Diese Seite wurde von der Cloud Translation API übersetzt.

Sicherheitsbulletins

Die folgenden Sicherheitsbulletins beziehen sich auf Google Cloud Produkte.

Verwenden Sie diesen XML-Feed, um Sicherheitsbulletins für diese Seite zu abonnieren.

GCP-2025-041

Veröffentlicht: 21.07.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Ubuntu-Knoten führen können: CVE-2025-37890 Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: GKE-Sicherheitsbulletin GDC-Software für VMware-Sicherheitsbulletin GKE on AWS-Sicherheitsbulletin GKE on Azure-Sicherheitsbulletin GDC-Software für Bare Metal-Sicherheitsbulletin	Hoch	CVE-2025-37890

Schweregrad

Hinweise

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Ubuntu-Knoten führen können:

CVE-2025-37890

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2025-37890

GCP-2025-040

Veröffentlicht: 15.07.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
Gemäß der Empfehlung VMSA-2025-0013 wurden Broadcom privat mehrere Sicherheitslücken in VMware ESXi gemeldet. Wir haben diese Sicherheitslücken entweder bereits geschlossen oder sind dabei, die erforderlichen Patches von Broadcom anzuwenden. Für diese gemeldeten Sicherheitslücken sind keine Problemumgehungen bekannt. Nach dem Patchen sollten auf Ihren VMware Engine-Bereitstellungen ESXi 7.0U3w oder ESXi 8.0U3f oder höher ausgeführt werden. Was soll ich tun? Google empfiehlt Kunden, ihre Arbeitslasten in VMware Engine auf ungewöhnliche Aktivitäten zu überwachen.	Mittel bis Kritisch	VMSA-2025-0013 CVE-2025-41236 CVE-2025-41237 CVE-2025-41238 CVE-2025-41239

Schweregrad

Hinweise

Gemäß der Empfehlung VMSA-2025-0013 wurden Broadcom privat mehrere Sicherheitslücken in VMware ESXi gemeldet.

Wir haben diese Sicherheitslücken entweder bereits geschlossen oder sind dabei, die erforderlichen Patches von Broadcom anzuwenden. Für diese gemeldeten Sicherheitslücken sind keine Problemumgehungen bekannt.

Nach dem Patchen sollten auf Ihren VMware Engine-Bereitstellungen ESXi 7.0U3w oder ESXi 8.0U3f oder höher ausgeführt werden.

Was soll ich tun?

Google empfiehlt Kunden, ihre Arbeitslasten in VMware Engine auf ungewöhnliche Aktivitäten zu überwachen.

Mittel bis Kritisch

GCP-2025-039

Veröffentlicht: 15.07.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können: CVE-2025-38083 Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: GKE-Sicherheitsbulletin GDC-Software für VMware-Sicherheitsbulletin GKE on AWS-Sicherheitsbulletin GKE on Azure-Sicherheitsbulletin GDC-Software für Bare Metal-Sicherheitsbulletin	Hoch	CVE-2025-38083

Schweregrad

Hinweise

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

CVE-2025-38083

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2025-38083

GCP-2025-038

Veröffentlicht: 09.07.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können: CVE-2025-37752 Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: GKE-Sicherheitsbulletin GDC-Software für VMware-Sicherheitsbulletin GKE on AWS-Sicherheitsbulletin GKE on Azure-Sicherheitsbulletin GDC-Software für Bare Metal-Sicherheitsbulletin	Hoch	CVE-2025-37752

Schweregrad

Hinweise

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

CVE-2025-37752

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2025-37752

GCP-2025-037

Veröffentlicht: 08.07.2025

Beschreibung	Schweregrad	Hinweise
AMD hat zwei Sicherheitslücken offengelegt, die AMD EPYC-CPUs der 2. Generation (Rome), 3. Generation (Milan) und 4. Generation (Genoa) betreffen. Die Sicherheitslücken ermöglichen es einem Angreifer, Daten aus früheren Speichern oder dem L1D-Cache abzuleiten, was möglicherweise zum Verlust vertraulicher Informationen führt. Google hat eine Maßnahme eingeführt, die dieses Leck von Informationen zwischen VMs verhindert. Es besteht weiterhin die Möglichkeit, dass Prozesse innerhalb einer einzelnen VM diese Sicherheitslücken ausnutzen. Was soll ich tun? Ab dem 8. Juli 2025 ist für die folgenden VMs eine Sicherheitsmaßnahme auf Gastebene verfügbar, die vor Angriffen innerhalb des Gastsystems schützt: VMs, die zum ersten Mal gestartet werden. VMs, die vollständig beendet und neu gestartet wurden. Durch Neustarts des Betriebssystems wird die Sicherheitsmaßnahme nicht aktiviert. Die VM selbst muss vollständig neu gestartet werden, damit die Sicherheitsmaßnahme aktiviert wird. Die Kernel von Gastbetriebssystemen müssen diese Maßnahme unterstützen, damit sie wirksam ist. Weitere Informationen finden Sie im AMD-Sicherheitsbulletin AMD-SB-7029.	Mittel	CVE-2024-36350 CVE-2024-36357

Beschreibung

Schweregrad

Hinweise

AMD hat zwei Sicherheitslücken offengelegt, die AMD EPYC-CPUs der 2. Generation (Rome), 3. Generation (Milan) und 4. Generation (Genoa) betreffen. Die Sicherheitslücken ermöglichen es einem Angreifer, Daten aus früheren Speichern oder dem L1D-Cache abzuleiten, was möglicherweise zum Verlust vertraulicher Informationen führt.

Google hat eine Maßnahme eingeführt, die dieses Leck von Informationen zwischen VMs verhindert.

Es besteht weiterhin die Möglichkeit, dass Prozesse innerhalb einer einzelnen VM diese Sicherheitslücken ausnutzen.

Was soll ich tun?

Ab dem 8. Juli 2025 ist für die folgenden VMs eine Sicherheitsmaßnahme auf Gastebene verfügbar, die vor Angriffen innerhalb des Gastsystems schützt:

VMs, die zum ersten Mal gestartet werden.
VMs, die vollständig beendet und neu gestartet wurden. Durch Neustarts des Betriebssystems wird die Sicherheitsmaßnahme nicht aktiviert. Die VM selbst muss vollständig neu gestartet werden, damit die Sicherheitsmaßnahme aktiviert wird. Die Kernel von Gastbetriebssystemen müssen diese Maßnahme unterstützen, damit sie wirksam ist.

Weitere Informationen finden Sie im AMD-Sicherheitsbulletin AMD-SB-7029.

Mittel

GCP-2025-036

Veröffentlicht: 01.07.2025

Aktualisiert: 21.07.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
Aktualisierung vom 21.07.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt. Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können: CVE-2025-38001 Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: GKE-Sicherheitsbulletin GDC-Software für VMware-Sicherheitsbulletin GKE on AWS-Sicherheitsbulletin GKE on Azure-Sicherheitsbulletin GDC-Software für Bare Metal-Sicherheitsbulletin	Hoch	CVE-2025-38001

Schweregrad

Hinweise

Aktualisierung vom 21.07.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

CVE-2025-38001

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2025-38001

GCP-2025-035

Veröffentlicht: 17.06.2025

Aktualisiert: 21.07.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
Aktualisierung vom 21.07.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt. Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können: CVE-2025-37997 Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: GKE-Sicherheitsbulletin GDC-Software für VMware-Sicherheitsbulletin GKE on AWS-Sicherheitsbulletin GKE on Azure-Sicherheitsbulletin GDC-Software für Bare Metal-Sicherheitsbulletin	Hoch	CVE-2025-37997

Schweregrad

Hinweise

Aktualisierung vom 21.07.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

CVE-2025-37997

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2025-37997

GCP-2025-034

Veröffentlicht: 17.06.2025

Aktualisiert: 21.07.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
Aktualisierung vom 21.07.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt. Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können: CVE-2025-38000 Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: GKE-Sicherheitsbulletin GDC-Software für VMware-Sicherheitsbulletin GKE on AWS-Sicherheitsbulletin GKE on Azure-Sicherheitsbulletin GDC-Software für Bare Metal-Sicherheitsbulletin	Hoch	CVE-2025-38000

Schweregrad

Hinweise

Aktualisierung vom 21.07.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

CVE-2025-38000

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2025-38000

GCP-2025-033

Veröffentlicht: 06.06.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
Es wurde ein Sicherheitsproblem entdeckt, bei dem Angreifer möglicherweise die Einschränkungen der Arbeitslastisolation in GKE-Clustern umgehen können. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: GKE-Sicherheitsbulletin GDC-Software für VMware-Sicherheitsbulletin GKE on AWS-Sicherheitsbulletin GKE on Azure-Sicherheitsbulletin GDC-Software für Bare Metal-Sicherheitsbulletin	Mittel	–

Schweregrad

Hinweise

Es wurde ein Sicherheitsproblem entdeckt, bei dem Angreifer möglicherweise die Einschränkungen der Arbeitslastisolation in GKE-Clustern umgehen können.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Mittel

–

GCP-2025-032

Veröffentlicht: 03.06.2025

Aktualisiert: 21.07.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
Aktualisierung vom 21.07.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt. Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können: CVE-2025-37798 Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: GKE-Sicherheitsbulletin GDC-Software für VMware-Sicherheitsbulletin GKE on AWS-Sicherheitsbulletin GKE on Azure-Sicherheitsbulletin GDC-Software für Bare Metal-Sicherheitsbulletin	Hoch	CVE-2025-37798

Schweregrad

Hinweise

Aktualisierung vom 21.07.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

CVE-2025-37798

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2025-37798

GCP-2025-031

Veröffentlicht: 03.06.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können: CVE-2025-37797 Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: GKE-Sicherheitsbulletin GDC-Software für VMware-Sicherheitsbulletin GKE on AWS-Sicherheitsbulletin GKE on Azure-Sicherheitsbulletin GDC-Software für Bare Metal-Sicherheitsbulletin	Hoch	CVE-2025-37797

Schweregrad

Hinweise

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

CVE-2025-37797

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2025-37797

GCP-2025-030

Veröffentlicht: 23.05.2025

Beschreibung	Schweregrad	Hinweise
Gemäß der VMware-Sicherheitsempfehlung VMSA-2024-0017 wurde VMware privat über eine SQL-Injection-Sicherheitslücke in VMware Aria Automation informiert. Patches sind verfügbar, um diese Sicherheitslücke in den betroffenen VMware-Produkten zu beheben. Was soll ich tun? Wir empfehlen ein Upgrade auf VMware Aria Automation KB325790.	Wichtig	VMSA-2024-0017 CVE-2024-22280

Beschreibung

Schweregrad

Hinweise

Gemäß der VMware-Sicherheitsempfehlung VMSA-2024-0017 wurde VMware privat über eine SQL-Injection-Sicherheitslücke in VMware Aria Automation informiert. Patches sind verfügbar, um diese Sicherheitslücke in den betroffenen VMware-Produkten zu beheben.

Was soll ich tun?

Wir empfehlen ein Upgrade auf VMware Aria Automation KB325790.

Wichtig

GCP-2025-029

Veröffentlicht: 23.05.2025

Beschreibung	Schweregrad	Hinweise
Gemäß der VMware-Sicherheitsempfehlung VMSA-2025-0006 wurde VMware eine Sicherheitslücke zur lokalen Rechteausweitung in VMware Aria Operations gemeldet. Patches sind verfügbar, um diese Sicherheitslücke in den betroffenen VMware-Produkten zu beheben. Was soll ich tun? Wir empfehlen ein Upgrade auf VMware Aria Operations 8.18 HF5.	Wichtig	VMSA-2025-0006 CVE-2025-22231

Beschreibung

Schweregrad

Hinweise

Gemäß der VMware-Sicherheitsempfehlung VMSA-2025-0006 wurde VMware eine Sicherheitslücke zur lokalen Rechteausweitung in VMware Aria Operations gemeldet. Patches sind verfügbar, um diese Sicherheitslücke in den betroffenen VMware-Produkten zu beheben.

Was soll ich tun?

Wir empfehlen ein Upgrade auf VMware Aria Operations 8.18 HF5.

Wichtig

GCP-2025-028

Veröffentlicht: 23.05.2025

Beschreibung	Schweregrad	Hinweise
Gemäß der VMware-Sicherheitsempfehlung VMSA-2025-0003 wurden mehrere Sicherheitslücken in VMware Aria Operations for Logs und VMware Aria Operations privat an VMware gemeldet. Patches sind verfügbar, um diese Sicherheitslücke in den betroffenen VMware-Produkten zu beheben. Was soll ich tun? Wir empfehlen ein Upgrade auf VMware Aria Operations for Logs 8.18.3 und VMware Aria Operations 8.18.3.	Wichtig	VMSA-2025-0003 CVE-2025-22218 CVE-2025-22219 CVE-2025-22220 CVE-2025-22221 CVE-2025-22222

Beschreibung

Schweregrad

Hinweise

Gemäß der VMware-Sicherheitsempfehlung VMSA-2025-0003 wurden mehrere Sicherheitslücken in VMware Aria Operations for Logs und VMware Aria Operations privat an VMware gemeldet. Patches sind verfügbar, um diese Sicherheitslücke in den betroffenen VMware-Produkten zu beheben.

Was soll ich tun?

Wir empfehlen ein Upgrade auf VMware Aria Operations for Logs 8.18.3 und VMware Aria Operations 8.18.3.

Wichtig

GCP-2025-027

Veröffentlicht: 16.05.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
Vor dem 26. April 2025 wurde im klassischen Application Load Balancer-Dienst eine Sicherheitslücke entdeckt. Was soll ich tun? Auf Kundenseite sind keine Maßnahmen erforderlich. Das Problem wurde am 26. April 2025 im klassischen Application Load Balancer-Dienst behoben. Welche Sicherheitslücken werden behoben? Durch die Sicherheitslücke CVE-2025-4600 konnten Angreifer Anfragen an klassische Application Load Balancer einschleusen, da übergroße Chunk-Bodies falsch geparst wurden. Beim Parsen des Anfragetexts einer HTTP-Anfrage mit einer aufgeteilten Transferverschlüsselung lässt der klassische Application Load Balancer überdimensionierte Chunk-Bodies zu. Daher war es möglich, innerhalb dieser ignorierten Enddaten Bytes zu verstecken, die ein vorgelagerter HTTP-Server fälschlicherweise als Zeilenendezeichen interpretieren könnte. Diese Sicherheitslücke wurde am 26. April 2025 im klassischen Application Load Balancer-Dienst durch eine verbesserte Eingabevalidierung und -analyse behoben. Wir sind für Sie da Wenn Sie Fragen haben oder Unterstützung benötigen, wenden Sie sich an Cloud Customer Care.	Hoch	CVE-2025-4600

Schweregrad

Hinweise

Vor dem 26. April 2025 wurde im klassischen Application Load Balancer-Dienst eine Sicherheitslücke entdeckt.

Was soll ich tun?

Auf Kundenseite sind keine Maßnahmen erforderlich. Das Problem wurde am 26. April 2025 im klassischen Application Load Balancer-Dienst behoben.

Welche Sicherheitslücken werden behoben?

Durch die Sicherheitslücke CVE-2025-4600 konnten Angreifer Anfragen an klassische Application Load Balancer einschleusen, da übergroße Chunk-Bodies falsch geparst wurden. Beim Parsen des Anfragetexts einer HTTP-Anfrage mit einer aufgeteilten Transferverschlüsselung lässt der klassische Application Load Balancer überdimensionierte Chunk-Bodies zu. Daher war es möglich, innerhalb dieser ignorierten Enddaten Bytes zu verstecken, die ein vorgelagerter HTTP-Server fälschlicherweise als Zeilenendezeichen interpretieren könnte. Diese Sicherheitslücke wurde am 26. April 2025 im klassischen Application Load Balancer-Dienst durch eine verbesserte Eingabevalidierung und -analyse behoben.

Wir sind für Sie da

Wenn Sie Fragen haben oder Unterstützung benötigen, wenden Sie sich an Cloud Customer Care.

Hoch

CVE-2025-4600

GCP-2025-026

Veröffentlicht: 15.05.2025

Beschreibung	Schweregrad	Hinweise
Gemäß der VMware-Sicherheitsempfehlung VMSA-2025-0008 wurde VMware privat über eine DOM-basierte Cross-Site-Scripting-Sicherheitslücke (XSS) in VMware Aria Automation informiert. Patches sind verfügbar, um diese Sicherheitslücke in den betroffenen VMware-Produkten zu beheben. Was soll ich tun? Wir empfehlen ein Upgrade auf VMware Aria Automation 8.18.1 Patch 2.	Wichtig	VMSA-2025-0008 CVE-2025-22249

Beschreibung

Schweregrad

Hinweise

Gemäß der VMware-Sicherheitsempfehlung VMSA-2025-0008 wurde VMware privat über eine DOM-basierte Cross-Site-Scripting-Sicherheitslücke (XSS) in VMware Aria Automation informiert. Patches sind verfügbar, um diese Sicherheitslücke in den betroffenen VMware-Produkten zu beheben.

Was soll ich tun?

Wir empfehlen ein Upgrade auf VMware Aria Automation 8.18.1 Patch 2.

Wichtig

GCP-2025-025

Veröffentlicht: 13.05.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
Intel hat Google über eine neue Seitenkanal-Sicherheitslücke informiert, die die folgenden Intel-Prozessoren betrifft: CascadeLake, Ice Lake XeonSP, Ice Lake XeonD, Sapphire Rapids und Emerald Rapids. Google hat Korrekturen an den betroffenen Assets, einschließlich Google Cloud, vorgenommen, um Kunden zu schützen. Derzeit gibt es keine Beweise für eine Ausnutzung oder Berichte darüber an Google. Was soll ich tun? Auf Kundenseite sind keine Maßnahmen erforderlich. Auf die Google-Serverflotte wurden bereits Korrekturen angewendet, um Kunden zu schützen. Welche Sicherheitslücken werden behoben? CVE-2024-45332. Weitere Informationen finden Sie in der Intel-Sicherheitsempfehlung INTEL-SA-01247. Wir sind für Sie da Wenn Sie Fragen haben oder Unterstützung benötigen, wenden Sie sich bitte an Cloud Customer Care. Geben Sie dabei die Referenznummer 417536835 an.	Hoch	CVE-2024-45332

Schweregrad

Hinweise

Intel hat Google über eine neue Seitenkanal-Sicherheitslücke informiert, die die folgenden Intel-Prozessoren betrifft: CascadeLake, Ice Lake XeonSP, Ice Lake XeonD, Sapphire Rapids und Emerald Rapids.

Google hat Korrekturen an den betroffenen Assets, einschließlich Google Cloud, vorgenommen, um Kunden zu schützen. Derzeit gibt es keine Beweise für eine Ausnutzung oder Berichte darüber an Google.

Was soll ich tun?

Auf Kundenseite sind keine Maßnahmen erforderlich. Auf die Google-Serverflotte wurden bereits Korrekturen angewendet, um Kunden zu schützen.

Welche Sicherheitslücken werden behoben?

CVE-2024-45332. Weitere Informationen finden Sie in der Intel-Sicherheitsempfehlung INTEL-SA-01247.

Wir sind für Sie da

Wenn Sie Fragen haben oder Unterstützung benötigen, wenden Sie sich bitte an Cloud Customer Care. Geben Sie dabei die Referenznummer 417536835 an.

Hoch

CVE-2024-45332

GCP-2025-024

Veröffentlicht: 12.05.2025

Aktualisiert: 13.05.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
Aktualisierung vom 13.05.2025: Wenn Sie Fragen haben oder Unterstützung benötigen, wenden Sie sich an Cloud Customer Care und geben Sie die Referenznummer 417458390 an. Intel hat Google über eine neue Sicherheitslücke bei der spekulativen Ausführung informiert, die Intel Cascade Lake- und Intel Ice Lake-Prozessoren betrifft. Google hat Korrekturen an den betroffenen Assets, einschließlich Google Cloud, vorgenommen, um Kunden zu schützen. Derzeit gibt es keine Hinweise auf eine Ausnutzung oder Berichte darüber an Google. Was soll ich tun? Auf Kundenseite sind keine Maßnahmen erforderlich. Es wurden bereits Maßnahmen auf der Google-Serverflotte ergriffen. Weitere Maßnahmen von Intel-Erstausrüstern (Original Equipment Manufacturers, OEMs) und anderen Betriebssystempartnern werden bereitgestellt, sobald sie verfügbar sind, um die Auswirkungen der Sicherheitslücke „Same-Mode Indirect Target Selection“ (ITS) zu minimieren. Nachdem die Betriebssystem-Maßnahmen angewendet wurden, kann es bei Kunden mit VMs der 3. Generation oder höher, die lange ausgeführt werden, zu unbeabsichtigten Leistungseinbußen kommen. Welche Sicherheitslücken werden behoben? CVE-2024-28956. Weitere Informationen finden Sie in der Intel-Sicherheitsempfehlung INTEL-SA-01153.	Hoch	CVE-2024-28956

Schweregrad

Hinweise

Aktualisierung vom 13.05.2025: Wenn Sie Fragen haben oder Unterstützung benötigen, wenden Sie sich an Cloud Customer Care und geben Sie die Referenznummer 417458390 an.

Intel hat Google über eine neue Sicherheitslücke bei der spekulativen Ausführung informiert, die Intel Cascade Lake- und Intel Ice Lake-Prozessoren betrifft.

Google hat Korrekturen an den betroffenen Assets, einschließlich Google Cloud, vorgenommen, um Kunden zu schützen. Derzeit gibt es keine Hinweise auf eine Ausnutzung oder Berichte darüber an Google.

Was soll ich tun?

Auf Kundenseite sind keine Maßnahmen erforderlich. Es wurden bereits Maßnahmen auf der Google-Serverflotte ergriffen.

Weitere Maßnahmen von Intel-Erstausrüstern (Original Equipment Manufacturers, OEMs) und anderen Betriebssystempartnern werden bereitgestellt, sobald sie verfügbar sind, um die Auswirkungen der Sicherheitslücke „Same-Mode Indirect Target Selection“ (ITS) zu minimieren.

Nachdem die Betriebssystem-Maßnahmen angewendet wurden, kann es bei Kunden mit VMs der 3. Generation oder höher, die lange ausgeführt werden, zu unbeabsichtigten Leistungseinbußen kommen.

Welche Sicherheitslücken werden behoben?

CVE-2024-28956. Weitere Informationen finden Sie in der Intel-Sicherheitsempfehlung INTEL-SA-01153.

Hoch

CVE-2024-28956

GCP-2025-023

Veröffentlicht: 05.05.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
Es wurden potenzielle Sicherheitslücken entdeckt und behoben, die ausgenutzt werden könnten, wenn sie nicht in den JavaCallout- und PythonScript-Richtlinien berücksichtigt werden. Anleitungen und weitere Informationen finden Sie im Apigee-Sicherheitsbulletin.	Hoch	CVE-2023-44487

Schweregrad

Hinweise

Es wurden potenzielle Sicherheitslücken entdeckt und behoben, die ausgenutzt werden könnten, wenn sie nicht in den JavaCallout- und PythonScript-Richtlinien berücksichtigt werden.

Anleitungen und weitere Informationen finden Sie im Apigee-Sicherheitsbulletin.

Hoch

CVE-2023-44487

GCP-2025-022

Veröffentlicht: 01.05.2025

Aktualisiert: 22.05.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
Aktualisierung vom: 22.05.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt. Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können: CVE-2025-21702 Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: GKE-Sicherheitsbulletin GDC-Software für VMware-Sicherheitsbulletin GKE on AWS-Sicherheitsbulletin GKE on Azure-Sicherheitsbulletin GDC-Software für Bare Metal-Sicherheitsbulletin	Hoch	CVE-2025-21702

Schweregrad

Hinweise

Aktualisierung vom: 22.05.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

CVE-2025-21702

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2025-21702

GCP-2025-021

Veröffentlicht: 29.04.2025

Aktualisiert: 02.06.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
Aktualisierung vom 02.06.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt. Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können: CVE-2025-21971 Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: GKE-Sicherheitsbulletin GDC-Software für VMware-Sicherheitsbulletin GKE on AWS-Sicherheitsbulletin GKE on Azure-Sicherheitsbulletin GDC-Software für Bare Metal-Sicherheitsbulletin	Hoch	CVE-2025-21971

Schweregrad

Hinweise

Aktualisierung vom 02.06.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

CVE-2025-21971

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2025-21971

GCP-2025-020

Veröffentlicht: 29.04.2025

Beschreibung

Beschreibung Schweregrad Hinweise

Beschreibung	Schweregrad	Hinweise
Eine Sicherheitslücke in Looker ermöglichte es Nutzern mit Administratorberechtigungen (insbesondere `manage_project_connections_restricted`) in Looker, Dateien aus dem zugrunde liegenden Hostdateisystem zu lesen und interne Netzwerkendpunkte abzufragen. Das Problem wurde inzwischen behoben. Von Looker gehostete Kunden, die Looker (Google Cloud Core) und Looker (Original) verwenden, müssen nichts weiter tun. Für selbst gehostete Looker-Instanzen wird empfohlen, auf die neueste unterstützte Version zu aktualisieren. Diese Sicherheitslücke wurde in allen unterstützten Versionen von kundenseitig gehostetem Looker behoben. Die entsprechenden Versionen sind auf der Looker-Downloadseite verfügbar. Was soll ich tun? Für alle von Looker gehosteten Instanzen, einschließlich Looker (Google Cloud Core)- und Looker (Original)-Instanzen, müssen Sie keine Maßnahmen ergreifen. Bei von Kunden gehosteten Looker-Instanzen sollten Sie so schnell wie möglich auf die neueste unterstützte Version von Looker aktualisieren. Die folgenden Versionen wurden alle aktualisiert, um vor dieser Sicherheitslücke zu schützen. Sie können diese Versionen auf der Looker-Downloadseite herunterladen: 25.4 -> 25.4.29+ 25.2 -> 25.2.34+ 25.0 -> 25.0.55+ 24.18 -> 24.18.185+ 24.12 -> 24.12.95+ 24.6 -> 24.6.107+	Hoch

Eine Sicherheitslücke in Looker ermöglichte es Nutzern mit Administratorberechtigungen (insbesondere manage_project_connections_restricted) in Looker, Dateien aus dem zugrunde liegenden Hostdateisystem zu lesen und interne Netzwerkendpunkte abzufragen. Das Problem wurde inzwischen behoben. Von Looker gehostete Kunden, die Looker (Google Cloud Core) und Looker (Original) verwenden, müssen nichts weiter tun. Für selbst gehostete Looker-Instanzen wird empfohlen, auf die neueste unterstützte Version zu aktualisieren.

Diese Sicherheitslücke wurde in allen unterstützten Versionen von kundenseitig gehostetem Looker behoben. Die entsprechenden Versionen sind auf der Looker-Downloadseite verfügbar.

Was soll ich tun?

Für alle von Looker gehosteten Instanzen, einschließlich Looker (Google Cloud Core)- und Looker (Original)-Instanzen, müssen Sie keine Maßnahmen ergreifen.
Bei von Kunden gehosteten Looker-Instanzen sollten Sie so schnell wie möglich auf die neueste unterstützte Version von Looker aktualisieren. Die folgenden Versionen wurden alle aktualisiert, um vor dieser Sicherheitslücke zu schützen. Sie können diese Versionen auf der Looker-Downloadseite herunterladen:
- 25.4 -> 25.4.29+
- 25.2 -> 25.2.34+
- 25.0 -> 25.0.55+
- 24.18 -> 24.18.185+
- 24.12 -> 24.12.95+
- 24.6 -> 24.6.107+

Hoch

GCP-2025-019

Veröffentlicht: 25.04.2025

Aktualisiert: 26.06.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
Aktualisierung vom 26.06.2025: Patchversionen für GDC-Software für VMware hinzugefügt. Aktualisierung vom 22.05.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt. Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können: CVE-2025-21701 Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: GKE-Sicherheitsbulletin GDC-Software für VMware-Sicherheitsbulletin GKE on AWS-Sicherheitsbulletin GKE on Azure-Sicherheitsbulletin GDC-Software für Bare Metal-Sicherheitsbulletin	Hoch	CVE-2025-21701

Schweregrad

Hinweise

Aktualisierung vom 26.06.2025: Patchversionen für GDC-Software für VMware hinzugefügt.

Aktualisierung vom 22.05.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

CVE-2025-21701

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2025-21701

GCP-2025-018

Veröffentlicht: 23.04.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können: CVE-2025-40364 Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: GKE-Sicherheitsbulletin GDC-Software für VMware-Sicherheitsbulletin GKE on AWS-Sicherheitsbulletin GKE on Azure-Sicherheitsbulletin GDC-Software für Bare Metal-Sicherheitsbulletin	Hoch	CVE-2025-40364

Schweregrad

Hinweise

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

CVE-2025-40364

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2025-40364

GCP-2025-017

Veröffentlicht: 17.04.2025

Aktualisiert: 22.05.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
Aktualisierung vom: 22.05.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt. Aktualisierung vom 05.05.2025: Patchversionen für GDC-Software für VMware hinzugefügt. Der Schweregrad für GDC-Software für VMware wurde auf „Hoch“ aktualisiert. Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können: CVE-2025-21756 Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: GKE-Sicherheitsbulletin GDC-Software für VMware-Sicherheitsbulletin GKE on AWS-Sicherheitsbulletin GKE on Azure-Sicherheitsbulletin GDC-Software für Bare Metal-Sicherheitsbulletin	Hoch	CVE-2025-21756

Schweregrad

Hinweise

Aktualisierung vom: 22.05.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Aktualisierung vom 05.05.2025: Patchversionen für GDC-Software für VMware hinzugefügt. Der Schweregrad für GDC-Software für VMware wurde auf „Hoch“ aktualisiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

CVE-2025-21756

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2025-21756

GCP-2025-016

Veröffentlicht: 16.04.2025

Aktualisiert: 22.05.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
Aktualisierung vom: 22.05.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt. Aktualisierung vom 29.04.2025: Patchversion für GDC-Software für VMware hinzugefügt. Der Schweregrad für GDC-Software für VMware wurde auf „Hoch“ aktualisiert. Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können: CVE-2023-52927 Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: GKE-Sicherheitsbulletin GDC-Software für VMware-Sicherheitsbulletin GKE on AWS-Sicherheitsbulletin GKE on Azure-Sicherheitsbulletin GDC-Software für Bare Metal-Sicherheitsbulletin	Hoch	CVE-2023-52927

Schweregrad

Hinweise

Aktualisierung vom: 22.05.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Aktualisierung vom 29.04.2025: Patchversion für GDC-Software für VMware hinzugefügt. Der Schweregrad für GDC-Software für VMware wurde auf „Hoch“ aktualisiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

CVE-2023-52927

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2023-52927

GCP-2025-015

Veröffentlicht: 15.04.2025

Aktualisiert: 22.05.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
Aktualisierung vom 22.05.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt. Aktualisierung vom 17.04.2025:Patchversionen für GDC (VMware) hinzugefügt. Der Schweregrad von GDC (VMware) wurde von „Ausstehend“ auf „Hoch“ aktualisiert. Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können: CVE-2025-21700 Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: GKE-Sicherheitsbulletin GDC-Software für VMware-Sicherheitsbulletin GKE on AWS-Sicherheitsbulletin GKE on Azure-Sicherheitsbulletin GDC-Software für Bare Metal-Sicherheitsbulletin	Hoch	CVE-2025-21700

Schweregrad

Hinweise

Aktualisierung vom 22.05.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Aktualisierung vom 17.04.2025:Patchversionen für GDC (VMware) hinzugefügt. Der Schweregrad von GDC (VMware) wurde von „Ausstehend“ auf „Hoch“ aktualisiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

CVE-2025-21700

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2025-21700

GCP-2025-014

Veröffentlicht: 10.04.2025

Aktualisiert: 22.05.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
Aktualisierung vom: 22.05.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt. Aktualisierung vom 05.05.2025: Patchversionen für GDC-Software für VMware hinzugefügt. Der Schweregrad für GDC-Software für VMware wurde auf „Hoch“ aktualisiert. Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können: CVE-2025-21703 Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: GKE-Sicherheitsbulletin GDC-Software für VMware-Sicherheitsbulletin GKE on AWS-Sicherheitsbulletin GKE on Azure-Sicherheitsbulletin GDC-Software für Bare Metal-Sicherheitsbulletin	Hoch	CVE-2025-21703

Schweregrad

Hinweise

Aktualisierung vom: 22.05.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Aktualisierung vom 05.05.2025: Patchversionen für GDC-Software für VMware hinzugefügt. Der Schweregrad für GDC-Software für VMware wurde auf „Hoch“ aktualisiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

CVE-2025-21703

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2025-21703

GCP-2025-013

Veröffentlicht: 24.03.2025

Beschreibung

Beschreibung Schweregrad Hinweise

Beschreibung	Schweregrad	Hinweise
Im NGINX Ingress Controller, `ingress-nginx`, einer Open-Source-Softwarekomponente, die in Kubernetes-Clustern ausgeführt wird, um den eingehenden Netzwerkverkehr in den Clustern zu verwalten, wurden mehrere Sicherheitsprobleme entdeckt. Das kritischste ist CVE-2025-1974. Ausführliche Informationen und eine vollständige Liste finden Sie im Kubernetes-CVE-Feed. Diese Probleme wirken sich auf `ingress-nginx` aus. Wenn `ingress-nginx` nicht auf Ihrem Cluster installiert ist, sind Sie nicht betroffen. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: GKE-Sicherheitsbulletin GDC-Software für VMware-Sicherheitsbulletin GKE on AWS-Sicherheitsbulletin GKE on Azure-Sicherheitsbulletin GDC-Software für Bare Metal-Sicherheitsbulletin	Keiner	CVE-2025-1974

Im NGINX Ingress Controller, ingress-nginx, einer Open-Source-Softwarekomponente, die in Kubernetes-Clustern ausgeführt wird, um den eingehenden Netzwerkverkehr in den Clustern zu verwalten, wurden mehrere Sicherheitsprobleme entdeckt. Das kritischste ist CVE-2025-1974. Ausführliche Informationen und eine vollständige Liste finden Sie im Kubernetes-CVE-Feed.

Diese Probleme wirken sich auf ingress-nginx aus. Wenn ingress-nginx nicht auf Ihrem Cluster installiert ist, sind Sie nicht betroffen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Keiner

CVE-2025-1974

GCP-2025-012

Veröffentlicht: 19.03.2025

Aktualisiert: 10.04.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
Aktualisierung vom 10.04.2025: Patchversionen für Ubuntu-GKE-Knoten und GDC-Software für VMware hinzugefügt. Der Schweregrad für GDC-Software für VMware wurde auf „Hoch“ aktualisiert. Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können: CVE-2024-53164 Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: GKE-Sicherheitsbulletin GDC-Software für VMware-Sicherheitsbulletin GKE on AWS-Sicherheitsbulletin GKE on Azure-Sicherheitsbulletin GDC-Software für Bare Metal-Sicherheitsbulletin	Hoch	CVE-2024-53164

Schweregrad

Hinweise

Aktualisierung vom 10.04.2025: Patchversionen für Ubuntu-GKE-Knoten und GDC-Software für VMware hinzugefügt. Der Schweregrad für GDC-Software für VMware wurde auf „Hoch“ aktualisiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

CVE-2024-53164

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2024-53164

GCP-2025-011

Veröffentlicht: 06.03.2025

Beschreibung	Schweregrad	Hinweise
VMware hat in VMSA-2025-0004 mehrere Sicherheitslücken offengelegt, die sich auf ESXi-Komponenten auswirken, die in Kundenumgebungen bereitgestellt werden. Auswirkungen auf VMware Engine Ihre privaten Clouds sind entweder bereits gepatcht oder werden gerade aktualisiert, um die Sicherheitslücke zu behandeln. Als Teil des VMware Engine-Dienstes erhalten alle Kunden dedizierte Bare-Metal-Hosts mit lokalen angehängten Laufwerken, die von anderer Hardware isoliert sind. Das bedeutet, dass die Sicherheitslücke nur für Gast-VMs in Ihrer spezifischen privaten Cloud gilt. Ihre privaten Clouds werden auf 7.0u3s Build-Nummer 24534642 aktualisiert. Dies entspricht 7.0U3s: Build-Nummer 24585291. Was soll ich tun? Folgen Sie den Anweisungen von Broadcom und Ihren Sicherheitsanbietern in Bezug auf diese Sicherheitslücke.	Kritisch	VMSA-2025-0004 CVE-2025-22224 CVE-2025-22225 CVE-2025-22226

Beschreibung

Schweregrad

Hinweise

VMware hat in VMSA-2025-0004 mehrere Sicherheitslücken offengelegt, die sich auf ESXi-Komponenten auswirken, die in Kundenumgebungen bereitgestellt werden.

Auswirkungen auf VMware Engine

Ihre privaten Clouds sind entweder bereits gepatcht oder werden gerade aktualisiert, um die Sicherheitslücke zu behandeln. Als Teil des VMware Engine-Dienstes erhalten alle Kunden dedizierte Bare-Metal-Hosts mit lokalen angehängten Laufwerken, die von anderer Hardware isoliert sind. Das bedeutet, dass die Sicherheitslücke nur für Gast-VMs in Ihrer spezifischen privaten Cloud gilt.

Ihre privaten Clouds werden auf 7.0u3s Build-Nummer 24534642 aktualisiert. Dies entspricht 7.0U3s: Build-Nummer 24585291.

Was soll ich tun?

Folgen Sie den Anweisungen von Broadcom und Ihren Sicherheitsanbietern in Bezug auf diese Sicherheitslücke.

Kritisch

GCP-2025-010

Veröffentlicht: 05.03.2025

Aktualisiert: 02.06.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
Aktualisierung vom 02.06.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt. Aktualisierung vom 10.04.2025: Patchversionen für GDC-Software für VMware hinzugefügt. Der Schweregrad für GDC-Software für VMware wurde auf „Hoch“ aktualisiert. Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können: CVE-2024-56770 Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: GKE-Sicherheitsbulletin GDC-Software für VMware-Sicherheitsbulletin GKE on AWS-Sicherheitsbulletin GKE on Azure-Sicherheitsbulletin GDC-Software für Bare Metal-Sicherheitsbulletin	Hoch	CVE-2024-56770

Schweregrad

Hinweise

Aktualisierung vom 02.06.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Aktualisierung vom 10.04.2025: Patchversionen für GDC-Software für VMware hinzugefügt. Der Schweregrad für GDC-Software für VMware wurde auf „Hoch“ aktualisiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

CVE-2024-56770

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2024-56770

GCP-2025-009

Veröffentlicht: 05.03.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
Das Envoy-Projekt hat vor Kurzem mehrere neue Sicherheitslücken (CVE-2024-53269, CVE-2024-53270 und CVE-2024-53271) bekanntgegeben, die es einem Angreifer ermöglichen könnten, Envoy zum Absturz zu bringen. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: GKE-Sicherheitsbulletin GDC-Software für VMware-Sicherheitsbulletin GKE on AWS-Sicherheitsbulletin GKE on Azure-Sicherheitsbulletin GDC-Software für Bare Metal-Sicherheitsbulletin	Hoch	CVE-2024-53269 CVE-2024-53270 CVE-2024-53271

Schweregrad

Hinweise

Das Envoy-Projekt hat vor Kurzem mehrere neue Sicherheitslücken (CVE-2024-53269, CVE-2024-53270 und CVE-2024-53271) bekanntgegeben, die es einem Angreifer ermöglichen könnten, Envoy zum Absturz zu bringen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

GCP-2025-008

Veröffentlicht: 19.02.2025

Aktualisiert: 10.04.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
Aktualisierung vom 10.04.2025: Patchversionen für GDC-Software für VMware hinzugefügt. Der Schweregrad für GDC-Software für VMware wurde auf „Hoch“ aktualisiert. Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können: CVE-2024-53141 Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: GKE-Sicherheitsbulletin GDC-Software für VMware-Sicherheitsbulletin GKE on AWS-Sicherheitsbulletin GKE on Azure-Sicherheitsbulletin GDC-Software für Bare Metal-Sicherheitsbulletin	Hoch	CVE-2024-53141

Schweregrad

Hinweise

Aktualisierung vom 10.04.2025: Patchversionen für GDC-Software für VMware hinzugefügt. Der Schweregrad für GDC-Software für VMware wurde auf „Hoch“ aktualisiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

CVE-2024-53141

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2024-53141

GCP-2025-007

Veröffentlicht: 03.02.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
Google hat eine Sicherheitslücke in AMD Zen-basierten CPUs entdeckt, die sich auf Confidential VM-Instanzen mit aktiviertem AMD SEV-SNP auswirkt. Diese Sicherheitslücke ermöglicht es Angreifern mit Root-Zugriff auf eine physische Maschine, die Vertraulichkeit und Integrität der Confidential VM-Instanz zu gefährden. Google hat Korrekturen an den betroffenen Assets, einschließlich Google Cloud, vorgenommen, um Kunden zu schützen. Derzeit gibt es keine Hinweise auf eine Ausnutzung oder Berichte darüber an Google. Was soll ich tun? Auf Kundenseite sind keine Maßnahmen erforderlich. Kunden, die die Problembehebung nachvollziehen möchten, können die TCB-Version (Trusted Computing Base) im Attestierungsbericht ihrer Confidential VM-Instanz mit AMD SEV-SNP prüfen. Verwenden Sie mindestens folgende Versionen, um die Auswirkungen dieser Sicherheitslücke zu minimieren: SNP TCB SVN: 0x18 0d24 tcb_version { psp_bootloader_version: 4 snp_firmware_version: 24 (0x18) microcode_version: 219 } Weitere Informationen finden Sie im AMD-Sicherheitsbulletin AMD-SB-3019.	Hoch	CVE-2024-56161

Schweregrad

Hinweise

Google hat eine Sicherheitslücke in AMD Zen-basierten CPUs entdeckt, die sich auf Confidential VM-Instanzen mit aktiviertem AMD SEV-SNP auswirkt. Diese Sicherheitslücke ermöglicht es Angreifern mit Root-Zugriff auf eine physische Maschine, die Vertraulichkeit und Integrität der Confidential VM-Instanz zu gefährden.

Was soll ich tun?

Auf Kundenseite sind keine Maßnahmen erforderlich. Kunden, die die Problembehebung nachvollziehen möchten, können die TCB-Version (Trusted Computing Base) im Attestierungsbericht ihrer Confidential VM-Instanz mit AMD SEV-SNP prüfen. Verwenden Sie mindestens folgende Versionen, um die Auswirkungen dieser Sicherheitslücke zu minimieren:

SNP TCB SVN: 0x18 0d24
tcb_version {
  psp_bootloader_version: 4
  snp_firmware_version: 24 (0x18)
  microcode_version: 219
}

Weitere Informationen finden Sie im AMD-Sicherheitsbulletin AMD-SB-3019.

Hoch

CVE-2024-56161

GCP-2025-006

Veröffentlicht: 23.01.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
Eine Sicherheitslücke im Google Secret Manager-Anbieter für den CSI-Treiber für Secrets Store ermöglicht es einem Angreifer mit Berechtigungen zum Erstellen von Pods und Secrets in einem Namespace, das Kubernetes-Dienstkonto-Token des CSI-Treibers zu exfiltrieren, indem er ein schädliches Volume in einem Pod bereitstellt. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: GKE-Sicherheitsbulletin GDC-Software für VMware-Sicherheitsbulletin GKE on AWS-Sicherheitsbulletin GKE on Azure-Sicherheitsbulletin GDC-Software für Bare Metal-Sicherheitsbulletin	Mittel

Schweregrad

Hinweise

Eine Sicherheitslücke im Google Secret Manager-Anbieter für den CSI-Treiber für Secrets Store ermöglicht es einem Angreifer mit Berechtigungen zum Erstellen von Pods und Secrets in einem Namespace, das Kubernetes-Dienstkonto-Token des CSI-Treibers zu exfiltrieren, indem er ein schädliches Volume in einem Pod bereitstellt.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Mittel

GCP-2025-005

Veröffentlicht: 22.01.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
Server, die Google-Authentifizierungsbibliotheken und Cloud-Clientbibliotheken verwenden, um sich mit einer vom Angreifer kontrollierten Anmeldedatenkonfiguration bei Google Cloud zu authentifizieren, können anfällig für serverseitige Anfragefälschung und das Lesen beliebiger Dateien sein. Was soll ich tun? Wenn Sie eine Anmeldedatenkonfiguration (Anmeldedaten-JSON, Datei oder Stream) von einer externen Quelle zur Authentifizierung bei Google Cloud akzeptieren, müssen Sie sie validieren, bevor Sie sie an Google-Authentifizierungsbibliotheken oder Cloud-Clientbibliotheken übergeben. Wenn Sie Google-Bibliotheken eine nicht validierte Anmeldedatenkonfiguration zur Verfügung stellen, kann dies die Sicherheit Ihrer Systeme und Daten beeinträchtigen. Weitere Informationen finden Sie unter Anmeldedatenkonfigurationen aus externen Quellen validieren. Welche Sicherheitslücken werden behoben? Einige Arten von Anmeldedatenkonfigurationen enthalten Endpunkte und Dateipfade, die von den Authentifizierungsbibliotheken zum Abrufen eines Tokens verwendet werden. Wenn ein Dienst oder eine Anwendung extern bezogene Anmeldedatenkonfigurationen akzeptiert und sie ohne Validierung mit Google-Authentifizierungsbibliotheken oder Cloud-Clientbibliotheken verwendet, kann ein Angreifer eine Anmeldedatenkonfiguration mit einem schädlichen Endpunkt oder Pfad bereitstellen. So kann der Angreifer Daten oder Tokens aus dem Dienst oder dem Computer, auf dem der Dienst ausgeführt wird, exfiltrieren. Um dies zu verhindern, sollten Validierungen für die Konfiguration von Anmeldedaten aus externen Quellen, wie unter Konfigurationen von Anmeldedaten aus externen Quellen validieren beschrieben, durchgeführt werden. Wir haben unsere Dokumentation aktualisiert und darin die Validierungen beschrieben, die bei der Annahme von Anmeldedatenkonfigurationen aus externen Quellen durchgeführt werden müssen.	Hoch

Schweregrad

Hinweise

Server, die Google-Authentifizierungsbibliotheken und Cloud-Clientbibliotheken verwenden, um sich mit einer vom Angreifer kontrollierten Anmeldedatenkonfiguration bei Google Cloud zu authentifizieren, können anfällig für serverseitige Anfragefälschung und das Lesen beliebiger Dateien sein.

Was soll ich tun?

Wenn Sie eine Anmeldedatenkonfiguration (Anmeldedaten-JSON, Datei oder Stream) von einer externen Quelle zur Authentifizierung bei Google Cloud akzeptieren, müssen Sie sie validieren, bevor Sie sie an Google-Authentifizierungsbibliotheken oder Cloud-Clientbibliotheken übergeben. Wenn Sie Google-Bibliotheken eine nicht validierte Anmeldedatenkonfiguration zur Verfügung stellen, kann dies die Sicherheit Ihrer Systeme und Daten beeinträchtigen. Weitere Informationen finden Sie unter Anmeldedatenkonfigurationen aus externen Quellen validieren.

Welche Sicherheitslücken werden behoben?

Einige Arten von Anmeldedatenkonfigurationen enthalten Endpunkte und Dateipfade, die von den Authentifizierungsbibliotheken zum Abrufen eines Tokens verwendet werden. Wenn ein Dienst oder eine Anwendung extern bezogene Anmeldedatenkonfigurationen akzeptiert und sie ohne Validierung mit Google-Authentifizierungsbibliotheken oder Cloud-Clientbibliotheken verwendet, kann ein Angreifer eine Anmeldedatenkonfiguration mit einem schädlichen Endpunkt oder Pfad bereitstellen. So kann der Angreifer Daten oder Tokens aus dem Dienst oder dem Computer, auf dem der Dienst ausgeführt wird, exfiltrieren. Um dies zu verhindern, sollten Validierungen für die Konfiguration von Anmeldedaten aus externen Quellen, wie unter Konfigurationen von Anmeldedaten aus externen Quellen validieren beschrieben, durchgeführt werden.

Wir haben unsere Dokumentation aktualisiert und darin die Validierungen beschrieben, die bei der Annahme von Anmeldedatenkonfigurationen aus externen Quellen durchgeführt werden müssen.

Hoch

GCP-2025-004

Veröffentlicht: 16.01.2025

Beschreibung	Schweregrad	Hinweise
Gemäß der VMware-Sicherheitsempfehlung VMSA-2025-0001 wurde VMware eine Sicherheitslücke in Form einer serverseitigen Anfragefälschung (SSRF) in VMware Aria Automation gemeldet. Patches sind verfügbar, um diese Sicherheitslücke in den betroffenen VMware-Produkten zu beheben. Was soll ich tun? Wir empfehlen ein Upgrade auf VMware Aria Automation 8.18.2 HF.	Mittel	VMSA-2025-0001 CVE-2025-22215

Beschreibung

Schweregrad

Hinweise

Gemäß der VMware-Sicherheitsempfehlung VMSA-2025-0001 wurde VMware eine Sicherheitslücke in Form einer serverseitigen Anfragefälschung (SSRF) in VMware Aria Automation gemeldet. Patches sind verfügbar, um diese Sicherheitslücke in den betroffenen VMware-Produkten zu beheben.

Was soll ich tun?

Wir empfehlen ein Upgrade auf VMware Aria Automation 8.18.2 HF.

Mittel

GCP-2025-003

Veröffentlicht: 09.01.2025

Aktualisiert: 23.01.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
Aktualisierung vom 23.01.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt. Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können: CVE-2024-50264 Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: GKE-Sicherheitsbulletin GDC-Software für VMware-Sicherheitsbulletin GKE on AWS-Sicherheitsbulletin GKE on Azure-Sicherheitsbulletin GDC-Software für Bare Metal-Sicherheitsbulletin	Hoch	CVE-2024-50264

Schweregrad

Hinweise

Aktualisierung vom 23.01.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

CVE-2024-50264

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2024-50264

GCP-2025-002

Veröffentlicht: 09.01.2025

Aktualisiert: 23.01.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
Aktualisierung vom 23.01.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt. Aktualisierung vom 22.01.2025: Patchversionen für GDC (VMware) hinzugefügt. Der Schweregrad für GDC (VMware) wurde auf „Mittel“ aktualisiert. Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können: CVE-2024-53057 Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: GKE-Sicherheitsbulletin GDC-Software für VMware-Sicherheitsbulletin GKE on AWS-Sicherheitsbulletin GKE on Azure-Sicherheitsbulletin GDC-Software für Bare Metal-Sicherheitsbulletin	Hoch	CVE-2024-53057

Schweregrad

Hinweise

Aktualisierung vom 23.01.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Aktualisierung vom 22.01.2025: Patchversionen für GDC (VMware) hinzugefügt. Der Schweregrad für GDC (VMware) wurde auf „Mittel“ aktualisiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

CVE-2024-53057

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2024-53057

GCP-2025-001

Veröffentlicht: 08.01.2025

Aktualisiert: 23.01.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
Aktualisierung vom 23.01.2025: Abschnitt Betroffene Ressourcen auf dem Tab GKE aktualisiert. Aktualisierung vom 08.01.2025: Startdatum und Startzeit des Problems korrigiert. Ein Sicherheitsproblem hat sich auf Ressourcen in VPCs mit konfiguriertem GKE Multi-Cluster Gateway (MCG) ausgewirkt. MCG ist ein optionales Feature, das von einer kleinen Anzahl von GKE-Kunden verwendet wird. Wir benachrichtigen Kunden, die die Funktion in diesem Zeitraum aktiviert hatten, individuell. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: GKE-Sicherheitsbulletin GDC-Software für VMware-Sicherheitsbulletin GKE on AWS-Sicherheitsbulletin GKE on Azure-Sicherheitsbulletin GDC-Software für Bare Metal-Sicherheitsbulletin	Hoch	Keiner

Schweregrad

Hinweise

Aktualisierung vom 23.01.2025: Abschnitt Betroffene Ressourcen auf dem Tab GKE aktualisiert.

Aktualisierung vom 08.01.2025: Startdatum und Startzeit des Problems korrigiert.

Ein Sicherheitsproblem hat sich auf Ressourcen in VPCs mit konfiguriertem GKE Multi-Cluster Gateway (MCG) ausgewirkt. MCG ist ein optionales Feature, das von einer kleinen Anzahl von GKE-Kunden verwendet wird. Wir benachrichtigen Kunden, die die Funktion in diesem Zeitraum aktiviert hatten, individuell.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

Keiner

GCP-2024-065

Beschreibung

Beschreibung	Schweregrad	Hinweise
Die folgenden CVEs betreffen Cloud Service Mesh und machen es anfällig für ausnutzbare Sicherheitslücken: CVE-2024-53269: Happy Eyeballs stürzt ab, wenn „additional_address“ keine gültigen IP-Adressen enthält. Der Sortieralgorithmus funktioniert nicht. CVE-2024-53270: HTTP/1: „Sending overload“ stürzt ab, wenn die Anfrage zuvor zurückgesetzt wird. CVE-2024-53271: HTTP/1.1: Mehrere Probleme mit envoy.reloadable_features.http1_balsa_delay_reset. Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.	Hoch	CVE-2024-53269 CVE-2024-53270 CVE-2024-53271

Schweregrad

Hinweise

Die folgenden CVEs betreffen Cloud Service Mesh und machen es anfällig für ausnutzbare Sicherheitslücken:

CVE-2024-53269: Happy Eyeballs stürzt ab, wenn „additional_address“ keine gültigen IP-Adressen enthält. Der Sortieralgorithmus funktioniert nicht.
CVE-2024-53270: HTTP/1: „Sending overload“ stürzt ab, wenn die Anfrage zuvor zurückgesetzt wird.
CVE-2024-53271: HTTP/1.1: Mehrere Probleme mit envoy.reloadable_features.http1_balsa_delay_reset.

Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

Hoch

GCP-2024-064

Veröffentlicht: 10.12.2024

Beschreibung	Schweregrad	Hinweise
Gemäß der VMware-Sicherheitsempfehlung VMSA-2024-0022 wurden VMware mehrere Sicherheitslücken in VMware Aria Operations gemeldet. Es sind Updates verfügbar, um diese Sicherheitslücken im betroffenen VMware-Produkt zu beheben. Was soll ich tun? Wir empfehlen ein Upgrade auf VMware Aria Operations 8.18.2.	Wichtig	VMSA-2024-0022 CVE-2024-38830 CVE-2024-38831 CVE-2024-38832 CVE-2024-38833 CVE-2024-38834

Beschreibung

Schweregrad

Hinweise

Gemäß der VMware-Sicherheitsempfehlung VMSA-2024-0022 wurden VMware mehrere Sicherheitslücken in VMware Aria Operations gemeldet. Es sind Updates verfügbar, um diese Sicherheitslücken im betroffenen VMware-Produkt zu beheben.

Was soll ich tun?

Wir empfehlen ein Upgrade auf VMware Aria Operations 8.18.2.

Wichtig

GCP-2024-063

Veröffentlicht: 06.12.2024

Beschreibung Schweregrad Hinweise

Beschreibung	Schweregrad	Hinweise
In der Vertex AI API, die multimodale Gemini-Anfragen verarbeitet, wurde eine Sicherheitslücke entdeckt, die die Umgehung der VPC Service Controls ermöglicht. Ein Angreifer könnte den Parameter `fileURI` der API möglicherweise missbrauchen, um Daten zu exfiltrieren. Was soll ich tun? Es sind keine Maßnahmen erforderlich. Wir haben eine Korrektur implementiert, die eine Fehlermeldung zurückgibt, wenn im Parameter „fileUri“ eine Mediendatei-URL angegeben ist und die VPC Service Controls aktiviert sind. Andere Anwendungsfälle sind davon nicht betroffen. Welche Sicherheitslücken werden behoben? Mit der Cloud Support API für Gemini-Anfragen können Sie Mediendateien einfügen, indem Sie die URL der Mediendatei im Parameter `fileUri` angeben. Diese Funktion kann verwendet werden, um VPC Service Controls-Perimeter zu umgehen. Ein Angriff innerhalb des Dienstperimeters könnte sensible Daten im Parameter `fileURI` codieren, um den Dienstperimeter zu umgehen.	Mittel	CVE-2024-12236

In der Vertex AI API, die multimodale Gemini-Anfragen verarbeitet, wurde eine Sicherheitslücke entdeckt, die die Umgehung der VPC Service Controls ermöglicht. Ein Angreifer könnte den Parameter fileURI der API möglicherweise missbrauchen, um Daten zu exfiltrieren.

Was soll ich tun?

Es sind keine Maßnahmen erforderlich. Wir haben eine Korrektur implementiert, die eine Fehlermeldung zurückgibt, wenn im Parameter „fileUri“ eine Mediendatei-URL angegeben ist und die VPC Service Controls aktiviert sind. Andere Anwendungsfälle sind davon nicht betroffen.

Welche Sicherheitslücken werden behoben?

Mit der Cloud Support API für Gemini-Anfragen können Sie Mediendateien einfügen, indem Sie die URL der Mediendatei im Parameter fileUri angeben. Diese Funktion kann verwendet werden, um VPC Service Controls-Perimeter zu umgehen. Ein Angriff innerhalb des Dienstperimeters könnte sensible Daten im Parameter fileURI codieren, um den Dienstperimeter zu umgehen.

Mittel

CVE-2024-12236

GCP-2024-062

Veröffentlicht: 02.12.2024

Aktualisiert: 22.01.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
Aktualisierung vom 22.01.2025: Patchversionen für GDC (VMware) hinzugefügt. Der Schweregrad von GDC (VMware) wurde von „Ausstehend“ auf „Hoch“ aktualisiert. Aktualisierung vom 12.12.2024: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt. Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können: CVE-2024-46800 Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: GKE-Sicherheitsbulletin GDC-Software für VMware-Sicherheitsbulletin GKE on AWS-Sicherheitsbulletin GKE on Azure-Sicherheitsbulletin GDC-Software für Bare Metal-Sicherheitsbulletin	Hoch	CVE-2024-46800

Schweregrad

Hinweise

Aktualisierung vom 22.01.2025: Patchversionen für GDC (VMware) hinzugefügt. Der Schweregrad von GDC (VMware) wurde von „Ausstehend“ auf „Hoch“ aktualisiert.

Aktualisierung vom 12.12.2024: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

CVE-2024-46800

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2024-46800

GCP-2024-061

Veröffentlicht: 25.11.2024

Beschreibung

Beschreibung Schweregrad Hinweise

Beschreibung	Schweregrad	Hinweise
Ein Sicherheitsproblem in Kubernetes-Clustern kann zur Ausführung von Remote-Code über ein `gitRepo`-Volume führen. Wenn das Git-Repository böswillig erstellt wird, kann ein Nutzer, der einen Pod erstellen und ein `gitRepo`-Volume zuordnen kann, beliebige Befehle über die Containergrenze hinaus ausführen Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: GKE-Sicherheitsbulletin GDC-Software für VMware-Sicherheitsbulletin GKE on AWS-Sicherheitsbulletin GKE on Azure-Sicherheitsbulletin GDC-Software für Bare Metal-Sicherheitsbulletin	Hoch	CVE-2024-10220

Ein Sicherheitsproblem in Kubernetes-Clustern kann zur Ausführung von Remote-Code über ein gitRepo-Volume führen. Wenn das Git-Repository böswillig erstellt wird, kann ein Nutzer, der einen Pod erstellen und ein gitRepo-Volume zuordnen kann, beliebige Befehle über die Containergrenze hinaus ausführen

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2024-10220

GCP-2024-060

Veröffentlicht: 17.10.2024

Beschreibung	Schweregrad	Hinweise
Gemäß der VMware-Sicherheitsempfehlung VMSA-2024-0020 wurden VMware verantwortungsvoll mehrere Sicherheitslücken in VMware NSX gemeldet. Die Version von NSX-T, die in Ihrer VMware Engine-Umgebung ausgeführt wird, ist nicht von CVE-2024-38815, CVE-2024-38818 oder CVE-2024-38817 betroffen. Was soll ich tun? Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich.	Mittel	VMSA-2024-0020 CVE-2024-38815 CVE-2024-38817 CVE-2024-38818

Beschreibung

Schweregrad

Hinweise

Gemäß der VMware-Sicherheitsempfehlung VMSA-2024-0020 wurden VMware verantwortungsvoll mehrere Sicherheitslücken in VMware NSX gemeldet.

Die Version von NSX-T, die in Ihrer VMware Engine-Umgebung ausgeführt wird, ist nicht von CVE-2024-38815, CVE-2024-38818 oder CVE-2024-38817 betroffen.

Was soll ich tun?

Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich.

Mittel

GCP-2024-059

Veröffentlicht: 16.10.2024

Beschreibung	Schweregrad	Hinweise
Gemäß der VMware-Sicherheitsempfehlung VMSA-2024-0021 wurde eine authentifizierte SQL-Injection-Sicherheitslücke in VMware HCX privat an VMware gemeldet. Wir haben die von VMware genehmigte Maßnahme zur Behebung dieser Sicherheitslücke angewendet. Mit dieser Korrektur wird die Sicherheitslücke behoben, die in CVE-2024-38814 beschrieben ist. Die Image-Versionen, die in Ihrer VMware-Engine-Private-Cloud ausgeführt werden, zeigen derzeit keine Änderungen, die auf die angewendeten Anpassungen hinweisen. Es wurden entsprechende Maßnahmen ergriffen und Ihre Umgebung ist vor dieser Sicherheitslücke geschützt. Was soll ich tun? Wir empfehlen ein Upgrade auf VMware HCX Version 4.9.2.	Hoch	VMSA-2024-0021 CVE-2024-38814

Beschreibung

Schweregrad

Hinweise

Gemäß der VMware-Sicherheitsempfehlung VMSA-2024-0021 wurde eine authentifizierte SQL-Injection-Sicherheitslücke in VMware HCX privat an VMware gemeldet.

Wir haben die von VMware genehmigte Maßnahme zur Behebung dieser Sicherheitslücke angewendet. Mit dieser Korrektur wird die Sicherheitslücke behoben, die in CVE-2024-38814 beschrieben ist. Die Image-Versionen, die in Ihrer VMware-Engine-Private-Cloud ausgeführt werden, zeigen derzeit keine Änderungen, die auf die angewendeten Anpassungen hinweisen. Es wurden entsprechende Maßnahmen ergriffen und Ihre Umgebung ist vor dieser Sicherheitslücke geschützt.

Was soll ich tun?

Wir empfehlen ein Upgrade auf VMware HCX Version 4.9.2.

Hoch

GCP-2024-058

Veröffentlicht: 16.10.2024

Beschreibung

Beschreibung Schweregrad Hinweise

Beschreibung	Schweregrad	Hinweise
Bei Migrate to Containers für Windows-Versionen 1.1.0 bis 1.2.2 wurde ein lokaler `m2cuser` mit Administratorberechtigungen erstellt. Dies stellte ein Sicherheitsrisiko dar, wenn die Befehle `analyze` oder `generate` vom Nutzer oder aufgrund eines internen Fehlers unterbrochen wurden, wodurch die Aktion zum Löschen des lokalen Nutzers `m2cuser` übersprungen wurde. Was soll ich tun? Die folgenden Versionen der Migrate to Containers-Befehlszeile für Windows wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen, die Migrate to Containers-Befehlszeile manuell auf die folgende Version oder höher zu aktualisieren: Migrate to Containers-Befehlszeile für Windows 1.2.3, veröffentlicht am 8. Oktober 2024 – Versionshinweise zur Migrate to Containers-Befehlszeile \| Google Cloud Welche Sicherheitslücken werden behoben? Die Sicherheitslücke CVE-2024-9858 ermöglicht es einem Angreifer, Administratorzugriff auf betroffene Windows-Computer zu erhalten, indem er den lokalen Administratornutzer verwendet, der von der Migrate to Containers-Software erstellt wurde.	Mittel	CVE-2024-9858

Bei Migrate to Containers für Windows-Versionen 1.1.0 bis 1.2.2 wurde ein lokaler m2cuser mit Administratorberechtigungen erstellt. Dies stellte ein Sicherheitsrisiko dar, wenn die Befehle analyze oder generate vom Nutzer oder aufgrund eines internen Fehlers unterbrochen wurden, wodurch die Aktion zum Löschen des lokalen Nutzers m2cuser übersprungen wurde.

Was soll ich tun?

Die folgenden Versionen der Migrate to Containers-Befehlszeile für Windows wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen, die Migrate to Containers-Befehlszeile manuell auf die folgende Version oder höher zu aktualisieren:

Migrate to Containers-Befehlszeile für Windows 1.2.3, veröffentlicht am 8. Oktober 2024 – Versionshinweise zur Migrate to Containers-Befehlszeile | Google Cloud

Welche Sicherheitslücken werden behoben?

Die Sicherheitslücke CVE-2024-9858 ermöglicht es einem Angreifer, Administratorzugriff auf betroffene Windows-Computer zu erhalten, indem er den lokalen Administratornutzer verwendet, der von der Migrate to Containers-Software erstellt wurde.

Mittel

CVE-2024-9858

GCP-2024-057

Veröffentlicht: 03.10.2024

Aktualisiert: 19.11.2024

Beschreibung

Beschreibung	Schweregrad	Hinweise
Aktualisierung vom 19.11.2024: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt. Aktualisierung vom 15.10.2024: Patchversionen für GDC (VMware) hinzugefügt. Die Schweregrade für GKE und GDC (VMware) wurden aktualisiert. Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können: CVE-2024-45016 Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: GKE-Sicherheitsbulletin GDC-Software für VMware-Sicherheitsbulletin GKE on AWS-Sicherheitsbulletin GKE on Azure-Sicherheitsbulletin GDC-Software für Bare Metal-Sicherheitsbulletin	Mittel	CVE-2024-45016

Schweregrad

Hinweise

Aktualisierung vom 19.11.2024: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Aktualisierung vom 15.10.2024: Patchversionen für GDC (VMware) hinzugefügt. Die Schweregrade für GKE und GDC (VMware) wurden aktualisiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

CVE-2024-45016

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Mittel

CVE-2024-45016

GCP-2024-056

Veröffentlicht: 27.09.2024

Beschreibung

Schweregrad

Hinweise

Im CUPS-Drucksystem, das von einigen Linux-Distributionen verwendet wird, wurde eine Kette von Sicherheitslücken (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) entdeckt, die zur Remote-Codeausführung führen könnte. Ein Angreifer kann diese Sicherheitslücke ausnutzen, wenn die CUPS-Dienste den UDP-Port 631 überwachen und er eine Verbindung dazu herstellen kann.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Keiner

GCP-2024-055

Veröffentlicht: 24.09.2024

Beschreibung

Schweregrad

Hinweise

Eine Sicherheitslücke beim Einschleusen manipulierter HTTP-Anfragen in Looker ermöglichte es einem nicht autorisierten Angreifer, HTTP-Antworten abzufangen, die für legitime Nutzer bestimmt waren.

Es gibt zwei von Looker gehostete Looker-Versionen:

Es wurde eine Sicherheitslücke in Looker (Google Cloud Core) gefunden. Die Auswirkungen dieses Problems wurde bereits minimiert und bei unserer Untersuchung wurden keine Anzeichen für eine Ausnutzung gefunden.
Looker (Original) war für dieses Problem nicht anfällig.

Es wurde festgestellt, dass von Kunden gehostete Looker-Instanzen anfällig sind und auf eine der unten aufgeführten Versionen aktualisiert werden müssen.

Diese Sicherheitslücke wurde in allen unterstützten Versionen von kundenseitig gehostetem Looker behoben. Die entsprechenden Versionen sind auf der Looker-Downloadseite verfügbar.

Was soll ich tun?

Bei allen von Looker gehosteten Instanzen, einschließlich Looker (Google Cloud Core)-Instanzen, müssen Sie nichts weiter tun.
Bei von Kunden gehosteten Looker-Instanzen sollten Sie so schnell wie möglich auf die neueste unterstützte Version von Looker aktualisieren. Die folgenden Versionen wurden alle aktualisiert, um vor dieser Sicherheitslücke zu schützen. Sie können diese Versionen auf der Looker-Downloadseite herunterladen:
- 23.12 -> 23.12.123+
- 23.18 -> 23.18.117+
- 24.0 -> 24.0.92+
- 24.6 -> 24.6.77+
- 24.8 -> 24.8.66+
- 24.10 -> 24.10.78+
- 24.12 -> 24.12.56+
- 24.14 -> 24.14.37+

Welche Sicherheitslücken werden behoben?

Die Sicherheitslücke CVE-2024-8912 ermöglicht es einem Angreifer, speziell entwickelte HTTP-Anfrageheader an Looker zu senden, was möglicherweise zum Abfangen von HTTP-Antworten führt, die für andere Nutzer bestimmt sind.

Diese Antworten können vertrauliche Informationen enthalten.

Diese Sicherheitslücke kann nur bei bestimmten Konfigurationen ausgenutzt werden.

Mittel

CVE-2024-8912

GCP-2024-054

Veröffentlicht: 23.09.2024

Beschreibung

Beschreibung Schweregrad Hinweise

In Kubernetes-Clustern mit Windows-Knoten wurde ein Sicherheitsproblem entdeckt, bei dem BUILTIN\Users möglicherweise Containerlogs lesen und NT AUTHORITY\Authenticated-Nutzer Containerlogs ändern können.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Mittel

CVE-2024-5321

GCP-2024-053

Veröffentlicht: 19.09.2024

Beschreibung

Schweregrad

Hinweise

Beim Parsen unbekannter Felder in den Protobuf Java Full- und Lite-Bibliotheken kann eine schädlich gestaltete Nachricht einen StackOverflow-Fehler verursachen und zum Absturz des Programms führen.

Was soll ich tun?

Wir haben intensiv an einer Lösung dieses Problems gearbeitet und eine entsprechende Maßnahme veröffentlicht, die jetzt verfügbar ist. Wir empfehlen, die neuesten Versionen der folgenden Softwarepakete zu verwenden:

Protobuf-java (3.25.5, 4.27.5, 4.28.2)
Protobuf-javalite (3.25.5, 4.27.5, 4.28.2)
Protobuf-kotlin (3.25.5, 4.27.5, 4.28.2)
Protobuf-kotlin-lite (3.25.5, 4.27.5, 4.28.2)
Com-protobuf [nur JRuby-Gem] (3.25.5, 4.27.5, 4.28.2)

Welche Sicherheitslücken werden mit diesem Patch behoben?

Diese Sicherheitslücke kann zu einem Denial of Service führen.

Das Parsen verschachtelter Gruppen als unbekannte Felder mit DiscardUnknownFieldsParser oder Java Protobuf Lite-Parser oder anhand von Protobuf-Map-Feldern führt zu unbegrenzten Rekursionen, die von einem Angreifer missbraucht werden können.

CVSS-Score 8,7

Hoch

CVE-2024-7254

GCP-2024-052

Beschreibung

Schweregrad

Hinweise

Die folgenden CVEs betreffen Cloud Service Mesh und machen es anfällig für ausnutzbare Sicherheitslücken:

CVE-2024-45807: oghttp2-Absturz bei OnBeginHeadersForStream
CVE-2024-45808: Schädliche Log-Injektion über Zugriffslogs
CVE-2024-45806: Potenzial zum Manipulieren von „x-envoy“-Headern aus externen Quellen
CVE-2024-45809: JWT-Filter stürzt beim Leeren des Route-Cache mit Remote-JWKs ab
CVE-2024-45810: Envoy stürzt bei LocalReply im asynchronen HTTP-Client ab

Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

Mittel bis Hoch

GCP-2024-051

Veröffentlicht: 18.09.2024

Beschreibung

Schweregrad

Hinweise

VMware hat in VMSA-2024-0019 mehrere Sicherheitslücken offengelegt, die sich auf vCenter-Komponenten auswirken, die in Kundenumgebungen bereitgestellt werden.

Auswirkungen auf VMware Engine

Google hat bereits alle potenziellen Exploits dieser Sicherheitslücke deaktiviert. Google hat beispielsweise die Ports blockiert, über die diese Sicherheitslücke ausgenutzt werden könnte.
Außerdem sorgt Google dafür, dass alle zukünftigen Bereitstellungen von vCenter nicht von dieser Sicherheitslücke betroffen sind.

Was soll ich tun?

Sie müssen vorerst nichts unternehmen.

Kritisch

GCP-2024-050

Veröffentlicht: 04.09.2024

Beschreibung

Aktualisierung vom 21.10.2024: Patchversionen hinzugefügt und Schweregrad für GDC (VMware) aktualisiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

CVE-2024-39503

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2024-39503

GCP-2024-046

Veröffentlicht: 05.08.2024

Beschreibung

Schweregrad

Schweregrad

Hinweise

Aktualisierung vom 18.07.2024: Es wurde klargestellt, dass Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

CVE-2024-26809

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2024-26809

GCP-2024-041

Veröffentlicht: 08.07.2024

Aktualisiert: 16.09.2024

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 16.09.2024: Patchversionen für die GDC-Software für VMware hinzugefügt.

Aktualisierung vom 19.07.2024: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

CVE-2023-52654
CVE-2023-52656

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

GCP-2024-040

Veröffentlicht: 01.07.2024

Aktualisiert: 16.07.2024

Beschreibung

Beschreibung Schweregrad Hinweise

Aktualisierungen vom 16.07.2024:

Einige Kunden, die den serverlosen VPC-Zugriff nutzen, sind möglicherweise von einer Sicherheitslücke in OpenSSH (CVE-2024-6387) betroffen. Bei erfolgreichem Exploit könnte ein nicht authentifizierter Remote-Angreifer mit Root-Zugriff beliebigen Code auf der Ziel-VM ausführen. Die Ausnutzung wird als schwierig angesehen. Kunden können beispielsweise nicht auf die VMs zugreifen und die VMs haben keine öffentlichen IP-Adressen. Wir kennen keine Ausnutzungsversuche.

Was soll ich tun?

Bereitstellungen des Serverloser VPC-Zugriff wurden nach Möglichkeit automatisch von Google aktualisiert. Sie sollten jedoch prüfen, ob der von Google verwaltete Dienst-Agent die erforderliche Rolle hat. Andernfalls ist Ihr Connector für Serverloser VPC-Zugriff möglicherweise weiterhin anfällig. Wir empfehlen, dass Sie zu ausgehendem Direct VPC-Traffic migrieren oder einen neuen Connector bereitstellen und den alten Connector löschen. So erhalten Sie das erforderliche Update mit der Fehlerbehebung.

Aktualisierung vom 11.07.2024: Patchversionen für GDC-Software für VMware, GKE on AWS und GKE on Azure hinzugefügt. Weitere Informationen finden Sie in den folgenden Bulletins in der GKE-Dokumentation:

Aktualisierung vom 10.07.2024:

Sicherheitsbulletin für Migrate to Virtual Machines hinzugefügt.

Aktualisierungen vom 09.07.2024:

Einige Kunden der flexiblen App Engine-Umgebung sind möglicherweise von einer Sicherheitslücke in OpenSSH (CVE-2024-6387) betroffen. Bei erfolgreichem Exploit könnte ein nicht authentifizierter Remote-Angreifer mit Root-Zugriff beliebigen Code auf der Ziel-VM ausführen.

Was soll ich tun?

Google hat flexible Umgebungsbereitstellungen bereits automatisch aktualisiert, sofern dies möglich war. Einige Kunden, die den von Google verwalteten Dienst-Agent deaktiviert oder Änderungen an den Google Cloud APIs oder anderen Standardkonfigurationen vorgenommen haben, konnten ihre Systeme jedoch nicht aktualisieren und sind möglicherweise weiterhin anfällig. Sie sollten eine neue Version Ihrer Anwendung bereitstellen, damit das Update mit der Fehlerbehebung übernommen wird.

Bei aktualisierten Bereitstellungen wird die SSH-Version OpenSSH_9.6p1 gemeldet. Diese Version wurde mit einer Fehlerbehebung für CVE-2024-6387 gepatcht.

Welche Sicherheitslücken werden behoben?

Die Sicherheitslücke CVE-2024-6387 ermöglicht es einem nicht authentifizierten Remote-Angreifer mit Root-Zugriff beliebigen Code auf dem Zielcomputer auszuführen.

Aktualisierungen vom 08.07.2024:

Dataproc-Cluster in Google Compute Engine, die mit der Image-Version 2.2 (alle Betriebssysteme) und 2.1 (nur Debian) ausgeführt werden, sind von einer Sicherheitslücke in OpenSSH (CVE-2024-6387) betroffen. Bei erfolgreichem Exploit könnte ein nicht authentifizierter Remote-Angreifer mit Root-Zugriff beliebigen Code auf dem Zielcomputer ausführen.

Dataproc-Image-Versionen 2.0 und 1.5 in Google Compute Engine sowie Dataproc-Images der Version 2.1, die nicht unter Debian ausgeführt werden, sind nicht betroffen. Dataproc-Cluster mit aktivierter persönlicher Authentifizierung sind nicht betroffen. Dataproc Serverless ist ebenfalls nicht betroffen.

Was soll ich tun?

Aktualisieren Sie Ihre Dataproc-Cluster in Google Compute Engine auf eine der folgenden Versionen:

2.2.24 oder höher
2.1.58 oder höher

Wenn Sie Ihre Dataproc-Cluster nicht auf eine der oben genannten Versionen aktualisieren können, empfehlen wir eine Initialisierungsaktion vorzunehmen, die unter folgendem Pfad verfügbar ist: gs://dataproc-initialization-actions/hotfixes/openssh-CVE-2024-6387-mitigation.sh

Folgen Sie dieser Anleitung zum Festlegen von Initialisierungsaktionen für Dataproc. Beachten Sie, dass die Initialisierungsaktion für bereits vorhandene Cluster auf jedem Knoten (Master und Worker) ausgeführt werden muss.

Aktualisierungen vom 03.07.2024:

Patchversionen für GKE hinzugefügt.
Sicherheitsbulletin für GDC-Verbindungen hinzugefügt.

Aktualisierungen vom 02.07.2024:

Es wurde klargestellt, dass Autopilot-Cluster betroffen und Nutzeraktionen erforderlich sind.
Es wurden Folgenabschätzungen und Maßnahmen zur Risikominimierung für GDC-Software für VMware, GKE on AWS und GKE on Azure hinzugefügt.
Das Sicherheitsbulletin zur GDC-Software für Bare Metal wurde korrigiert, um klarzustellen, dass die GDC-Software für Bare Metal nicht direkt betroffen ist und dass Kunden sich wegen Patches an Betriebssystemanbieter wenden sollten.

Bei OpenSSH wurde vor Kurzem eine Sicherheitslücke in der Remote-Codeausführung, CVE-2024-6387, entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, mit der Zugriff auf eine Remote-Shell ermöglicht wird. Dadurch erhalten Angreifer Root-Zugriff. Zum Zeitpunkt der Veröffentlichung wurde die Ausnutzung als schwierig angesehen und dauert mehrere Stunden pro angegriffener Maschine. Wir kennen keine Ausnutzungsversuche.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Kritisch

CVE-2024-6387

GCP-2024-039

Veröffentlicht: 28.06.2024

Aktualisiert: 25.09.2024

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 25.09.2024: Patchversionen für die GDC-Software für VMware hinzugefügt.

Aktualisierung vom 20.08.2024: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

CVE-2024-26923

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2024-26923

GCP-2024-038

Veröffentlicht: 26.06.2024

Aktualisiert: 17.09.2024

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 17.09.2024: Patchversionen für die GDC-Software für VMware hinzugefügt.

Aktualisierung vom 06.08.2024: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

CVE-2024-26924

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2024-26924

GCP-2024-037

Veröffentlicht: 18.06.2024

Beschreibung

Schweregrad

Hinweise

VMware hat mehrere Sicherheitslücken in VMSA-2024-0012 offengelegt, die sich auf vCenter-Komponenten auswirken, die in Kundenumgebungen bereitgestellt werden.

Auswirkungen auf Google Cloud VMware Engine

Die Sicherheitslücke kann ausgenutzt werden, indem auf bestimmte Ports in vCenter-Server zugegriffen wird. Google hat die anfälligen Ports auf dem vCenter-Server bereits blockiert, um potenzielle Exploits dieser Sicherheitslücke zu verhindern.
Außerdem sorgt Google dafür, dass alle zukünftigen Bereitstellungen von vCenter nicht von dieser Sicherheitslücke betroffen sind.

Was soll ich tun?

Sie müssen vorerst nichts unternehmen.

Kritisch

GCP-2024-036

Veröffentlicht: 18.06.2024

Beschreibung

Schweregrad

Hinweise

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

CVE-2024-26584

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2024-26584

GCP-2024-035

Veröffentlicht: 12.06.2024

Aktualisiert: 18.07.2024

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 18.07.2024: Patchversionen für Ubuntu-Knotenpools in GKE und eine Patchversion für Version 1.27 in Container-Optimized OS-Knotenpools hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

CVE-2024-26584

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2024-26584

GCP-2024-034

Veröffentlicht: 11.06.2024

Aktualisiert: 10.07.2024

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 10.7.2024: Patchversionen für Container-Optimized OS-Knoten mit den Nebenversionen 1.26 und 1.27 sowie Patchversionen für Ubuntu-Knoten hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

CVE-2024-26583

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2024-26583

GCP-2024-033

Veröffentlicht: 10.06.2024

Aktualisiert: 26.09.2024

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 26.09.2024: Patchversionen für die GDC-Software für VMware hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

CVE-2022-23222

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2022-23222

GCP-2024-032

Veröffentlicht: 04.06.2024

Beschreibung

Schweregrad

Hinweise

Die folgenden CVEs betreffen Cloud Service Mesh und machen es anfällig für ausnutzbare Sicherheitslücken:

CVE-2024-23326: Envoy akzeptiert fälschlicherweise die HTTP-200-Antwort für den Wechsel in den Upgrademodus.
CVE-2024-32974: Absturz in EnvoyQuicServerStream::OnInitialHeadersComplete().
CVE-2024-32975: Absturz in QuicheDataReader::PeekVarInt62Length().
CVE-2024-32976: Endlosschleife beim Dekomprimieren von Brotli-Daten mit zusätzlicher Eingabe.
CVE-2024-34362: Absturz (Use-after-Free) in EnvoyQuicServerStream.
CVE-2024-34363: Absturz aufgrund einer nicht abgefangenen nlohmann-JSON-Ausnahme.
CVE-2024-34364: Envoy-OOM-Vektor vom asynchronen HTTP-Client mit unbegrenztem Antwort-Zwischenspeicher für die Spiegelungsantwort.

Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

Hoch

GCP-2024-031

Veröffentlicht: 24.05.2024

Beschreibung

Hinweise

Aktualisierung vom 25.09.2024: Patchversionen für die GDC-Software für VMware hinzugefügt.

Aktualisierung vom 15.05.2024: Patchversionen für GKE-Ubuntu-Knotenpools hinzugefügt.

Aktualisierung vom 09.05.2024: Schweregrad von „Mittel“ zu „Hoch“ korrigiert; klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

CVE-2024-26808

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2024-26808

GCP-2024-026

Veröffentlicht: 07.05.2024

Aktualisiert: 06.08.2024

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 06.08.2024: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Aktualisierung vom 09.05.2024: Schweregrad von „Mittel“ auf „Hoch“ korrigiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

CVE-2024-26643

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2024-26643

GCP-2024-025

Veröffentlicht: 26.04.2024

Beschreibung

Schweregrad

Hinweise

Looker hat Sicherheitslücken behoben, die von einem externen Forscher über das Google- und Alphabet-VRP-Programm (Prämienprogramm für die Meldung von Sicherheitslücken) gemeldet wurden. Es wurden jedoch keine Anzeichen für eine Ausnutzung gefunden. Diese Probleme wurden inzwischen behoben. Nutzer von Looker (Google Cloud Core) und Looker (Original), die von Looker gehostet werden, müssen nichts unternehmen. Für selbst gehostete Looker-Instanzen wird empfohlen, auf die neueste unterstützte Version zu aktualisieren.

Was soll ich tun?

Von Looker gehostete Instanzen: Looker (Google Cloud Core)- und Looker-Instanzen (Original)

Auf Kundenseite sind keine Maßnahmen erforderlich.

Nur selbst gehostete Looker-Instanzen

Wenn Ihre Looker-Instanz selbst gehostet wird, empfehlen wir, ein Upgrade Ihrer Looker-Instanzen auf eine der folgenden Versionen durchzuführen:

24.6.12+
24.4.27+
24.2.58+
24.0.65+
23.18.100+
23.12.105+
23.6.163+

Wie wurde das Problem behoben?

Google hat den direkten Administratorzugriff auf die interne Datenbank über die Looker-Anwendung deaktiviert, erhöhte Berechtigungen entfernt, die den mandantenübergreifenden Zugriff ermöglichten, und die verfügbar gemachten Secrets rotiert. Außerdem haben wir Sicherheitslücken im Zusammenhang mit Path Traversals behoben, durch die möglicherweise Anmeldedaten für Dienstkonten zugänglich wurden. Wir führen außerdem eine gründliche Überprüfung unseres Codes und unserer Systeme durch, um ähnliche potenzielle Sicherheitslücken zu identifizieren und zu beheben.

Kritisch

GCP-2024-024

Veröffentlicht: 25.04.2024

Aktualisiert: 18.07.2024

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 18.07.2024: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

CVE-2024-26585

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2024-26585

GCP-2024-023

Veröffentlicht: 24.04.2024

Beschreibung

Schweregrad

Hinweise

Die folgenden CVEs betreffen Cloud Service Mesh und machen es anfällig für ausnutzbare Sicherheitslücken:

CVE-2024-27919: HTTP/2: Erschöpfter Arbeitsspeicher aufgrund einer CONTINUATION-Frame-Überflutung.
CVE-2024-30255: HTTP/2: CPU-Auslastung durch CONTINUATION-Frame-Überflutung
CVE-2024-32475: Abnormaler Programmabbruch bei Verwendung von „auto_sni“ mit einem „:authority“-Header von mehr als 255 Zeichen.
CVE-2023-45288: HTTP/2-CONTINUATION-Frames können für DoS-Angriffe verwendet werden.

Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

Hoch

GCP-2024-022

Veröffentlicht: 03.04.2024

Aktualisiert: 17.07.2024

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 17.07.2024: Patchversionen für GKE on VMware hinzugefügt

Aktualisierung vom 09.07.2024: Patchversionen für GKE on Bare Metal hinzugefügt

Aktualisierung vom 24.04.2024: Patchversionen für GKE hinzugefügt.

In mehreren Implementierungen des HTTP/2-Protokolls wurde vor Kurzem eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) festgestellt, darunter auch auf dem von Kubernetes verwendeten Golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS der Google Kubernetes Engine-Steuerungsebene (GKE) führen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2023-45288

GCP-2024-021

Veröffentlicht: 03.04.2024

Beschreibung

Schweregrad

Hinweise

Compute Engine ist nicht von CVE-2024-3094 betroffen. Diese Sicherheitslücke betrifft die Versionen 5.6.0 und 5.6.1 des xz-utils-Pakets in der liblzma-Bibliothek und könnte zu einer Kompromittierung des OpenSSH-Dienstprogramms führen.

Weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.

Mittel

CVE-2024-3094

GCP-2024-020

Veröffentlicht: 02.04.2024

Beschreibung

Schweregrad

Hinweise

Forscher haben eine Sicherheitslücke (CVE-2023-48022) in Ray entdeckt. Ray ist ein Open-Source-Tool von Drittanbietern für KI-Arbeitslasten. Da für Ray keine Authentifizierung erforderlich ist, können Bedrohungsakteure durch das Senden von Jobs an öffentlich zugängliche Instanzen die Ausführung von Remote-Code erreichen. Die Sicherheitslücke wurde von Anyscale, dem Entwickler von Ray, bestritten. Ray betont, dass seine Funktionen ein beabsichtigtes Kernproduktmerkmal seien und dass die Sicherheit außerhalb eines Ray-Clusters implementiert werden müsse, da jede unbeabsichtigte Netzwerkfreigabe des Ray-Clusters zu einer Gefährdung führen könne.

Basierend auf der Antwort wird diese CVE bestritten und deshalb möglicherweise nicht in Scannern auf Sicherheitslücken angezeigt. Unabhängig davon wird sie aktiv ausgenutzt und Nutzer sollten ihre Nutzung wie unten beschrieben konfigurieren.

Was soll ich tun?

Befolgen Sie die Best Practices und Richtlinien von Ray, einschließlich der Ausführung von vertrauenswürdigem Code in vertrauenswürdigen Netzwerken, um Ihre Ray-Arbeitslasten zu schützen. Die Bereitstellung von ray.io in Cloud-Instanzen von Kunden fällt unter das Modell der geteilten Verantwortung.

Das Sicherheitsteam von Google Kubernetes Engine (GKE) hat einen Blogbeitrag zur Härtung von Ray in GKE veröffentlicht.

Weitere Informationen zum Hinzufügen von Authentifizierung und Autorisierung zu Ray-Diensten finden Sie in der Dokumentation zum Identity-Aware Proxy (IAP). GKE-Nutzer können IAP gemäß dieser Anleitung implementieren oder Terraform-Module, die im Blog verlinkt sind, wiederverwenden.

Hoch

CVE-2023-48022

GCP-2024-018

Veröffentlicht: 12.03.2024

Aktualisiert: 04.04.2024, 06.05.2024

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 06.05.2024: Patchversionen für GKE-Ubuntu-Knotenpools hinzugefügt.

Aktualisierung vom 04.04.2024: Mindestversionen für GKE Container-Optimized OS-Knotenpools korrigiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

CVE-2024-1085

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2024-1085

GCP-2024-017

Veröffentlicht: 06.03.2024

Beschreibung

Schweregrad

Hinweise

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

CVE-2023-3611

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2023-3611

GCP-2024-016

Veröffentlicht: 05.03.2024

Beschreibung

Schweregrad

Hinweise

VMware hat in VMSA-2024-0006 mehrere Sicherheitslücken offengelegt, die sich auf ESXi-Komponenten auswirken, die in Kundenumgebungen bereitgestellt werden.

Auswirkungen auf Google Cloud VMware Engine

Ihre privaten Clouds wurden aktualisiert, um die Sicherheitslücke zu schließen.

Was soll ich tun?

Sie selbst brauchen nichts zu unternehmen.

Kritisch

GCP-2024-014

Veröffentlicht: 26.02.2024

Beschreibung

Schweregrad

Hinweise

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

CVE-2023-3776

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2023-3776

GCP-2024-013

Veröffentlicht: 27.02.2024

Beschreibung

Schweregrad

Hinweise

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

CVE-2023-3610

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2023-3610

GCP-2024-012

Veröffentlicht: 20.02.2024

Beschreibung

Schweregrad

Hinweise

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

CVE-2024-0193

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2024-0193

GCP-2024-011

Veröffentlicht: 25.02.2024

Beschreibung

Schweregrad

Hinweise

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

CVE-2023-6932

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2023-6932

GCP-2024-010

Veröffentlicht: 14.02.2024

Aktualisiert: 17.04.2024

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 17.04.2024: Patchversionen für GKE on VMware hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

CVE-2023-6931

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2023-6931

GCP-2024-009

Veröffentlicht: 13.02.2024

Beschreibung

Schweregrad

Hinweise

Am 13. Februar 2024 legte AMD zwei Sicherheitslücken offen, die SEV-SNP auf EPYC-CPUs betreffen, die auf Zen-Kernen der dritten Generation („Milan“) und der vierten Generation („Genoa“) basieren. Die Sicherheitslücken ermöglichen es Angreifern mit privilegierten Rechten, auf alte Daten von Gästen zuzugreifen oder die Integrität von Gästen zu beeinträchtigen.

Google hat Korrekturen für betroffene Assets, einschließlich Google Cloud, vorgenommen, um Kunden zu schützen. Derzeit gibt es keine Hinweise auf eine Ausnutzung oder entsprechende Meldungen an Google.

Was soll ich tun?

Auf Kundenseite sind keine Maßnahmen erforderlich. Die Korrekturen wurden bereits auf die Google-Serverflotte für Google Cloudangewendet, einschließlich Compute Engine.

Weitere Informationen finden Sie im AMD-Sicherheitsbulletin AMD-SN-3007.

Mittel

GCP-2024-008

Veröffentlicht: 12.02.2024

Beschreibung

Schweregrad

Hinweise

CVE-2023-5528 ermöglicht es einem Angreifer, Pods und nichtflüchtige Volumes auf Windows-Knoten so zu erstellen, dass eine Rechteausweitung zu Administratorberechtigungen auf diesen Knoten möglich ist.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2023-5528

GCP-2024-007

Veröffentlicht: 08.02.2024

Beschreibung

Beschreibung Schweregrad Hinweise

Die folgenden CVEs betreffen Cloud Service Mesh und machen es anfällig für ausnutzbare Sicherheitslücken:

CVE-2024-23322: Envoy stürzt ab, wenn es inaktiv ist, und innerhalb des Backoff-Intervalls kommt es zu einer Zeitüberschreitung der Anfragen pro Versuch.
CVE-2024-23323: Übermäßige CPU-Auslastung, wenn der URI-Vorlagenabgleich mit einem regulären Ausdruck konfiguriert wird.
CVE-2024-23324: Externe Autorisierung kann umgangen werden, wenn der Proxy-Protokollfilter ungültige UTF‑8-Metadaten festlegt.
Envoy stürzt ab, wenn ein Adresstyp verwendet wird, der vom Betriebssystem nicht unterstützt wird.
CVE-2024-23327: Absturz im Proxy-Protokoll, wenn der Befehlstyp LOCAL ist.

Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

Hoch

GCP-2024-006

Veröffentlicht: 05.02.2024

Beschreibung

Schweregrad

Hinweise

Wenn ein Apigee API Management-Proxy eine Verbindung zu einem Zielendpunkt oder Zielserver herstellt, führt der Proxy standardmäßig keine Hostnamenvalidierung für das vom Zielendpunkt oder Zielserver bereitgestellte Zertifikat durch. Wenn die Hostnamenvalidierung nicht mit einer der folgenden Optionen aktiviert ist, besteht für Apigee-Proxys, die eine Verbindung zu einem Zielendpunkt oder Zielserver herstellen, das Risiko eines Man-in-the-Middle-Angriffs durch einen autorisierten Nutzer. Weitere Informationen finden Sie unter TLS von Edge mit dem Backend konfigurieren (Cloud und Private Cloud).

Apigee-Proxy-Bereitstellungen auf den folgenden Apigee-Plattformen sind betroffen:

Apigee Edge for Public Cloud
Apigee Edge for Private Cloud

Anleitungen und weitere Informationen finden Sie im Apigee-Sicherheitsbulletin.

Hoch

GCP-2024-005

Veröffentlicht: 31.01.2024
Aktualisiert: 02.04.2024, 06.05.2024

Beschreibung

Beschreibung Schweregrad Hinweise

Aktualisierung vom 06.05.2024: Patchversionen für GKE on AWS und GKE on Azure hinzugefügt.

Aktualisierung vom 02.04.2024: Patchversionen für GKE on Bare Metal hinzugefügt

Aktualisierung vom 06.03.2024: Patchversionen für GKE on VMware hinzugefügt

Aktualisierung vom 28.02.2024: Patchversionen für Ubuntu hinzugefügt

Aktualisierung vom 15.02.2024: Es wurde klargestellt, dass die Ubuntu-Patchversionen 1.25 und 1.26 in der Aktualisierung vom 14.02.2024 möglicherweise fehlerhafte Knoten verursachen.

Aktualisierung vom 14.02.2024: Patchversionen für Ubuntu hinzugefügt.

Aktualisierung vom 06.02.2024: Patchversionen für Container-Optimized OS hinzugefügt.

In runc wurde die Sicherheitslücke CVE-2024-21626 entdeckt, durch die ein Nutzer mit der Berechtigung zum Erstellen von Pods auf Container-Optimized OS- und Ubuntu-Knoten möglicherweise vollständigen Zugriff auf das Knotendateisystem erhalten kann.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2024-21626

GCP-2024-004

Veröffentlicht: 24.01.2024
Aktualisiert: 07.02.2024

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 07.02.2024: Patchversionen für Ubuntu hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

CVE-2023-6817

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2023-6817

GCP-2024-003

Veröffentlicht: 19.01.2024
Aktualisiert: 26.01.2024

Beschreibung

Beschreibung Schweregrad Hinweise

Aktualisierung vom 26.01.2024: Die Anzahl der betroffenen Cluster und ergriffene Maßnahmen zur Minimierung der Auswirkungen wurden präzisiert. Weitere Informationen finden Sie im Sicherheitsbulletin GCP-2024-003.

Wir haben mehrere Cluster identifiziert, in denen Nutzer der Gruppe system:authenticated Kubernetes-Berechtigungen gewährt haben. Diese Gruppe umfasst alle Nutzer mit einem Google-Konto. Diese Arten von Bindungen werden nicht empfohlen, da sie gegen das Prinzip der geringsten Berechtigung verstoßen und sehr großen Nutzergruppen Zugriff gewähren. Eine Anleitung zum Suchen nach diesen Bindungen finden Sie im Abschnitt Was kann ich tun?.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

GKE-Sicherheitsbulletin

Mittel

GCP-2024-002

Veröffentlicht: 17.01.2024

Aktualisiert: 20.02.2024

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 20.02.2024: Patchversionen für GKE on VMware hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können.

CVE-2023-6111

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2023-6111

GCP-2024-001

Veröffentlicht: 09.01.2024

Beschreibung

Schweregrad

Hinweise

In der TianoCore EDK II UEFI-Firmware wurden mehrere Sicherheitslücken entdeckt. Diese Firmware wird in Google Compute Engine-VMs verwendet. Wenn die Sicherheitslücken ausgenutzt werden, könnte Secure Boot umgangen werden, was zu falschen Bewertungen im Secure Boot-Prozess führen würde, auch bei der Verwendung von Shielded VMs.

Was soll ich tun?

Sie müssen nichts weiter tun. Google hat diese Sicherheitslücke in Compute Engine behoben und alle VMs sind vor dieser Sicherheitslücke geschützt.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Dieser Patch dient zur Minimierung der Auswirkungen folgender Sicherheitslücken:

CVE-2022-36763
CVE-2022-36764
CVE-2022-36765

Mittel

GCP-2023-051

Veröffentlicht: 28.12.2023

Beschreibung

Schweregrad

Hinweise

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

CVE-2023-3609

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2023-3609

GCP-2023-050

Veröffentlicht: 27.12.2023

Beschreibung

Schweregrad

Hinweise

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

CVE-2023-3389

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2023-3389

GCP-2023-049

Veröffentlicht: 20.12.2023

Beschreibung

Schweregrad

Hinweise

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

CVE-2023-3090

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2023-3090

GCP-2023-048

Veröffentlicht: 15.12.2023

Aktualisiert: 21.12.2023

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 21.12.2023: Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

CVE-2023-3390

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2023-3390

GCP-2023-047

Veröffentlicht: 14.12.2023

Beschreibung

Schweregrad

Hinweise

Ein Angreifer, der den Fluent Bit-Logging-Container kompromittiert hat, könnte diesen Zugriff mit den hohen Berechtigungen kombinieren, die für Cloud Service Mesh (in Clustern, in denen es aktiviert ist) erforderlich sind, um die Berechtigungen im Cluster zu eskalieren.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Mittel

GCP-2023-046

Veröffentlicht: 22.11.2023
Aktualisiert: 04.03.2024

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 04.03.2024: GKE-Versionen für GKE on VMware hinzugefügt.

Aktualisierung vom 22.01.2024: Ubuntu-Patchversionen hinzugefügt

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

CVE-2023-5717

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2023-5717

GCP-2023-045

Veröffentlicht: 20.11.2023

Aktualisiert: 21.12.2023

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 21.12.2023: Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

CVE-2023-5197

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2023-5197

GCP-2023-044

Veröffentlicht: 15.11.2023

Beschreibung

Schweregrad

Hinweise

Am 14. November hat AMD mehrere Sicherheitslücken offengelegt, die sich auf verschiedene AMD-Server-CPUs auswirken. Die Sicherheitslücken betreffen insbesondere EPYC-Server-CPUs mit Zen-Core der 2. Generation („Rome“), der 3. Generation („Milan“) und der 4. Generation („Genoa“).

Google hat Fehlerbehebungen für betroffene Assets, einschließlich Google Cloud, vorgenommen, um Kunden zu schützen. Derzeit gibt es keine Hinweise auf eine Ausnutzung oder entsprechende Meldungen an Google.

Was soll ich tun?

Auf Kundenseite sind keine Maßnahmen erforderlich.

Die Fehlerbehebungen wurden bereits auf die Google-Serverflotte für Google Cloud, einschließlich Google Compute Engine, angewendet.

Welche Sicherheitslücken werden behoben?

Dieser Patch dient zur Minimierung der Auswirkungen folgender Sicherheitslücken:

CVE-2022-23820
CVE-2021-46774
CVE-2023-20533
CVE-2023-20519
CVE-2023-20592
CVE-2023-20566
CVE-2023-20521
CVE-2021-46766
CVE-2022-23830
CVE-2023-20526
CVE-2021-26345

Weitere Informationen finden Sie in der Sicherheitsempfehlung von AMD AMD-SN-3005: „AMD INVD Instruction Security Notice“, auch unter dem Namen „CacheWarp“ veröffentlicht, und AMD-SN-3002: „AMD Server Vulnerabilities – November 2023“.

Mittel

GCP-2023-043

Veröffentlicht: 14.11.2023

Beschreibung

Schweregrad

Hinweise

Intel hat eine CPU-Sicherheitslücke in ausgewählten Prozessoren offengelegt. Google hat Maßnahmen ergriffen, um seine Serverflotte, einschließlich Google Compute Engine für Google Cloud, und ChromeOS-Geräte zu schützen und so für die Sicherheit der Kunden zu sorgen.

Details zur Sicherheitslücke:

CVE-2023-23583

Was soll ich tun?

Auf Kundenseite sind keine Maßnahmen erforderlich.

Die von Intel für die betroffenen Prozessoren bereitgestellte Risikominimierung wurde auf die Google-Serverflotte angewendet, einschließlich Google Compute Engine für Google Cloud.

Derzeit ist für Google Distributed Cloud Edge eine Update vom OEM erforderlich. Google wird dieses Produkt korrigieren, sobald das Update verfügbar ist. Dieses Bulletin wird dann entsprechend aktualisiert.

ChromeOS-Geräte mit den betroffenen Prozessoren haben die Aktualisierung automatisch im Rahmen der Versionen 119, 118 und 114 (LTS) erhalten.

Welche Sicherheitslücken werden behoben?

CVE-2023-23583. Weitere Informationen finden Sie in der Intel-Sicherheitsempfehlung INTEL-SA-00950.

Hoch

CVE-2023-23583

GCP-2023-042

Veröffentlicht: 13.11.2023
Aktualisiert: 15.11.2023

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 15.11.2023: Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende gepatchte Version für GKE aktualisiert werden müssen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

CVE-2023-4147

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2023-4147

GCP-2023-041

Veröffentlicht: 08.11.2023

Aktualisiert: 21.11.2023, 05.12.2023, 21.12.2023

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 21.12.2023: Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Aktualisierung vom 05.12.2023: Zusätzliche GKE-Versionen für Container-Optimized OS-Knotenpools wurden hinzugefügt.

Aktualisierung vom 21.11.2023: Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende gepatchte Version für GKE aktualisiert werden müssen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

CVE-2023-4004

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2023-4004

GCP-2023-040

Veröffentlicht: 06.11.2023

Aktualisiert: 21.11.2023, 21.12.2023

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 21.12.2023: Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Aktualisierung vom 21.11.2023: Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende gepatchte Version für GKE aktualisiert werden müssen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

CVE-2023-4921

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2023-4921

GCP-2023-039

Veröffentlicht: 06.11.2023

Aktualisiert: 21.11.2023, 16.11.2023

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 21.11.2023: Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende gepatchte Version für GKE aktualisiert werden müssen.

Aktualisierung vom 16.11.2023: Die mit diesem Sicherheitsbulletin verknüpfte Sicherheitslücke ist CVE-2023-4622. CVE-2023-4623 wurde in einer früheren Version des Sicherheitsbulletins fälschlicherweise als Sicherheitslücke aufgeführt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

CVE-2023-4623

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2023-4622

GCP-2023-038

Veröffentlicht: 06.11.2023

Aktualisiert: 21.11.2023, 21.12.2023

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 21.12.2023: Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Aktualisierung vom 21.11.2023: Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende gepatchte Version für GKE aktualisiert werden müssen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

CVE-2023-4623

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2023-4623

GCP-2023-037

Veröffentlicht: 06.11.2023

Aktualisiert: 21.11.2023, 21.12.2023

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 21.12.2023: Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Aktualisierung vom 21.11.2023: Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende gepatchte Version für GKE aktualisiert werden müssen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

CVE-2023-4015

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2023-4015

GCP-2023-036

Veröffentlicht: 30.10.2023

Beschreibung

Schweregrad

Hinweise

Deep Learning VM Images ist ein Satz vorgefertigter und sofort einsatzbereiter VM-Images mit einem Deep Learning Framework. Vor Kurzem wurde in der Funktion „ReadHuffmanCodes()“ der Bibliothek „libwebp“ eine Sicherheitslücke beim Schreiben außerhalb des zulässigen Bereichs entdeckt. Dies kann sich auf Images auswirken, die diese Bibliothek verwenden.

Google Cloud überprüft fortlaufend seine veröffentlichten Images und aktualisiert die Pakete, damit die neuesten Releases mit allen gepatchten Distributionen für die Kunden verfügbar sind. Deep Learning VM Images wurden aktualisiert, damit die neuesten VM-Images die gepatchten Distributionen enthalten. Kunden, die die neuesten VM-Images verwenden, sind von dieser Sicherheitslücke nicht betroffen.

Was soll ich tun?

Google Cloud Kunden, die veröffentlichte VM-Images nutzen, sollten darauf achten, immer die neuesten Images einzusetzen und ihre Umgebungen im Einklang mit dem Modell der geteilten Verantwortung aktuell zu halten.

CVE-2023-4863 könnte von einem Angreifer ausgenutzt werden, um beliebigen Code auszuführen. Diese Sicherheitslücke wurde in Google Chrome vor 116.0.5845.187 und in „libwebp“ vor 1.3.2 gefunden und ist unter CVE-2023-4863 aufgeführt.

Hoch

CVE-2023-4863

GCP-2023-035

Veröffentlicht: 26.10.2023

Aktualisiert: 21.11.2023, 21.12.2023

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 21.12.2023: Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Aktualisierung vom 21.11.2023: Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende gepatchte Version für GKE aktualisiert werden müssen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

CVE-2023-4206
CVE-2023-4207
CVE-2023-4208
CVE-2023-4128

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2023-4206 CVE-2023-4207, CVE-2023-4208, CVE-2023-4128

GCP-2023-034

Veröffentlicht: 25.10.2023

Aktualisiert: 27.10.2023

Beschreibung

Schweregrad

Hinweise

VMware hat mehrere Sicherheitslücken in VMSA-2023-0023 offengelegt, die sich auf vCenter-Komponenten auswirken, die in Kundenumgebungen bereitgestellt werden.

Auswirkungen auf Cloud Customer Care

Die Sicherheitslücke kann ausgenutzt werden, indem auf bestimmte Ports in vCenter Server zugegriffen wird. Diese Ports sind nicht im öffentlichen Internet zugänglich.
Wenn Ihre vCenter-Ports 2012/tcp, 2014/tcp und 2020/tcp nicht von nicht vertrauenswürdigen Systemen erreichbar sind, sind Sie von dieser Sicherheitslücke nicht betroffen.
Google hat die anfälligen Ports auf dem vCenter-Server bereits blockiert, um eine potenzielle Ausnutzung dieser Sicherheitslücke zu verhindern.
Außerdem wird Google dafür sorgen, dass alle zukünftigen Bereitstellungen von vCenter-Server nicht von dieser Sicherheitslücke betroffen sind.
Zum Zeitpunkt der Veröffentlichung des Bulletins ist VMware keine Ausnutzung dieser Sicherheitslücke bekannt. Weitere Informationen finden Sie in der VMware-Dokumentation.

Was soll ich tun?

Sie müssen derzeit nichts weiter unternehmen.

Kritisch

CVE-2023-34048,CVE-2023-34056

GCP-2023-033

Veröffentlicht: 24.10.2023

Aktualisiert: 21.11.2023, 21.12.2023

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 21.12.2023: Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind und GKE Sandbox-Arbeitslasten nicht betroffen sind.

Aktualisierung vom 21.11.2023: Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende gepatchte Version für GKE aktualisiert werden müssen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

CVE-2023-3777

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2023-3777

GCP-2023-032

Veröffentlicht: 13.10.2023

Aktualisiert: 03.11.2023

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 03.11.2023: Bekanntes Problem für Apigee Edge for Private Cloud hinzugefügt.

In mehreren Implementierungen des HTTP/2-Protokolls wurde vor Kurzem eine DoS-Sicherheitslücke (Denial of Service) festgestellt (CVE-2023-44487), darunter auch auf dem von Apigee X und Apigee Hybrid verwendeten Apigee Ingress-Dienst (Cloud Service Mesh). Die Sicherheitslücke könnte zu einem DoS der Apigee API-Verwaltungsfunktionen führen.

Anleitungen und weitere Informationen finden Sie im Apigee-Sicherheitsbulletin.

Hoch

CVE-2023-44487

GCP-2023-031

Veröffentlicht: 10.10.2023

Beschreibung

Beschreibung	Schweregrad	Hinweise
Ein DoS-Angriff (Denial-of-Service) kann sich auf die Datenebene auswirken, wenn das HTTP/2-Protokoll verwendet wird. Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.	Hoch	CVE-2023-44487

GCP-2023-030

Veröffentlicht: 10.10.2023

Aktualisiert: 20.03.2024

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 20.03.2024: Patchversionen für GKE on AWS und GKE on Azure mit den neuesten Patches für CVE-2023-44487 hinzugefügt.

Aktualisierung vom 14.02.2024: Patchversionen für GKE on VMware hinzugefügt.

Aktualisierung vom 09.11.2023: CVE-2023-39325 hinzugefügt. GKE-Versionen mit den neuesten Patches für CVE-2023-44487 und CVE-2023-39325 aktualisiert.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) festgestellt, darunter auch der von Kubernetes verwendete Golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS der Google Kubernetes Engine-Steuerungsebene (GKE) führen. GKE-Cluster mit konfigurierten autorisierten Netzwerken sind durch die Einschränkung des Netzwerkzugriffs geschützt. Alle anderen Cluster sind jedoch betroffen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2023-44487, CVE-2023-39325

GCP-2023-029

Veröffentlicht: 03.10.2023

Beschreibung

Beschreibung Schweregrad Hinweise

TorchServe wird verwendet, um PyTorch-Machine-Learning-Modelle für Onlinevorhersagen zu hosten. Vertex AI bietet vorkonfigurierte PyTorch-Modellbereitstellungs-Container, die auf TorchServe basieren. In TorchServe wurden kürzlich Sicherheitslücken erkannt, die es einem Angreifer ermöglichen würden, die Kontrolle über eine Bereitstellung von TorchServe zu übernehmen, wenn seine Modellverwaltungs-API offengelegt wird. Kunden mit PyTorch-Modellen, die für die Vertex AI-Onlinevorhersage bereitgestellt werden, sind von diesen Sicherheitslücken nicht betroffen, da Vertex AI die Modellverwaltungs-API von TorchServe nicht freigibt. Kunden, die TorchServe außerhalb von Vertex AI verwenden, sollten Vorkehrungen treffen, um ihre Bereitstellungen sicher einzurichten.

Was soll ich tun?

Vertex AI-Kunden mit bereitgestellten Modellen, die die vorkonfigurierten PyTorch-Modell-Serving-Container von Vertex AI verwenden, müssen keine Maßnahmen ergreifen, um die Sicherheitslücken zu schließen, da der Verwaltungsserver von TorchServe bei Vertex AI-Bereitstellungen nicht dem Internet ausgesetzt ist.

Kunden, die die vorkonfigurierten PyTorch-Container in anderen Kontexten verwenden oder eine benutzerdefinierte oder Drittanbieter-Distribution von TorchServe verwenden, sollten Folgendes tun:

Achten Sie darauf, dass die Modellverwaltungs-API von TorchServe nicht dem Internet zugänglich ist. Die Modellverwaltungs-API kann auf den lokalen Zugriff beschränkt werden, indem management_address an 127.0.0.1 gebunden wird.
Verwenden Sie die Einstellung allowed_urls, damit Modelle nur aus vorgesehenen Quellen geladen werden können.
Führen Sie so bald wie möglich ein Upgrade von TorchServe auf Version 0.8.2 durch. Darin wird dieses Problem behoben. Als Vorsichtsmaßnahme wird Vertex AI bis zum 13.10.2023 feste vordefinierte Container veröffentlichen.

Welche Sicherheitslücken werden behoben?

Die Verwaltungs-API von TorchServe ist in den meisten TorchServe-Docker-Images standardmäßig an 0.0.0.0 gebunden, einschließlich der von Vertex AI veröffentlichten. Dadurch ist sie für externe Anfragen zugänglich. Die Standard-IP-Adresse für die Verwaltungs-API wird in TorchServe 0.8.2 in 127.0.0.1 geändert, um dieses Problem zu beheben.

Durch CVE-2023-43654 und CVE-2022-1471 können Nutzer mit Zugriff auf die Verwaltungs-API Modelle aus beliebigen Quellen laden und Code aus der Ferne ausführen. In TorchServe 0.8.2 sind Abhilfemaßnahmen für diese beiden Probleme enthalten: Der Remote-Codeausführungspfad wird entfernt und eine Warnung wird ausgegeben, wenn der Standardwert für allowed_urls verwendet wird.

Hoch

CVE-2023-43654, CVE-2022-1471

GCP-2023-028

Veröffentlicht: 19.09.2023

Aktualisiert: 29.05.2024

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 29.05.2024: Die neuen Feeds verwenden nicht mehr das freigegebene Dienstkonto. Es bleibt jedoch für bestehende Feeds aktiv, um Dienstunterbrechungen zu vermeiden. Änderungen an der Quelle in älteren Feeds werden blockiert, um einen Missbrauch des freigegebenen Dienstkontos zu verhindern. Kunden können ihre alten Feeds weiterhin wie gewohnt verwenden, solange sie die Quelle nicht ändern.

Kunden können Google Security Operations so konfigurieren, dass Daten aus kundeneigenen Cloud Storage-Buckets über einen Datenaufnahme-Feed aufgenommen werden. Bis vor Kurzem wurde in Google Security Operations ein gemeinsames Dienstkonto bereitgestellt, mit dem Kunden dem Bucket Berechtigungen erteilen konnten. Es bestand die Möglichkeit, dass die Google Security Operations-Instanz eines Kunden so konfiguriert werden konnte, dass Daten aus dem Cloud Storage-Bucket eines anderen Kunden aufgenommen wurden. Nach einer Folgenabschätzung haben wir festgestellt, dass diese Sicherheitslücke derzeit oder in der Vergangenheit nicht ausgenutzt wurde. Die Sicherheitslücke war in allen Versionen von Google Security Operations vor dem 19. September 2023 vorhanden.

Was soll ich tun?

Am 19. September 2023 wurde Google Security Operations aktualisiert, um diese Sicherheitslücke zu schließen. Auf Kundenseite sind keine Maßnahmen erforderlich.

Welche Sicherheitslücken werden behoben?

Bisher stellte Google Security Operations ein gemeinsames Dienstkonto zur Verfügung, mit dem Kunden einem Bucket Berechtigungen erteilen konnten. Da verschiedene Kunden demselben Google Security Operations-Dienstkonto die Berechtigung für ihren Bucket erteilt haben, gab es einen Exploitation-Vektor, der es dem Feed eines Kunden ermöglichte, auf den Bucket eines anderen Kunden zuzugreifen, wenn ein Feed erstellt oder geändert wurde. Für diesen Exploitation-Vektor war die Kenntnis des Bucket-URI erforderlich. Bei der Erstellung oder Änderung von Feeds verwendet Google Security Operations jetzt eindeutige Dienstkonten für jeden Kunden.

Hoch

GCP-2023-027

Veröffentlicht: 11.09.2023

Beschreibung

Schweregrad

Hinweise

VMware vCenter Server-Updates schließen mehrere Sicherheitslücken in Bezug auf Speicherbeschädigung (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896)

Auswirkungen auf Customer Care

VMware vCenter Server (vCenter Server) und VMware Cloud Foundation (Cloud Foundation).

Was soll ich tun?

Kunden sind nicht betroffen und müssen nichts weiter unternehmen.

Mittel

CVE-2023-20893

GCP-2023-026

Veröffentlicht: 06.09.2023

Beschreibung

Schweregrad

Hinweise

In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) entdeckt, bei denen ein Nutzer, der Pods auf Windows-Knoten erstellen kann, möglicherweise Administratorberechtigungen auf diesen Knoten erlangen kann. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und des Kubernetes-CSI-Proxys.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2023-3676, CVE-2023-3955, CVE-2023-3893

GCP-2023-025

Veröffentlicht: 08.08.2023

Beschreibung

Schweregrad

Hinweise

Intel hat vor Kurzem die Intel-Sicherheitsempfehlung INTEL-SA-00828 veröffentlicht, die einige seiner Prozessorfamilien betrifft. Wir empfehlen Ihnen, Ihre Risiken auf Grundlage der Empfehlung zu bewerten.

Auswirkungen auf Google Cloud VMware Engine

In unserer Flotte werden die betroffenen Prozessorfamilien verwendet. Bei unserer Bereitstellung ist der gesamte Server einem Kunden zugeordnet. Unser Bereitstellungsmodell birgt daher kein zusätzliches Risiko für Ihre Bewertung dieser Sicherheitslücke.

Wir arbeiten mit unseren Partnern zusammen, um die erforderlichen Patches zu erhalten, und werden diese Patches in den nächsten Wochen vorrangig auf allen Geräten über den Standard-Upgrade-Prozess bereitstellen.

Was soll ich tun?

Sie müssen nichts weiter tun. Wir arbeiten daran, alle betroffenen Systeme zu aktualisieren.

Hoch

CVE-2022-40982

GCP-2023-024

Veröffentlicht: 08.08.2023

Aktualisiert: 10.08.2023, 04.06.2024

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 04.06.2024: Die folgenden fehlenden Produkte wurden jetzt aktualisiert, um diese Sicherheitslücke zu beheben:

Google Distributed Cloud Hosted
Google Distributed Cloud Edge

Aktualisierung vom 10.08.2023: ChromeOS-LTS-Versionsnummer hinzugefügt.

Intel hat eine Sicherheitslücke in ausgewählten Prozessoren offengelegt (CVE-2022-40982). Google hat Maßnahmen ergriffen, um die Auswirkungen auf seine Serverflotte, einschließlich Google Cloud, zu minimieren und so die Sicherheit der Kunden zu schützen.

Details zur Sicherheitslücke:

CVE-2022-40982 (Intel IPU 2023.3, „GDS“, auch „Downfall“)

Was soll ich tun?

Auf Kundenseite sind keine Maßnahmen erforderlich.

Alle verfügbaren Patches wurden bereits auf die Google-Serverflotte für Google Cloud, einschließlich Google Compute Engine, angewendet.

Für die folgenden Produkte sind derzeit zusätzliche Aktualisierungen von Partnern und Anbietern erforderlich.

Google Cloud VMware Engine
Google Distributed Cloud Hosted
Google Distributed Cloud Edge
Bare-Metal-Lösung von Google Cloud
Evolved Packet Core

Google wird diese Produkte korrigieren, sobald diese Patches verfügbar sind. Dieses Bulletin wird dann entsprechend aktualisiert.

Google Chromebook- und ChromeOS Flex-Kunden haben die von Intel bereitgestellten Maßnahmen automatisch in den Versionen „Stabil“ (115), „LTS“ (108), „Beta“ (116) und „LTC“ (114) erhalten. Chromebook- und ChromeOS Flex-Kunden, die eine ältere Version verwenden, sollten die Version nicht mehr verwenden und zur stabilen Version oder zur Version mit Langzeitsupport wechseln, um diese und andere Sicherheitslücken zu schließen.

Welche Sicherheitslücken werden behoben?

CVE-2022-40982: Weitere Informationen finden Sie in der Intel-Sicherheitsempfehlung INTEL-SA-00828.

Hoch

CVE-2022-40982

GCP-2023-023

Veröffentlicht: 08.08.2023

Beschreibung

Schweregrad

Hinweise

AMD hat eine Sicherheitslücke in ausgewählten Prozessoren (CVE-2023-20569) offengelegt. Google hat Maßnahmen ergriffen, um die Auswirkungen auf seine Serverflotte, einschließlich Google Cloud, zu minimieren und so die Sicherheit der Kunden zu schützen.

Details zur Sicherheitslücke:

CVE-2023-20569 (AMD SB-7005, auch bekannt als „Inception“)

Was soll ich tun?

Nutzer von Compute Engine-VMs sollten die vom Betriebssystem bereitgestellten Maßnahmen zur Risikominimierung in Betracht ziehen, wenn sie nicht vertrauenswürdigen Code innerhalb einer Instanz ausführen. Wir empfehlen Kunden, sich für genauere Informationen an ihre Betriebssystemanbieter zu wenden.

Die Korrekturen wurden bereits auf die Google-Serverflotte für Google Cloud, einschließlich Google Compute Engine, angewendet.

Welche Sicherheitslücken werden behoben?

CVE-2023-20569: Weitere Informationen finden Sie unter AMD SB-7005.

Mittel

CVE-2023-20569

GCP-2023-022

Veröffentlicht: 03.08.2023

Beschreibung

Schweregrad

Hinweise

Google hat eine Sicherheitslücke in gRPC C++-Implementierungen vor der Version 1.57 erkannt. Dies war eine DoS-Sicherheitslücke (Denial of Service) in der C++-Implementierung von gRPC. Diese Probleme wurden in den Versionen 1.53.2, 1.54.3, 1.55.2, 1.56.2 und 1.57 behoben.

Was soll ich tun?

Achten Sie darauf, dass Sie die neuesten Versionen der folgenden Softwarepakete verwenden:

gRPC-Versionen (C++, Python, Ruby) 1.53, 1.54, 1.55 und 1.56 müssen auf die folgenden Patchreleases aktualisiert werden:

1.53.2
1.54.3
1.55.2
1.56.2

Für gRPC-Versionen (C++, Python, Ruby) 1.52 und früher ist ein Upgrade auf eine der genehmigten Patch-Versionen erforderlich. Zum Beispiel 1.53.2, 1.54.3, 1.53.4 usw.

Welche Sicherheitslücken werden behoben?

Diese Patches minimieren die Auswirkungen der folgenden Sicherheitslücken:

Denial-of-Service-Sicherheitslücke in gRPC C++-Implementierungen: Speziell entwickelte Anfragen können dazu führen, dass die Verbindung zwischen einem Proxy und einem Backend beendet wird.

Hoch

CVE-2023-33953

GCP-2023-021

Aktualisiert:26.07.2023

Veröffentlicht:25.07.2023

Beschreibung

Beschreibung Schweregrad Hinweise

Die folgenden CVEs betreffen Cloud Service Mesh und machen es anfällig für ausnutzbare Sicherheitslücken:

CVE-2023-35941: Ein schädlicher Client kann in bestimmten Szenarien Anmeldedaten mit dauerhafter Gültigkeit erstellen. Beispielsweise kann die Kombination aus Host und Ablaufzeit in der HMAC-Nutzlast immer im HMAC-Check des OAuth2-Filters gültig sein.
CVE-2023-35942: gRPC-Zugriffs-Logger, die den globalen Bereich des Listeners verwenden, können zu einem „Use-after-Free“-Absturz führen, wenn der Listener entleert wird. Dies kann durch ein LDS-Update mit derselben gRPC-Zugriffslogkonfiguration ausgelöst werden.
CVE-2023-35943: Wenn der origin-Header so konfiguriert ist, dass er mit request_headers_to_remove: origin entfernt wird, wird der CORS-Filter segfault und lässt Envoy abstürzen.
CVE-2023-35944: Angreifer können Anfragen mit gemischten Schemata senden, um die Schema-Prüfungen in Envoy zu umgehen. Wenn beispielsweise eine Anfrage mit gemischtem HTTP-Schema an den OAuth2-Filter gesendet wird, wird sie die exakte Vergleichsprüfung für HTTP nicht bestehen. Der Remote-Endpunkt wird darüber informiert, dass das Schema HTTPS ist. Dadurch werden möglicherweise OAuth2-Prüfungen umgangen, die speziell für HTTP-Anfragen gelten.

Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

Hoch

GCP-2023-020

Aktualisiert:26.07.2023

Veröffentlicht: 24.07.2023

Beschreibung

Schweregrad

Hinweise

AMD hat eine Mikrocode-Aktualisierung veröffentlicht, mit dem eine Hardware-Sicherheitslücke (CVE-2023-20593) geschlossen wird. Google hat die erforderlichen Korrekturen für diese Sicherheitslücke auf seine Serverflotte angewendet, einschließlich der Server für die Google Cloud Platform. Tests haben ergeben, dass die Leistung der Systeme nicht beeinträchtigt wird.

Was soll ich tun?

Veröffentlicht: 26.06.2023

Aktualisiert: 11.07.2023

Beschreibung

Schweregrad

Schweregrad

Hinweise

Aktualisierung vom 11.08.2023: Patchversionen für GKE on VMware, GKE on AWS, GKE on Azure und Google Distributed Cloud Virtual for Bare Metal hinzugefügt.

In Kubernetes wurden zwei neue Sicherheitsprobleme entdeckt, bei denen Nutzer möglicherweise Container starten können, die Richtlinienbeschränkungen umgehen, wenn sie ephemere Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das ServiceAccount Admission Plugin (CVE-2023-2728) verwenden.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Mittel

CVE-2023-2727, CVE-2023-2728

GCP-2023-013

Veröffentlicht: 08.06.2023

Beschreibung

Beschreibung Schweregrad Hinweise

Wenn Sie die Cloud Build API in einem Projekt aktivieren, erstellt Cloud Build automatisch ein Standarddienstkonto, um Builds in Ihrem Namen auszuführen. Dieses Cloud Build-Dienstkonto hatte zuvor die IAM-Berechtigung logging.privateLogEntries.list, die es Builds ermöglichte, standardmäßig auf private Logs zuzugreifen. Diese Berechtigung wurde dem Cloud Build-Dienstkonto entzogen, um dem „Prinzip der geringsten Berechtigung“ zu entsprechen.

Anleitungen und weitere Informationen finden Sie im Cloud Build-Sicherheitsbulletin.

Niedrig

GCP-2023-010

Veröffentlicht: 07.06.2023

Beschreibung

Schweregrad

Hinweise

Google hat drei neue Sicherheitslücken in der gRPC C++-Implementierung entdeckt. Diese werden in Kürze als CVE-2023-1428, CVE-2023-32731 und CVE-2023-32732 veröffentlicht.

Im April haben wir zwei Sicherheitslücken in den Versionen 1.53 und 1.54 entdeckt. Die eine war eine Denial-of-Service-Sicherheitslücke in der C++-Implementierung von gRPC und die andere eine Sicherheitslücke für die Remote-Daten-Exfiltration. Diese Probleme wurden in den Versionen 1.53.1, 1.54.2 und höher behoben.

Im März haben unsere internen Teams bei routinemäßigen Fuzzing-Aktivitäten eine Denial-of-Service-Sicherheitslücke in der C++-Implementierung von gRPC entdeckt. Das Problem wurde im gRPC-Release 1.52 gefunden und in den Releases 1.52.2 und 1.53 behoben.

Was soll ich tun?

Achten Sie darauf, dass Sie die neuesten Versionen der folgenden Softwarepakete verwenden:

Für grpc (C++, Python, Ruby) Version 1.52, 1.53 und 1.54 ist ein Upgrade auf die folgenden Patchreleases erforderlich:

1.52.2
1.53.1
1.54.2

grpc-Version 1.51 und früher (C++, Python, Ruby) sind nicht betroffen. Nutzer mit diesen Versionen müssen also nichts unternehmen.

Welche Sicherheitslücken werden mit diesen Patches behoben?

Diese Patches minimieren die Auswirkungen der folgenden Sicherheitslücken:

In den Versionen 1.53.1, 1.54.2 und höher wird folgendes behoben: die DoS-Sicherheitslücke (Denial of Service) in der gRPC-C++-Implementierung. Durch speziell entwickelte Anfragen kann die Verbindung zwischen einem Proxy und einem Backend beendet werden. Sicherheitslücke bei Remote-Daten-Exfiltration: Eine Desynchronisierung in der HPACK-Tabelle aufgrund von Größenbeschränkungen der Header kann dazu führen, dass Proxy-Backends die Headerdaten von anderen Clients, die mit dem Proxy verbunden sind, preisgeben.
In den Versionen 1.52.2, 1.53 und höher wird die DoS-Sicherheitslücke (Denial of Service) in der C++-Implementierung von gRPC behoben. Das Parsen bestimmter Anfragen kann zu einem Absturz führen, der sich auf einen Server auswirkt.

Anleitungen und weitere Informationen finden Sie im Cloud SQL-Sicherheitsbulletin.

Hoch

GCP-2023-005

Veröffentlicht: 18.05.2023

Aktualisiert: 06.06.2023

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 06.06.2023: Es wurden neue GKE-Versionen aktualisiert, die nun die neuesten Ubuntu-Versionen enthalten: CVE-2023-1281 und CVE-2023-1829 sind korrigiert.

Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281, CVE-2023-1829) entdeckt, die zu einer Rechteausweitung auf die Root-Ebene des Knotens führen können.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2023-1281 CVE-2023-1829

GCP-2023-004

Veröffentlicht: 26.04.2023

Beschreibung

Schweregrad

Hinweise

Im Trusted Platform Module (TPM) 2.0 wurden zwei Sicherheitslücken entdeckt (CVE-2023-1017 und CVE-2023-1018).

Die Sicherheitslücken hätten es einem versierten Angreifer ermöglicht, einen 2-Byte-Lese-/Schreibvorgang außerhalb des zulässigen Bereichs auf bestimmten Compute Engine-VMs auszunutzen.

Anleitungen und weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.

Mittel

GCP-2023-003

Veröffentlicht: 11.04.2023

Aktualisiert: 21.12.2023

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 21.12.2023: Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-0240 und CVE-2023-23586) entdeckt, die es einem nicht privilegierten Nutzer ermöglichen könnten, Rechte auszuweiten.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2023-0240, CVE-2023-23586

GCP-2023-002

Beschreibung

Schweregrad

Hinweise

Die folgenden CVEs betreffen Cloud Service Mesh und machen es anfällig für ausnutzbare Sicherheitslücken:

CVE-2023-27496: Wenn Envoy mit aktiviertem OAuth-Filter ausgeführt wird, kann ein böswilliger Akteur eine Anfrage erstellen, die zu einem Denial of Service führt, indem Envoy abstürzt.
CVE-2023-27488: Der Angreifer kann diese Sicherheitslücke nutzen, um Authentifizierungsprüfungen zu umgehen, wenn „ext_authz“ verwendet wird.
CVE-2023-27493: Die Envoy-Konfiguration muss auch eine Option zum Hinzufügen von Anfrageheadern enthalten, die mit Eingaben aus der Anfrage generiert wurden, z. B. dem SAN des Peer-Zertifikats.
CVE-2023-27492: Angreifer können große Anfragetexte für Routen mit aktiviertem Lua-Filter senden und Abstürze auslösen.
CVE-2023-27491: Angreifer können speziell entwickelte HTTP/2- oder HTTP/3-Anfragen senden, um Parsing-Fehler im HTTP/1-Upstream-Dienst auszulösen.
CVE-2023-27487: Der Header „x-envoy-original-path“ sollte ein interner Header sein. Envoy entfernt diesen Header jedoch nicht aus der Anfrage, wenn sie von einem nicht vertrauenswürdigen Client gesendet wird.

Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

Hoch

GCP-2023-001

Veröffentlicht: 2023-03-01, 2023-12-21

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 21.12.2023: Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2022-4696

GCP-2022-026

Veröffentlicht: 11.01.2023

Beschreibung

Schweregrad

Hinweise

In OpenSSL v3.0.6 wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) entdeckt, die möglicherweise zu einem Absturz führen können.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Mittel

GCP-2022-025

Veröffentlicht: 21.12.2022
Aktualisiert: 19.01.2023, 21.12.2023

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 21.12.2023: Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Aktualisierung vom 19.01.2023: Information hinzugefügt, dass die GKE-Version 1.21.14-gke.14100 verfügbar ist.

In OpenSSL v3.0.6 wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) entdeckt, die möglicherweise zu einem Absturz führen können.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Mittel

GCP-2022-024

Veröffentlicht: 09.11.2022

Aktualisiert: 19.01.2023

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 19.01.2023: Information hinzugefügt, dass die GKE-Version 1.21.14-gke.14100 verfügbar ist.

Aktualisierung vom 16.12.2022: Patchversionen für GKE und GKE on VMware hinzugefügt.

Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) entdeckt, die zu einem vollständigen Container-Breakout auf die Root-Ebene des Knotens führen können.

Eine Anleitung und weitere Informationen finden Sie unter:

Hoch

GCP-2022-023

Veröffentlicht: 04.11.2022

Beschreibung

Aktualisiert: 12.10.2022

Beschreibung

Beschreibung Schweregrad Hinweise

Die Istio-Steuerungsebene istiod ist anfällig für einen Fehler bei der Anfrageverarbeitung. Dadurch kann ein böswilliger Angreifer, der eine speziell entwickelte Nachricht sendet, einen Absturz der Steuerungsebene verursachen, wenn der Validierungs-Webhook für einen Cluster öffentlich zugänglich gemacht wird. Dieser Endpunkt wird über TLS-Port 15017 bereitgestellt, erfordert jedoch keine Authentifizierung durch den Angreifer.

Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

Hoch

CVE-2022-39278

GCP-2022-019

Veröffentlicht: 22.09.2022

Beschreibung

Beschreibung Schweregrad Hinweise

Eine Sicherheitslücke beim Parsen von Nachrichten und bei der Speicherverwaltung in den C++- und Python-Implementierungen von ProtocolBuffer kann beim Verarbeiten einer speziell entwickelten Nachricht einen Fehler aufgrund von unzureichendem Speicherplatz (Out-of-Memory, OOM) auslösen. Dies kann zu einem DoS-Angriff (Denial-of-Service) auf Dienste führen, die die Bibliotheken verwenden.

Was soll ich tun?

Achten Sie darauf, dass Sie die neuesten Versionen der folgenden Softwarepakete verwenden:

Protobuf-cpp (3.18.3, 3.19.5, 3.20.2, 3.21.6)
Protobuf-python (3.18.3, 3.19.5, 3.20.2, 4.21.6)

Welche Sicherheitslücken werden mit diesem Patch behoben?

Dieser Patch minimiert die Auswirkungen der folgenden Sicherheitslücke:

Eine speziell entwickelte kleine Nachricht, die dazu führt, dass der ausgeführte Dienst große Mengen an RAM zuweist. Aufgrund der geringen Größe der Anfrage ist es einfach, die Sicherheitslücke auszunutzen und Ressourcen zu erschöpfen. C++- und Python-Systeme, die nicht vertrauenswürdige Protobufs verwenden, wären anfällig für DoS-Angriffe, wenn sie ein MessageSet-Objekt in ihrer RPC-Anfrage enthalten.

Mittel

CVE-2022-1941

GCP-2022-018

Veröffentlicht: 01.08.2022

Hinweise

Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke (CVE-2022-23648) entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten. Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Mittel

CVE-2022-23648

GCP-2022-012

Veröffentlicht: 07.04.2022
Aktualisiert: 22.11.2022

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 22.11.2022: Arbeitslasten, die GKE Sandbox verwenden, sind für GKE-Cluster in beiden Modi (Standard und Autopilot) nicht betroffen.

Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können. Diese Sicherheitslücke betrifft die folgenden Produkte:

GKE-Knotenpoolversionen 1.22 und höher, die Container-Optimized OS-Images verwenden (Container-Optimized OS 93 und höher)
GKE on VMware v1.10 für Container-Optimized OS-Images
GKE on AWS v1.21 und GKE on AWS (vorherige Generation) v1.19, v1.20, v1.21, die Ubuntu verwenden
Verwaltete Cluster von GKE on Azure v1.21, die Ubuntu verwenden

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Hoch

CVE-2022-0847

GCP-2022-011

Veröffentlicht: 22.03.2022
Aktualisiert: 11.08.2022

Beschreibung

Schweregrad

Aktualisierung vom 11.08.2022: Weitere Informationen zur Konfiguration des gleichzeitigen Multithreadings (Simultaneous Multi-Threading, SMT) hinzugefügt. SMT sollte deaktiviert sein, war aber in den aufgeführten Versionen aktiviert.

Wenn Sie SMT für einen Sandbox-Knotenpool manuell aktiviert haben, bleibt SMT trotz dieses Problems manuell aktiviert.

Es liegt eine Fehlkonfiguration mit Simultaneous Multi-Threading (SMT), auch bekannt als Hyperthreading, auf GKE Sandbox-Images vor. Durch die Fehlkonfiguration sind Knoten potenziell anfällig für Seitenkanalangriffe wie Microarchitectural Data Sampling (MDS). Weitere Informationen finden Sie in der GKE Sandbox-Dokumentation. Wir raten davon ab, die folgenden betroffenen Versionen zu verwenden:

1.22.4-gke.1501
1.22.6-gke.300
1.23.2-gke.300
1.23.3-gke.600

Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Mittel

GCP-2022-010

Beschreibung

Schweregrad

Hinweise

Die folgende Istio-CVE macht Cloud Service Mesh für eine aus der Ferne ausnutzbare Sicherheitslücke anfällig:

CVE-2022-24726: Die Istio-Steuerungsebene („istiod“) ist anfällig für einen Fehler bei der Anfrageverarbeitung. Dadurch kann ein böswilliger Angreifer, der eine speziell entwickelte Nachricht sendet, einen Absturz der Steuerungsebene verursachen, wenn der Validierungs-Webhook für einen Cluster öffentlich zugänglich gemacht wird. Dieser Endpunkt wird über TLS-Port 15017 bereitgestellt, erfordert jedoch keine Authentifizierung durch den Angreifer.

Anleitungen und weitere Informationen finden Sie im folgenden Sicherheitsbulletin:

Cloud Service Mesh-Sicherheitsbulletin.

Hoch

CVE-2022-24726

GCP-2022-009

Veröffentlicht: 01.03.2022

Beschreibung

Schweregrad

Einige unerwartete Pfade für den Zugriff auf die Knoten-VM in GKE Autopilot-Clustern wurden möglicherweise verwendet, um Berechtigungen im Cluster zu eskalieren. Diese Probleme wurden behoben, und es sind keine weiteren Maßnahmen erforderlich. Die Fehlerkorrekturen beheben Probleme, die über unser Prämienprogramm für die Meldung von Sicherheitslücken gemeldet wurden.

Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Niedrig

GCP-2022-008

Veröffentlicht: 23.02.2022
Aktualisiert: 28.04.2022

Beschreibung

Schweregrad

Hinweise

Aktualisierung vom 28.04.2022: Versionen von GKE on VMware hinzugefügt, in denen diese Sicherheitslücken behoben sind. Weitere Informationen finden Sie im GKE on VMware-Sicherheitsbulletin.

Im Envoy-Projekt wurden kürzlich mehrere Sicherheitslücken entdeckt. Alle unten aufgeführten Probleme wurden im Envoy-Release 1.21.1 behoben.

CVE-2022-23606: Wenn ein Cluster über den Cluster Discovery Service (CDS) gelöscht wird, werden alle inaktiven Verbindungen zu Endpunkten in diesem Cluster getrennt. In Envoy-Version 1.19 wurde fälschlicherweise eine Rekursion in die Prozedur zum Trennen von inaktiven Verbindungen eingeführt, die zu einer Überlastung des Stacks und zu einem abnormalen Prozessende führen kann, wenn ein Cluster eine große Anzahl von inaktiven Verbindungen hat.
CVE-2022-21655: Der interne Weiterleitungscode von Envoy setzt voraus, dass ein Routeneintrag vorhanden ist. Wenn eine interne Weiterleitung an eine Route mit einem direkten Antworteintrag und keinem Routeneintrag erfolgt, wird ein Nullzeiger dereferenziert und es kommt zu einem Absturz.
CVE-2021-43826: Wenn Envoy für die Verwendung von tcp_proxy konfiguriert ist, das Upstream-Tunneling (über HTTP) und Downstream-TLS-Terminierung verwendet, stürzt Envoy ab, wenn die Downstream-Clientverbindung während des TLS-Handshakes getrennt wird, während der Upstream-HTTP-Stream noch aufgebaut wird. Die Trennung der Downstream-Verbindung kann entweder vom Client oder vom Server initiiert werden. Der Client kann die Verbindung aus beliebigen Gründen trennen. Der Server kann die Verbindung trennen, wenn er beispielsweise keine TLS-Chiffren oder TLS-Protokollversionen hat, die mit dem Client kompatibel sind. Möglicherweise lässt sich dieser Absturz auch in anderen Downstream-Konfigurationen auslösen.
CVE-2021-43825: Wenn eine lokal generierte Antwort gesendet wird, muss die weitere Verarbeitung von Anfrage- oder Antwortdaten beendet werden. Envoy verfolgt die Menge der zwischengespeicherten Anfrage- und Antwortdaten und bricht die Anfrage ab, wenn die Menge der zwischengespeicherten Daten das Limit überschreitet. Dazu werden die Antworten 413 oder 500 gesendet. Wenn jedoch eine lokal generierte Antwort gesendet wird, weil der interne Zwischenspeicher überläuft, während die Antwort von der Filterkette verarbeitet wird, wird der Vorgang möglicherweise nicht korrekt abgebrochen. Dies kann dazu führen, dass auf einen freigegebenen Speicherblock zugegriffen wird.
CVE-2021-43824: Envoy stürzt ab, wenn der JWT-Filter mit einer „safe_regex“-Übereinstimmungsregel und einer speziell entwickelten Anfrage wie „CONNECT host:port HTTP/1.1“ verwendet wird. Wenn der JWT-Filter erreicht wird, sollte eine „safe_regex“-Regel den URL-Pfad auswerten. Das ist hier jedoch nicht der Fall und Envoy stürzt mit Segmentierungsfehlern ab.
CVE-2022-21654: Envoy hat die Wiederaufnahme von TLS-Sitzungen nach der Neukonfiguration der mTLS-Validierungseinstellungen fälschlicherweise zugelassen. Wenn ein Clientzertifikat zwar mit der alten Konfiguration zulässig, mit der neuen Konfiguration jedoch nicht zulässig war, konnte der Client die vorherige TLS-Sitzung fortsetzen, obwohl dies mit der aktuellen Konfiguration nicht zulässig sein sollte. Änderungen an den folgenden Einstellungen sind betroffen:
- Match_subject_alt_names
- CRL-Änderungen
- Allow_expired_certificate
- Trust_chain_verification
- Only_verify_leaf_cert_crl
CVE-2022-21657: Envoy schränkt die Menge der Zertifikate, die vom Peer akzeptiert werden, nicht auf die Zertifikate ein, die die erforderliche erweiterte Schlüsselverwendung (id-kp-serverAuth bzw. id-kp-clientAuth) haben. Dies gilt sowohl für TLS-Clients als auch für TLS-Server. Das bedeutet, dass ein Kommunikationspartner ein E-Mail-Zertifikat (z. B. id-kp-emailProtection) verwenden kann – sei es als Endzertifikat oder als Zertifizierungsstelle innerhalb der Kette – und dieses dennoch für TLS akzeptiert wird. Dies ist besonders problematisch in Kombination mit CVE-2022-21656, da es einer Web-PKI-Zertifizierungsstelle, die eigentlich nur für S/MIME vorgesehen ist und daher nicht geprüft oder überwacht wird, ermöglicht, TLS-Zertifikate auszustellen, die von Envoy akzeptiert werden.
CVE-2022-21656: Die Validator-Implementierung, die zum Implementieren der Standardroutinen für die Zertifikatsvalidierung verwendet wird, weist beim Verarbeiten von subjectAltNames einen Fehler vom Typ „type confusion“ auf. Durch diese Verarbeitung kann beispielsweise ein „rfc822Name“ oder „uniformResourceIndicator“ als Domainname authentifiziert werden. Diese Verwechslung ermöglicht das Umgehen von „nameConstraints“, wie sie von der zugrunde liegenden OpenSSL-/BoringSSL-Implementierung verarbeitet werden, wodurch die Möglichkeit eines Identitätsdiebstahls beliebiger Server besteht.

Eine detaillierte Anleitung für bestimmte Produkte finden Sie in den folgenden Sicherheitsbulletins:

Cloud Service Mesh-Sicherheitsbulletin

Istio on GKE-Sicherheitsbulletin

Was soll ich tun?
Envoy-Nutzer, die ihre eigenen Envoy-Dienste verwalten, müssen die Envoy-Version 1.21.1 verwenden. Envoy-Nutzer, die ihre eigenen Envoy-Dateien verwalten, erstellen die Binärdateien aus einer Quelle wie GitHub und stellen sie bereit.

Nutzer, die verwaltete Envoy-Dienste ausführen (Google Cloud stellt die Binärdateien von Envoy bereit), für die Google Cloud Produkte auf 1.21.1 umgestellt werden, müssen keine Maßnahmen ergreifen.

Hoch

CVE-2022-23606
CVE-2022-21655
CVE-2021-43826
CVE-2021-43825
CVE-2021-43824
CVE-2022-21654
CVE-2022-21657
CVE-2022-21656

GCP-2022-007

Veröffentlicht: 22.02.2022

Beschreibung

Beschreibung Schweregrad Hinweise

Folgende Envoy- und Istio-CVEs machen Cloud Service Mesh und Istio on GKE für remote Angriffe anfällig:

CVE-2022-23635: Istiod stürzt ab, wenn Anfragen mit einem speziell entwickelten authorization-Header empfangen werden.
CVE-2021-43824: Potenzielle Nullzeiger-Dereferenzierung, wenn eine Übereinstimmung mit dem JWT-Filter safe_regex verwendet wird.
CVE-2021-43825: Use-after-Free, wenn Antwortfilter die Antwortdaten erhöhen und mehr Daten die Limits der nachgelagerten Zwischenspeicher überschreiten.
CVE-2021-43826: Use-after-Free, wenn TCP über HTTP getunnelt wird, wenn die Downstream-Verbindung während des Upstream-Verbindungsaufbaus unterbrochen wird.
CVE-2022-21654: Durch eine falsche Konfigurationsbehandlung kann die mTLS-Sitzung ohne erneute Validierung wiederverwendet werden, nachdem sich die Validierungseinstellungen geändert haben.
CVE-2022-21655: Falsche Verarbeitung interner Weiterleitungen an Routen mit einem direkten Antworteintrag.
CVE-2022-23606: Stacküberlastung, wenn ein Cluster über den Cluster Discovery-Dienst gelöscht wird.

Aktualisierung vom 23.02.2022: GKE- und GKE on VMware-Versionen aktualisiert. Eine Anleitung und weitere Informationen finden Sie unter:

Aktualisierung vom 04.02.2022: Das Roll-out-Startdatum für GKE-Patchversionen war am 2. Februar.

Drei Sicherheitslücken, CVE-2021-4154, CVE-2021-22600 und CVE-2022-0185, wurden im Linux-Kernel erkannt, von denen jede zu einem Container-Breakout, einer Rechteausweitung auf dem Host oder zu beidem führen kann. Diese Sicherheitslücken betreffen alle Knotenbetriebssysteme (COS und Ubuntu) in GKE, GKE on VMware, GKE on AWS (aktuelle und vorherige Generation) und GKE on Azure. Pods, die GKE Sandbox verwenden, sind nicht anfällig für diese Sicherheitslücken. Weitere Informationen finden Sie in den Versionshinweisen.

Eine Anleitung und weitere Informationen finden Sie unter:

Hoch

GCP-2022-001

Veröffentlicht: 06.01.2022

Beschreibung

Beschreibung Schweregrad Hinweise

Beim Parsen von Binärprogrammdaten wurde ein potenzielles Denial-of-Service-Problem in protobuf-java entdeckt.

Was soll ich tun?

Achten Sie darauf, dass Sie die neuesten Versionen der folgenden Softwarepakete verwenden:

protobuf-java (3.16.1, 3.18.2, 3.19.2)
protobuf-kotlin (3.18.2, 3.19.2)
google-protobuf [JRuby gem] (3.19.2)

Protobuf-Nutzer von „javalite“ (in der Regel Android) sind nicht betroffen.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Dieser Patch minimiert die Auswirkungen der folgenden Sicherheitslücke:

Eine Implementierungsschwäche beim Parsen unbekannter Felder in Java. Eine kleine (ca. 800 KB) schädliche Nutzlast kann den Parser mehrere Minuten lang belegen, indem sie eine große Anzahl kurzlebiger Objekte erstellt, die häufige, wiederholte Pausen bei der automatische Speicherbereinigung verursachen.

Hoch

CVE-2021-22569

GCP-2021-024

Veröffentlicht: 21.10.2021

Beschreibung

Schweregrad

Hinweise

Im Kubernetes-Controller Ingress-nginx wurde das Sicherheitsproblem CVE-2021-25742 festgestellt. Eine Sicherheitslücke in Ingress-nginx ermöglicht es durch die Verwendung von Custom-Snippets, Dienstkonto-Tokens und Secrets aus allen Namespaces abzurufen.

Eine Anleitung und weitere Informationen finden Sie unter:

Keiner

CVE-2021-25742

GCP-2021-019

Veröffentlicht: 29,09,2021

Beschreibung

Beschreibung Schweregrad Hinweise

Es gibt ein bekanntes Problem, das Auftritt, wenn eine BackendConfig-Ressource mithilfe der v1beta1 API aktualisiert wird, was dazu führen kann, dass eine aktive Google Cloud Armor-Sicherheitsrichtlinie aus ihrem Dienst entfernt wird.

Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Niedrig

GCP-2021-022

Veröffentlicht: 22.09.2021

Beschreibung

Schweregrad

Hinweise

Im AIS-LDAP-Modul (Anthos Identity Service) von GKE on VMware-Versionen 1.8 und 1.8.1 wurde eine Sicherheitslücke entdeckt, bei der ein Quellschlüssel zum Generieren von Schlüsseln vorhersehbar ist. Mit dieser Sicherheitslücke könnte ein authentifizierter Nutzer beliebige Anforderungen hinzufügen und Berechtigungen auf unbestimmte Zeit eskalieren.

Anleitungen und weitere Informationen finden Sie im GKE on VMware-Sicherheitsbulletin.

Hoch

GCP-2021-021

Veröffentlicht: 22.09.2021

Beschreibung

Schweregrad

Hinweise

In Kubernetes wurde die Sicherheitslücke CVE-2020-8561 erkannt, bei der bestimmte Webhooks erstellt werden können, um kube-apiserver-Anfragen an private Netzwerke dieses API-Servers weiterzuleiten.

Eine Anleitung und weitere Informationen finden Sie unter:

Mittel

CVE-2020-8561

GCP-2021-023

Veröffentlicht: 21.09.2021

Beschreibung

Schweregrad

Hinweise

Gemäß der VMware-Sicherheitsempfehlung VMSA-2021-0020 hat VMware Berichte zu mehreren Sicherheitslücken in vCenter erhalten. VMware hat Aktualisierungen vorgenommen, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben.

Wir haben die von VMware bereitgestellten Patches für den vSphere-Stack bereits gemäß der VMware-Sicherheitsempfehlung auf Google Cloud VMware Engine angewendet. Mit diesem Update werden die in CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 und CVE-2021-22010 beschriebenen Sicherheitslücken behoben. Andere nicht kritische Sicherheitsprobleme werden im nächsten VMware-Stack-Upgrade behoben (siehe Vorabankündigung vom Juli). Weitere Details zur spezifischen Zeitachse des Upgrades werden bald bereitgestellt.

Auswirkungen auf VMware Engine

Unsere Untersuchungen haben ergeben, dass davon keine Kunden betroffen waren.

Was soll ich tun?

Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich.

Kritisch

GCP-2021-020

Veröffentlicht: 17.09.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Bestimmte Google Cloud Load Balancer, die Weiterleitungen an einen für das Identity-Aware Proxy (IAP) aktivierten Backend-Dienst vornehmen, können unter bestimmten Bedingungen von einer nicht vertrauenswürdige Partei missbraucht werden. Damit wurde ein über das Prämienprogramm für die Meldung von Sicherheitslücken gemeldetes Problem behoben.

Die Bedingungen waren, dass die Server:

HTTP(S)-Load Balancer waren und
ein Standard-Backend oder ein Backend mit einer Platzhalter-Hostzuordnungsregel (d. h. host="*") nutzten

Darüber hinaus musste ein Nutzer in Ihrer Organisation auf einen speziell erstellten Link geklickt haben, der von einer nicht vertrauenswürdigen Partei gesendet wurde.

Dieses Problem wurde behoben. IAP wurde am 17. September 2021 so aktualisiert, dass Cookies nur noch für autorisierte Hosts ausgegeben werden. Ein Host gilt als autorisiert, wenn er mit mindestens einem SAN (Subject Alternative Name) in einem der Zertifikate übereinstimmt, die auf Ihren Load Balancern installiert sind.

Was muss ich tun?

Einigen Ihrer Nutzer:innen wird möglicherweise beim Versuch, auf Anwendungen oder Dienste zuzugreifen, die Antwort „HTTP 401 – Unauthorized“ mit dem IAP-Fehlercode 52 angezeigt. Dieser Fehlercode bedeutet, dass der Client einen Host-Header gesendet hat, der nicht mit einem der alternativen Antragstellernamen (Subject Alternative Name, SAN) übereinstimmt, die mit den SSL-Zertifikaten des Load Balancers verknüpft sind. Der Aministrator des Load Balancers das SSL-Zertifikat aktualisieren, damit die SAN-Liste alle Hostnamen enthält, über die Nutzer auf IAP-geschützte Anwendungen oder Dienste zugreifen. Hier finden Sie weitere Informationen zu IAP-Fehlercodes.

Hoch

GCP-2021-018

Veröffentlicht: 15.09.2021
Aktualisiert: 20.09.2021

Beschreibung

Schweregrad

Hinweise

Ein Sicherheitsproblem in Kubernetes (CVE-2021-25741) wurde festgestellt, bei dem Nutzer möglicherweise einen Container mit Unterpfad-Volume-Bereitstellungen erstellen können, um auf Dateien und Verzeichnisse außerhalb des Volumes, z. B. im Hostdateisystem, zuzugreifen.

Eine Anleitung und weitere Informationen finden Sie unter:

Hoch

CVE-2021-25741

GCP-2021-017

Veröffentlicht: 01.09.2021
Aktualisiert: 23.09.2023

Beschreibung

Schweregrad

Hinweise

Schweregrad

Hinweise

Microsoft hat ein Sicherheitsbulletin CVE-2021-34527 zu einer Sicherheitslücke (Remote Code Execution, RCE) veröffentlicht, die Auswirkungen auf die Druckwarteschlange bei Windows-Servern hat. Das CERT Coordination Center (CERT/CC) hat einen Hinweis zu einer ähnlichen Sicherheitslücke mit dem Namen "PrintNightmare" veröffentlicht. Auch diese hat Auswirkungen auf Windows-Druckwarteschlangen – PrintNightmare, kritische Windows-Sicherheitslücke für Druckwarteschlange.

Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Hoch

CVE-2021-34527

GCP-2021-012

Veröffentlicht: 24.06.2021
Aktualisiert: 09.07.21

Beschreibung

Schweregrad

Hinweise

Das Istio-Projekt hat vor Kurzem eine Sicherheitslücke gemeldet, über die auf in den Feldern „Gateway“ und „DestinationRule credentialName“ angegebenen Anmeldedaten von verschiedenen Namespaces aus zugegriffen werden kann.

Produktspezifische Anleitungen und weitere Informationen finden Sie unter:

Cloud Service Mesh-Sicherheitsbulletin.
GKE Enterprise-Sicherheitsbulletin GCP-2021-012 für Informationen speziell für Google Kubernetes Engine, Google Distributed Cloud Virtual for Bare Metal und GKE on VMware.

Hoch

CVE-2021-34824

GCP-2021-011

Veröffentlicht: 04.06.2021
Aktualisiert: 19.10.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Aktualisierung vom 19.10.2021:

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Die Sicherheits-Community hat kürzlich eine neue Sicherheitslücke (CVE-2021-30465) entdeckt, die in runc enthalten ist und möglicherweise einen vollständigen Zugriff auf ein Knotendateisystem ermöglicht.

Da für die Ausnutzung dieser Sicherheitslücke das Erstellen von Pods erforderlich ist, haben wir den Schweregrad dieser Sicherheitslücke mit MITTEL bewertet.

Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Mittel

CVE-2021-30465

GCP-2021-010

Veröffentlicht: 25.05.2021

Beschreibung

Schweregrad

Hinweise

Gemäß VMware-Sicherheitsempfehlung VMSA-2021-0010 wurden die Remote-Codeausführung und die Authentifizierung über die Sicherheitslücken im vSphere-Client (HTML5) privat an VMware gemeldet. VMware hat Aktualisierungen vorgenommen, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben.

Wir haben die von VMware bereitgestellten Patches gemäß der VMware-Sicherheitsempfehlung für den vSphere-Stack angewendet. Mit diesem Update werden Sicherheitslücken behoben, die in CVE-2021-21985 und CVE-2021-21986 beschrieben wurden. Die Image-Versionen in Ihrer privaten VMware Engine-Cloud ändern sich durch die eingespielten Patches derzeit nicht sichtbar. Sie können sich darauf verlassen, dass entsprechende Patches installiert und Ihre Umgebung vor diesen Sicherheitslücken geschützt wird.

Auswirkungen auf VMware Engine

Hinweise

Das Istio-Projekt hat kürzlich eine neue Sicherheitslücke offengelegt (CVE-2021-31920), die Istio betrifft.

Istio enthält eine aus der Ferne ausnutzbare Sicherheitslücke, bei der eine HTTP-Anfrage mit mehreren Schrägstrichen oder mit maskierten Schrägstrichzeichen die Istio-Autorisierungsrichtlinie umgehen kann, wenn pfadbasierte Autorisierungsregeln verwendet werden.

Eine Anleitung und weitere Informationen finden Sie unter:

GKE-Sicherheitsbulletin

Hoch

CVE-2021-31920

GCP-2021-005

Veröffentlicht: 11.05.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Eine gemeldete Sicherheitslücke hat gezeigt, dass Envoy die maskierten Schrägstrich-Sequenzen %2F und %5C in HTTP-URL-Pfaden in den Envoy-Versionen bis 1.18.2 nicht decodiert. Darüber hinaus aktivieren einige Envoy-basierte Produkte keine Steuerelemente zur Pfadnormalisierung. Ein Remote-Angreifer kann einen Pfad mit maskierten Schrägstrichen erstellen (z. B. /something%2F..%2Fadmin,), um die Zugriffssteuerung zu umgehen (z. B. einen Block auf /admin). Ein Backend-Server könnte dann die Schrägstrich-Sequenzen decodieren und den Pfad normalisieren, um Angreifern Zugriff über den durch die Zugriffssteuerungsrichtlinie zugelassenen Umfang hinaus zu ermöglichen.

Was soll ich tun?

Wenn Backend-Server / und %2F oder \ und %5C austauschbar behandeln und ein URL-Pfad-basierter Abgleich konfiguriert ist, empfehlen wir, den Backend-Server so neu zu konfigurieren, dass er \ und %2F oder \ und %5C nicht mehr austauschbar behandelt, wenn möglich.

Welche Verhaltensänderungen wurden eingeführt?

Die Envoy-Optionen normalize_path und angrenzende Schrägstriche zusammenführen wurden aktiviert, um andere gängige Sicherheitslücken im Zusammenhang mit der Verwechslung von Pfaden in Envoy-basierten Produkten zu beheben.

Hoch

CVE-2021-29492

GCP-2021-004

Veröffentlicht: 06.05.2021

Beschreibung

Schweregrad

Hinweise

In den Envoy- und Istio-Projekten wurden kürzlich mehrere neue Sicherheitslücken bekanntgegeben (CVE-2021-28683, CVE-2021-28682 und CVE-2021-29258), die es einem Angreifer ermöglichen könnten, Envoy abstürzen zu lassen.

In Google Kubernetes Engine-Clustern wird Istio nicht standardmäßig ausgeführt und daher sind sie nicht anfällig. Wenn Istio in einem Cluster installiert und so konfiguriert ist, dass Dienste im Internet verfügbar sind, können diese Dienste anfällig für Denial-of-Service-Angriffe sein.

Google Distributed Cloud Virtual for Bare Metal und GKE on VMware verwenden standardmäßig Envoy für Ingress, sodass Ingress-Dienste anfällig für Denial of Service sind.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Mittel

GCP-2021-003

Veröffentlicht: 19.04.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Das Kubernetes-Projekt hat vor Kurzem eine neue Sicherheitslücke (CVE-2021-25735) bekannt gegeben. Damit können Knoten-Updates einen validierenden Zulassungs-Webhook umgehen.

In einem Szenario, in dem ein Angreifer ausreichende Berechtigungen hat und in dem ein validierender Zulassungs-Webhook implementiert ist, der alte Node-Objektattribute wie z. B. Felder in Node.NodeSpec verwendet, kann der Angreifer Aktualisierungen von Attributen eines Knotens vornehmen. Dies führt eventuell zu einer Clustermanipulation. Keine der Richtlinien, die von GKE und von den integrierten Zulassungs-Controllern von Kubernetes erzwungen werden, sind davon betroffen. Wir empfehlen Kunden aber, alle zusätzlich installierten Zulassungs-Webhooks zu prüfen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Mittel

CVE-2021-25735

GCP-2021-002

Veröffentlicht: 05.03.2021

Beschreibung

Schweregrad

Hinweise

In der VMware-Sicherheitsempfehlung VMSA-2021-0002 hat VMware Berichte über mehrere Sicherheitslücken in VMware ESXi und vSphere Client (HTML5) erhalten. VMware hat Aktualisierungen vorgenommen, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben.

Wir haben uns der offiziell dokumentierten Problemumgehung für den vSphere-Stack entsprechend der VMware-Sicherheitsempfehlung bedient. Mit diesem Update werden Sicherheitslücken behoben, die in CVE-2021-21972, CVE-2021-21973 und CVE-2021-21974 beschrieben sind.

Auswirkungen auf VMware Engine

Unsere Untersuchungen haben ergeben, dass davon keine Kunden betroffen waren.

Was soll ich tun?

Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich.

Kritisch

GCP-2021-001

Veröffentlicht: 28.01.2021

Beschreibung

Beschreibung Schweregrad Hinweise

Im Linux-Dienstprogramm sudo wurde eine Sicherheitslücke entdeckt, die in CVE-2021-3156 beschrieben wurde. Dies könnte einem Angreifer mit nicht privilegierten lokalen Shell-Zugriff auf einem System mit installiertem sudo ermöglichen, seine Berechtigungen auf das Root-System auszuweiten.

Die zugrunde liegende Infrastruktur, auf der Compute Engine ausgeführt wird, ist von dieser Sicherheitslücke nicht betroffen.

Alle Cluster von Google Kubernetes Engine (GKE), GKE on VMware, GKE on AWS und Google Distributed Cloud Virtual for Bare Metal sind von dieser Sicherheitslücke nicht betroffen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

Keiner

CVE-2021-3156

GCP-2020-015

Veröffentlicht: 07.12.2020
Aktualisiert: 22.12.2020

Beschreibung

Beschreibung Schweregrad Hinweise

Aktualisiert am 22.12.2021: Der Befehl für GKE im folgenden Abschnitt sollte gcloud beta anstelle des Befehls gcloud verwenden.

gcloud container clusters update –no-enable-service-externalips

Aktualisiert am 15.12.2021: Für GKE ist jetzt die folgende Korrektur verfügbar:

Ab GKE-Version 1.21 werden Dienste mit externen IP-Adressen von einem DenyServiceExternalIPs-Zugangs-Controller blockiert, der standardmäßig für neue Cluster aktiviert ist.
Kunden, die ein Upgrade auf die GKE-Version 1.21 ausführen, können mit dem folgenden Befehl Dienste mit externen IP-Adressen blockieren:
```
gcloud container clusters update –no-enable-service-externalips
```

Weitere Informationen finden Sie unter Clustersicherheit härten.

Im Kubernetes-Projekt wurde kürzlich eine neue Sicherheitslücke entdeckt (CVE-2020-8554) Dabei kann ein Angreifer, der Berechtigungen erhalten hat, einen Kubernetes-Dienst vom Typ „LoadBalancer“ oder „ClusterIP“ erstellen, um Netzwerkverkehr abzufangen, der von anderen Pods im Cluster stammt. Diese Sicherheitslücke allein gibt einem Angreifer keine Berechtigung zum Erstellen eines Kubernetes-Dienstes.

Alle Google Kubernetes Engine (GKE)-, GKE on VMware- und GKE on AWS-Cluster sind von dieser Sicherheitslücke betroffen.

Was soll ich tun?

Eine Anleitung und weitere Informationen finden Sie unter:

Mittel

CVE-2020-8554

GCP-2020-014

Veröffentlicht: 20.10.2020
Aktualisiert: 20.10.2020

Beschreibung

Schweregrad

Hinweise

Beim Kubernetes-Projekt wurden unlängst mehrere Probleme entdeckt, durch die es zur Offenlegung von Secret-Daten kommen kann, wenn Optionen für das ausführliche Logging aktiviert sind. Die Probleme sind:

CVE-2020-8563: Schwachstellen bei Secrets in Logs für den kube-controller-manager des vSphere-Anbieters
CVE-2020-8564: Schwachstellen bei Docker-Konfigurations-Secrets, wenn die Datei fehlerhaft und loglevel >= 4 ist
CVE-2020-8565: Unvollständige Fehlerkorrektur für CVE-2019-11250 in Kubernetes ermöglicht Schwachstellen bei Tokens in Logs mit logLevel >= 9. Von GKE-Sicherheit erkannt.
CVE-2020-8566: adminSecrets von Ceph RBD in Logs mit loglevel >= 4 offengelegt

Was soll ich tun?

Aufgrund der Standardebenen für das ausführliche Logging von GKE sind keine weiteren Maßnahmen erforderlich.

Keiner

Google Cloud Auswirkungen

Details zu den einzelnen Produkten sind unten aufgeführt.

Produkt	Auswirkungen
Google Kubernetes Engine (GKE)	Google Kubernetes Engine (GKE) ist nicht betroffen.
GKE On-Prem	GKE On-Prem ist nicht betroffen.
GKE on AWS	GKE on AWS ist nicht betroffen.

GCP-2020-013

Veröffentlicht: 29.09.2020

Beschreibung

Microsoft hat die folgende Sicherheitslücke entdeckt:

Sicherheitslücke	Schweregrad	CVE
CVE-2020-1472: Durch eine Sicherheitslücke in Windows Server können Angreifer mit dem Netlogon Remote Protocol eine speziell entwickelte Anwendung auf einem Gerät im Netzwerk ausführen.	NVD Base Score: 10 (Kritisch)	CVE-2020-1472

Weitere Informationen finden Sie in der Microsoft-Bekanntmachung.

Google Cloud Auswirkungen

Die Infrastruktur, in der Google Cloud und Google-Produkte gehostet werden, ist von dieser Sicherheitslücke nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.

Produkt	Auswirkungen
Compute Engine	CVE-2020-1472 Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich. Kunden, die virtuelle Compute Engine-Maschinen mit Windows Server verwenden, sollten darauf achten, dass auf ihre Instanzen der neueste Windows-Patch aufgespielt wurde oder sie nach dem 17.08.2020 veröffentlichte Windows Server-Images nutzen (Version 20200813 oder höher).
Google Kubernetes Engine	CVE-2020-1472 Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich. Kunden, die Domain-Controller in ihren GKE Windows Server-Knoten hosten, sollten darauf achten, dass sowohl die Knoten als auch die containerisierten Arbeitslasten, die auf diesen Knoten ausgeführt werden, das neueste Windows-Knoten-Image haben, wenn es verfügbar ist. Eine neue Knoten-Image-Version wird im Oktober in den GKE-Versionshinweisen angekündigt.
Managed Service for Microsoft Active Directory	CVE-2020-1472 Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich. Der von Microsoft veröffentlichte August-Patch, der Korrekturen an dem NetLogon-Protokoll enthält, wurde auf alle verwalteten Microsoft AD-Domaincontroller angewendet. Dieser Patch bietet Funktionen zum Schutz vor potenzieller Ausnutzung. Der rechtzeitige Einsatz von Patches ist einer der Hauptvorteile des Managed Service for Microsoft Active Directory. Kunden, die Microsoft Active Directory manuell ausführen (und nicht den verwalteten Google Cloud-Dienst verwenden) sollten darauf achten, dass ihre Instanzen den neuesten Windows-Patch aufgespielt haben oder Windows Server-Images verwenden.
Google Workspace	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
App Engine-Standardumgebung	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Flexible App Engine-Umgebung	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Cloud Run	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Cloud Run Functions	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Cloud Composer	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Dataflow	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Dataproc	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Cloud SQL	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

GCP-2020-012

Veröffentlicht: 14.09.2020
Aktualisiert: 17.09.2020

Beschreibung

Schweregrad

Hinweise

Im Linux-Kernel wurde eine Sicherheitslücke entdeckt, die unter CVE-2020-14386 beschrieben ist. Damit kann Container-Escape Root-Berechtigungen für den Hostknoten erhalten.

Alle GKE-Knoten sind betroffen. In GKE Sandbox ausgeführte Pods können diese Sicherheitslücke nicht ausnutzen.

Eine Anleitung und weitere Informationen finden Sie unter:

Welche Sicherheitslücke wird mit diesem Patch behoben?

Der Patch mindert die Anfälligkeit der folgenden Sicherheitslücke:

Die Sicherheitslücke CVE-2020-14386 ermöglicht Containern mit CAP_NET_RAW
1 bis 10 Byte des Kernel-Speichers zu schreiben und möglicherweise aus dem Container auszubrechen, um Root-Berechtigungen auf dem Hostknoten zu erhalten. Der Schweregrad dieser Sicherheitslücke ist "Hoch".

Hoch

CVE-2020-14386

GCP-2020-011

Veröffentlicht: 24.07.2020

Beschreibung

Schweregrad

Hinweise

Bei Kubernetes wurde vor Kurzem eine Sicherheitslücke im Netzwerk, CVE-2020-8558, entdeckt. Dienste kommunizieren manchmal über die lokale Loopback-Schnittstelle (127.0.0.1) mit anderen Anwendungen, die im gleichen Pod ausgeführt werden. Diese Sicherheitslücke ermöglicht einem Angreifer mit Zugriff auf das Netzwerk des Clusters, Traffic an die Loopback-Schnittstelle von angrenzenden Pods und Knoten zu senden. Dienste, die darauf angewiesen sind, dass die Loopback-Schnittstelle außerhalb ihres Pods nicht zugänglich ist, könnten ausgenutzt werden.

Eine Anleitung und weitere Informationen finden Sie unter:

Niedrig (GKE und GKE on AWS),
Mittel (GKE on VMware)

CVE-2020-8558

GCP-2020-010

Veröffentlicht: 27.07.2020

Beschreibung

Microsoft hat die folgende Sicherheitslücke entdeckt:

Sicherheitslücke	Schweregrad	CVE
CVE-2020-1350: Windows-Server, die als DNS-Server dienen, können ausgenutzt werden, um nicht vertrauenswürdigen Code über das lokale Systemkonto auszuführen.	NVD Base Score: 10,0 (Kritisch)	CVE-2020-1350

Weitere Informationen finden Sie in der Microsoft-Bekanntmachung.

Google Cloud Auswirkungen

Die Infrastruktur, in der Google Cloud und Google-Produkte gehostet werden, ist von dieser Sicherheitslücke nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.

Produkt	Auswirkungen
Compute Engine	CVE-2020-1350 Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich. Kunden, die virtuelle Compute Engine-Maschinen verwenden, auf denen Windows Server als DNS-Server ausgeführt werden, sollten darauf achten, dass ihre Instanzen den neuesten Windows-Patch haben oder Windows Server-Images verwenden, die seit dem 14.07.2020 bereitgestellt werden.
Google Kubernetes Engine	CVE-2020-1350 Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich. Kunden, die GKE mit Windows Server-Knoten in einer DNS-Serverkapazität verwenden, müssen die Knoten und die containerisierten Arbeitslasten, die auf diesen Knoten ausgeführt werden, manuell auf eine Windows-Serverversion aktualisieren, die die Fehlerbehebung beinhaltet.
Managed Service for Microsoft Active Directory	CVE-2020-1350 Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich. Alle verwalteten Microsoft AD-Domains wurden automatisch mit dem gepatchten Image aktualisiert. Alle Kunden, die Microsoft Active Directory manuell ausführen und Managed Microsoft AD nicht verwenden, sollten dafür sorgen, dass ihre Instanzen den neuesten Windows-Patch haben oder Windows Server-Images verwenden, die seit dem 14.07.2020 bereitgestellt werden.
Google Workspace	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
App Engine-Standardumgebung	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Flexible App Engine-Umgebung	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Cloud Run	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Cloud Run Functions	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Cloud Composer	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Dataflow	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Dataproc	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Cloud SQL	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

GCP-2020-009

Veröffentlicht: 15.07.2020

Beschreibung

Schweregrad

Veröffentlicht: 31.03.2020
Aktualisiert: 31.03.2020

Beschreibung

Kubernetes hat die folgenden Sicherheitslücken bekanntgegeben:

Sicherheitslücke	Schweregrad	CVE
CVE-2019-11254 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft.	Mittel	CVE-2019-11254

Weitere Informationen und Anleitungen finden Sie im GKE on VMware-Sicherheitsbulletin.

GCP-2020-003

Veröffentlicht: 31.03.2020
Aktualisiert: 31.03.2020

Beschreibung

Kubernetes hat die folgenden Sicherheitslücken bekanntgegeben:

Sicherheitslücke	Schweregrad	CVE
CVE-2019-11254 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft.	Mittel	CVE-2019-11254

Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.

GCP-2020-002

Veröffentlicht: 23.03.2020
Aktualisiert: 23.03.2020

Beschreibung

Kubernetes hat die folgenden Sicherheitslücken bekanntgegeben:

Sicherheitslücke	Schweregrad	CVE
CVE-2020-8551 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die das Kubelet betrifft.	Mittel	CVE-2020-8551
CVE-2020-8552 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft.	Mittel	CVE-2020-8552

Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.

GCP-2020-001

Veröffentlicht: 21.01.2020
Aktualisiert: 21.01.2020

Beschreibung

Microsoft hat die folgende Sicherheitslücke entdeckt:

Sicherheitslücke	Schweregrad	CVE
CVE-2020-0601 – Diese Sicherheitslücke wird auch als Windows Crypto API-Spoofing-Sicherheitslücke bezeichnet. Sie könnte dazu genutzt werden, schädliche ausführbare Dateien vertrauenswürdig zu machen oder dem Angreifer Man-in-the-Middle-Angriffe zu ermöglichen und vertrauliche Informationen über Nutzerverbindungen mit der betroffenen Software zu entschlüsseln.	NVD Base Score: 8,1 (hoch)	CVE-2020-0601

Weitere Informationen finden Sie in der Microsoft-Bekanntmachung.

Google Cloud Auswirkungen

Die Infrastruktur, in der Google Cloud und Google-Produkte gehostet werden, ist von dieser Sicherheitslücke nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.

Produkt	Auswirkungen
Compute Engine	CVE-2020-0601 Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich. Kunden, die virtuelle Compute Engine-Maschinen mit Windows Server verwenden, sollten dafür sorgen, dass ihre Instanzen den neuesten Windows-Patch haben oder Windows Server-Images verwenden, die seit dem 15. Januar 2020 bereitgestellt werden. Weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.
Google Kubernetes Engine	CVE-2020-0601 Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich. Kunden, die GKE mit Windows Server-Knoten verwenden, müssen sowohl die Knoten als auch die containerbasierten Arbeitslasten, die auf diesen Knoten ausgeführt werden, auf gepatchte Versionen aktualisieren, um diese Sicherheitslücke zu verringern. Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.
Managed Service for Microsoft Active Directory	CVE-2020-0601 Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich. Alle verwalteten Microsoft AD-Domains wurden automatisch mit dem gepatchten Image aktualisiert. Alle Kunden, die Microsoft Active Directory manuell ausführen und Managed Microsoft AD nicht verwenden, sollten dafür sorgen, dass ihre Instanzen den neuesten Windows-Patch haben oder Windows Server-Images verwenden, die seit dem 15. Januar 2020 bereitgestellt werden.
Google Workspace	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
App Engine-Standardumgebung	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Flexible App Engine-Umgebung	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Cloud Run	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Cloud Run Functions	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Cloud Composer	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Dataflow	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Dataproc	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.
Cloud SQL	Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

GCP-2019-001

Veröffentlicht: 12.11.2019
Aktualisiert: 12.11.2019

Beschreibung

Die folgenden Sicherheitslücken wurden von Intel offengelegt:

Sicherheitslücke	Schweregrad	CVE
CVE-2019-11135 — Diese als TSX Async Abort (TAA) bezeichnete Sicherheitslücke kann ausgenutzt werden, um die spekulative Ausführung innerhalb einer TSX-Transaktion anzugreifen. Diese Sicherheitslücke bringt das Risiko mit sich, dass Daten Angriffen über dieselben mikroarchitektonischen Datenstrukturen ausgesetzt sind wie durch Microarchitectural Data Sampling (MDS).	Mittel	CVE-2019-11135
CVE-2018-12207 — Dies ist eine DoS-Sicherheitslücke (Denial of Service), die Host-VMs betrifft (nicht aber Gast-VMs). Das Problem ist als "Machine Check Error on Page Size Change" bekannt.	Mittel	CVE-2018-12207

Weitere Informationen finden Sie in den Sicherheitshinweisen von Intel:

Google Cloud Auswirkungen

Die Infrastruktur, in der die Google Cloud und Google-Produkte gehostet werden, ist von diesen Sicherheitslücken nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.

Produkt	Auswirkungen
Compute Engine	CVE-2019-11135 Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich. N2-, C2- oder M2-Kunden, die auf virtuellen Maschinen von Compute Engine für ihre eigenen Dienste mit mehreren Mandanten nicht vertrauenswürdigen Code ausführen, sollten ihre VMs beenden und wieder starten, um sich durch die neuesten Sicherheitsmaßnahmen zu schützen. Hinweis: Weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin. CVE-2018-12207 Auf Kundenseite sind keine weiteren Maßnahmen erforderlich.
Google Kubernetes Engine	CVE-2019-11135 Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich. Wenn Sie Knotenpools mit N2-, M2- oder C2-Knoten verwenden und für diese Knoten in Ihren eigenen GKE-Clustern mit mehreren Mandanten nicht vertrauenswürdigen Code ausführen, sollten Sie Ihre Knoten neu starten. Wenn Sie alle Knoten in Ihrem Knotenpool neu starten möchten, müssen Sie den betroffenen Knotenpool aktualisieren. Hinweis: Sie können dieselbe GKE-Version für ein Upgrade Ihres Knotenpools angeben. Weitere Informationen finden Sie im GKE-Sicherheitsbulletin. CVE-2018-12207 Auf Kundenseite sind keine weiteren Maßnahmen erforderlich.
App Engine-Standardumgebung	Es sind keine weiteren Maßnahmen erforderlich.
Flexible App Engine-Umgebung	CVE-2019-11135 Es sind keine weiteren Maßnahmen erforderlich. Kunden sollten die Best Practices von Intel bezüglich der Anwendungsfreigabe überprüfen. Diese kann innerhalb einer Flex-VM zwischen Hyperthreads auftreten. CVE-2018-12207 Es sind keine weiteren Maßnahmen erforderlich.
Cloud Run	Es sind keine weiteren Maßnahmen erforderlich.
Cloud Run Functions	Es sind keine weiteren Maßnahmen erforderlich.
Cloud Composer	Es sind keine weiteren Maßnahmen erforderlich.
Dataflow	CVE-2019-11135 Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich. Dataflow-Kunden, die mehrere von Dataflow verwaltete, nicht vertrauenswürdige Arbeitslasten auf N2-, C2- oder M2-VMs in Compute Engine ausführen und sich Sorgen um interne Angriffe von Gast-VMs machen, sollten alle aktuell ausgeführten Streamingpipelines neu starten. Optional können Batchpipelines beendet und neu ausgeführt werden. Für Pipelines, die nach dem heutigen Datum gestartet werden, sind keine Maßnahmen erforderlich. CVE-2018-12207 Auf Kundenseite sind keine weiteren Maßnahmen erforderlich.
Dataproc	CVE-2019-11135 Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich. Cloud Dataproc-Kunden, die mehrere nicht vertrauenswürdige Arbeitslasten auf demselben Cloud Dataproc-Cluster ausführen, der auf N2-, C2- oder M2-VMs in Compute Engine ausgeführt wird, und die sich Sorgen um interne Angriffe von Gast-VMs machen, sollten ihre Cluster neu bereitstellen. CVE-2018-12207 Auf Kundenseite sind keine weiteren Maßnahmen erforderlich.
Cloud SQL	Es sind keine weiteren Maßnahmen erforderlich.

Sicherheitsbulletins Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

GCP-2025-041

Beschreibung

GCP-2025-040

Beschreibung

Was soll ich tun?

GCP-2025-039

Beschreibung

GCP-2025-038

Beschreibung

GCP-2025-037

Was soll ich tun?

GCP-2025-036

Beschreibung

GCP-2025-035

Beschreibung

GCP-2025-034

Beschreibung

GCP-2025-033

Beschreibung

GCP-2025-032

Beschreibung

GCP-2025-031

Beschreibung

GCP-2025-030

Was soll ich tun?

GCP-2025-029

Was soll ich tun?

GCP-2025-028

Was soll ich tun?

GCP-2025-027

Beschreibung

Was soll ich tun?

Welche Sicherheitslücken werden behoben?

Wir sind für Sie da

GCP-2025-026

Was soll ich tun?

GCP-2025-025

Beschreibung

Was soll ich tun?

Welche Sicherheitslücken werden behoben?

Wir sind für Sie da

GCP-2025-024

Beschreibung

Was soll ich tun?

Welche Sicherheitslücken werden behoben?

GCP-2025-023

Beschreibung

GCP-2025-022

Beschreibung

GCP-2025-021

Beschreibung

GCP-2025-020

Beschreibung

Was soll ich tun?

GCP-2025-019

Beschreibung

GCP-2025-018

Beschreibung

GCP-2025-017

Beschreibung

GCP-2025-016

Beschreibung

GCP-2025-015

Beschreibung

GCP-2025-014

Beschreibung

GCP-2025-013

Beschreibung

GCP-2025-012

Beschreibung

GCP-2025-011

Auswirkungen auf VMware Engine

Was soll ich tun?

GCP-2025-010

Beschreibung

GCP-2025-009

Beschreibung

GCP-2025-008

Beschreibung

Sicherheitsbulletins