Bollettini sulla sicurezza

I seguenti bollettini sulla sicurezza sono relativi ai prodotti Google Cloud.

Utilizza questo feed XML per iscriverti ai bollettini sulla sicurezza per questa pagina. Sottoscrivi

GCP-2024-024

Pubblicato: 25/04/2024

Descrizione

Descrizione Gravità Note

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

  • CVE-2024-26585

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2024-26585

GCP-2024-023

Pubblicato: 24/04/2024

Descrizione

Descrizione Gravità Note

I seguenti CVE espongono Anthos Service Mesh a vulnerabilità sfruttabili:

  • CVE-2024-27919: HTTP/2: esaurimento della memoria a causa dell'inondazione di frame CONTINUATION.
  • CVE-2024-30255: HTTP/2: esaurimento della CPU a causa dell'inondazione di frame CONTINUATION
  • CVE-2024-32475: terminazione anomala quando si utilizza "auto_sni" con l'intestazione ":authority" più lunga di 255 caratteri.
  • CVE-2023-45288: i frame HTTP/2 CONTINUATION possono essere utilizzati per gli attacchi DoS.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.

Alta

GCP-2024-022

Pubblicato: 03/04/2024

Ultimo aggiornamento: 24/04/2024

Descrizione

Descrizione Gravità Note

Aggiornamento del 24/04/2024: sono state aggiunte versioni di patch per GKE.

Una vulnerabilità Denial of Service (DoS) (CVE-2023-45288) è stata recentemente scoperta in molteplici implementazioni del protocollo HTTP/2, tra cui il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe portare a un DoS del piano di controllo Google Kubernetes Engine (GKE).

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2023-45288

GCP-2024-021

Pubblicato: 03/04/2024

Descrizione

Descrizione Gravità Note

Compute Engine non è interessato da CVE-2024-3094, che interessa le versioni 5.6.0 e 5.6.1 del pacchetto xz-utils nella libreria liblzma e potrebbe compromettere l'utilità OpenSSH.

Per maggiori dettagli, consulta il Bollettino sulla sicurezza di Compute Engine.

 Medio CVE-2024-3094

GCP-2024-020

Pubblicato: 2024-04-02

Descrizione

Descrizione Gravità Note

I ricercatori hanno scoperto una vulnerabilità (CVE-2023-48022) in Ray. Ray è uno strumento open source di terze parti per i carichi di lavoro di AI. Poiché Ray non richiede l'autenticazione, gli aggressori possono eseguire il codice in remoto inviando job a istanze esposte pubblicamente. La vulnerabilità è stata contestata da Anyscale, lo sviluppatore di Ray. Ray mantiene le sue funzioni come funzionalità principale e intenzionale del prodotto, pertanto la sicurezza deve essere implementata al di fuori di un cluster Ray, in quanto qualsiasi esposizione involontaria della rete del cluster Ray potrebbe portare a compromessi.

In base alla risposta, questa CVE è contestata e potrebbe non essere visualizzata negli scanner di vulnerabilità. Indipendentemente da ciò, viene sfruttato attivamente in natura e gli utenti dovrebbero configurare il proprio utilizzo come suggerito di seguito.

Che cosa devo fare?

Segui le best practice e le linee guida di Ray, tra cui l'esecuzione di codice attendibile su reti attendibili, per proteggere i tuoi carichi di lavoro Ray. Il deployment di ray.io nelle istanze cloud del cliente rientra nel modello di responsabilità condivisa.

La sicurezza di Google Kubernetes Engine (GKE) ha pubblicato un blog sulla protezione di Ray su GKE.

Per saperne di più su come aggiungere l'autenticazione e l'autorizzazione ai servizi Ray, consulta la documentazione di Identity-Aware Proxy (IAP). Gli utenti di GKE possono implementare IAP seguendo queste linee guida o riproponendo i moduli Terraform collegati nel blog.

Alta CVE-2023-48022

GCP-2024-018

Pubblicato: 12/03/2024

Ultimo aggiornamento: 04/04/2024

Descrizione

Descrizione Gravità Note

Aggiornamento 04/04/2024: versioni minime corrette per i pool di nodi Container-Optimized OS di GKE.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

  • CVE-2024-1085

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2024-1085

GCP-2024-017

Pubblicato: 2024/03/06

Descrizione

Descrizione Gravità Note

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

  • CVE-2023-3611

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2023-3611

GCP-2024-016

Pubblicato: 05/03/2024

Descrizione Gravità Note

VMware ha divulgato molteplici vulnerabilità in VMSA-2024-0006 che influiscono sui componenti ESXi di cui è stato eseguito il deployment negli ambienti dei clienti.

Impatto dell'assistenza clienti Google Cloud

I cloud privati sono stati aggiornati per risolvere la vulnerabilità di sicurezza.

Che cosa devo fare?

Non è necessario alcun intervento da parte tua.

Critico

GCP-2024-014

Pubblicato: 26/02/2024

Descrizione

Descrizione Gravità Note

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

  • CVE-2023-3776

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2023-3776

GCP-2024-013

Pubblicato: 27/02/2024

Descrizione

Descrizione Gravità Note

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

  • CVE-2023-3610

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2023-3610

GCP-2024-012

Pubblicato: 2024/02/20

Descrizione

Descrizione Gravità Note

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

  • CVE-2024-0193

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2024-0193

GCP-2024-011

Pubblicato: 15/02/2024

Descrizione

Descrizione Gravità Note

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

  • CVE-2023-6932

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2023-6932

GCP-2024-010

Pubblicato: 14/02/2024

Ultimo aggiornamento: 17/04/2024

Descrizione

Descrizione Gravità Note

Aggiornamento 17/04/2024: sono state aggiunte versioni patch per GKE su VMware.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

  • CVE-2023-6931

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2023-6931

GCP-2024-009

Pubblicato: 13/02/2024

Descrizione

Descrizione Gravità Note

Il 13 febbraio 2024, AMD ha divulgato due vulnerabilità che interessano SEV-chromeos sulle CPU EPYC basate sui core Zen di terza generazione "Milano" e di quarta generazione "Genoa". Le vulnerabilità consentono a utenti malintenzionati di accedere a dati inattivi degli ospiti o causare una perdita dell'integrità degli ospiti.

Google ha applicato correzioni alle risorse interessate, incluso Google Cloud, per garantire la protezione dei clienti. Al momento, non sono state trovate o segnalate prove di sfruttamento a Google.

Che cosa devo fare?

Non è necessario alcun intervento da parte del cliente. Le correzioni sono già state applicate al parco risorse di server di Google per Google Cloud, incluso Compute Engine.

Per maggiori informazioni, consulta l'avviso sulla sicurezza di AMD AMD-SN-3007.

 Moderata

GCP-2024-008

Pubblicato: 12/02/2024

Descrizione

Descrizione Gravità Note

La CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2023-5528

GCP-2024-007

Pubblicato: 08/02/2024

Descrizione

Descrizione Gravità Note

I seguenti CVE espongono Anthos Service Mesh a vulnerabilità sfruttabili:

  • CVE-2024-23322: Envoy si arresta in modo anomalo in caso di inattività e le richieste per timeout di prova si verificano entro l'intervallo di backoff.
  • CVE-2024-23323: utilizzo eccessivo della CPU quando il matcher del modello URI è configurato utilizzando un'espressione regolare.
  • CVE-2024-23324: l'autorizzazione esterna può essere bypassata quando il filtro del protocollo proxy imposta metadati UTF-8 non validi.
  • Envoy si arresta in modo anomalo quando viene utilizzato un tipo di indirizzo non supportato dal sistema operativo.
  • CVE-2024-23327: arresto anomalo nel protocollo proxy quando il tipo di comando è LOCAL.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.

Alta

GCP-2024-006

Pubblicato: 5/02/2024

Descrizione

Descrizione Gravità Note

Quando un proxy per la gestione delle API Apigee si connette a un endpoint di destinazione o a un server di destinazione, per impostazione predefinita non esegue la convalida del nome host per il certificato presentato dall'endpoint di destinazione o dal server di destinazione. Se la convalida del nome host non viene abilitata utilizzando una delle seguenti opzioni, i proxy Apigee che si connettono a un endpoint o a un server di destinazione potrebbero essere a rischio di un attacco man in the middle da parte di un utente autorizzato. Per maggiori informazioni, consulta Configurazione di TLS da Edge al backend (cloud e cloud privato).

Sono interessati i deployment proxy Apigee sulle seguenti piattaforme Apigee:

  • Apigee Edge per cloud pubblico
  • Apigee Edge for Private Cloud

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza Apigee.

 Alta

GCP-2024-005

Pubblicato il: 31/01/2024
Ultimo aggiornamento: 02/04/2024

Descrizione

Descrizione Gravità Note

Aggiornamento 02/04/2024: sono state aggiunte versioni patch per GKE su Bare Metal

Aggiornamento del 6/03/2024: sono state aggiunte versioni patch per GKE su VMware

Aggiornamento 28/02/2024: sono state aggiunte versioni patch per Ubuntu

Aggiornamento 15/02/2024: è stato chiarito che le versioni delle patch di Ubuntu 1.25 e 1.26 nell'aggiornamento del 14/02/2024 potrebbero causare nodi non integri.

Aggiornamento 14/02/2024: sono state aggiunte versioni patch per Ubuntu

Aggiornamento 06/02/2024: sono state aggiunte versioni patch per Container-Optimized OS.

In runc è stata scoperta una vulnerabilità di sicurezza, CVE-2024-21626, in cui un utente con l'autorizzazione per creare pod su Container-Optimized OS e nodi Ubuntu potrebbe essere in grado di ottenere l'accesso completo al file system dei nodi.

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2024-21626

GCP-2024-004

Pubblicato il: 24/01/2024
Ultimo aggiornamento: 07/02/2024

Descrizione

Descrizione Gravità Note

Aggiornamento 07/02/2024: sono state aggiunte versioni patch per Ubuntu.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

  • CVE-2023-6817

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2023-6817

GCP-2024-003

Pubblicato il: 19/01/2024
Ultimo aggiornamento: 26/01/2024

Descrizione

Descrizione Gravità Note

Aggiornamento del 26/01/2024: è stato chiarito il numero di cluster interessati e le azioni che abbiamo intrapreso per mitigare l'impatto. Per maggiori dettagli, consulta il Bollettino sulla sicurezza di Google Cloud 2024-003.

Abbiamo identificato diversi cluster in cui gli utenti hanno concesso privilegi Kubernetes al gruppo system:authenticated, che include tutti gli utenti con un Account Google. Questi tipi di associazioni non sono consigliati perché violano il principio del privilegio minimo e concedono l'accesso a gruppi molto grandi di utenti. Consulta la sezione "Cosa devo fare" per le istruzioni su come trovare questi tipi di associazioni.

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Medio

GCP-2024-002

Pubblicato: 17/01/2024

Ultimo aggiornamento: 20/02/2024

Descrizione

Descrizione Gravità Note

Aggiornamento 20/02/2024: sono state aggiunte versioni patch per GKE su VMware.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS.

  • CVE-2023-6111

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2023-6111

GCP-2024-001

Pubblicato: 09/01/2024

Descrizione

Descrizione Gravità Note

Nel firmware UEFI di TianoCore EDK II sono state scoperte diverse vulnerabilità. Questo firmware viene utilizzato nelle VM Google Compute Engine. Se sfruttate, le vulnerabilità potrebbero consentire un bypass dell'avvio protetto, il che fornirebbe misurazioni false nel processo di avvio protetto, anche quando utilizzato nelle Shielded VM.

Che cosa devo fare?

Non è richiesto alcun intervento da parte tua. Google ha applicato la patch a questa vulnerabilità in Compute Engine e tutte le VM sono protette da questa vulnerabilità.

Quali vulnerabilità vengono affrontate da questa patch?

La patch ha attenuato le seguenti vulnerabilità:

  • CVE-2022-36763
  • CVE-2022-36764
  • CVE-2022-36765
 Medio

GCP-2023-051

Pubblicato: 28/12/2023

Descrizione

Descrizione Gravità Note

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

  • CVE-2023-3609

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2023-3609

GCP-2023-050

Pubblicato: 27/12/2023

Descrizione

Descrizione Gravità Note

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

  • CVE-2023-3389

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2023-3389

GCP-2023-049

Pubblicato: 20/12/2023

Descrizione

Descrizione Gravità Note

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

  • CVE-2023-3090

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2023-3090

GCP-2023-048

Pubblicato: 15/12/2023

Ultimo aggiornamento: 21/12/2023

Descrizione

Descrizione Gravità Note

Aggiornamento 21/12/2023: chiarisci che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

  • CVE-2023-3390

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2023-3390

GCP-2023-047

Pubblicato: 14/12/2023

Descrizione

Descrizione Gravità Note

Un utente malintenzionato che ha compromesso il container di logging di Fluent Bit potrebbe combinare questo accesso con gli elevati privilegi richiesti da Anthos Service Mesh (sui cluster che lo hanno abilitato) per aumentare i privilegi nel cluster.

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Medio

GCP-2023-046

Pubblicato il: 22/11/2023
Ultimo aggiornamento: 04/03/2024

Descrizione

Descrizione Gravità Note

Aggiornamento 04/03/2024: sono state aggiunte versioni di GKE per GKE su VMware.

Aggiornamento 22/01/2024: sono state aggiunte versioni patch di Ubuntu

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

  • CVE-2023-5717

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2023-5717

GCP-2023-045

Pubblicato: 2023/11/20

Ultimo aggiornamento: 21/12/2023

Descrizione

Descrizione Gravità Note

Aggiornamento 21/12/2023: chiarisci che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

  • CVE-2023-5197

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2023-5197

GCP-2023-044

Pubblicato: 15/11/2023

Descrizione

Descrizione Gravità Note

Il 14 novembre, AMD ha divulgato diverse vulnerabilità che hanno impatto su varie CPU dei server AMD. In particolare, le vulnerabilità hanno un impatto sulle CPU server EPYC che sfruttano i core Zen di 2a generazione "Roma", di 3a generazione "Milano" e di 4a generazione "Genova".

Google ha applicato correzioni agli asset interessati, incluso Google Cloud, per garantire la protezione dei clienti. Al momento, non sono state trovate o segnalate prove di sfruttamento a Google.

Che cosa devo fare?

Non è necessario alcun intervento da parte del cliente.

Le correzioni sono già state applicate al parco server di Google per Google Cloud, incluso Google Compute Engine.

Quali vulnerabilità vengono affrontate?

La patch ha attenuato le seguenti vulnerabilità:

  • CVE-2022-23820
  • CVE-2021-46774
  • CVE-2023-20533
  • CVE-2023-20519
  • CVE-2023-20592
  • CVE-2023-20566
  • CVE-2023-20521
  • CVE-2021-46766
  • CVE-2022-23830
  • CVE-2023-20526
  • CVE-2021-26345

Per ulteriori informazioni, consulta l'avviso sulla sicurezza di AMD AMD-SN-3005: "AMD INVD Instruction Security Notification", pubblicato anche come CacheWarp, e AMD-SN-3002: "AMD Server Vulnerabilities – Novembre 2023".

 Moderata

GCP-2023-043

Pubblicato: 14/11/2023

Descrizione

Descrizione Gravità Note

Intel ha divulgato una vulnerabilità della CPU in processori selezionati. Google ha adottato misure per ridurre il proprio parco di server, compresi Google Compute Engine per Google Cloud e i dispositivi ChromeOS, per garantire la protezione dei clienti.

I dettagli della vulnerabilità:

  • CVE-2023-23583

Che cosa devo fare?

Non è necessario alcun intervento da parte del cliente.

La mitigazione fornita da Intel per i processori interessati è stata applicata al parco di server di Google, tra cui Google Compute Engine per Google Cloud.

Al momento, Google Distributed Cloud Edge richiede un aggiornamento da parte dell'OEM. Google risolverà questo prodotto non appena l'aggiornamento sarà stato reso disponibile e questo bollettino verrà aggiornato di conseguenza.

I dispositivi ChromeOS con i processori interessati hanno ricevuto la correzione automaticamente nell'ambito delle release 119, 118 e 114 (LTS).

Quali vulnerabilità vengono affrontate?

CVE-2023-23583. Per maggiori dettagli, vedi Intel Security Advisory INTEL-SA-00950.

 Alta CVE-2023-23583

GCP-2023-042

Pubblicato il: 13/11/2023
Ultimo aggiornamento: 15/11/2023

Descrizione

Descrizione Gravità Note

Aggiornamento 15/11/2023: chiarisci che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione con patch corrispondente per GKE.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

  • CVE-2023-4147

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2023-4147

GCP-2023-041

Pubblicato: 2023/11/08

Ultimo aggiornamento: 21/11/2023, 05/12/2023, 21/12/2023

Descrizione

Descrizione Gravità Note

Aggiornamento 21/12/2023: chiarisci che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Aggiornamento 05/12/2023: sono state aggiunte ulteriori versioni GKE per i pool di nodi di Container-Optimized OS.

Aggiornamento 21/11/2023: chiarisci che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione con patch corrispondente per GKE.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

  • CVE-2023-4004

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2023-4004

GCP-2023-040

Pubblicato: 2023/11/06

Ultimo aggiornamento: 21/11/2023, 21/12/2023

Descrizione

Descrizione Gravità Note

Aggiornamento 21/12/2023: chiarisci che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Aggiornamento 21/11/2023: chiarisci che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione con patch corrispondente per GKE.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

  • CVE-2023-4921

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2023-4921

GCP-2023-039

Pubblicato: 6/11/2023

Ultimo aggiornamento: 21/11/2023, 16/11/2023

Descrizione

Descrizione Gravità Note

Aggiornamento 21/11/2023: chiarisci che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione con patch corrispondente per GKE.

Aggiornamento 16/11/2023: la vulnerabilità associata a questo bollettino sulla sicurezza è CVE-2023-4622. CVE-2023-4623 è stata erroneamente elencata come vulnerabilità in una versione precedente del bollettino sulla sicurezza.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

  • CVE-2023-4623

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2023-4622

GCP-2023-038

Pubblicato: 2023/11/06

Ultimo aggiornamento: 21/11/2023, 21/12/2023

Descrizione

Descrizione Gravità Note

Aggiornamento 21/12/2023: chiarisci che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Aggiornamento 21/11/2023: chiarisci che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione con patch corrispondente per GKE.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

  • CVE-2023-4623

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2023-4623

GCP-2023-037

Pubblicato: 6/11/2023

Ultimo aggiornamento: 21/11/2023, 21/12/2023

Descrizione

Descrizione Gravità Note

Aggiornamento 21/12/2023: chiarisci che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Aggiornamento 21/11/2023: chiarisci che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione con patch corrispondente per GKE.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

  • CVE-2023-4015

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2023-4015

GCP-2023-036

Pubblicato: 30/10/2023

Descrizione

Descrizione Gravità Note

Deep Learning VM Image è un insieme di immagini di macchine virtuali predefinite con un framework di deep learning pronte all'uso. Recentemente, è stata scoperta una vulnerabilità di scrittura fuori dai limiti nella funzione "ReadHuffmanCodes()" nella libreria "libwebp". Questo potrebbe influenzare le immagini che utilizzano questa libreria.

Google Cloud scansiona continuamente le immagini pubblicate pubblicamente e aggiorna i pacchetti per garantire che le distribuzioni con patch siano incluse nelle ultime release disponibili per l'adozione da parte del cliente. Le Deep Learning VM Image sono state aggiornate per garantire che le immagini VM più recenti includano le distribuzioni con patch. I clienti che adottano le immagini VM più recenti non sono esposti a questa vulnerabilità.

Che cosa devo fare?

I clienti Google Cloud che utilizzano immagini VM pubblicate devono assicurarsi di adottare le immagini più recenti e che i loro ambienti siano aggiornati secondo il modello di responsabilità condivisa.

La CVE-2023-4863 potrebbe essere sfruttata da un utente malintenzionato per eseguire un codice arbitrario. Questa vulnerabilità è stata identificata in Google Chrome prima della versione 116.0.5845.187 e in "libwebp" precedenti alla 1.3.2 ed è elencata in CVE-2023-4863.

 Alta CVE-2023-4863

GCP-2023-035

Pubblicato: 26/10/2023

Ultimo aggiornamento: 21/11/2023, 21/12/2023

Descrizione

Descrizione Gravità Note

Aggiornamento 21/12/2023: chiarisci che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Aggiornamento 21/11/2023: chiarisci che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione con patch corrispondente per GKE.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2023-4206CVE-2023-4207, CVE-2023-4208, CVE-2023-4128

GCP-2023-034

Pubblicato: 25/10/2023

Ultimo aggiornamento: 27/10/2023

Descrizione

Descrizione Gravità Note

VMware ha divulgato molteplici vulnerabilità in VMSA-2023-0023 che influiscono sui componenti vCenter di cui è stato eseguito il deployment negli ambienti dei clienti.

Impatto dell'assistenza clienti Google Cloud

  • La vulnerabilità può essere sfruttata accedendo a porte specifiche in vCenter Server. Queste porte non sono esposte alla rete internet pubblica.
  • Se le porte vCenter 2012/tcp, 2014/tcp e 2020/tcp non sono accessibili da sistemi non attendibili, non sei esposto a questa vulnerabilità.
  • Google ha già bloccato le porte vulnerabili sul server vCenter, impedendo qualsiasi potenziale sfruttamento di questa vulnerabilità.
  • Inoltre, Google garantirà che tutti i futuri deployment del server vCenter non siano esposti a questa vulnerabilità.
  • Al momento del bollettino, VMware non è a conoscenza di alcun tipo di sfruttamento "in natura". Per maggiori dettagli, consulta la documentazione di VMware.

Che cosa devo fare?

Al momento non sono richieste ulteriori azioni

 Critico CVE-2023-34048,CVE-2023-34056

GCP-2023-033

Pubblicato: 24/10/2023

Ultimo aggiornamento: 21/11/2023, 21/12/2023

Descrizione

Descrizione Gravità Note

Aggiornamento del 21/12/2023: chiarisci che i cluster GKE Autopilot nella configurazione predefinita non sono interessati e che i carichi di lavoro GKE Sandbox non sono interessati.

Aggiornamento 21/11/2023: chiarisci che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione con patch corrispondente per GKE.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

  • CVE-2023-3777

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2023-3777

GCP-2023-032

Pubblicato: 13/10/2023

Ultimo aggiornamento: 3/11/2023

Descrizione

Descrizione Gravità Note

Aggiornamento 03/11/2023: è stato aggiunto un problema noto per Apigee Edge per il cloud privato.

Di recente è stata scoperta una vulnerabilità denial of service (DoS) in più implementazioni del protocollo HTTP/2 (CVE-2023-44487), tra cui il servizio Apigee Ingress (Anthos Service Mesh) utilizzato da Apigee X e Apigee Hybrid. La vulnerabilità potrebbe portare a un DoS della funzionalità di gestione delle API Apigee.

Per istruzioni e ulteriori dettagli, consulta il bollettino sulla sicurezza di Apigee.

Alta CVE-2023-44487

GCP-2023-031

Pubblicato: 10/10/2023

Descrizione

Descrizione Gravità Note

Un attacco denial of service può influire sul piano dati quando si utilizza il protocollo HTTP/2. Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.

Alta CVE-2023-44487

GCP-2023-030

Pubblicato: 10/10/2023

Ultimo aggiornamento: 20/03/2024

Descrizione

Descrizione Gravità Note

Aggiornamento 20/03/2024: sono state aggiunte versioni patch per GKE su AWS e GKE su Azure con le patch più recenti per CVE-2023-44487.

Aggiornamento 14/02/2024: sono state aggiunte versioni patch per GKE su VMware.

Aggiornamento 09/11/2023: è stata aggiunta la CVE-2023-39325. Versioni di GKE aggiornate con le patch più recenti per CVE-2023-44487 e CVE-2023-39325.

Una vulnerabilità Denial of Service (DoS) è stata recentemente scoperta in diverse implementazioni del protocollo HTTP/2 (CVE-2023-44487), tra cui il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe portare a un DoS del piano di controllo Google Kubernetes Engine (GKE). I cluster GKE con reti autorizzate configurate sono protetti limitando l'accesso alla rete, ma sono interessati tutti gli altri cluster.

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2023-44487, CVE-2023-39325

GCP-2023-029

Pubblicato: 2023/10/03

Descrizione

Descrizione Gravità Note

TorchServe viene utilizzato per ospitare i modelli di machine learning PyTorch per la previsione online. Vertex AI fornisce container predefiniti di gestione dei modelli PyTorch che dipendono da TorchServe. Di recente sono state scoperte in TorchServe delle vulnerabilità che consentirebbero a un utente malintenzionato di assumere il controllo di un deployment di TorchServe se la relativa API di gestione dei modelli venisse esposta. I clienti con modelli PyTorch di cui è stato eseguito il deployment nella previsione online di Vertex AI non sono interessati da queste vulnerabilità, poiché Vertex AI non espone l'API di gestione dei modelli di TorchServe. I clienti che utilizzano TorchServe al di fuori di Vertex AI devono prendere precauzioni per garantire che i deployment siano configurati in modo sicuro.

Che cosa devo fare?

I clienti di Vertex AI con modelli distribuiti utilizzando i container di gestione PyTorch predefiniti di Vertex AI non devono intraprendere alcuna azione per risolvere le vulnerabilità, poiché i deployment di Vertex AI non espongono il server di gestione di TorchServe a internet.

I clienti che utilizzano i container PyTorch predefiniti in altri contesti o che usano una distribuzione personalizzata o di terze parti di TorchServe:

  • Assicurati che l'API di gestione dei modelli di TorchServe non sia esposta a internet. L'API di gestione dei modelli può essere limitata all'accesso locale solo assicurando che management_address sia associato a 127.0.0.1.
  • Utilizza l'impostazione allowed_urls per assicurarti che i modelli possano essere caricati solo dalle origini previste.
  • Esegui l'upgrade di TorchServe alla versione 0.8.2, che include le mitigazioni per questo problema, il prima possibile. Per precauzione, Vertex AI rilascerà container predefiniti fissi entro il 13/10/2023.

Quali vulnerabilità vengono affrontate?

L'API di gestione di TorchServe è associata per impostazione predefinita a 0.0.0.0 nella maggior parte delle immagini Docker di TorchServe, incluse quelle rilasciate da Vertex AI, rendendola accessibile alle richieste esterne. L'indirizzo IP predefinito per l'API di gestione viene modificato in 127.0.0.1 in TorchServe 0.8.2, riducendo il problema.

Le CVE-2023-43654 e CVE-2022-1471 consentono a un utente con accesso all'API di gestione di caricare modelli da origini arbitrarie ed eseguire codice in remoto. Le mitigazioni per entrambi questi problemi sono incluse in TorchServe 0.8.2: il percorso di esecuzione del codice remoto viene rimosso e viene emesso un avviso se viene utilizzato il valore predefinito di allowed_urls.

 Alta CVE-2023-43654, CVE-2022-1471

GCP-2023-028

Pubblicato: 19/09/2023

Descrizione

Descrizione Gravità Note

I clienti possono configurare Google Security Operations per importare i dati dai bucket Cloud Storage di proprietà del cliente utilizzando un feed di importazione. Fino a poco tempo fa, Google Security Operations forniva un account di servizio condiviso che i clienti utilizzavano per concedere l'autorizzazione al bucket. Esisteva un'opportunità tale per cui l'istanza Google Security Operations di un cliente poteva essere configurata per importare i dati dal bucket Cloud Storage di un altro cliente. Dopo aver effettuato un'analisi dell'impatto, non abbiamo riscontrato alcuno sfruttamento attuale o precedente di questa vulnerabilità. La vulnerabilità era presente in tutte le versioni di Google Security Operations precedenti al 19 settembre 2023.

Che cosa devo fare?

Il 19 settembre 2023 Google Security Operations è stato aggiornato per risolvere questa vulnerabilità. Non è necessario alcun intervento da parte del cliente.

Quali vulnerabilità vengono affrontate?

In precedenza, Google Security Operations forniva un account di servizio condiviso che i clienti utilizzavano per concedere l'autorizzazione a un bucket. Poiché diversi clienti concedevano allo stesso account di servizio Google Security Operations l'autorizzazione per il loro bucket, esisteva un vettore di sfruttamento che consentiva al feed di un cliente di accedere al bucket di un altro cliente durante la creazione o la modifica di un feed. Questo vettore di exploit ha richiesto la conoscenza dell'URI del bucket. Ora, durante la creazione o la modifica del feed, Google Security Operations utilizza account di servizio univoci per ciascun cliente.

 Alta

GCP-2023-027

Pubblicato: 11/09/2023
Descrizione Gravità Note

Gli aggiornamenti di VMware vCenter Server risolvono molteplici vulnerabilità della memoria (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896)

Impatto sull'assistenza clienti

VMware vCenter Server (vCenter Server) e VMware Cloud Foundation (Cloud Foundation).

Che cosa devo fare?

I clienti non sono interessati e non è necessario alcun intervento da parte tua.

 Medio

GCP-2023-026

Pubblicato: 06/09/2023

Descrizione

Descrizione Gravità Note

In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) in cui un utente che può creare pod sui nodi Windows potrebbe essere in grado di aumentare i privilegi amministrativi su quei nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e il proxy CSI di Kubernetes.

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2023-3676, CVE-2023-3955, CVE-2023-3893

GCP-2023-025

Pubblicato: 08/08/2023
Descrizione Gravità Note

Intel ha annunciato di recente Intel Security Advisory INTEL-SA-00828 che interessa alcune delle loro famiglie di processori. Ti invitiamo a valutare i rischi in base all'avvertenza.

Impatto di Google Cloud VMware Engine

Il nostro parco dispositivi utilizza le famiglie di processori interessati. Durante il nostro deployment, l'intero server è dedicato a un solo cliente. Di conseguenza, il nostro modello di deployment non aggiunge ulteriori rischi alla tua valutazione di questa vulnerabilità.

Stiamo collaborando con i nostri partner per ottenere le patch necessarie e nelle prossime settimane eseguiremo il deployment di queste patch in modo prioritario in tutto il parco risorse utilizzando il processo di upgrade standard.

Che cosa devo fare?

Non è necessario alcun intervento da parte tua, stiamo lavorando per eseguire l'upgrade di tutti i sistemi interessati.

 Alta

GCP-2023-024

Pubblicato: 08/08/2023

Ultimo aggiornamento: 10/08/2023

Descrizione

Descrizione Gravità Note

Aggiornamento 10/08/2023: è stato aggiunto il numero di versione LTS di ChromeOS.

Intel ha divulgato una vulnerabilità in processori selezionati (CVE-2022-40982). Google ha adottato misure per ridurre il proprio parco di server, compreso Google Cloud, al fine di garantire la protezione dei clienti.

I dettagli della vulnerabilità:

  • CVE-2022-40982 (Intel IPU 2023.3, "GDS" noto anche come "Downfall")

Che cosa devo fare?

Non è necessario alcun intervento da parte del cliente.

Tutte le patch disponibili sono già state applicate al parco risorse di server di Google per Google Cloud, incluso Google Compute Engine.

Al momento, i seguenti prodotti richiedono aggiornamenti aggiuntivi da partner e fornitori.

  • Google Cloud VMware Engine
  • Google Distributed Cloud Hosted
  • Google Distributed Cloud Edge
  • Soluzione Bare Metal di Google Cloud
  • Evoluzione del core pacchetto

Google risolverà questi prodotti una volta rese disponibili queste patch e questo bollettino verrà aggiornato di conseguenza.

I clienti di Google Chromebook e ChromeOS Flex hanno ricevuto automaticamente le mitigazioni fornite da Intel in versione stabile (115), LTS (108), beta (116) e LTC (114). I clienti di Chromebook e ChromeOS Flex bloccati a una release precedente dovrebbero valutare la possibilità di sbloccare e passare a release stabile o LTS per assicurarsi che ricevano questa e altre correzioni di vulnerabilità.

Quali vulnerabilità vengono affrontate?

CVE-2022-40982 - Per maggiori informazioni, consulta Intel Security Advisory INTEL-SA-00828.

Alta CVE-2022-40982

GCP-2023-023

Pubblicato: 08/08/2023

Descrizione

Descrizione Gravità Note

AMD ha divulgato una vulnerabilità in processori selezionati (CVE-2023-20569). Google ha adottato misure per ridurre il proprio parco di server, compreso Google Cloud, al fine di garantire la protezione dei clienti.

I dettagli della vulnerabilità:

  • CVE-2023-20569 (AMD SB-7005 alias "Inception")

Che cosa devo fare?

Gli utenti delle VM di Compute Engine dovrebbero prendere in considerazione le mitigazioni fornite dal sistema operativo se utilizzano l'esecuzione di codice non attendibile intra-istanza. Consigliamo ai clienti di contattare i fornitori del sistema operativo per indicazioni più specifiche.

Le correzioni sono già state applicate al parco server di Google per Google Cloud, incluso Google Compute Engine.

Quali vulnerabilità vengono affrontate?

CVE-2023-20569 - Per maggiori informazioni, consulta AMD SB-7005.

Moderata CVE-2023-20569

GCP-2023-022

Pubblicato: 2023-08-03

Descrizione

Descrizione Gravità Note

Google ha identificato una vulnerabilità nelle implementazioni gRPC C++ prima della release 1.57. Questa era una vulnerabilità Denial of Service all'interno dell'implementazione C++ di gRPC. Questi problemi sono stati risolti nelle release 1.53.2, 1.54.3, 1.55.2, 1.56.2 e 1.57.

Che cosa devo fare?

Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software:

  • Le versioni 1.53, 1.54, 1.55 e 1.56 di gRPC (C++, Python, Ruby) devono eseguire l'upgrade alle release di patch seguenti:
    • 1.53.2
    • 1.54.3
    • 1.55.2
    • 1.56.2
  • Le versioni 1.52 e precedenti di gRPC (C++, Python, Ruby) devono eseguire l'upgrade a una delle release di patch approvate. Ad esempio, 1.53.2, 1.54.3, 1.53.4 e così via.

Quali vulnerabilità vengono affrontate?

Queste patch attenuano le seguenti vulnerabilità:

  • Vulnerabilità denial-of-service nelle implementazioni gRPC C++: le richieste create appositamente possono causare l'interruzione della connessione tra un proxy e un backend.
Alta CVE-2023-33953

GCP-2023-021

Updated:2023-07-26

Published:2023-07-25

Descrizione

Descrizione Gravità Note

I seguenti CVE espongono Anthos Service Mesh a vulnerabilità sfruttabili:

  • CVE-2023-35941: un client dannoso è in grado di creare credenziali con validità permanente in alcuni scenari specifici. Ad esempio, la combinazione di host e data di scadenza nel payload HMAC può essere sempre valida nel controllo HMAC del filtro OAuth2.
  • CVE-2023-35942: i logger di accesso gRPC che utilizzano l'ambito globale del listener possono causare un arresto anomalo use-after-free quando il listener viene svuotato. Ciò può essere attivato da un aggiornamento LDS con la stessa configurazione del log degli accessi gRPC.
  • CVE-2023-35943: se l'intestazione origin è configurata per essere rimossa con request_headers_to_remove: origin, il filtro CORS segfault e invierà gli arresti anomali.
  • CVE-2023-35944: gli utenti malintenzionati possono inviare richieste di schema miste per bypassare i controlli dello schema in Envoy. Ad esempio, se una richiesta con HTTP con schema misto viene inviata al filtro OAuth2, non supererà i controlli di corrispondenza esatta per HTTP e comunicherà all'endpoint remoto che lo schema è HTTPS, bypassando potenzialmente i controlli OAuth2 specifici per le richieste HTTP.

Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.

Alta

GCP-2023-020

Updated:2023-07-26

Pubblicato: 24/07/2023

Descrizione

Descrizione Gravità Note

AMD ha rilasciato un aggiornamento del microcodice che risolve una vulnerabilità della sicurezza hardware (CVE-2023-20593). Google ha applicato le correzioni necessarie per questa vulnerabilità al proprio parco di server, inclusi i server per la Google Cloud Platform. I test indicano che non c'è alcun impatto sulle prestazioni dei sistemi.

Che cosa devo fare?

Non è necessario alcun intervento da parte del cliente, poiché le correzioni sono già state applicate al parco di server di Google per la Google Cloud Platform.

Quali vulnerabilità vengono affrontate?

CVE-2023-20593 risolve una vulnerabilità in alcune CPU AMD. Ulteriori informazioni sono disponibili qui.

Alta CVE-2023-20593

GCP-2023-019

Published:2023-07-18

Descrizione

Descrizione Gravità Note

In Envoy è stata scoperta una nuova vulnerabilità (CVE-2023-35945) in cui una risposta creata appositamente da un servizio upstream non attendibile può causare un denial of service di esaurimento della memoria. Ciò è causato dal codec HTTP/2 di Envoy che potrebbe far trapelare una mappa dell'intestazione e le strutture di contabilità alla ricezione di RST_STREAM immediatamente seguito dai frame GOAWAY da un server upstream.

Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.

Alta CVE-2023-35945

GCP-2023-018

Pubblicato: 27/06/2023

Descrizione

Descrizione Gravità Note

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-2235) che può portare a escalation dei privilegi sul nodo. I cluster GKE Autopilot sono interessati, in quanto i nodi GKE Autopilot utilizzano sempre le immagini dei nodi di Container-Optimized OS. Sono interessati i cluster GKE Standard con versione 1.25 o successive che eseguono immagini dei nodi Container-Optimized OS.

I cluster GKE non sono interessati se eseguono solo immagini dei nodi Ubuntu, eseguono versioni precedenti alla 1.25 o utilizzano GKE Sandbox.

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2023-2235

GCP-2023-017

Pubblicato: 26/06/2023

Ultimo aggiornamento: 11/07/2023

Descrizione

Descrizione Gravità Note

Aggiornamento 11/07/2023: le nuove versioni di GKE sono state aggiornate in modo da includere le ultime versioni di Ubuntu che applicano la patch a CVE-2023-31436.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-31436) che può portare a escalation dei privilegi sul nodo. Sono interessati i cluster GKE, inclusi i cluster Autopilot. I cluster GKE che utilizzano GKE Sandbox non sono interessati.

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2023-31436

GCP-2023-016

Pubblicato: 26/06/2023

Descrizione

Descrizione Gravità Note

In Envoy sono state scoperte diverse vulnerabilità, utilizzate in Anthos Service Mesh per consentire a un utente malintenzionato di causare un denial of service o un arresto anomalo di Envoy. Questi dati sono stati segnalati separatamente come GCP-2023-002.

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487

GCP-2023-015

Pubblicato: 20/06/2023

Descrizione

Descrizione Gravità Note

Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2023-0468, che potrebbe consentire a un utente senza privilegi di aumentare i privilegi di root quando io_poll_get_ownership continuerà ad aumentare req->poll_refs ad ogni io_poll_wake e poi overflow a 0, il che fput req->file due volte e causa un problema di refcount del file di struct. Sono interessati i cluster GKE, inclusi i cluster Autopilot, con Container-Optimized OS che utilizza il kernel Linux versione 5.15. I cluster GKE che utilizzano immagini Ubuntu o che utilizzano GKE Sandbox non sono interessati.

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Medio CVE-CVE-2023-0468

GCP-2023-014

Ultimo aggiornamento: 11/08/2023
Pubblicato: 15/06/2023

Descrizione

Descrizione Gravità Note

Aggiornamento 11/08/2023: sono state aggiunte versioni patch per GKE su VMware, GKE su AWS, GKE su Azure e Google Distributed Cloud Virtual for Bare Metal.

In Kubernetes sono stati scoperti due nuovi problemi di sicurezza che consentono agli utenti di lanciare container che aggirano le limitazioni dei criteri quando utilizzano container temporanei e ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728).

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Medio CVE-2023-2727, CVE-2023-2728

GCP-2023-013

Pubblicato: 08/06/2023

Descrizione

Descrizione Gravità Note

Quando abiliti l'API Cloud Build in un progetto, Cloud Build crea automaticamente un account di servizio predefinito per eseguire le build per tuo conto. Questo account di servizio Cloud Build aveva in precedenza l'autorizzazione IAM logging.privateLogEntries.list, che consentiva alle build di accedere per elencare i log privati per impostazione predefinita. Questa autorizzazione è stata ora revocata dall'account di servizio Cloud Build per ottemperare al principio di sicurezza del privilegio minimo.

Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di Cloud Build.

 Bassi

GCP-2023-010

Pubblicato: 07/06/2023

Descrizione

Descrizione Gravità Note

Google ha identificato tre nuove vulnerabilità nell'implementazione gRPC C ++. Questi verranno pubblicati a breve con il nome CVE-2023-1428, CVE-2023-32731 e CVE-2023-32732.

Ad aprile abbiamo identificato due vulnerabilità nelle release 1.53 e 1.54. Una era una vulnerabilità Denial of Service all'interno dell'implementazione C++ di gRPC, mentre l'altra era una vulnerabilità di esfiltrazione di dati da remoto. Questi problemi sono stati risolti nelle versioni 1.53.1, 1.54.2 e successive.

Precedentemente a marzo, i nostri team interni hanno scoperto una vulnerabilità Denial of Service nell'implementazione C++ di gRPC durante l'esecuzione delle attività di fuzzing di routine. È stato rilevato nella release gRPC 1.52 ed è stato corretto nelle release 1.52.2 e 1.53.

Che cosa devo fare?

Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software:

  • grpc (C++, Python, Ruby) versione 1.52, 1.53, e 1.54 deve eseguire l'upgrade alle release di patch seguenti;
    • 1.52.2
    • 1.53.1
    • 1.54.2
  • grpc (C++, Python, Ruby) versione 1.51 e precedenti non sono interessate, quindi gli utenti con queste versioni non possono intraprendere alcuna azione

Quali vulnerabilità vengono affrontate da queste patch?

Queste patch attenuano le seguenti vulnerabilità:

  • 1.53.1, 1.54.2 e versioni successive risolvono i problemi seguenti: vulnerabilità denial-of-service nell'implementazione di gRPC C++. Le richieste create appositamente possono causare la terminazione della connessione tra un proxy e un backend. Vulnerabilità dell'esfiltrazione di dati da remoto: la desincronizzazione nella tabella HPACK a causa delle limitazioni delle dimensioni dell'intestazione può comportare la perdita di dati di intestazione da parte dei backend proxy da altri client connessi a un proxy.
  • 1.52.2, 1.53 e versioni successive risolvono i problemi seguenti: vulnerabilità denial of service all'interno dell'implementazione C++ di gRPC. L'analisi di alcune richieste formattate in modo specifico può causare un arresto anomalo, con ripercussioni sul server.

Ti consigliamo di eseguire l'upgrade alle versioni più recenti dei pacchetti software indicati di seguito.

 Alta (CVE-2023-1428, CVE-2023-32731). Medio (CVE-2023-32732) CVE-2023-1428, CVE-2023-32731, CVE-023-32732

GCP-2023-009

Pubblicato: 06/06/2023

Descrizione

Descrizione Gravità Note

In secrets-store-csi-driver è stata scoperta una nuova vulnerabilità (CVE-2023-2878) in cui un aggressore con accesso ai log dei driver potrebbe osservare i token account di servizio.

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Nessun valore CVE-2023-2878

GCP-2023-008

Pubblicato: 05/06/2023

Descrizione

Descrizione Gravità Note

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-1872) che può portare a escalation dei privilegi per eseguire il root sul nodo.

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2023-1872

GCP-2023-007

Pubblicato: 02/06/2023

Descrizione

Descrizione Gravità Note

Di recente è stata scoperta una vulnerabilità in Cloud SQL per SQL Server che ha consentito agli account amministratore del cliente di creare trigger nel database tempdb e di utilizzarli per ottenere i privilegi sysadmin nell'istanza. I privilegi sysadmin consentirebbero all'utente malintenzionato di accedere ai database di sistema e a un accesso parziale alla macchina in esecuzione sull'istanza di SQL Server.

Google Cloud ha risolto il problema applicando la patch alla vulnerabilità di sicurezza entro il 1° marzo 2023. Google Cloud non ha trovato istanze dei clienti compromesse.

Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di Cloud SQL.

 Alta

GCP-2023-005

Pubblicato: 18/05/2023

Ultimo aggiornamento: 6/06/2023

Descrizione

Descrizione Gravità Note

Aggiornamento 06/06/2023: le nuove versioni di GKE sono state aggiornate in modo da includere le ultime versioni di Ubuntu che applicano le patch a CVE-2023-1281 e CVE-2023-1829.

Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a escalation dei privilegi per eseguire il root sul nodo.

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2023-1281 CVE-2023-1829

GCP-2023-004

Pubblicato: 26/04/2023

Descrizione

Descrizione Gravità Note

Sono state rilevate due vulnerabilità (CVE-2023-1017 e CVE-2023-1018) in Trusted Platform Module (TPM) 2.0.

Le vulnerabilità potrebbero aver consentito a un utente malintenzionato avanzato di sfruttare una lettura/scrittura a 2 byte fuori dai limiti su determinate VM di Compute Engine.

Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di Compute Engine.

 Medio

GCP-2023-003

Pubblicato: 11/04/2023

Ultimo aggiornamento: 21/12/2023

Descrizione

Descrizione Gravità Note

Aggiornamento 21/12/2023: chiarisci che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Nel kernel Linux sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586, che potrebbero consentire a un utente senza privilegi di aumentare i privilegi.

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2023-0240, CVE-2023-23586

GCP-2023-002

Descrizione

Descrizione Gravità Note

I seguenti CVE espongono Anthos Service Mesh a vulnerabilità sfruttabili:

  • CVE-2023-27496: se Envoy è in esecuzione con il filtro OAuth abilitato, un utente malintenzionato potrebbe creare una richiesta che causerebbe il denial of service con l'arresto anomalo di Envoy.
  • CVE-2023-27488: l'utente malintenzionato può utilizzare questa vulnerabilità per aggirare i controlli di autenticazione quando viene utilizzato ext_authz.
  • CVE-2023-27493: la configurazione Envoy deve includere anche un'opzione per aggiungere intestazioni di richiesta generate utilizzando gli input della richiesta, ad esempio il certificato peer SAN.
  • CVE-2023-27492: gli aggressori possono inviare corpi di richieste di grandi dimensioni per le route che hanno il filtro Lua abilitato e attivano gli arresti anomali.
  • CVE-2023-27491: gli utenti malintenzionati possono inviare richieste HTTP/2 o HTTP/3 appositamente create per attivare gli errori di analisi sul servizio upstream HTTP/1.
  • CVE-2023-27487: l'intestazione "x-envoy-original-path" deve essere un'intestazione interna, ma Envoy non rimuove questa intestazione dalla richiesta all'inizio dell'elaborazione della richiesta quando viene inviata da un client non attendibile.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.

Alta

GCP-2023-001

Pubblicato: 1/03/2023, 21/12/2023

Descrizione

Descrizione Gravità Note

Aggiornamento 21/12/2023: chiarisci che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-4696) che può portare a un'escalation dei privilegi sul nodo.

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Alta CVE-2022-4696

GCP-2022-026

Pubblicato: 11/01/2023

Descrizione

Descrizione Gravità Note

In OpenSSL v3.0.6 sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) che potrebbero causare un arresto anomalo.

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Medio

GCP-2022-025

Pubblicato il: 21/12/2022
Ultimo aggiornamento: 19/01/2023, 21/12/2023

Descrizione

Descrizione Gravità Note

Aggiornamento 21/12/2023: chiarisci che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Aggiornamento 19/01/2023: sono state aggiunte informazioni relative alla disponibilità di GKE versione 1.21.14-gke.14100.

In OpenSSL v3.0.6 sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) che potrebbero causare un arresto anomalo.

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

 Medio

GCP-2022-024

Pubblicato: 09/11/2022

Ultimo aggiornamento: 19/01/2023

Descrizione

Descrizione Gravità Note

Aggiornamento 19/01/2023: sono state aggiunte informazioni relative alla disponibilità di GKE versione 1.21.14-gke.14100.

Aggiornamento 16/12/2022: sono state aggiunte versioni patch per GKE e GKE su VMware.

Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare a una separazione completa del container sul nodo.

Per istruzioni e ulteriori dettagli, vedi:

Alta

GCP-2022-023

Pubblicato: 2022/11/04

Descrizione

Descrizione Gravità Note

In Istio, che viene utilizzato in Anthos Service Mesh, è stata scoperta una vulnerabilità di sicurezza CVE-2022-39278 che consente a un utente malintenzionato di causare l'arresto anomalo del piano di controllo.

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

Alta CVE-2022-39278

GCP-2022-022

Pubblicato: 28/10/2022

Ultimo aggiornamento: 14/12/2022

Descrizione

Descrizione Gravità Note

Aggiornamento 14/12/2022: sono state aggiunte versioni patch per GKE e GKE su VMware.

Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-20409, che potrebbe consentire a un utente senza privilegi di passare al privilegio di esecuzione del sistema.

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

Alta CVE-2022-20409

GCP-2022-021

Pubblicato: 27/10/2022

Ultimo aggiornamento: 19/01/2023 e 21/12/2023

Descrizione

Descrizione Gravità Note

Aggiornamento 21/12/2023: chiarisci che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Aggiornamento 19/01/2023: sono state aggiunte informazioni relative alla disponibilità di GKE versione 1.21.14-gke.14100.

Aggiornamento 15/12/2022: sono state aggiornate le informazioni relative alla versione 1.21.14-gke.9400 di Google Kubernetes Engine in attesa di implementazione e potrebbe essere sostituita da un numero di versione più recente.

Aggiornamento 22/11/2022: sono state aggiunte versioni patch di GKE su VMware, GKE on AWS e GKE su Azure.

Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-3176, che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di ottenere la suddivisione completa dei container per eseguire il root sul nodo.

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

Alta CVE-2022-3176

GCP-2022-020

Pubblicato: 2022-10-05

Ultimo aggiornamento: 12/10/2022

Descrizione

Descrizione Gravità Note

Il piano di controllo Istio istiod è vulnerabile a un errore di elaborazione delle richieste, consentendo a un utente malintenzionato di inviare un messaggio creato appositamente, determinando l'arresto anomalo del piano di controllo quando il webhook di convalida per un cluster viene esposto pubblicamente. Questo endpoint viene gestito tramite la porta TLS 15017, ma non richiede alcuna autenticazione da parte dell'utente malintenzionato.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.

 Alta CVE-2022-39278

GCP-2022-019

Pubblicato: 22/09/2022

Descrizione

Descrizione Gravità Note

Una vulnerabilità di analisi e gestione della memoria dei messaggi nelle implementazioni C++ e Python di ProtocolBuffer può attivare un errore di esaurimento della memoria durante l'elaborazione di un messaggio creato appositamente. Ciò potrebbe causare un denial of service (DoS) sui servizi che utilizzano le librerie.

Che cosa devo fare?

Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software:

  • protobuf-cpp (3.18.3, 3.19.5, 3.20.2, 3.21.6)
  • protobuf-python (3.18.3, 3.19.5, 3.20.2, 4.21.6)

Quali vulnerabilità vengono affrontate da questa patch?

La patch attenua la seguente vulnerabilità:

Un piccolo messaggio creato appositamente che fa sì che il servizio in esecuzione alloca grandi quantità di RAM. Le dimensioni ridotte della richiesta consentono di sfruttare facilmente la vulnerabilità e di esaurire le risorse. I sistemi C++ e Python che utilizzano protobuf non attendibili sarebbero vulnerabili agli attacchi DoS se contengono un oggetto MessageSet nella loro richiesta RPC.

Medio CVE-2022-1941

GCP-2022-018

Pubblicato: 01/08/2022

Ultimo aggiornamento: 14/09/2022, 21/12/2023

Descrizione

Descrizione Gravità Note

Aggiornamento 21/12/2023: chiarisci che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Aggiornamento 14/09/2022: sono state aggiunte versioni patch per GKE su VMware, GKE on AWS e GKE su Azure.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-2327) che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di eseguire un'analisi completa dei container di eseguire il rooting sul nodo.

Per istruzioni e ulteriori dettagli, vedi i seguenti bollettini:

Alta CVE-2022-2327

GCP-2022-017

Pubblicato il: 29/06/2022
Ultimo aggiornamento: 22/11/2022

Descrizione

Descrizione Gravità Note

Aggiornamento 22/11/2022: i carichi di lavoro che utilizzano GKE Sandbox non sono interessati da queste vulnerabilità.

Aggiornamento 21/07/2022: informazioni aggiuntive su GKE su VMware.

È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 e 5.11 del kernel Linux. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di eseguire un'analisi completa dei container per eseguire il rooting sul nodo. Sono interessati solo i cluster che eseguono Container-Optimized OS. Le versioni di GKE Ubuntu utilizzano la versione 5.4 o 5.15 del kernel e non sono interessate.

Per istruzioni e ulteriori dettagli, vedi:

 Alta CVE-2022-1786

GCP-2022-016

Pubblicato il: 23/06/2022
Ultimo aggiornamento: 22/11/2022

Descrizione

Descrizione Gravità Note

Aggiornamento 22/11/2022: i cluster Autopilot non sono interessati da CVE-2022-29581, ma sono vulnerabili a CVE-2022-29582 e CVE-2022-1116.

Nel kernel Linux sono state scoperte tre nuove vulnerabilità di danneggiamento della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di eseguire un'analisi completa dei container per eseguire il rooting sul nodo. Tutti i cluster Linux (Container-Optimized OS e Ubuntu) sono interessati.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta

GCP-2022-015

Pubblicato: 09/06/2022
Ultimo aggiornamento: 10/06/2022

Descrizione

Descrizione Gravità Note

Aggiornamento 10/06/2022: le versioni di Anthos Service Mesh sono state aggiornate. Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.

I seguenti CVE Envoy e Istio espongono Anthos Service Mesh e Istio su GKE a vulnerabilità sfruttabili da remoto:

  • CVE-2022-31045: il piano dati Istio può potenzialmente accedere alla memoria in modo non sicuro quando sono abilitate le estensioni Metadata Exchange e Stats.
  • CVE-2022-29225: i dati possono superare i limiti di buffer intermedi se un aggressore malintenzionato passa un piccolo payload altamente compresso (attacco zip bomb).
  • CVE-2021-29224: deriferimento potenziale di puntatore null in GrpcHealthCheckerImpl.
  • CVE-2021-29226: il filtro OAuth consente un bypass banale.
  • CVE-2022-29228: il filtro OAuth può danneggiare la memoria (versioni precedenti) o attivare ASSERT() (versioni successive).
  • CVE-2022-29227: arresti anomali di reindirizzamenti interni per le richieste con corpo o trailer.

Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.

Critico

GCP-2022-014

Pubblicato il: 26/04/2022
Ultimo aggiornamento: 22/11/2022

Descrizione

Descrizione Gravità Note

Aggiornamento 22/11/2022: i cluster GKE Autopilot e i carichi di lavoro in esecuzione in GKE Sandbox non sono interessati.

Aggiornamento 12/05/2022: le versioni di GKE su AWS e GKE su Azure sono state aggiornate. Per istruzioni e ulteriori dettagli, consulta:

Nel kernel Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno di questi può portare un aggressore locale in grado di effettuare una container breakout, escalation dei privilegi sull’host o entrambe le cose. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu). Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Alta CVE-2022-1055
CVE-2022-27666

GCP-2022-013

Pubblicato il: 11/04/2022
Ultimo aggiornamento: 22/04/2022

Descrizione

Descrizione Gravità Note

È stata scoperta una vulnerabilità di sicurezza, CVE-2022-23648, nella gestione del path traversal da parte di containerd nella specifica del volume delle immagini OCI. I container lanciati tramite l'implementazione CRI di containerd con una configurazione dell'immagine appositamente creata potrebbero ottenere l'accesso completo in lettura a directory e file arbitrari sull'host. Questa vulnerabilità può bypassare qualsiasi applicazione basata su criteri nella configurazione del container (incluso un criterio di sicurezza dei pod di Kubernetes).

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Medio CVE-2022-23648

GCP-2022-012

Pubblicato il: 07/04/2022
Ultimo aggiornamento: 22/11/2022

Descrizione

Descrizione Gravità Note

Aggiornamento 22/11/2022: per i cluster GKE in entrambe le modalità, Standard e Autopilot, i carichi di lavoro che utilizzano GKE Sandbox non sono interessati.

Nel kernel Linux versione 5.8 e successive è stata scoperta una vulnerabilità di sicurezza, CVE-2022-0847, che può potenzialmente aumentare i privilegi del container a root. Questa vulnerabilità interessa i seguenti prodotti:

  • Pool di nodi GKE 1.22 e versioni successive che utilizzano immagini Container-Optimized OS (Container-Optimized OS 93 e versioni successive)
  • GKE su VMware v1.10 per le immagini di Container-Optimized OS
  • GKE su AWS v1.21 e GKE su AWS (generazione precedente) v1.19, v1.20, v1.21, che utilizzano Ubuntu
  • Cluster gestiti di GKE su Azure v1.21 che utilizzano Ubuntu

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Alta CVE-2022-0847

GCP-2022-011

Pubblicato il: 22/03/2022
Ultimo aggiornamento: 11/08/2022

Descrizione

Descrizione Gravità

Aggiornamento 11/08/2022: sono state aggiunte ulteriori informazioni sulla configurazione SMT (Simultaneous Multi-Threading). SMT doveva essere disabilitata, ma è stata abilitata nelle versioni elencate.

Se hai abilitato manualmente la SMT per un pool di nodi con sandbox, questa rimarrà abilitata manualmente nonostante il problema.

Nelle immagini GKE Sandbox è presente un errore di configurazione con Simultaneous Multi-Threading (SMT), anche noto come Hyper-threading. L'errata configurazione lascia i nodi potenzialmente esposti ad attacchi tramite canale laterale come Microarchitectural Data Sampling (MDS) (per saperne di più, consulta la documentazione di GKE Sandbox). Non è consigliabile utilizzare le seguenti versioni interessate:

  • 1.22.4-gke.1501
  • 1.22.6-gke.300
  • 1.23.2-gke.300
  • 1.23.3-gke.600

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE.

 Medio

GCP-2022-010

Descrizione

Descrizione Gravità Note

La seguente CVE di Istio espone Anthos Service Mesh a una vulnerabilità sfruttabile da remoto:

  • CVE-2022-24726: il piano di controllo Istio, "istiod", è vulnerabile a un errore di elaborazione delle richieste, consentendo a un utente malintenzionato dannoso di inviare un messaggio creato appositamente, causando l'arresto anomalo del piano di controllo quando il webhook di convalida per un cluster viene esposto pubblicamente. Questo endpoint viene gestito tramite la porta TLS 15017, ma non richiede alcuna autenticazione da parte del malintenzionato.

Per istruzioni e ulteriori dettagli, consulta il seguente bollettino sulla sicurezza:

Alta

GCP-2022-009

Pubblicato: 01/03/2022

Descrizione

Descrizione Gravità

Potrebbero essere stati utilizzati alcuni percorsi imprevisti per accedere alla VM del nodo sui cluster GKE Autopilot per riassegnare i privilegi nel cluster. Questi problemi sono stati risolti e non sono necessarie ulteriori azioni. Le correzioni risolvono i problemi segnalati tramite il nostro Vulnerability Reward Program.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE

 Bassi

GCP-2022-008

Pubblicato il: 23/02/2022
Ultimo aggiornamento: 28/04/2022

Descrizione

Descrizione Gravità Note

Aggiornamento 28/04/2022: sono state aggiunte versioni di GKE su VMware che risolvono queste vulnerabilità. Per maggiori dettagli, consulta il Bollettino sulla sicurezza di GKE su VMware.

Il progetto Envoy di recente ha rilevato un insieme di vulnerabilità. Tutti i problemi elencati di seguito sono stati risolti nella release 1.21.1 di Envoy.
  • CVE-2022-23606: quando un cluster viene eliminato tramite Cluster Discovery Service (CDS), tutte le connessioni inattive stabilite agli endpoint nel cluster vengono disconnesse. Nella versione 1.19 di Envoy è stata inserita per errore una ricorsione alla procedura di disconnessione delle connessioni inattive che possono portare all'esaurimento dello stack e alla terminazione anomala del processo quando un cluster ha un numero elevato di connessioni inattive.
  • CVE-2022-21655: il codice di reindirizzamento interno di Envoy presuppone che esista una voce di percorso. Quando si esegue un reindirizzamento interno a una route che ha una voce di risposta diretta e nessuna voce di route, si rimuove il riferimento a un puntatore null e si arresta in modo anomalo.
  • CVE-2021-43826: quando Envoy è configurato per utilizzare tcp_proxy, che utilizza il tunneling upstream (su HTTP) e la terminazione TLS downstream, Envoy si arresta in modo anomalo se il client downstream si disconnette durante l'handshake TLS, mentre il flusso HTTP upstream è ancora in corso. La disconnessione downstream può essere avviata tramite client o server. Il client può disconnettersi per qualsiasi motivo. Il server può disconnettersi se, ad esempio, non dispone di crittografie TLS o di versioni del protocollo TLS compatibili con il client. Potrebbe essere possibile attivare questo arresto anomalo anche in altre configurazioni downstream.
  • CVE-2021-43825: l'invio di una risposta generata localmente deve interrompere l'ulteriore elaborazione dei dati delle richieste o delle risposte. Envoy tiene traccia della quantità di dati di richieste e risposte nel buffer e interrompe la richiesta se la quantità di dati nel buffer supera il limite inviando 413 o 500 risposte. Tuttavia, quando la risposta generata localmente viene inviata a causa degli overflow del buffer interno, mentre la risposta viene elaborata dalla catena di filtri, l'operazione potrebbe non essere interrotta correttamente e potrebbe comportare l'accesso a un blocco di memoria liberato.
  • CVE-2021-43824: Envoy si arresta in modo anomalo quando si utilizza il filtro JWT con una regola di corrispondenza "safe_regex" e una richiesta appositamente creata come "CONNECT host:port HTTP/1.1". Quando raggiunge il filtro JWT, una regola "safe_regex" dovrebbe valutare il percorso dell'URL, ma qui non ce n'è nessuno e Envoy si arresta in modo anomalo con segnali di errore.
  • CVE-2022-21654: Envoy consentirebbe erroneamente la ripresa delle sessioni TLS dopo la riconfigurazione delle impostazioni di convalida mTLS. Se un certificato client è stato consentito con la precedente configurazione, ma non consentito con la nuova configurazione, il client potrebbe riprendere la sessione TLS precedente anche se la configurazione attuale non dovrebbe farlo. Sono interessate le modifiche alle seguenti impostazioni:
    • match_subject_alt_names
    • Modifiche ai CRL
    • allow_expired_certificate
    • Trust_chain_verification
    • only_verify_leaf_cert_crl
  • CVE-2022-21657: Envoy non limita l'insieme di certificati che accetta dal peer, come client TLS o server TLS, solo ai certificati che contengono il valore expandKeyUsage necessario (rispettivamente id-kp-serverAuth e id-kp-clientAuth). Ciò significa che un peer può presentare un certificato email (ad esempio id-kp-emailProtection), come certificato foglia o CA nella catena, che sarà accettato per TLS. Questo problema è particolarmente grave se combinato con CVE-2022-21656, in quanto consente a una CA Web PKI, destinata esclusivamente all'utilizzo con S/MIME, e quindi esente da controlli o supervisione, di emettere certificati TLS accettati da Envoy.
  • CVE-2022-21656: l'implementazione dello strumento di convalida utilizzata per implementare le routine di convalida dei certificati predefinite presenta un bug di "confusione dei tipi" durante l'elaborazione di subjectAltNames. Questa elaborazione consente, ad esempio, a un rfc822Name o uno uniformResourceIndicator di essere autenticato come nome di dominio. Questa confusione consente di bypassare i nameConstraints, così come elaborati dall'implementazione OpenSSL/BoringSSL sottostante, esponendo la possibilità di furto d'identità di server arbitrari.
Per istruzioni dettagliate relative a prodotti specifici, consulta i seguenti bollettini sulla sicurezza:
Che cosa devo fare?
Gli utenti di Envoy che gestiscono i propri Envoy devono assicurarsi di utilizzare la release 1.21.1 di Envoy. Gli utenti di Envoy che gestiscono i propri Envoy creano i file binari da un'origine come GitHub e ne eseguono il deployment.

Gli utenti che eseguono Envoy gestiti (Google Cloud fornisce i file binari di Envoy) non devono intraprendere alcuna azione, per i quali i prodotti Google Cloud passeranno alla versione 1.21.1. 		Alta CVE-2022-23606
CVE-2022-21655
CVE-2021-43826
CVE-2021-43825
CVE-2021-43824
CVE-2022-21654CVE-2022-21657CVE-2022-21656

GCP-2022-007

Pubblicato: 22/02/2022

Descrizione

Descrizione Gravità Note

I seguenti CVE Envoy e Istio espongono Anthos Service Mesh e Istio su GKE a vulnerabilità sfruttabili da remoto:

  • CVE-2022-23635: Istio si arresta in modo anomalo alla ricezione delle richieste con un'intestazione authorization creata appositamente.
  • CVE-2021-43824: deriferimento potenziale del puntatore nullo quando si utilizza una corrispondenza del filtro safe_regex JWT
  • CVE-2021-43825: utilizzo gratuito quando i filtri di risposta aumentano i dati di risposta e i dati maggiori superano i limiti di buffer downstream.
  • CVE-2021-43826: senza utilizzo dopo il tunneling di TCP su HTTP, se il downstream si disconnette durante la connessione a monte.
  • CVE-2022-21654: una gestione errata della configurazione consente il riutilizzo della sessione mTLS senza riconvalida dopo la modifica delle impostazioni di convalida.
  • CVE-2022-21655: gestione errata dei reindirizzamenti interni alle route con una voce di risposta diretta.
  • CVE-2022-23606: esaurimento dello stack quando un cluster viene eliminato tramite Cluster Discovery Service.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Alta

GCP-2022-006

Pubblicato il: 14/02/2022
Ultimo aggiornamento: 16/05/2022

Descrizione

Descrizione Gravità Note

Aggiornamento del 16/05/2022: è stata aggiunta la versione 1.19.16-gke.7800 o successiva di GKE all'elenco delle versioni contenenti il codice per correggere questa vulnerabilità. Per maggiori dettagli, consulta il Bollettino sulla sicurezza di GKE.

Aggiornamento 12/05/2022: le versioni di GKE, GKE su VMware, GKE on AWS e GKE su Azure sono state aggiornate. Per istruzioni e ulteriori dettagli, consulta:

Nella funzione cgroup_release_agent_write del kernel Linux è stata rilevata una vulnerabilità di sicurezza (CVE-2022-0492). L'attacco utilizza spazi dei nomi utente senza privilegi e, in determinate circostanze, questa vulnerabilità può essere sfruttata per container breakout.

 Bassi

Per istruzioni e ulteriori dettagli, vedi:

GCP-2022-005

Pubblicato il: 11/02/2022
Ultimo aggiornamento: 15/02/2022

Descrizione

Descrizione Gravità Note

È stata individuata una vulnerabilità di sicurezza, CVE-2021-43527, in qualsiasi programma binario che si collega alle versioni vulnerabili di libnss3 presenti nelle versioni NSS (Network Security Services) precedenti alla 3.73 o alla 3.68.1. Le applicazioni che utilizzano NSS per la convalida dei certificati o altre funzionalità TLS, X.509, OCSP o CRL potrebbero essere interessate, a seconda di come viene utilizzato/configurato NSS.

Per istruzioni e ulteriori dettagli, vedi:

Medio CVE-2021-43527

GCP-2022-004

Pubblicato: 04/02/2022

Descrizione

Descrizione Gravità Note

In pkexec, una parte del pacchetto del kit dei criteri Linux (polkit), è stata scoperta una vulnerabilità di sicurezza, CVE-2021-4034, che consente a un utente autenticato di eseguire un attacco di escalation dei privilegi. PolicyKit viene generalmente utilizzato solo sui sistemi desktop Linux per consentire agli utenti non root di eseguire azioni come il riavvio del sistema, l'installazione di pacchetti, il riavvio dei servizi e così via, come regolato da un criterio.

Per istruzioni e ulteriori dettagli, vedi:

Nessun valore CVE-2021-4034

GCP-2022-002

Pubblicato il: 01/02/2022
Ultimo aggiornamento: 25/02/2022

Descrizione

Descrizione Gravità Note

Aggiornamento 25/02/2022: le versioni di GKE sono state aggiornate. Per istruzioni e ulteriori dettagli, consulta:

Aggiornamento 23/02/2022: le versioni GKE e GKE su VMware sono state aggiornate. Per istruzioni e ulteriori dettagli, consulta:

Aggiornamento del 04/02/2022: la data di inizio dell'implementazione per le versioni delle patch di GKE era il 2 febbraio.

Nel kernel Linux sono state scoperte tre vulnerabilità di sicurezza, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185, ognuna delle quali può portare a un'container breakout, all'escalation dei privilegi sull'host o a entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi (COS e Ubuntu) su GKE, GKE su VMware, GKE su AWS (generazione attuale e precedente) e GKE su Azure. I pod che utilizzano GKE Sandbox non sono vulnerabili a queste vulnerabilità. Per ulteriori dettagli, consulta le note di rilascio COS.

Per istruzioni e ulteriori dettagli, vedi:

Alta

GCP-2022-001

Pubblicato: 06/01/2022

Descrizione

Descrizione Gravità Note

È stato rilevato un potenziale problema DoS (Denial of Service) in protobuf-java durante la procedura di analisi dei dati binari.

Che cosa devo fare?

Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software:

  • protobuf-java (3.16.1, 3.18.2, 3.19.2)
  • protobuf-kotlin (3.18.2, 3.19.2)
  • google-protobuf [Gemma JRuby] (3.19.2)

Gli utenti di Protobuf "javalite" (in genere Android) non sono interessati.

Quali vulnerabilità vengono affrontate da questa patch?

La patch attenua la seguente vulnerabilità:

Un punto debole dell'implementazione nel modo in cui i campi sconosciuti vengono analizzati in Java. Un piccolo payload dannoso (circa 800 kB) può occupare l'analizzatore sintattico per diversi minuti, creando un numero elevato di oggetti di breve durata che causano pause frequenti e ripetute della garbage collection.

 Alta CVE-2021-22569

GCP-2021-024

Pubblicato: 21/10/2021

Descrizione

Descrizione Gravità Note

È stato rilevato un problema di sicurezza nel controller ingress-nginx di Kubernetes, CVE-2021-25742. Gli snippet personalizzati Ingress-nginx consentono di recuperare i token e i secret degli account di servizio ingress-nginx in tutti gli spazi dei nomi.

Per istruzioni e ulteriori dettagli, vedi:

Nessun valore CVE-2021-25742

GCP-2021-019

Pubblicato: 29/09/2021

Descrizione

Descrizione Gravità Note

Si verifica un problema noto per cui l'aggiornamento di una risorsa BackendConfig mediante l'API v1beta1 rimuove un criterio di sicurezza attivo di Google Cloud Armor dal suo servizio.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE.

 Bassi

GCP-2021-022

Pubblicato: 22/09/2021

Descrizione

Descrizione Gravità Note

È stata rilevata una vulnerabilità nel modulo LDAP di GKE Enterprise Identity Service (AIS) di GKE su VMware versioni 1.8 e 1.8.1 in cui una chiave seed utilizzata per generare chiavi è prevedibile. Con questa vulnerabilità, un utente autenticato potrebbe aggiungere rivendicazioni arbitrarie e riassegnare i privilegi a tempo indeterminato.

Per istruzioni e dettagli, consulta il Bollettino sulla sicurezza di GKE su VMware.

 Alta

GCP-2021-021

Pubblicato: 22/09/2021

Descrizione

Descrizione Gravità Note

In Kubernetes è stata scoperta una vulnerabilità di sicurezza, CVE-2020-8561, in cui è possibile creare determinati webhook per reindirizzare le richieste kube-apiserver alle reti private del server API.

Per istruzioni e ulteriori dettagli, vedi:

Medio CVE-2020-8561

GCP-2021-023

Pubblicato: 21/09/2021

Descrizione

Descrizione Gravità Note

Secondo l'avviso per la sicurezza VMware VMSA-2021-0020, VMware ha ricevuto report su diverse vulnerabilità in vCenter. VMware ha reso disponibili aggiornamenti per risolvere queste vulnerabilità nei prodotti VMware interessati.

Abbiamo già applicato le patch fornite da VMware per lo stack vSphere a Google Cloud VMware Engine in base all'avviso per la sicurezza di VMware. Questo aggiornamento risolve le vulnerabilità di sicurezza descritte in CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 e CVE-2021-22010. Altri problemi di sicurezza non critici verranno risolti nel prossimo upgrade dello stack VMware (come da preavviso inviato a luglio, verranno forniti a breve ulteriori dettagli sulle tempistiche specifiche dell'upgrade).

Impatto di VMware Engine

Dalle nostre indagini è emerso che non sono stati rilevati clienti interessati dal problema.

Che cosa devo fare?

Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni.

 Critico

GCP-2021-020

Pubblicato: 17/09/2021

Descrizione

Descrizione Gravità Note

Alcuni bilanciatori del carico Google Cloud che instradano verso un servizio di backend abilitato per Identity-Aware Proxy (IAP) potrebbero essere stati vulnerabili a una parte non attendibile in condizioni limitate. Questo risolve un problema segnalato tramite il nostro Vulnerability Reward Program.

Le condizioni erano quelle che i server:
  • Erano bilanciatori del carico HTTP(S) e
  • Utilizzato un backend predefinito o un backend che aveva una regola di mappatura degli host con caratteri jolly (ossia host="*")

Inoltre, un utente della tua organizzazione deve aver fatto clic su un link creato appositamente e inviato da una parte non attendibile.

Il problema è stato risolto. IAP è stato aggiornato al 17 settembre 2021 per emettere cookie soltanto per gli host autorizzati. Un host è considerato autorizzato se corrisponde ad almeno un SAN (Subject Alternative Name) in uno dei certificati installati sui tuoi bilanciatori del carico.

Cosa fare

Alcuni dei tuoi utenti potrebbero ricevere una risposta HTTP 401 Non autorizzato con un codice di errore IAP 52 durante il tentativo di accesso ad app o servizi. Questo codice di errore indica che il client ha inviato un'intestazione Host che non corrisponde a nomi alternativi del soggetto associati ai certificati SSL del bilanciatore del carico. L'amministratore del bilanciatore del carico deve aggiornare il certificato SSL per assicurarsi che l'elenco SAN (Subject Alternative Name) contenga tutti i nomi host tramite i quali gli utenti accedono alle app o ai servizi protetti da IAP. Scopri di più sui codici di errore IAP.

Alta

GCP-2021-018

Pubblicato il: 15/09/2021
Ultimo aggiornamento: 20/09/2021

Descrizione

Descrizione Gravità Note

In Kubernetes è stato rilevato un problema di sicurezza, CVE-2021-25741, che consente a un utente di creare un container con montaggi del volume dei sottopercorso per accedere a file e directory all'esterno del volume, anche nel file system dell'host.

Per istruzioni e ulteriori dettagli, vedi:

Alta CVE-2021-25741

GCP-2021-017

Pubblicato il: 01/09/2021
Ultimo aggiornamento: 23/09/2021

Descrizione

Descrizione Gravità Note

Aggiornamento del 23/09/2021 : i container in esecuzione all'interno di GKE Sandbox non sono interessati da questa vulnerabilità per gli attacchi che hanno origine all'interno del container.

Nel kernel Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2021-33909 e CVE-2021-33910, che possono causare un arresto anomalo del sistema operativo o un'escalation al rooting da parte di un utente senza privilegi. Questa vulnerabilità interessa tutti i sistemi operativi dei nodi GKE (COS e Ubuntu).

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Alta CVE-2021-33909, CVE-2021-33910

GCP-2021-016

Pubblicato: 24/08/2021

Descrizione

Descrizione Gravità Note

I seguenti CVE Envoy e Istio espongono Anthos Service Mesh e Istio su GKE a vulnerabilità sfruttabili da remoto:

  • CVE-2021-39156: le richieste HTTP con un frammento (una sezione alla fine di un URI che inizia con un carattere #) nel percorso dell'URI potrebbero ignorare i criteri di autorizzazione basati sul percorso dell'URI Istio.
  • CVE-2021-39155: le richieste HTTP potrebbero potenzialmente bypassare un criterio di autorizzazione Istio quando vengono utilizzate regole basate su hosts o notHosts.
  • CVE-2021-32781: interessa le estensioni decompressor, json-transcoder o grpc-web di Envoy o le estensioni proprietarie che modificano e aumentano le dimensioni dei corpi delle richieste o delle risposte. La modifica e l'aumento delle dimensioni del corpo in un'estensione di Envoy oltre le dimensioni del buffer interno potrebbero portare Envoy ad accedere alla memoria occupata e a arrestarsi in modo anomalo.
  • CVE-2021-32780: un servizio upstream non attendibile potrebbe causare l'arresto anomalo di Envoy inviando il frame GOAWAY seguito dal frame SETTINGS con il parametro SETTINGS_MAX_CONCURRENT_STREAMS impostato su 0. (Non applicabile a Istio su GKE)
  • CVE-2021-32778: l’apertura e il ripristino di un numero elevato di richieste HTTP/2 di un client Envoy potrebbe portare a un consumo eccessivo di CPU. (Non applicabile a Istio su GKE)
  • CVE-2021-32777: quando viene utilizzata l'estensione ext_authz, le richieste HTTP con più intestazioni di valore potrebbero eseguire un controllo incompleto del criterio di autorizzazione.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Alta

GCP-2021-015

Pubblicato il: 13/07/2021
Ultimo aggiornamento: 15/07/2021

Descrizione

Descrizione Gravità Note

È stata scoperta una nuova vulnerabilità di sicurezza, CVE-2021-22555, in cui un utente malintenzionato con privilegi CAP_NET_ADMIN può causare il rooting di un container sull'host. Questa vulnerabilità interessa tutti i cluster GKE e GKE su VMware che esegue Linux 2.6.19 o versioni successive.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Alta CVE-2021-22555

GCP-2021-014

Pubblicato: 2021-07-05

Descrizione

Descrizione Gravità Note

Microsoft ha pubblicato un bollettino sulla sicurezza su una vulnerabilità RCE (Remote Code running) CVE-2021-34527 che interessa lo spooler di stampa nei server Windows. Il CERT Coordination Center (CERT/CC) ha pubblicato una nota di aggiornamento su una vulnerabilità correlata, soprannominata "PrintNightmare" che colpisce anche gli spooler di stampa Windows - PrintNightmare, Critical Windows Print Spooler Vulnerability

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE.

Alta CVE-2021-34527

GCP-2021-012

Pubblicato il: 24/06/2021
Ultimo aggiornamento: 09/07/2021

Descrizione

Descrizione Gravità Note

Il progetto Istio ha annunciato di recente una vulnerabilità di sicurezza a causa della quale è possibile accedere alle credenziali specificate nel campo Gateway e destinationRule credentialsName da diversi spazi dei nomi.

Per istruzioni specifiche per i prodotti e ulteriori dettagli, vedi:

 Alta CVE-2021-34824

GCP-2021-011

Pubblicato il: 04/06/2021
Ultimo aggiornamento: 19/10/2021

Descrizione

Descrizione Gravità Note

Aggiornamento del 19/10/2021:

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

La community di sicurezza ha recentemente divulgato una nuova vulnerabilità di sicurezza (CVE-2021-30465) trovata in runc che può consentire l'accesso completo a un file system dei nodi.

Per GKE, poiché lo sfruttamento di questa vulnerabilità richiede la possibilità di creare pod, abbiamo valutato la gravità di questa vulnerabilità come MEDIA.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE.

Medio CVE-2021-30465

GCP-2021-010

Pubblicato: 25/05/2021

Descrizione

Descrizione Gravità Note

Secondo l'avviso per la sicurezza di VMware VMSA-2021-0010, le vulnerabilità di esecuzione di codice remoto e bypass dell'autenticazione in vSphere Client (HTML5) sono state segnalate privatamente a VMware. VMware ha reso disponibili aggiornamenti per risolvere queste vulnerabilità nei prodotti VMware interessati.

Abbiamo applicato le patch fornite da VMware per lo stack vSphere in base all'avviso per la sicurezza VMware. Questo aggiornamento risolve le vulnerabilità di sicurezza descritte in CVE-2021-21985 e CVE-2021-21986. Al momento le versioni delle immagini in esecuzione nel cloud privato di VMware Engine non riflettono alcuna modifica per indicare le patch applicate. Ti garantiamo che sono state installate le patch appropriate e che il tuo ambiente è protetto da queste vulnerabilità.

Impatto di VMware Engine

Dalle nostre indagini è emerso che non sono stati rilevati clienti interessati dal problema.

Che cosa devo fare?

Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni.

 Critico

GCP-2021-008

Pubblicato: 17/05/2021

Descrizione

Descrizione Gravità Note

Istio contiene una vulnerabilità sfruttabile da remoto che consente a un client esterno di accedere a servizi imprevisti nel cluster, ignorando i controlli di autorizzazione, quando un gateway è configurato con la configurazione di routing AUTO_PASSTHROUGH.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.

Alta

 CVE-2021-31921

GCP-2021-007

Pubblicato: 17/05/2021

Descrizione

Descrizione Gravità Note

Istio contiene una vulnerabilità sfruttabile in remoto per cui un percorso di richiesta HTTP con più barre o barre di escape (%2F o %5C) potrebbe potenzialmente bypassare un criterio di autorizzazione Istio quando vengono utilizzate regole di autorizzazione basate sul percorso.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Anthos Service Mesh.

Alta

 CVE-2021-31920

GCP-2021-006

Pubblicato: 11/05/2021

Descrizione

Descrizione Gravità Note

Il progetto Istio di recente disclosed una nuova vulnerabilità di sicurezza (CVE-2021-31920) che interessa Istio.

Istio contiene una vulnerabilità sfruttabile da remoto in cui una richiesta HTTP con più barre o barre di escape può bypassare il criterio di autorizzazione Istio quando vengono utilizzate regole di autorizzazione basate sul percorso.

Per istruzioni e ulteriori dettagli, vedi:

Alta

 CVE-2021-31920

GCP-2021-005

Pubblicato: 11/05/2021

Descrizione

Descrizione Gravità Note

Una vulnerabilità segnalata ha dimostrato che Envoy non decodifica le sequenze di barre con caratteri di escape %2F e %5C nei percorsi URL HTTP nelle versioni 1.18.2 e precedenti di Envoy. Inoltre, alcuni prodotti basati su Envoy non consentono i controlli di normalizzazione dei percorsi. Un utente malintenzionato remoto potrebbe creare un percorso con barre con caratteri di escape (ad esempio /something%2F..%2Fadmin,) per bypassare controllo dell'accesso dell'accesso (ad esempio, un blocco su /admin). Un server di backend potrebbe quindi decodificare le sequenze di barre e normalizzare il percorso per fornire a un utente malintenzionato l'ambito previsto dal criterio di controllo dell'accesso dell'accesso.

Che cosa devo fare?

Se i server di backend trattano i valori / e %2F o \ e %5C in modo intercambiabile e viene configurata una corrispondenza basata sul percorso dell'URL, ti consigliamo di riconfigurare il server di backend in modo che non vengano trattati \ e %2F o \ e %5C in modo intercambiabile, se possibile.

Quali modifiche comportamentali sono state introdotte?

Le opzioni normalize_path e Unisci barre adiacenti di Envoy sono state abilitate per risolvere altre vulnerabilità comuni relative alla confusione del percorso nei prodotti basati su Envoy.

Alta

 CVE-2021-29492

GCP-2021-004

Pubblicato: 2021-05-06

Descrizione

Descrizione Gravità Note

I progetti Envoy e Istio hanno recentemente annunciato diverse nuove vulnerabilità di sicurezza (CVE-2021-28683, CVE-2021-28682 e CVE-2021-29258) che potrebbero consentire a un utente malintenzionato di arrestare Envoy.

I cluster Google Kubernetes Engine non eseguono Istio per impostazione predefinita e non sono vulnerabili. Se Istio è stato installato in un cluster e configurato in modo da esporre i servizi su internet, questi servizi potrebbero essere vulnerabili al denial of service.

Google Distributed Cloud Virtual for Bare Metal e GKE su VMware utilizzano Envoy per Ingress per impostazione predefinita, i servizi Ingress potrebbero essere vulnerabili a attacchi denial of service.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Medio

GCP-2021-003

Pubblicato: 19/04/2021

Descrizione

Descrizione Gravità Note

Il progetto Kubernetes ha annunciato di recente una nuova vulnerabilità di sicurezza, CVE-2021-25735, che potrebbe consentire agli aggiornamenti dei nodi di bypassare un webhook di convalida di ammissione.

In uno scenario in cui un utente malintenzionato dispone di privilegi sufficienti e in cui è implementato un webhook di convalida di ammissione che utilizza le proprietà dell'oggetto Node precedenti (ad esempio i campi in Node.NodeSpec), l'utente malintenzionato potrebbe aggiornare le proprietà di un nodo che potrebbero compromettere il cluster. Nessuno dei criteri applicati dai controller di ammissione integrati di GKE e Kubernetes è interessato, ma consigliamo ai clienti di verificare eventuali webhook di ammissione aggiuntivi che hanno installato.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Medio

CVE-2021-25735

GCP-2021-002

Pubblicato: 05/03/2021

Descrizione

Descrizione Gravità Note

Secondo l'avviso per la sicurezza VMware VMSA-2021-0002, VMware ha ricevuto report di molteplici vulnerabilità in VMware ESXi e vSphere Client (HTML5). VMware ha reso disponibili aggiornamenti per risolvere queste vulnerabilità nei prodotti VMware interessati.

Abbiamo applicato le soluzioni alternative documentate ufficialmente per lo stack vSphere in base all'avviso per la sicurezza VMware. Questo aggiornamento risolve le vulnerabilità di sicurezza descritte in CVE-2021-21972, CVE-2021-21973 e CVE-2021-21974.

Impatto di VMware Engine

Dalle nostre indagini è emerso che non sono stati rilevati clienti interessati dal problema.

Che cosa devo fare?

Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni.

 Critico

GCP-2021-001

Pubblicato: 28/01/2021

Descrizione

Descrizione Gravità Note

Di recente è stata scoperta una vulnerabilità nell'utilità Linux sudo, descritta in CVE-2021-3156, che potrebbe consentire a un utente malintenzionato con accesso senza privilegi alla shell locale su un sistema su cui è installato sudo di riassegnare i privilegi a root sul sistema.

L'infrastruttura sottostante che esegue Compute Engine non è interessata da questa vulnerabilità.

Tutti i cluster Google Kubernetes Engine (GKE), GKE su VMware, GKE su AWS e Google Distributed Cloud Virtual for Bare Metal non sono interessati da questa vulnerabilità.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Nessun valore CVE-2021-3156

GCP-2020-015

Pubblicato il: 07/12/2020
Ultimo aggiornamento: 22/12/2020

Descrizione

Descrizione Gravità Note

Ultimo aggiornamento: 22/12/2021 Il comando per GKE nella sezione seguente deve utilizzare gcloud beta anziché il comando gcloud. 

gcloud container clusters update –no-enable-service-externalips

Ultimo aggiornamento: 15/12/2021 Per GKE, è ora disponibile la seguente mitigazione:
  1. A partire dalla versione 1.21 di GKE, i servizi con ExternalIP sono bloccati da un controller di ammissione DenyServiceExternalIPs abilitato per impostazione predefinita per i nuovi cluster.
  2. I clienti che eseguono l'upgrade a GKE versione 1.21 possono bloccare i servizi con ExternalIPs utilizzando il seguente comando: 
    gcloud container clusters update –no-enable-service-externalips

Per maggiori informazioni, consulta Rafforzare la sicurezza del cluster.

Il progetto Kubernetes ha recentemente scoperto una nuova vulnerabilità di sicurezza, CVE-2020-8554, che potrebbe consentire a un utente malintenzionato che ha ottenuto le autorizzazioni di creare un servizio Kubernetes di tipo LoadBalancer o ClusterIP per intercettare il traffico di rete proveniente da altri pod nel cluster. Questa vulnerabilità di per sé non concede a un utente malintenzionato le autorizzazioni per creare un servizio Kubernetes.

Tutti i cluster Google Kubernetes Engine (GKE), GKE su VMware e GKE su AWS sono interessati da questa vulnerabilità.

Che cosa devo fare?

Per istruzioni e ulteriori dettagli, consulta:

Medio

 CVE-2020-8554

GCP-2020-014

Pubblicato il: 20/10/2020
Ultimo aggiornamento: 20/10/2020

Descrizione

Descrizione Gravità Note

Il progetto Kubernetes ha recentemente rilevato diversi problemi che consentono l'esposizione dei dati secret quando sono abilitate opzioni di logging dettagliato. I problemi sono:

  • CVE-2020-8563: fughe di secret nei log per il provider vSphere kube-controller-manager
  • CVE-2020-8564: segreti di configurazione Docker divulgati quando il file non è valido e loglevel >= 4
  • CVE-2020-8565: la correzione incompleta per CVE-2019-11250 in Kubernetes consente la perdita di token nei log quando logLevel >= 9. Scoperto da GKE Security.
  • CVE-2020-8566: Ceph RBD adminSecrets esposti nei log quando loglevel >= 4

Che cosa devo fare?

Non sono necessarie ulteriori azioni a causa dei livelli di logging delle Preferenze di lettura predefiniti di GKE.

Nessun valore

Impatto su Google Cloud

I dettagli per prodotto sono elencati di seguito.

Prodotto

Impatto

Google Kubernetes Engine (GKE)

Google Kubernetes Engine (GKE) non è interessato.

GKE On-Prem

GKE On-Prem non è interessato.

GKE su AWS

GKE su AWS non è interessato.

GCP-2020-013

Pubblicato: 29/09/2020

Descrizione

Microsoft ha divulgato la seguente vulnerabilità:

Vulnerabilità

Gravità

CVE

CVE-2020-1472: una vulnerabilità in Windows Server consente a utenti malintenzionati di utilizzare Netlogon Remote Protocol per eseguire un'applicazione appositamente creata su un dispositivo sulla rete.

Punteggio base NVD: 10 (critico)

CVE-2020-1472

Per ulteriori informazioni, consulta la divulgazione di Microsoft.

Impatto su Google Cloud

L'infrastruttura che ospita i prodotti Google Cloud e Google non è interessata da questa vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.

Prodotto

Impatto

Compute Engine

CVE-2020-1472

Per la maggior parte dei clienti non sono necessarie ulteriori azioni.

I clienti che utilizzano macchine virtuali Compute Engine che eseguono Windows Server devono assicurarsi che le istanze siano state aggiornate con la patch più recente di Windows o utilizzare immagini di Windows Server pubblicate dopo il 17/08/2020 (v20200813 o successive).

Google Kubernetes Engine

CVE-2020-1472

Per la maggior parte dei clienti non sono necessarie ulteriori azioni.

Tutti i clienti che ospitano controller di dominio nei nodi GKE Windows Server devono assicurarsi che sia per i nodi sia per i carichi di lavoro containerizzati eseguiti su questi nodi sia disponibile l'immagine più recente dei nodi Windows, quando disponibile. A ottobre verrà annunciata una nuova versione dell'immagine dei nodi nelle note di rilascio di GKE.

Managed Service per Microsoft Active Directory

CVE-2020-1472

Per la maggior parte dei clienti non sono necessarie ulteriori azioni.

La patch di agosto rilasciata da Microsoft che include le correzioni del protocollo NetLogon è stata applicata a tutti i controller di dominio Microsoft AD gestiti. Questa patch offre funzionalità di protezione da potenziali sfruttamento. La tempestiva applicazione delle patch è uno dei vantaggi principali dell'utilizzo di Managed Service for Microsoft Active Directory. Tutti i clienti che eseguono Microsoft Active Directory manualmente (e che non utilizzano il servizio gestito di Google Cloud) devono assicurarsi che le proprie istanze dispongano della patch Windows più recente o di utilizzare immagini di Windows Server.

Google Workspace

Non è necessario alcun intervento da parte del cliente.

Il servizio non è interessato da questa vulnerabilità.

Ambiente standard di App Engine

Non è necessario alcun intervento da parte del cliente.

Il servizio non è interessato da questa vulnerabilità.

Ambiente flessibile di App Engine

Non è necessario alcun intervento da parte del cliente.

Il servizio non è interessato da questa vulnerabilità.

Cloud Run

Non è necessario alcun intervento da parte del cliente.

Il servizio non è interessato da questa vulnerabilità.

Cloud Functions

Non è necessario alcun intervento da parte del cliente.

Il servizio non è interessato da questa vulnerabilità.

Cloud Composer

Non è necessario alcun intervento da parte del cliente.

Il servizio non è interessato da questa vulnerabilità.

Dataflow

Non è necessario alcun intervento da parte del cliente.

Il servizio non è interessato da questa vulnerabilità.

Dataproc

Non è necessario alcun intervento da parte del cliente.

Il servizio non è interessato da questa vulnerabilità.

Cloud SQL

Non è necessario alcun intervento da parte del cliente.

Il servizio non è interessato da questa vulnerabilità.

GCP-2020-012

Pubblicato: 14/09/2020
Ultimo aggiornamento: 17/09/2020

Descrizione

Descrizione Gravità Note

Di recente è stata scoperta una vulnerabilità nel kernel Linux, descritta in CVE-2020-14386, che può consentire l'container escape per ottenere privilegi root sul nodo host.

Sono interessati tutti i nodi GKE. I pod in esecuzione in GKE Sandbox non sono in grado di sfruttare questa vulnerabilità.

Per istruzioni e ulteriori dettagli, vedi:


Quale vulnerabilità viene affrontata da questa patch?

La patch attenua la seguente vulnerabilità:

La vulnerabilità CVE-2020-14386, che consente ai container con CAP_NET_RAW
di scrivere da 1 a 10 byte di memoria kernel ed eseguire l'escape del container e ottenere privilegi root sul nodo host. Questa è classificata come vulnerabilità con gravità alta.

Alta

CVE-2020-14386

GCP-2020-011

Pubblicato: 2020-07-24

Descrizione

Descrizione Gravità Note

Di recente, in Kubernetes è stata scoperta una vulnerabilità di rete, CVE-2020-8558. I servizi a volte comunicano con altre applicazioni in esecuzione nello stesso pod utilizzando l'interfaccia di loopback locale (127.0.0.1). Questa vulnerabilità consente a un utente malintenzionato con accesso alla rete del cluster di inviare il traffico all'interfaccia di loopback di pod e nodi adiacenti. I servizi che si basano sull'interfaccia di loopback non sono accessibili all'esterno del pod potrebbero essere sfruttati.

Per istruzioni e ulteriori dettagli, vedi:

Basso (GKE e GKE su AWS),
Medio (GKE su VMware)

CVE-2020-8558

GCP-2020-010

Pubblicato: 2020-07-27

Descrizione

Microsoft ha divulgato la seguente vulnerabilità:

Vulnerabilità

Gravità

CVE

CVE-2020-1350: i server Windows che operano nella capacità di un server DNS possono essere sfruttati per eseguire codice non attendibile dall'account di sistema locale.

Punteggio base NVD: 10,0 (critico)

CVE-2020-1350

Per ulteriori informazioni, consulta la divulgazione di Microsoft.

Impatto su Google Cloud

L'infrastruttura che ospita i prodotti Google Cloud e Google non è interessata da questa vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.

Prodotto

Impatto

Compute Engine

CVE-2020-1350

Per la maggior parte dei clienti non sono necessarie ulteriori azioni.

I clienti che utilizzano macchine virtuali Compute Engine che eseguono Windows Server in una capacità di server DNS devono assicurarsi che le proprie istanze dispongano della patch di Windows più recente o di utilizzare le immagini di Windows Server fornite a partire dal 14/07/2020.

Google Kubernetes Engine

CVE-2020-1350

Per la maggior parte dei clienti non sono necessarie ulteriori azioni.

I clienti che utilizzano GKE con un nodo Windows Server in una capacità del server DNS devono aggiornare manualmente i nodi e i carichi di lavoro containerizzati in esecuzione su questi nodi a una versione di Windows Server contenente la correzione.

Managed Service per Microsoft Active Directory

CVE-2020-1350

Per la maggior parte dei clienti non sono necessarie ulteriori azioni.

Tutti i domini Microsoft AD gestiti sono stati aggiornati automaticamente con l'immagine con patch. Tutti i clienti che eseguono Microsoft Active Directory manualmente (e che non utilizzano Microsoft AD gestito) devono assicurarsi che le proprie istanze dispongano della patch Windows più recente o di utilizzare le immagini di Windows Server fornite a partire dal 14/07/2020.

Google Workspace

Non è necessario alcun intervento da parte del cliente.

Il servizio non è interessato da questa vulnerabilità.

Ambiente standard di App Engine

Non è necessario alcun intervento da parte del cliente.

Il servizio non è interessato da questa vulnerabilità.

Ambiente flessibile di App Engine

Non è necessario alcun intervento da parte del cliente.

Il servizio non è interessato da questa vulnerabilità.

Cloud Run

Non è necessario alcun intervento da parte del cliente.

Il servizio non è interessato da questa vulnerabilità.

Cloud Functions

Non è necessario alcun intervento da parte del cliente.

Il servizio non è interessato da questa vulnerabilità.

Cloud Composer

Non è necessario alcun intervento da parte del cliente.

Il servizio non è interessato da questa vulnerabilità.

Dataflow

Non è necessario alcun intervento da parte del cliente.

Il servizio non è interessato da questa vulnerabilità.

Dataproc

Non è necessario alcun intervento da parte del cliente.

Il servizio non è interessato da questa vulnerabilità.

Cloud SQL

Non è necessario alcun intervento da parte del cliente.

Il servizio non è interessato da questa vulnerabilità.

GCP-2020-009

Pubblicato: 15/07/2020

Descrizione

Descrizione Gravità Note

Di recente, in Kubernetes è stata scoperta una vulnerabilità di escalation dei privilegi, CVE-2020-8559. Questa vulnerabilità consente a un utente malintenzionato che ha già compromesso un nodo di eseguire un comando in qualsiasi pod del cluster. L'utente malintenzionato può quindi utilizzare il nodo già compromesso per compromettere altri nodi e leggere informazioni oppure causare azioni distruttive.

Tieni presente che, affinché un utente malintenzionato possa sfruttare questa vulnerabilità, un nodo nel tuo cluster deve essere già stato compromesso. Questa vulnerabilità di per sé non compromette i nodi nel cluster.

Per istruzioni e ulteriori dettagli, vedi:

Medio

CVE-2020-8559

GCP-2020-008

Pubblicato: 19/06/2020

Descrizione

Descrizione Gravità Note

Descrizione

Le VM per cui è abilitato OS Login potrebbero essere soggette a vulnerabilità di escalation dei privilegi. Queste vulnerabilità consentono agli utenti a cui sono state concesse le autorizzazioni OS Login (ma senza accesso amministrativo) a riassegnare l'accesso root nella VM.

Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di Compute Engine.

 Alta

GCP-2020-007

Pubblicato: 2020-06-01

Descrizione

Descrizione Gravità Note

La vulnerabilità Falsificazione delle richieste lato server (SSRF) CVE-2020-8555 è stata recentemente scoperta in Kubernetes, consentendo a determinati utenti autorizzati di divulgare fino a 500 byte di informazioni sensibili dalla rete host del piano di controllo. Il piano di controllo Google Kubernetes Engine (GKE) utilizza i controller di Kubernetes e pertanto è interessato da questa vulnerabilità. Ti consigliamo di eseguire l'upgrade del piano di controllo alla versione più recente della patch. Non è necessario un upgrade del nodo.

Per istruzioni e ulteriori dettagli, vedi:

Medio

CVE-2020-8555

GCP-2020-006

Pubblicato: 2020-06-01

Descrizione

Descrizione Gravità Note

Kubernetes ha divulgato una vulnerabilità che consente a un container con privilegi di reindirizzare il traffico dei nodi a un altro container. Il traffico TLS/SSH reciproco, ad esempio tra il server kubelet e il server API, o il traffico proveniente da applicazioni che utilizzano mTLS, non può essere letto o modificato da questo attacco. Tutti i nodi di Google Kubernetes Engine (GKE) sono interessati da questa vulnerabilità e ti consigliamo di eseguire l'upgrade alla versione più recente della patch.

Per istruzioni e ulteriori dettagli, vedi:

Medio

Problema di Kubernetes 91507

GCP-2020-005

Pubblicato: 2020-05-07

Descrizione

Vulnerabilità

Gravità

CVE

Recentemente è stata scoperta una vulnerabilità nel kernel Linux, descritta in CVE-2020-8835, che consente di uscire dai limiti del container per ottenere privilegi di utente root sul nodo host.

I nodi di Google Kubernetes Engine (GKE) Ubuntu che eseguono GKE 1.16 o 1.17 sono interessati da questa vulnerabilità e ti consigliamo di eseguire l'upgrade alla versione più recente della patch il prima possibile.

Consulta il Bollettino sulla sicurezza di GKE per istruzioni e ulteriori dettagli.

Alta

CVE-2020-8835

GCP-2020-004

Pubblicato il: 31/03/2020
Ultimo aggiornamento: 31/03/2020

Descrizione

Kubernetes ha divulgato le seguenti vulnerabilità:

Vulnerabilità

Gravità

CVE

CVE-2019-11254: questa è una vulnerabilità Denial of Service (DoS) che influisce sul server API.

Medio

CVE-2019-11254

Consulta il Bollettino sulla sicurezza di GKE su VMware per istruzioni e ulteriori dettagli.

GCP-2020-003

Pubblicato il: 31/03/2020
Ultimo aggiornamento: 31/03/2020

Descrizione

Kubernetes ha divulgato le seguenti vulnerabilità:

Vulnerabilità

Gravità

CVE

CVE-2019-11254: questa è una vulnerabilità Denial of Service (DoS) che influisce sul server API.

Medio

CVE-2019-11254

Consulta il Bollettino sulla sicurezza di GKE per le istruzioni e ulteriori dettagli.

GCP-2020-002

Pubblicato: 23/03/2020
Ultimo aggiornamento: 23/03/2020

Descrizione

Kubernetes ha divulgato le seguenti vulnerabilità:

Vulnerabilità

Gravità

CVE

CVE-2020-8551: questa vulnerabilità DoS (Denial of Service) influisce su kubelet.

Medio

CVE-2020-8551

CVE-2020-8552: questa è una vulnerabilità Denial of Service (DoS) che influisce sul server API.

Medio

CVE-2020-8552

Consulta il Bollettino sulla sicurezza di GKE per le istruzioni e ulteriori dettagli.

GCP-2020-001

Pubblicato il: 21/01/2020
Ultimo aggiornamento: 21/01/2020

Descrizione

Microsoft ha divulgato la seguente vulnerabilità:

Vulnerabilità

Gravità

CVE

CVE-2020-0601: questa vulnerabilità è nota anche come vulnerabilità di spoofing dell'API Windows Crypto. Potrebbe essere sfruttata per rendere attendibili gli eseguibili dannosi o per consentire a utenti malintenzionati di condurre attacchi man in the middle e decriptare le informazioni riservate relative alle connessioni degli utenti al software interessato.

Punteggio base NVD: 8,1 (Alta)

CVE-2020-0601

Per ulteriori informazioni, consulta la divulgazione di Microsoft.

Impatto su Google Cloud

L'infrastruttura che ospita i prodotti Google Cloud e Google non è interessata da questa vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.

Prodotto

Impatto

Compute Engine

CVE-2020-0601

Per la maggior parte dei clienti non sono necessarie ulteriori azioni.

I clienti che utilizzano macchine virtuali Compute Engine che eseguono Windows Server devono assicurarsi che le loro istanze abbiano la patch Windows più recente o utilizzare immagini Windows Server fornite a partire dal 15/01/2020. Consulta il Bollettino sulla sicurezza di Compute Engine per ulteriori dettagli.

Google Kubernetes Engine

CVE-2020-0601

Per la maggior parte dei clienti non sono necessarie ulteriori azioni.

I clienti che utilizzano GKE con nodi Windows Server, sia i nodi sia i carichi di lavoro containerizzati in esecuzione su questi nodi, devono essere aggiornati a versioni con patch per mitigare questa vulnerabilità. Consulta il Bollettino sulla sicurezza di GKE per istruzioni e ulteriori dettagli.

Managed Service per Microsoft Active Directory

CVE-2020-0601

Per la maggior parte dei clienti non sono necessarie ulteriori azioni.

Tutti i domini Microsoft AD gestiti sono stati aggiornati automaticamente con l'immagine con patch. Tutti i clienti che eseguono Microsoft Active Directory manualmente (e che non utilizzano Microsoft AD gestito) devono assicurarsi che le proprie istanze dispongano della patch Windows più recente o di utilizzare le immagini di Windows Server fornite dal 15/01/2020.

Google Workspace

Non è necessario alcun intervento da parte del cliente.

Il servizio non è interessato da questa vulnerabilità.

Ambiente standard di App Engine

Non è necessario alcun intervento da parte del cliente.

Il servizio non è interessato da questa vulnerabilità.

Ambiente flessibile di App Engine

Non è necessario alcun intervento da parte del cliente.

Il servizio non è interessato da questa vulnerabilità.

Cloud Run

Non è necessario alcun intervento da parte del cliente.

Il servizio non è interessato da questa vulnerabilità.

Cloud Functions

Non è necessario alcun intervento da parte del cliente.

Il servizio non è interessato da questa vulnerabilità.

Cloud Composer

Non è necessario alcun intervento da parte del cliente.

Il servizio non è interessato da questa vulnerabilità.

Dataflow

Non è necessario alcun intervento da parte del cliente.

Il servizio non è interessato da questa vulnerabilità.

Dataproc

Non è necessario alcun intervento da parte del cliente.

Il servizio non è interessato da questa vulnerabilità.

Cloud SQL

Non è necessario alcun intervento da parte del cliente.

Il servizio non è interessato da questa vulnerabilità.

GCP-2019-001

Pubblicato il: 12/11/2019
Ultimo aggiornamento: 12/11/2019

Descrizione

Intel ha divulgato le seguenti vulnerabilità:

Vulnerabilità

Gravità

CVE

CVE-2019-11135 — Questa vulnerabilità, indicata come TSX Async Abort (TAA) può essere utilizzata per sfruttare l'esecuzione speculativa in una transazione TSX. Questa vulnerabilità può determinare un'esposizione dei dati attraverso le stesse strutture di dati della microarchitettura esposte dal Microarchitectural Data Sampling (MDS).

Medio

CVE-2019-11135

CVE-2018-12207 — Questa è una vulnerabilità di tipo Denial of Service (DoS) che interessa le macchine virtuali host (non ospiti). Questo problema è noto come "Machine Check Error on Page Size Change".

Medio

CVE-2018-12207

Per ulteriori informazioni, consulta le divulgazioni di Intel:

Impatto su Google Cloud

L'infrastruttura che ospita Google Cloud e i prodotti Google è protetta da queste vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.

Prodotto

Impatto

Compute Engine

CVE-2019-11135

Per la maggior parte dei clienti non è necessario alcun intervento aggiuntivo.

I clienti N2, C2 o M2 che eseguono codice non attendibile nei propri servizi multi-tenant all'interno delle macchine virtuali Compute Engine devono arrestare e avviare le loro VM per assicurarsi che dispongano delle più recenti misure di mitigazione per la sicurezza.

CVE-2018-12207

Per tutti i clienti non è necessario alcun intervento aggiuntivo.

Google Kubernetes Engine

CVE-2019-11135

Per la maggior parte dei clienti non è necessario alcun intervento aggiuntivo.

Se utilizzi pool di nodi con nodi N2, M2 o C2, e questi nodi eseguono codice non attendibile nei propri cluster GKE multi-tenant, devi riavviare i nodi. Se vuoi riavviare tutti i nodi del tuo pool di nodi, esegui l'upgrade del pool di nodi interessato.

CVE-2018-12207

Per tutti i clienti non è necessario alcun intervento aggiuntivo.

Ambiente standard di App Engine

Non è necessario alcun intervento aggiuntivo.

Ambiente flessibile di App Engine

CVE-2019-11135

Non è necessario alcun intervento aggiuntivo.

I clienti devono rivedere le best practice di Intel relative alla condivisione a livello di applicazione che può avvenire fra gli hyperthread all'interno di una VM flessibile.

CVE-2018-12207

Non è necessario alcun intervento aggiuntivo.

Cloud Run

Non è necessario alcun intervento aggiuntivo.

Cloud Functions

Non è necessario alcun intervento aggiuntivo.

Cloud Composer

Non è necessario alcun intervento aggiuntivo.

Dataflow

CVE-2019-11135

Per la maggior parte dei clienti non è necessario alcun intervento aggiuntivo.

I clienti Dataflow che eseguono numerosi carichi di lavoro non attendibili su VM N2, C2 o M2 di Compute Engine gestite da Dataflow, e che sono preoccupati di attacchi fra i guest, devono prendere in considerazione il riavvio di tutte le pipeline di gestione dei flussi attualmente in esecuzione. Facoltativamente, le pipeline batch possono essere annullate e rieseguite. Non è necessario alcun intervento sulle pipeline avviate dopo la data odierna.

CVE-2018-12207

Per tutti i clienti non è necessario alcun intervento aggiuntivo.

Dataproc

CVE-2019-11135

Per la maggior parte dei clienti non è necessario alcun intervento aggiuntivo.

I clienti Cloud Dataproc che eseguono più carichi di lavoro non attendibili sullo stesso cluster Cloud Dataproc eseguito su VM N2, C2 o M2 di Compute Engine, e che sono preoccupati di attacchi fra i guest, devono rieseguire il deployment dei cluster.

CVE-2018-12207

Per tutti i clienti non è necessario alcun intervento aggiuntivo.

Cloud SQL

Non è necessario alcun intervento aggiuntivo.