安全性公告

我們最近在 OpenSSH 中發現遠端程式碼執行漏洞 CVE-2024-6387。Dataflow 作業可能會建立使用 OS 映像檔的 VM，而這些映像檔的 OpenSSH 版本容易受到 CVE-2024-6387 影響。攻擊者可能會利用這項漏洞取得 Dataflow 工作站 VM 的根存取權。如果 Dataflow 工作站 VM 具有公開 IP 位址，且 SSH 連線暴露在網際網路上，請優先處理這類 VM 的風險。

該怎麼辦？

我們提供已修補的 Dataflow VM 映像檔，其中包含更新後的 OpenSSH。建議您按照下列步驟檢查管道的曝光度，然後視需要套用所述的緩解措施。

禁止透過 SSH 連線至 Dataflow 工作站 VM

這項措施可有效防範 SSH 目前和未來的安全漏洞。

Dataflow 運作或偵錯大多數 Dataflow 問題時，不需要透過 SSH 存取 Dataflow 工作站 VM。

使用下列 Google Cloud CLI 指令，為 Dataflow VM 停用 SSH：

gcloud compute firewall-rules create block-ssh-dataflow \
   --network=NETWORK \
   --action=DENY --priority=500 \
   --rules=tcp:22 \
   --target-tags=dataflow

如要還原這項動作，請使用 gcloud compute firewall-rules delete block-ssh-dataflow 指令。

更新或重新啟動長時間執行的串流管道

這項行動可解決本公告中提及的特定安全漏洞。

2024 年 7 月 5 日上午 5 點 (臺灣時間) 後啟動的任何 Dataflow 工作，都會使用修補後的 VM 映像檔。如要使用修補完成的 VM 映像檔，請手動更新或重新啟動在此日期前啟動的串流管道。

找出工作站 VM 具有公開 IP 位址的 Dataflow 作業

除非防火牆封鎖存取權，否則具有公開 IP 位址的 Dataflow 工作站 VM 的 SSH 連接埠會對網際網路開放。

如要取得啟動含有外部 IP 位址 VM 的 Dataflow 工作清單，請使用下列 gcloud CLI 指令：

gcloud --project PROJECT_ID compute instances list \
   --filter "EXTERNAL_IP!='' AND STATUS='RUNNING' \
              AND description ~ 'Created for Dataflow job'" \
   --format="list (description)" | sort -u

如要檢查專案中所有具有外部 IP 位址的 VM 清單，請使用下列 gcloud CLI 指令：

gcloud --project PROJECT_ID compute instances list \
   --filter "EXTERNAL_IP!='' AND STATUS='RUNNING'"

在 Dataflow 工作中停用公開 IP

這個步驟可確保 SSH 連接埠不會對外公開。除非防火牆封鎖存取權，否則這項設定會對有權存取這個網路的其他使用者開放通訊埠。

如果 Dataflow 管道不會存取公開網際網路，就不需要使用公開 IP 位址。

如果發現任何使用公開 IP 位址，但不需要存取公用網際網路的管道，請關閉這些管道的外部 IP 位址。如需操作說明，請參閱關閉外部 IP 位址。

這個修補程式修正了哪些安全漏洞？

CVE-2024-6387 安全漏洞會利用競爭條件取得遠端殼層的存取權，讓攻擊者取得 Dataflow 工作站 VM 的根存取權。發布時，我們認為這項弱點難以遭到利用，且每部受攻擊的電腦都需要數小時才能完成攻擊。我們目前未發現任何濫用行為。