日
更新日期:2020 年 09 月 17 日

说明 严重级别 备注

近期在 Linux 内核中发现了一个漏洞(如 CVE-2020-14386 中所述),该漏洞可能会使容器逃逸,从而获取对主机节点的 root 权限。

所有 GKE 节点都会受到影响。 在 GKE Sandbox 中运行的 Pod 无法利用此漏洞。

如需了解相关说明和更多详情,请参阅以下安全公告:


该补丁程序解决了哪一漏洞?

该补丁程序缓解了以下漏洞:

漏洞 CVE-2020-14386, 其允许具有 CAP_NET_RAW 的容器
写入 1 到 10 个字节的内核内存,并且可能会对容器进行转义并获取主机节点的根权限。此漏洞的严重级别评级为“高”。

CVE-2020-14386

GCP-2020-011

发布日期:2020-07-24

说明

说明 严重级别 备注

最近在 Kubernetes 中发现了一个网络漏洞 CVE-2020-8558。服务有时会使用本地环回接口 (127.0.0.1) 与同一 pod 中运行的其他应用通信。利用此漏洞,有权访问集群网络的攻击者能够将流量发送到相邻 pod 和节点的环回接口。依赖于无法在其 pod 之外访问的环回接口的服务可能会被利用。

如需了解相关说明和更多详情,请参阅以下安全公告:

低(GKE 和 GKE on AWS)、
中 (GKE On-Prem)

CVE-2020-8558

GCP-2020-010

发布日期:2020-07-27

说明

Microsoft 披露了以下漏洞:

漏洞

严重程度

CVE

CVE-2020-1350 - 本地系统账号可以利用配置为 DNS 服务器的 Windows 服务器来运行不受信任的代码。

NVD 基本得分:10.0(严重)

CVE-2020-1350

如需了解详情,请参阅 Microsoft 披露信息

对 Google Cloud 的影响

托管 Google Cloud 和 Google 产品的基础架构不受此漏洞的影响。下面列出了与各种产品有关的更多详情。

产品

影响

Compute Engine

CVE-2020-1350

对于大多数客户而言,无需执行任何额外操作

使用运行 Windows Server 的 Compute Engine 虚拟机作为 DNS 服务器的客户应确保其实例安装了最新的 Windows 补丁程序,或使用自 2020 年 7 月 14 日后提供的 Windows Server 映像。

Google Kubernetes Engine

CVE-2020-1350

对于大多数客户而言,无需执行任何额外操作

使用 GKE 和作为 DNS 服务器的 Windows Server 节点的客户必须将节点和在这些节点上运行的容器化工作负载手动更新到包含此修复的 Windows 服务器版本。

Managed Service for Microsoft Active Directory

CVE-2020-1350

对于大多数客户而言,无需执行任何额外操作

所有代管式 Microsoft AD 网域均已自动使用修补后的映像进行了更新。任何手动运行 Microsoft Active Directory(而不使用代管式 Microsoft AD)的客户应确保其实例安装了最新的 Windows 补丁程序,或使用自 2020 年 7 月 14 日后提供的 Windows Server 映像。

Google Workspace

客户无需采取任何操作

这项服务不受此漏洞的影响。

App Engine 标准环境

客户无需采取任何操作

这项服务不受此漏洞的影响。

App Engine 柔性环境

客户无需采取任何操作

这项服务不受此漏洞的影响。

Cloud Run

客户无需采取任何操作

这项服务不受此漏洞的影响。

Cloud Functions

客户无需采取任何操作

这项服务不受此漏洞的影响。

Cloud Composer

客户无需采取任何操作

这项服务不受此漏洞的影响。

Dataflow

客户无需采取任何操作

这项服务不受此漏洞的影响。

Dataproc

客户无需采取任何操作

这项服务不受此漏洞的影响。

Cloud SQL

客户无需采取任何操作

这项服务不受此漏洞的影响。

GCP-2020-009

发布日期:2020 年 7 月 15 日

说明

说明 严重级别 备注

最近在 Kubernetes 中发现了一个提权漏洞 CVE-2020-8559。利用此漏洞,已破解节点的攻击者能够在集群中的任何 pod 中执行命令。因此,攻击者可以使用已被破解的节点来破解其他节点并且可能读取信息,或者导致破坏性操作。

请注意,集群中的某个节点必须已被破解,攻击者才能利用此漏洞。此漏洞本身不会破解集群中的任何节点。

如需了解相关说明和更多详情,请参阅以下安全公告:

CVE-2020-8559

GCP-2020-008

发布日期:2020-06-19

说明

说明 严重级别 备注

说明

启用了 OS Login 的虚拟机可能易于出现提权漏洞。这些漏洞可让被授予 OS Login 权限(但未获得管理员访问权限)的用户提权为虚拟机中的根访问权限。

如需了解相关说明和更多详情,请参阅 Compute Engine 安全公告

GCP-2020-007

发布日期:2020-06-01

说明

说明 严重级别 备注

技术人员最近在 Kubernetes 中发现了服务器端请求伪造 (SSRF) 漏洞 CVE-2020-8555,该漏洞允许某些授权用户从控制层面主机网络泄露高达 500 字节的敏感信息。Google Kubernetes Engine (GKE) 控制层面会使用 Kubernetes 中的控制器,因此会受到此漏洞的影响。我们建议您将控制层面升级到最新的补丁程序版本。节点不需要升级。

如需了解相关说明和更多详情,请参阅以下安全公告:

CVE-2020-8555

GCP-2020-006

发布日期:2020-06-01

说明

说明 严重级别 备注

Kubernetes 披露了一种漏洞,该漏洞允许具有特权的容器将节点流量重定向到其他容器。此攻击无法读取或修改双向 TLS/SSH 流量(例如 kubelet 与 API 服务器之间)或来自使用 mTLS 的应用的流量。所有 Google Kubernetes Engine (GKE) 节点均受此漏洞影响,我们建议您升级到最新的补丁程序版本。

如需了解相关说明和更多详情,请参阅以下安全公告:

Kubernetes 问题 91507

GCP-2020-005

发布日期:2020-05-07

说明

漏洞

严重程度

CVE

近期在 Linux 内核中发现了一个漏洞(如 CVE-2020-8835 中所述),该漏洞允许容器逃逸,从而获得主机节点上的 root 权限。

运行 GKE 1.16 或 1.17 的 Google Kubernetes Engine (GKE) Ubuntu 节点受此漏洞影响,我们建议您尽快升级到最新的补丁程序版本。

如需了解相关说明和更多详情,请参阅 GKE 安全公告

CVE-2020-8835

GCP-2020-004

发布日期:2020-03-31 | 上次更新日期:2020-03-31

说明

Kubernetes 披露了以下漏洞:

漏洞

严重程度

CVE

CVE-2019-11254 - 这是一种影响 API 服务器的拒绝服务 (DoS) 攻击漏洞。

CVE-2019-11254

如需了解相关说明和更多详情,请参阅 GKE On-Prem 安全公告

GCP-2020-003

发布日期:2020-03-31 | 上次更新日期:2020-03-31

说明

Kubernetes 披露了以下漏洞:

漏洞

严重程度

CVE

CVE-2019-11254 - 这是一种影响 API 服务器的拒绝服务 (DoS) 攻击漏洞。

CVE-2019-11254

如需了解相关说明和更多详情,请参阅 GKE 安全公告

GCP-2020-002

发布日期:2020-03-23 | 上次更新日期:2020-03-23

说明

Kubernetes 披露了以下漏洞:

漏洞

严重程度

CVE

CVE-2020-8551 - 这是一种影响 kubelet 的拒绝服务 (DoS) 攻击漏洞。

CVE-2020-8551

CVE-2020-8552 - 这是一种影响 API 服务器的拒绝服务 (DoS) 攻击漏洞。

CVE-2020-8552

如需了解相关说明和更多详情,请参阅 GKE 安全公告

GCP-2020-001

发布日期:2020-01-21 | 上次更新日期:2020-01-21

说明

Microsoft 披露了以下漏洞:

漏洞

严重程度

CVE

CVE-2020-0601 - 此漏洞又称为 Windows Crypto API 仿冒漏洞。攻击者可以利用此漏洞将恶意可执行程序伪装成受信任的程序,或者发动中间人攻击并解密与受影响软件的用户连接相关的机密信息。

NVD 基本得分:8.1(高)

CVE-2020-0601

如需了解详情,请参阅 Microsoft 披露信息

对 Google Cloud 的影响

托管 Google Cloud 和 Google 产品的基础架构不受此漏洞的影响。下面列出了与各种产品有关的更多详情。

产品

影响

Compute Engine

CVE-2020-0601

对于大多数客户而言,无需执行任何额外操作

使用运行 Windows Server 的 Compute Engine 虚拟机的客户应确保其实例安装了最新的 Windows 补丁程序,或使用自 2020 年 1 月 15 日后提供的 Windows Server 映像。如需了解详情,请参阅 Compute Engine 安全公告

Google Kubernetes Engine

CVE-2020-0601

对于大多数客户而言,无需执行任何额外操作

对于使用 GKE 和 Windows Server 节点的客户而言,节点以及在这些节点上运行的容器化工作负载必须更新到修补后的版本以缓解此漏洞。 如需了解相关说明和更多详情,请参阅 GKE 安全公告

Managed Service for Microsoft Active Directory

CVE-2020-0601

对于大多数客户而言,无需执行任何额外操作

所有代管式 Microsoft AD 网域均已自动使用修补后的映像进行了更新。任何手动运行 Microsoft Active Directory(而不使用代管式 Microsoft AD)的客户应确保其实例安装了最新的 Windows 补丁程序,或使用自 2020 年 1 月 15 日后提供的 Windows Server 映像。

Google Workspace

客户无需采取任何操作

这项服务不受此漏洞的影响。

App Engine 标准环境

客户无需采取任何操作

这项服务不受此漏洞的影响。

App Engine 柔性环境

客户无需采取任何操作

这项服务不受此漏洞的影响。

Cloud Run

客户无需采取任何操作

这项服务不受此漏洞的影响。

Cloud Functions

客户无需采取任何操作

这项服务不受此漏洞的影响。

Cloud Composer

客户无需采取任何操作

这项服务不受此漏洞的影响。

Dataflow

客户无需采取任何操作

这项服务不受此漏洞的影响。

Dataproc

客户无需采取任何操作

这项服务不受此漏洞的影响。

Cloud SQL

客户无需采取任何操作

这项服务不受此漏洞的影响。

GCP-2019-001

发布日期:2019-11-12 | 上次更新日期:2019-11-12

说明

Intel 披露了以下漏洞:

漏洞

严重程度

CVE

CVE-2019-11135 - 此漏洞名为 TSX 异步中止 (TAA),可能会被用来在 TSX 事务中发起预测执行攻击。此漏洞可能允许通过微架构数据抽样 (MDS) 所暴露的同一微架构数据结构泄露数据。

CVE-2019-11135

CVE-2018-12207 - 这是一种拒绝服务攻击 (DoS) 漏洞,会影响虚拟机主机(而非客机)。此问题被称为“页面大小更改时的机器检查错误”。

CVE-2018-12207

详情请参阅 Intel 披露信息:

对 Google Cloud 的影响

托管 Google Cloud 及 Google 产品的基础架构受到保护,可以抵御这些漏洞的威胁。下面列出了与各种产品有关的更多详情。

产品

影响

Compute Engine

CVE-2019-11135

对多数客户而言,无需执行任何额外操作。

如果 N2、C2 或 M2 客户在 Compute Engine 虚拟机内自己的多租户服务中运行不可信代码,则应关停并重启其虚拟机,以确保虚拟机使用最新的安全威胁缓解机制。

CVE-2018-12207

对所有客户而言,无需执行任何额外操作。

Google Kubernetes Engine

CVE-2019-11135

对多数客户而言,无需执行任何额外操作。

如果您使用包含 N2、M2 或 C2 节点的节点池,并且这些节点在您自己的多租户 GKE 集群内运行不可信代码,那么您应重启您的节点。如果您要重启节点池中的所有节点,请升级受影响的节点池

CVE-2018-12207

对所有客户而言,无需执行任何额外操作。

App Engine 标准环境

无需执行任何额外操作。

App Engine 柔性环境

CVE-2019-11135

无需执行任何额外操作。

客户应针对可能会在 Flex 虚拟机中的超线程之间发生的应用级共享了解 Intel 的最佳做法。

CVE-2018-12207

无需执行任何额外操作。

Cloud Run

无需执行任何额外操作。

Cloud Functions

无需执行任何额外操作。

Cloud Composer

无需执行任何额外操作。

Dataflow

CVE-2019-11135

对多数客户而言,无需执行任何额外操作。

如果 Dataflow 客户在 Dataflow 托管的 N2、C2 或 M2 Compute Engine 虚拟机上运行多个不可信工作负载并担心客机内攻击的可能性,则应考虑重启当前正在运行的所有流处理流水线。也可以选择取消并重新运行批处理流水线。对于今后启动的流水线,无需执行任何操作。

CVE-2018-12207

对所有客户而言,无需执行任何额外操作。

Dataproc

CVE-2019-11135

对多数客户而言,无需执行任何额外操作。

如果 Cloud Dataproc 客户在 Compute Engine N2、C2 或 M2 虚拟机上的同一 Cloud Dataproc 集群中运行多个不可信工作负载并担心客机内攻击的可能性,则应重新部署其集群

CVE-2018-12207

对所有客户而言,无需执行任何额外操作。

Cloud SQL

无需执行任何额外操作。