보안 게시판

Google Cloud VMware Engine 관련 보안 게시판은 수시로 업데이트됩니다. VMware Engine에 해당하는 모든 보안 게시판은 여기에서 확인할 수 있습니다.

이 XML 피드를 사용하여 이 페이지의 보안 게시판을 구독합니다. 구독

GCP-2024-016

게시됨: 2024년 3월 5일

설명 심각도 Notes

VMware는 VMSA-2024-0006에서 고객 환경에 배포된 ESXi 구성요소에 영향을 미치는 여러 취약점을 공개했습니다.

Google Cloud VMware Engine 영향

보안 취약점이 해결되도록 프라이빗 클라우드가 업데이트되었습니다.

어떻게 해야 하나요?

개발자가 취해야 할 조치는 없습니다.

심각

GCP-2023-034

게시됨: 2023년 10월 25일

업데이트: 2023년 10월 27일

설명 심각도 Notes

VMware에서 고객 환경에 배포된 vCenter 구성요소에 영향을 주는 VMSA-2023-0023의 여러 취약점이 공개되었습니다.

Google Cloud VMware Engine 영향

  • 이 취약점은 vCenter Server에서 특정 포트에 액세스하여 악용될 수 있습니다. 이러한 포트는 공개 인터넷에 노출되지 않습니다.
  • 신뢰할 수 없는 시스템이 vCenter 포트 2012/tcp, 2014/tcp, 2020/tcp에 액세스할 수 없는 경우에는 이 취약점에 노출되지 않습니다.
  • Google은 이미 vCenter Server에서 취약한 포트를 차단하여 이 취약점이 악용될 가능성을 방지했습니다.
  • 또한 Google은 이후의 모든 vCenter Server 배포가 이 취약점에 노출되지 않도록 보장할 것입니다.
  • 게시판 작성 시점에 VMware는 이 문제가 "실제 상황"에서 악용되고 있다는 증거를 발견하지 못했습니다. 자세한 내용은 VMware 문서를 참조하세요.

어떻게 해야 하나요?

현재 추가 조치는 필요 없습니다.

 심각

GCP-2023-027

게시됨: 2023년 9월 11일
설명 심각도 Notes

VMware vCenter Server 업데이트는 여러 메모리 손상 취약점(CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896)을 해결합니다.

VMware Engine의 영향

VMware vCenter Server(vCenter Server) 및 VMware Cloud Foundation(Cloud Foundation)

어떻게 해야 하나요?

고객은 영향을 받지 않으며 별도의 조치를 취할 필요가 없습니다.

 중간 규모

GCP-2023-025

게시: 2023년 8월 8일
설명 심각도 Notes

Intel은 최근 일부 프로세서 제품군에 영향을 미치는 Intel Security Advisory INTEL-SA-00828을 발표했습니다. 권고에 따라 위험을 평가하는 것이 좋습니다.

VMware Engine의 영향

Google Fleet은 영향을 받는 프로세서 제품군을 활용합니다. 배포에서는 전체 서버가 한 명의 고객 전용입니다. 따라서 Google의 배포 모델은 이 취약점의 평가에 추가적인 위험을 더하지 않습니다.

Google은 파트너와 협력하여 필요한 패치를 획득하고 있으며 앞으로 몇 주 내에 표준 업그레이드 프로세스를 사용하여 이러한 패치를 Fleet 전체에 우선 배포할 예정입니다.

어떻게 해야 하나요?

별도의 조치를 취하지 않아도 모든 영향을 받는 시스템을 업그레이드하기 위해 작업하고 있습니다.

 높음

GCP-2021-023

게시: 2021년 09월 21일
설명 심각도 Notes

VMware 보안 자문 VMSA-2021-0020에 따라 VMware는 vCenter의 여러 취약점에 대한 보고서를 받았습니다. VMware는 영향을 받은 VMware 제품의 이러한 취약점을 해결하기 위한 업데이트를 만들었습니다.

VMware 보안 권장사항에 따라 VMware에서 vSphere 스택에 제공하는 패치를 Google Cloud VMware Engine에 이미 적용했습니다. 이 업데이트는 CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008, CVE-2021-22010에 설명된 보안 취약점을 해결합니다. 기타 심각하지 않은 보안 문제는 예정된 VMware 스택 업그레이드에서 해결될 예정입니다(7월에 전송된 사전 알림에 따라 업그레이드의 특정 일정에서 자세한 내용이 곧 제공될 예정).

VMware Engine의 영향

조사에 따르면 영향을 받는 고객은 없는 것으로 확인되었습니다.

어떻게 해야 하나요?

VMware Engine 클러스터는 이 취약점의 영향을 받지 않으므로 추가 작업이 필요하지 않습니다.

 중요

GCP-2021-010

게시: 2021-05-25
설명 심각도 참고

VMware 보안 권고 VMSA-2021-0010에 따라 vSphere 클라이언트(HTML5)의 원격 코드 실행 및 인증 우회 취약점이 VMware에 비공개로 보고되었습니다. VMware는 영향을 받은 VMware 제품의 이러한 취약점을 해결하기 위한 업데이트를 만들었습니다.

VMware 보안 권고에 따라 VMware에서 제공한 패치를 vSphere 스택에 적용했습니다. 이 업데이트는 CVE-2021-21985 및 CVE-2021-21986에 설명된 보안 취약점을 해결합니다. VMware Engine 프라이빗 클라우드에서 실행되는 이미지 버전은 적용된 패치를 나타내는 현재의 변경사항을 반영하지 않습니다. 적절한 패치가 설치되었으며 이러한 취약점으로부터 환경이 보호되고 있으므로 안심하셔도 됩니다.

VMware Engine 영향

조사에 따르면 영향을 받는 고객은 없는 것으로 확인되었습니다.

어떻게 해야 하나요?

VMware Engine 클러스터는 이 취약점의 영향을 받지 않으므로 추가 작업이 필요하지 않습니다.

 중요

GCP-2021-002

게시: 2021-03-05
설명 심각도 참고

VMware 보안 권고 VMSA-2021-0002에 따라 VMware는 VMware ESXi 및 vSphere Client(HTML5)의 여러 취약점에 대한 보고를 받았습니다. VMware는 영향을 받은 VMware 제품의 이러한 취약점을 해결하기 위한 업데이트를 만들었습니다.

VMware 보안 권고에 따라 vSphere 스택에 대한 공식적으로 작성된 해결 방법을 적용했습니다. 이 업데이트는 CVE-2021-21972, CVE-2021-21973, CVE-2021-21974에 설명된 보안 취약점을 해결합니다.

VMware Engine의 영향

조사에 따르면 영향을 받는 고객은 없는 것으로 확인되었습니다.

어떻게 해야 하나요?

VMware Engine 클러스터는 이 취약점의 영향을 받지 않으므로 추가 작업이 필요하지 않습니다.

 심각