Adicione o URL do feed diretamente ao seu leitor de feeds: https://cloud.google.com/feeds/cloudbuild-security-bulletins.xml
GCP-2023-013
Publicação:08/06/2023
Descrição
Descrição
Gravidade
Observações
Quando você ativa a API Cloud Build em um projeto, o Cloud Build cria automaticamente uma conta de serviço padrão para executar versões em seu nome. Essa conta de serviço do Cloud Build já tinha a permissão do IAM logging.privateLogEntries.list, que permitia que o build tivesse acesso para listar registros particulares por padrão.
Essa permissão foi revogada na conta de serviço do Cloud Build para aderir ao princípio de segurança do privilégio mínimo.
O que fazer?
Nenhuma outra ação do usuário é necessária. A permissão do IAM logging.privateLogEntries.list foi revogada na conta de serviço do Cloud Build, e a correção foi lançada.
Quais vulnerabilidades são corrigidas por esse patch?
Esta vulnerabilidade concede cria a permissão para listar registros privados.
Como a permissão logging.privateLogEntries.list do IAM foi revogada na conta de serviço do Cloud Build, os builds não têm mais acesso para listar registros particulares por padrão.