Buletin Keamanan

Buletin keamanan berikut terkait dengan produk Google Cloud .

Gunakan feed XML ini untuk berlangganan buletin keamanan untuk halaman ini. Berlangganan

GCP-2025-041

Dipublikasikan: 21-07-2025

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu:

  • CVE-2025-37890

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2025-37890

GCP-2025-040

Dipublikasikan: 15-07-2025

Deskripsi

Deskripsi Keparahan Catatan

Menurut saran VMSA-2025-0013, beberapa kerentanan di VMware ESXi dilaporkan secara pribadi kepada Broadcom.

Kami telah menambal kerentanan ini atau sedang dalam proses menerapkan patch yang diperlukan yang disediakan oleh Broadcom. Tidak ada solusi yang diketahui untuk kerentanan yang dilaporkan ini.

Setelah di-patch, deployment VMware Engine Anda harus menjalankan ESXi 7.0U3w atau ESXi 8.0U3f atau yang lebih baru.

Apa yang harus saya lakukan?

Google merekomendasikan pelanggan untuk memantau workload mereka di VMware Engine untuk mengetahui aktivitas yang tidak wajar.

 Sedang hingga Kritis

GCP-2025-039

Dipublikasikan: 15-07-2025

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2025-38083

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2025-38083

GCP-2025-038

Dipublikasikan: 09-07-2025

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2025-37752

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2025-37752

GCP-2025-037

Dipublikasikan: 08-07-2025

Deskripsi Keparahan Catatan

AMD telah mengungkapkan dua kerentanan yang memengaruhi CPU AMD EPYC generasi ke-2 (Rome), generasi ke-3 (Milan), dan generasi ke-4 (Genoa). Kerentanan ini memungkinkan penyerang menyimpulkan data dari penyimpanan sebelumnya atau cache L1D, yang berpotensi menyebabkan kebocoran informasi sensitif.

Google telah meluncurkan mitigasi yang mencegah kebocoran informasi ini antar-VM.

Masih ada potensi bahwa proses dalam satu VM dapat mengeksploitasi kerentanan ini.

Apa yang harus saya lakukan?

Setelah 8 Juli 2025, mitigasi tingkat tamu yang melindungi dari serangan intra-tamu tersedia untuk VM berikut:

  • VM yang dimulai untuk pertama kalinya.
  • VM yang dihentikan sepenuhnya dan dimulai lagi. Mulai ulang sistem operasi tidak akan mengaktifkan mitigasi, dan VM itu sendiri harus dimulai ulang sepenuhnya untuk mengaktifkan mitigasi. Kernel sistem operasi tamu harus mendukung mitigasi ini agar efektif.

Untuk mengetahui informasi selengkapnya, lihat buletin keamanan AMD AMD-SB-7029.

Sedang

GCP-2025-036

Dipublikasikan: 01-07-2025

Diperbarui: 21-07-2025

Deskripsi

Deskripsi Keparahan Catatan

21-07-2025: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2025-38001

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2025-38001

GCP-2025-035

Dipublikasikan: 17-06-2025

Diperbarui: 21-07-2025

Deskripsi

Deskripsi Keparahan Catatan

21-07-2025: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2025-37997

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2025-37997

GCP-2025-034

Dipublikasikan: 17-06-2025

Diperbarui: 21-07-2025

Deskripsi

Deskripsi Keparahan Catatan

21-07-2025: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2025-38000

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2025-38000

GCP-2025-033

Dipublikasikan: 2025-06-06

Deskripsi

Deskripsi Keparahan Catatan

Masalah keamanan ditemukan saat penyerang mungkin dapat melewati batasan isolasi workload pada cluster GKE.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Sedang T/A

GCP-2025-032

Dipublikasikan: 2025-06-03

Diperbarui: 21-07-2025

Deskripsi

Deskripsi Keparahan Catatan

21-07-2025: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2025-37798

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2025-37798

GCP-2025-031

Dipublikasikan: 2025-06-03

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2025-37797

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2025-37797

GCP-2025-030

Dipublikasikan: 23-05-2025

Deskripsi Keparahan Catatan

Berdasarkan saran keamanan VMware VMSA-2024-0017, kerentanan injeksi SQL di VMware Aria Automation dilaporkan secara pribadi kepada VMware. Patch tersedia untuk memperbaiki kerentanan ini di produk VMware yang terpengaruh.

Apa yang harus saya lakukan?

Sebaiknya upgrade ke VMware Aria Automation KB325790.

Penting

GCP-2025-029

Dipublikasikan: 23-05-2025

Deskripsi Keparahan Catatan

Berdasarkan saran keamanan VMware VMSA-2025-0006, kerentanan eskalasi hak istimewa lokal di VMware Aria Operations dilaporkan secara bertanggung jawab kepada VMware. Patch tersedia untuk memperbaiki kerentanan ini di produk VMware yang terpengaruh.

Apa yang harus saya lakukan?

Sebaiknya upgrade ke VMware Aria Operations 8.18 HF5.

Penting

GCP-2025-028

Dipublikasikan: 23-05-2025

Deskripsi Keparahan Catatan

Sesuai saran keamanan VMware VMSA-2025-0003, beberapa kerentanan di VMware Aria Operations for Logs dan VMware Aria Operations dilaporkan secara pribadi kepada VMware. Patch tersedia untuk memperbaiki kerentanan ini di produk VMware yang terpengaruh.

Apa yang harus saya lakukan?

Sebaiknya upgrade ke VMware Aria Operations for Logs 8.18.3 dan VMware Aria Operations ke 8.18.3.

Penting

GCP-2025-027

Dipublikasikan: 16-05-2025

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan keamanan terdeteksi di layanan Load Balancer Aplikasi klasik sebelum 26 April 2025.

Apa yang harus saya lakukan?

Pelanggan tidak perlu melakukan tindakan apa pun. Masalah ini telah diselesaikan di layanan Load Balancer Aplikasi Klasik pada 26 April 2025.

Kerentanan apa yang sedang ditangani?

CVE-2025-4600 memungkinkan penyerang menyelundupkan permintaan ke Load Balancer Aplikasi klasik karena parsing yang salah pada isi potongan berukuran besar. Saat mengurai isi permintaan HTTP menggunakan chunked transfer-encoding, Application Load Balancer klasik mengizinkan isi chunk yang terlalu besar. Oleh karena itu, byte dapat disembunyikan dalam data di akhir yang diabaikan ini yang mungkin salah ditafsirkan oleh server HTTP upstream sebagai penghentian baris. Kerentanan ini telah diatasi dalam layanan Load Balancer Aplikasi klasik pada 26 April 2025 melalui peningkatan validasi input dan logika parsing.

Kami siap membantu

Jika Anda memiliki pertanyaan atau memerlukan bantuan, hubungi Layanan Pelanggan Cloud.

 Tinggi CVE-2025-4600

GCP-2025-026

Dipublikasikan: 15-05-2025

Deskripsi Keparahan Catatan

Berdasarkan saran keamanan VMware VMSA-2025-0008, kerentanan Cross-Site Scripting (XSS) berbasis DOM di VMware Aria Automation dilaporkan secara pribadi kepada VMware. Patch tersedia untuk memperbaiki kerentanan ini di produk VMware yang terpengaruh.

Apa yang harus saya lakukan?

Sebaiknya upgrade ke patch 2 VMware Aria Automation 8.18.1.

Penting

GCP-2025-025

Dipublikasikan: 13-05-2025

Deskripsi

Deskripsi Keparahan Catatan

Intel telah memberi tahu Google tentang kerentanan saluran samping baru yang memengaruhi prosesor Intel berikut: CascadeLake, Ice Lake XeonSP, Ice Lake XeonD, Sapphire Rapids, dan Emerald Rapids.

Google telah menerapkan perbaikan pada aset yang terpengaruh, termasuk Google Cloud, untuk memastikan pelanggan terlindungi. Saat ini, tidak ada bukti eksploitasi yang ditemukan atau dilaporkan ke Google.

Apa yang harus saya lakukan?

Pelanggan tidak perlu melakukan tindakan apa pun. Perbaikan telah diterapkan ke infrastruktur server Google untuk melindungi pelanggan.

Kerentanan apa yang sedang ditangani?

CVE-2024-45332. Untuk mengetahui informasi selengkapnya, lihat saran Intel INTEL-SA-01247.

Kami siap membantu

Jika ada pertanyaan atau memerlukan bantuan, hubungi Layanan Pelanggan Cloud dan sebutkan nomor masalah 417536835.

 Tinggi CVE-2024-45332

GCP-2025-024

Dipublikasikan: 12-05-2025

Diperbarui: 13-05-2025

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 13-05-2025: Jika ada pertanyaan atau memerlukan bantuan, hubungi Layanan Pelanggan Cloud dan sebutkan nomor masalah 417458390.

Intel telah memberi tahu Google tentang kerentanan eksekusi spekulatif baru yang memengaruhi prosesor Intel Cascade Lake dan prosesor Intel Ice Lake.

Google telah menerapkan perbaikan pada aset yang terpengaruh, termasuk Google Cloud, untuk memastikan pelanggan terlindungi. Saat ini, tidak ada bukti eksploitasi yang ditemukan atau dilaporkan ke Google.

Apa yang harus saya lakukan?

Pelanggan tidak perlu melakukan tindakan apa pun. Mitigasi telah diterapkan ke infrastruktur server Google.

Mitigasi lebih lanjut dari Produsen Peralatan Asli (OEM) Intel dan partner sistem operasi lainnya akan di-deploy segera setelah tersedia untuk memitigasi kerentanan Pemilihan Target Tidak Langsung (ITS) mode yang sama.

Setelah mitigasi sistem operasi diterapkan, pelanggan dengan VM generasi ke-3 atau yang lebih baru yang berjalan lama mungkin mengalami penurunan performa yang tidak diinginkan

Kerentanan apa yang sedang ditangani?

CVE-2024-28956. Untuk mengetahui informasi selengkapnya, lihat Saran keamanan Intel INTEL-SA-01153.

 Tinggi CVE-2024-28956

GCP-2025-023

Dipublikasikan: 05-05-2025

Deskripsi

Deskripsi Keparahan Catatan

Potensi celah keamanan yang dapat dieksploitasi jika tidak ditangani dalam kebijakan JavaCallout dan PythonScript telah ditemukan dan ditangani.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat Buletin keamanan Apigee.

Tinggi CVE-2023-44487

GCP-2025-022

Dipublikasikan: 01-05-2025

Diperbarui: 22-05-2025

Deskripsi

Deskripsi Keparahan Catatan

22-05-2025: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2025-21702

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2025-21702

GCP-2025-021

Dipublikasikan: 2025-04-29

Diperbarui: 02-06-2025

Deskripsi

Deskripsi Keparahan Catatan

02-06-2025 Update: Menambahkan versi patch untuk kumpulan node Ubuntu di GKE.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2025-21971

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2025-21971

GCP-2025-020

Dipublikasikan: 29-04-2025

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan di Looker memungkinkan pengguna dengan izin admin (khususnya: manage_project_connections_restricted) di Looker membaca file dari sistem file host yang mendasarinya dan membuat kueri endpoint jaringan internal. Masalah ini telah teratasi, dan pengguna yang dihosting Looker yang menggunakan Looker (Google Cloud core) dan Looker (asli) tidak perlu melakukan tindakan apa pun. Instance Looker yang dihosting sendiri disarankan untuk mengupdate ke versi terbaru yang didukung.

Kerentanan ini telah diperbaiki di semua versi Looker yang dihosting pelanggan dan didukung, yang tersedia di halaman download Looker.

Apa yang harus saya lakukan?

  • Untuk semua instance yang dihosting Looker, termasuk instance Looker (Google Cloud core) dan Looker (original), Anda tidak perlu melakukan tindakan apa pun.
  • Untuk instance Looker yang dihosting pelanggan, update ke versi Looker terbaru yang didukung sesegera mungkin. Versi di bawah ini telah diupdate untuk melindungi dari kerentanan ini. Anda dapat mendownload versi ini di halaman download Looker:
    • 25.4 -> 25.4.29+
    • 25.2 -> 25.2.34+
    • 25.0 -> 25.0.55+
    • 24.18 -> 24.18.185+
    • 24.12 -> 24.12.95+
    • 24.6 -> 24.6.107+
 Tinggi

GCP-2025-019

Dipublikasikan: 2025-04-25

Diperbarui: 26-06-2025

Deskripsi

Deskripsi Keparahan Catatan

26-06-2025 Update: Menambahkan versi patch untuk software GDC untuk VMware.

22-05-2025: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2025-21701

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2025-21701

GCP-2025-018

Dipublikasikan: 23-04-2025

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2025-40364

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2025-40364

GCP-2025-017

Dipublikasikan: 17-04-2025

Diperbarui: 22-05-2025

Deskripsi

Deskripsi Keparahan Catatan

22-05-2025: Menambahkan versi patch untuk node pool Ubuntu di GKE.

05-05-2025 Update: Menambahkan versi patch untuk software GDC untuk VMware. Memperbarui tingkat keparahan software GDC untuk VMware menjadi Tinggi.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2025-21756

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2025-21756

GCP-2025-016

Dipublikasikan: 16-04-2025

Diperbarui: 22-05-2025

Deskripsi

Deskripsi Keparahan Catatan

22-05-2025: Menambahkan versi patch untuk node pool Ubuntu di GKE.

29-04-2025: Menambahkan versi patch untuk software GDC untuk VMware. Memperbarui tingkat keparahan software GDC untuk VMware menjadi Tinggi.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2023-52927

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2023-52927

GCP-2025-015

Dipublikasikan: 15-04-2025

Diperbarui: 22-05-2025

Deskripsi

Deskripsi Keparahan Catatan

22-05-2025: Menambahkan versi patch untuk node pool Ubuntu di GKE.

17-04-2025 Update: Menambahkan versi patch untuk GDC (VMware). Memperbarui tingkat keparahan GDC (VMware) dari Tertunda menjadi Tinggi.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2025-21700

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2025-21700

GCP-2025-014

Dipublikasikan: 10-04-2025

Diperbarui: 22-05-2025

Deskripsi

Deskripsi Keparahan Catatan

22-05-2025: Menambahkan versi patch untuk node pool Ubuntu di GKE.

05-05-2025 Update: Menambahkan versi patch untuk software GDC untuk VMware. Memperbarui tingkat keparahan software GDC untuk VMware menjadi Tinggi.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2025-21703

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2025-21703

GCP-2025-013

Dipublikasikan: 24-03-2025

Deskripsi

Deskripsi Keparahan Catatan

Beberapa masalah keamanan telah ditemukan di NGINX Ingress Controller, ingress-nginx, komponen software open source yang berjalan di dalam cluster Kubernetes untuk membantu mengelola traffic jaringan yang masuk ke cluster. Yang paling penting adalah CVE-2025-1974. Untuk detail selengkapnya dan daftar lengkap, lihat feed CVE Kubernetes.

Masalah ini memengaruhi ingress-nginx. Jika Anda belum menginstal ingress-nginx di cluster, Anda tidak akan terpengaruh.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tidak ada CVE-2025-1974

GCP-2025-012

Dipublikasikan: 19-03-2025

Diperbarui: 10-04-2025

Deskripsi

Deskripsi Keparahan Catatan

10-04-2025: Menambahkan versi patch untuk node GKE Ubuntu dan software GDC untuk VMware. Memperbarui tingkat keparahan software GDC untuk VMware menjadi Tinggi.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2024-53164

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2024-53164

GCP-2025-011

Dipublikasikan: 06-03-2025

Deskripsi Keparahan Catatan

VMware mengungkapkan beberapa kerentanan dalam VMSA-2025-0004 yang memengaruhi komponen ESXi yang di-deploy di lingkungan pelanggan.

Dampak VMware Engine

Cloud pribadi Anda sudah di-patch atau sedang dalam proses diupdate untuk mengatasi kerentanan keamanan. Sebagai bagian dari layanan VMware Engine, semua pelanggan mendapatkan host bare metal khusus dengan disk terpasang lokal yang terisolasi secara fisik dari hardware lain. Artinya, kerentanan hanya mencakup VM tamu dalam cloud pribadi spesifik Anda.

Private Cloud Anda akan diupdate ke 7.0u3s Build number 24534642. Ini setara dengan 7.0U3s: Nomor build 24585291.

Apa yang harus saya lakukan?

Ikuti petunjuk dari Broadcom dan vendor keamanan Anda terkait kerentanan ini.

Kritis

GCP-2025-010

Dipublikasikan: 05-03-2025

Diperbarui: 02-06-2025

Deskripsi

Deskripsi Keparahan Catatan

02-06-2025 Update: Menambahkan versi patch untuk kumpulan node Ubuntu di GKE.

10-04-2025 Update: Menambahkan versi patch untuk software GDC untuk VMware. Memperbarui tingkat keparahan software GDC untuk VMware menjadi Tinggi.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2024-56770

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2024-56770

GCP-2025-009

Dipublikasikan: 05-03-2025

Deskripsi

Deskripsi Keparahan Catatan

Project Envoy baru-baru ini mengumumkan beberapa kerentanan keamanan baru (CVE-2024-53269, CVE-2024-53270, dan CVE-2024-53271) yang dapat memungkinkan penyerang membuat Envoy error.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi

GCP-2025-008

Dipublikasikan: 19-02-2025

Diperbarui: 10-04-2025

Deskripsi

Deskripsi Keparahan Catatan

10-04-2025 Update: Menambahkan versi patch untuk software GDC untuk VMware. Memperbarui tingkat keparahan software GDC untuk VMware menjadi Tinggi.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-53141

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2024-53141

GCP-2025-007

Dipublikasikan: 03-02-2025

Deskripsi

Deskripsi Keparahan Catatan

Google telah menemukan kerentanan pada CPU berbasis AMD Zen yang memengaruhi instance Confidential VM dengan AMD SEV-SNP diaktifkan. Kerentanan ini memungkinkan penyerang dengan akses root di mesin fisik untuk membahayakan kerahasiaan dan integritas instance Confidential VM.

Google telah menerapkan perbaikan pada aset yang terpengaruh, termasuk Google Cloud, untuk memastikan pelanggan terlindungi. Saat ini, tidak ada bukti eksploitasi yang ditemukan atau dilaporkan ke Google.

Apa yang sebaiknya saya lakukan?

Pelanggan tidak perlu melakukan tindakan apa pun. Pelanggan yang ingin memverifikasi perbaikan dapat memeriksa versi Trusted Computing Base (TCB) dalam laporan pengesahan dari instance Confidential VM mereka dengan AMD SEV-SNP. Versi minimum yang mengurangi kerentanan ini adalah sebagai berikut:

SNP TCB SVN: 0x18 0d24
tcb_version {
  psp_bootloader_version: 4
  snp_firmware_version: 24 (0x18)
  microcode_version: 219
}

Untuk mengetahui informasi selengkapnya, lihat buletin keamanan AMD AMD-SB-3019.

 Tinggi

CVE-2024-56161

GCP-2025-006

Dipublikasikan: 23-01-2025

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan di Penyedia Google Secret Manager untuk Driver CSI Secret Store memungkinkan penyerang dengan izin pembuatan Pod dan Secret di namespace untuk mengeksfiltrasi token akun layanan Kubernetes driver CSI dengan memasang volume berbahaya di Pod.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Sedang

GCP-2025-005

Dipublikasikan: 22-01-2025

Deskripsi

Deskripsi Keparahan Catatan

Server yang menggunakan library autentikasi Google dan Library Klien Cloud untuk melakukan autentikasi ke Google Cloud dengan konfigurasi kredensial yang dikontrol oleh penyerang dapat rentan terhadap pemalsuan permintaan sisi server dan pembacaan file arbitrer.

Apa yang harus saya lakukan?

Jika Anda menerima konfigurasi kredensial (JSON kredensial, file, atau stream) dari sumber eksternal untuk autentikasi ke Google Cloud, Anda harus memvalidasinya sebelum memberikannya ke library autentikasi Google atau Library Klien Cloud. Memberikan konfigurasi kredensial yang tidak divalidasi ke library Google dapat membahayakan keamanan sistem dan data Anda. Untuk mengetahui informasi selengkapnya, lihat Memvalidasi konfigurasi kredensial dari sumber eksternal.

Kerentanan apa yang sedang ditangani?

Beberapa jenis konfigurasi kredensial mencakup endpoint dan jalur file, yang digunakan oleh library autentikasi untuk mendapatkan token. Jika layanan atau aplikasi menerima konfigurasi kredensial yang bersumber dari luar dan menggunakannya dengan library autentikasi Google atau Library Klien Cloud tanpa validasi, penyerang dapat memberikan konfigurasi kredensial yang berisi endpoint atau jalur berbahaya. Hal ini memungkinkan penyerang mengekstrak data atau token dari layanan atau mesin tempat layanan berjalan. Untuk mencegah hal ini, validasi harus dilakukan pada konfigurasi kredensial yang bersumber dari eksternal seperti yang dijelaskan dalam Memvalidasi konfigurasi kredensial dari sumber eksternal.

Untuk memberi tahu developer aplikasi, kami telah memperbarui dokumentasi kami dengan validasi yang harus dilakukan saat menerima konfigurasi kredensial yang diperoleh dari sumber eksternal.

Tinggi

GCP-2025-004

Dipublikasikan: 16-01-2025

Deskripsi Keparahan Catatan

Berdasarkan saran keamanan VMware VMSA-2025-0001, kerentanan pemalsuan permintaan sisi server (SSRF) di VMware Aria Automation dilaporkan secara bertanggung jawab kepada VMware. Patch tersedia untuk memperbaiki kerentanan ini di produk VMware yang terpengaruh.

Apa yang harus saya lakukan?

Sebaiknya upgrade ke VMware Aria Automation 8.18.2 HF.

Sedang

GCP-2025-003

Dipublikasikan: 2025-01-09

Diperbarui: 23-01-2025

Deskripsi

Deskripsi Keparahan Catatan

23-01-2025: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2024-50264

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2024-50264

GCP-2025-002

Dipublikasikan: 2025-01-09

Diperbarui: 23-01-2025

Deskripsi

Deskripsi Keparahan Catatan

23-01-2025: Menambahkan versi patch untuk node pool Ubuntu di GKE.

22-01-2025 Update: Menambahkan versi patch untuk GDC (VMware). Memperbarui tingkat keparahan GDC (VMware) menjadi Sedang.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2024-53057

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2024-53057

GCP-2025-001

Dipublikasikan: 2025-01-08

Diperbarui: 23-01-2025

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 23-01-2025: Memperbarui bagian Resource yang terpengaruh di tab GKE.

08-01-2025 Pembaruan: Memperbaiki tanggal dan waktu mulai masalah.

Masalah keamanan memengaruhi resource di VPC dengan Gateway Multi-Cluster (MCG) GKE yang dikonfigurasi. MCG adalah fitur opsional yang digunakan oleh sebagian kecil pelanggan GKE. Kami secara terpisah memberi tahu pelanggan yang mengaktifkan fitur tersebut selama jangka waktu tersebut.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi Tidak ada

GCP-2024-065

Deskripsi

Deskripsi Keparahan Catatan

CVE berikut mengekspos Cloud Service Mesh ke kerentanan yang dapat dieksploitasi:

  • CVE-2024-53269: Happy Eyeballs: Validasi bahwa additional_address adalah alamat IP, bukan error saat mengurutkan.
  • CVE-2024-53270: HTTP/1: Pengiriman kelebihan beban menyebabkan error saat permintaan direset sebelumnya.
  • CVE-2024-53271: HTTP/1.1 Beberapa masalah dengan envoy.reloadable_features.http1_balsa_delay_reset.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan Cloud Service Mesh.

Tinggi

GCP-2024-064

Dipublikasikan: 10-12-2024

Deskripsi Keparahan Catatan

Berdasarkan saran keamanan VMware VMSA-2024-0022, beberapa kerentanan di VMware Aria Operations dilaporkan secara bertanggung jawab kepada VMware. Update tersedia untuk memperbaiki kerentanan ini di produk VMware yang terpengaruh.

Apa yang harus saya lakukan?

Sebaiknya upgrade ke VMware Aria Operations 8.18.2.

Penting

GCP-2024-063

Dipublikasikan: 06-12-2024

Deskripsi Keparahan Catatan

Kerentanan ditemukan di penayangan Vertex AI API untuk permintaan multimodal Gemini, yang memungkinkan melewati Kontrol Layanan VPC. Penyerang mungkin dapat menyalahgunakan parameter fileURI API untuk mengeksfiltrasi data.

Apa yang sebaiknya saya lakukan?

Tidak perlu melakukan tindakan apa pun. Kami telah menerapkan perbaikan untuk menampilkan pesan error saat URL file media ditentukan dalam parameter fileUri dan Kontrol Layanan VPC diaktifkan. Kasus penggunaan lainnya tidak terpengaruh.

Kerentanan apa yang ditangani?

Cloud Support API yang melayani permintaan multimodal Gemini memungkinkan Anda menyertakan file media dengan menentukan URL file media dalam parameter fileUri. Kemampuan ini dapat digunakan untuk melewati perimeter Kontrol Layanan VPC. Penyerang di dalam perimeter layanan dapat mengenkode data sensitif dalam parameter fileURI untuk melewati perimeter layanan.

Sedang CVE-2024-12236

GCP-2024-062

Dipublikasikan: 02-12-2024

Diperbarui: 22-01-2025

Deskripsi

Deskripsi Keparahan Catatan

22-01-2025 Update: Menambahkan versi patch untuk GDC (VMware). Memperbarui tingkat keparahan GDC (VMware) dari Tertunda menjadi Tinggi.

12-12-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-46800

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2024-46800

GCP-2024-061

Dipublikasikan: 25-11-2024

Deskripsi

Deskripsi Keparahan Catatan

Masalah keamanan yang ditemukan di cluster Kubernetes dapat menyebabkan eksekusi kode jarak jauh menggunakan volume gitRepo. Jika repositori git dibuat dengan niat jahat, pengguna yang dapat membuat Pod dan mengaitkan volume gitRepo dapat menjalankan perintah arbitrer di luar batas container.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2024-10220

GCP-2024-060

Dipublikasikan: 17-10-2024

Deskripsi Keparahan Catatan

Berdasarkan saran keamanan VMware VMSA-2024-0020, beberapa kerentanan di VMware NSX dilaporkan secara bertanggung jawab kepada VMware.

Versi NSX-T yang berjalan di lingkungan VMware Engine Anda tidak terpengaruh oleh CVE-2024-38815, CVE-2024-38818, atau CVE-2024-38817.

Apa yang harus saya lakukan?

Karena cluster VMware Engine tidak terpengaruh oleh kerentanan ini, tidak diperlukan tindakan lebih lanjut.

 Sedang

GCP-2024-059

Dipublikasikan: 16-10-2024

Deskripsi Keparahan Catatan

Berdasarkan saran keamanan VMware VMSA-2024-0021, kerentanan injeksi SQL yang diautentikasi di VMware HCX dilaporkan secara pribadi kepada VMware.

Kami telah menerapkan mitigasi yang disetujui oleh VMware untuk mengatasi kerentanan ini. Perbaikan ini mengatasi kerentanan keamanan yang dijelaskan dalam CVE-2024-38814. Versi image yang berjalan di cloud pribadi VMware Engine Anda tidak mencerminkan perubahan apa pun saat ini untuk menunjukkan perubahan yang diterapkan. Mitigasi yang sesuai telah diinstal dan lingkungan Anda diamankan dari kerentanan ini.

Apa yang harus saya lakukan?

Sebaiknya upgrade ke VMware HCX versi 4.9.2.

Tinggi

GCP-2024-058

Dipublikasikan: 16-10-2024

Deskripsi

Deskripsi Keparahan Catatan

Migrate to Containers untuk Windows versi 1.1.0 hingga 1.2.2 membuat m2cuser lokal dengan hak istimewa administrator. Hal ini menimbulkan risiko keamanan jika perintah analyze atau generate terganggu oleh pengguna atau karena error internal yang menyebabkan tindakan penghapusan pengguna lokal dilewati m2cuser.

Apa yang harus saya lakukan?

Versi Migrate to Containers CLI untuk Windows berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade Migrate to Containers CLI secara manual ke versi berikut atau yang lebih tinggi:

Kerentanan apa yang sedang ditangani?

Kerentanan CVE-2024-9858 memungkinkan penyerang mendapatkan akses administrator ke mesin Windows yang terpengaruh menggunakan pengguna administrator lokal yang dibuat oleh software Migrate to Containers.

 Sedang CVE-2024-9858

GCP-2024-057

Dipublikasikan: 03-10-2024

Diperbarui: 19-11-2024

Deskripsi

Deskripsi Keparahan Catatan

19-11-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

15-10-2024 Update: Menambahkan versi patch untuk GDC (VMware). Tingkat keparahan GKE dan GDC (VMware) yang diperbarui.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-45016

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Sedang CVE-2024-45016

GCP-2024-056

Dipublikasikan: 27-09-2024

Deskripsi

Deskripsi Keparahan Catatan

Serangkaian kerentanan (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) yang dapat menyebabkan eksekusi kode jarak jauh telah ditemukan dalam sistem pencetakan CUPS yang digunakan oleh beberapa distribusi Linux. Penyerang dapat mengeksploitasi kerentanan ini jika layanan CUPS memproses port UDP 631 dan penyerang dapat terhubung ke layanan tersebut.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tidak ada

GCP-2024-055

Dipublikasikan: 24-09-2024

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan Penyelundupan Permintaan HTTP di Looker memungkinkan penyerang yang tidak berwenang mengambil respons HTTP yang ditujukan untuk pengguna yang sah.

Ada dua versi Looker yang dihosting oleh Looker:

  • Looker (Google Cloud core) ditemukan rentan. Masalah ini telah diatasi dan penyelidikan kami tidak menemukan tanda-tanda eksploitasi.
  • Looker (asli) tidak rentan terhadap masalah ini.

Instance Looker yang dihosting pelanggan ditemukan rentan dan harus diupgrade ke salah satu versi di bawah.

Kerentanan ini telah diperbaiki di semua versi Looker yang dihosting pelanggan dan didukung, yang tersedia di halaman download Looker.

Apa yang harus saya lakukan?

  • Untuk semua instance yang dihosting Looker, termasuk instance Looker (Google Cloud core), Anda tidak perlu melakukan tindakan apa pun.
  • Untuk instance Looker yang dihosting pelanggan, update ke versi Looker terbaru yang didukung sesegera mungkin. Versi di bawah ini telah diupdate untuk melindungi dari kerentanan ini. Anda dapat mendownload versi ini di halaman download Looker:
    • 23.12 -> 23.12.123+
    • 23.18 -> 23.18.117+
    • 24.0 -> 24.0.92+
    • 24.6 -> 24.6.77+
    • 24.8 -> 24.8.66+
    • 24.10 -> 24.10.78+
    • 24.12 -> 24.12.56+
    • 24.14 -> 24.14.37+

Kerentanan apa yang sedang ditangani?

Kerentanan, CVE-2024-8912, memungkinkan penyerang mengirim header permintaan HTTP yang dibuat khusus ke Looker, yang berpotensi menyebabkan penyadapan respons HTTP yang ditujukan untuk pengguna lain.

Respons ini dapat berisi informasi sensitif.

Kerentanan ini hanya dapat dieksploitasi dalam konfigurasi spesifik tertentu.

Sedang CVE-2024-8912

GCP-2024-054

Dipublikasikan: 23-09-2024

Deskripsi

Deskripsi Keparahan Catatan

Masalah keamanan ditemukan di cluster Kubernetes dengan node Windows yang mungkin dapat membaca log container dan Pengguna mungkin dapat mengubah log container.BUILTIN\UsersNT AUTHORITY\Authenticated

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Sedang CVE-2024-5321

GCP-2024-053

Dipublikasikan: 19-09-2024

Deskripsi

Deskripsi Keparahan Catatan

Saat mengurai kolom yang tidak diketahui di library Protobuf Java Full dan Lite, pesan yang dibuat secara berbahaya dapat menyebabkan error StackOverflow dan menyebabkan program mengalami error.

Apa yang sebaiknya saya lakukan?

Kami telah berupaya keras untuk mengatasi masalah ini dan telah merilis mitigasi yang tersedia sekarang. Sebaiknya gunakan versi terbaru dari paket software berikut:

  • protobuf-java (3.25.5, 4.27.5, 4.28.2)
  • protobuf-javalite (3.25.5, 4.27.5, 4.28.2)
  • protobuf-kotlin (3.25.5, 4.27.5, 4.28.2)
  • protobuf-kotlin-lite (3.25.5, 4.27.5, 4.28.2)
  • com-protobuf [khusus gem JRuby] (3.25.5, 4.27.5, 4.28.2)

Kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan ini berpotensi menyebabkan Penolakan Layanan (Denial of Service).

Mengurai grup bertingkat sebagai kolom yang tidak diketahui dengan DiscardUnknownFieldsParser atau parser Java Protobuf Lite, atau terhadap kolom peta Protobuf, akan membuat rekursi tanpa batas yang dapat disalahgunakan oleh penyerang.

Skor CVSS4.0 8,7

Tinggi

 CVE-2024-7254

GCP-2024-052

Deskripsi

Deskripsi Keparahan Catatan

CVE berikut mengekspos Cloud Service Mesh ke kerentanan yang dapat dieksploitasi:

  • CVE-2024-45807: error oghttp2 di OnBeginHeadersForStream
  • CVE-2024-45808: Injeksi log berbahaya melalui log akses
  • CVE-2024-45806: Berpotensi memanipulasi header `x-envoy` dari sumber eksternal
  • CVE-2024-45809: Error filter JWT di cache rute yang jelas dengan JWK jarak jauh
  • CVE-2024-45810: Envoy mengalami error untuk LocalReply di klien asinkron http

Untuk mengetahui petunjuk dan detail selengkapnya, lihat Buletin keamanan Cloud Service Mesh.

Menengah hingga Tinggi

GCP-2024-051

Dipublikasikan: 18-09-2024

Deskripsi Keparahan Catatan

VMware mengungkapkan beberapa kerentanan di VMSA-2024-0019 yang memengaruhi komponen vCenter yang di-deploy di lingkungan pelanggan.

Dampak VMware Engine

  • Google telah menonaktifkan potensi eksploitasi kerentanan ini. Misalnya, Google telah memblokir port yang dapat digunakan untuk mengeksploitasi kerentanan ini.
  • Selain itu, Google memastikan semua deployment vCenter di masa mendatang tidak terpapar kerentanan ini.

Apa yang harus saya lakukan?

Untuk saat ini, Anda tidak perlu melakukan tindakan lebih lanjut.

Kritis

GCP-2024-050

Dipublikasikan: 04-09-2024

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan eksekusi kode jarak jauh baru (CVE-2024-38063) telah ditemukan di Windows. Penyerang dapat mengeksploitasi kerentanan ini dari jarak jauh dengan mengirim paket IPv6 yang dibuat khusus ke host.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tidak ada CVE-2024-38063

GCP-2024-049

Dipublikasikan: 21-08-2024

Diperbarui: 01-11-2024

Deskripsi

Deskripsi Keparahan Catatan

01-11-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Update 21-10-2024: Menambahkan versi patch dan memperbarui Tingkat Keparahan untuk GDC (VMware).

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-36978

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2024-36978

GCP-2024-048

Dipublikasikan: 20-08-2024

Diperbarui: 30-10-2024

Deskripsi

Deskripsi Keparahan Catatan

30-10-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

25-10-2024 Update: Menambahkan versi patch dan memperbarui Tingkat Keparahan untuk GDC (VMware).

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-41009

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2024-41009

GCP-2024-047

Dipublikasikan: 19-08-2024

Diperbarui: 30-10-2024

Deskripsi

Deskripsi Keparahan Catatan

30-10-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Update 21-10-2024: Menambahkan versi patch dan memperbarui Tingkat Keparahan untuk GDC (VMware).

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-39503

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2024-39503

GCP-2024-046

Dipublikasikan: 05-08-2024

Deskripsi

Deskripsi Keparahan Catatan

AMD telah memberi tahu Google tentang 3 kerentanan firmware baru (2 risiko sedang, 1 risiko tinggi) yang memengaruhi SEV-SNP di CPU AMD EPYC generasi ke-3 (Milan) dan generasi ke-4 (Genoa).

Google telah menerapkan perbaikan pada aset yang terpengaruh, termasuk Google Cloud, untuk memastikan pelanggan terlindungi. Saat ini, tidak ada bukti eksploitasi yang ditemukan atau dilaporkan ke Google.

Apa yang sebaiknya saya lakukan?

Pelanggan tidak perlu melakukan tindakan apa pun. Perbaikan telah diterapkan ke kumpulan server Google.

Untuk mengetahui informasi selengkapnya, lihat buletin keamanan AMD AMD-SN-3011.

 Sedang–Tinggi

CVE-2023-31355

CVE-2024-21978

CVE-2024-21980

GCP-2024-045

Dipublikasikan: 17-07-2024

Diperbarui: 19-09-2024

Deskripsi

Deskripsi Keparahan Catatan

19-09-2024 Update: Menambahkan versi patch untuk software GDC untuk VMware.

21-08-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26925

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2024-26925

GCP-2024-044

Dipublikasikan: 16-07-2024

Diperbarui: 30-10-2024

Deskripsi

Deskripsi Keparahan Catatan

30-10-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Update 21-10-2024: Menambahkan versi patch dan memperbarui Tingkat Keparahan untuk GDC (VMware).

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-36972

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2024-36972

GCP-2024-043

Dipublikasikan: 16-07-2024

Diperbarui: 02-10-2024

Deskripsi

Deskripsi Keparahan Catatan

02-10-2024 Update: Menambahkan versi patch untuk node pool Ubuntu di GKE.

20-09-2024 Update: Menambahkan versi patch untuk software GDC untuk VMware.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26921

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2024-26921

GCP-2024-042

Dipublikasikan: 15-07-2024

Diperbarui: 18-07-2024

Deskripsi

Deskripsi Keparahan Catatan

18-07-2024: Memperjelas bahwa cluster Autopilot dalam konfigurasi default tidak terpengaruh.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26809

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2024-26809

GCP-2024-041

Dipublikasikan: 08-07-2024

Diperbarui: 16-09-2024

Deskripsi

Deskripsi Keparahan Catatan

16-09-2024 Update: Menambahkan versi patch untuk software GDC untuk VMware.

19-07-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-52654
  • CVE-2023-52656

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi

GCP-2024-040

Dipublikasikan: 01-07-2024

Diperbarui: 16-07-2024

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 16-07-2024:

Beberapa pelanggan Akses VPC Tanpa Server berpotensi terpengaruh oleh kerentanan di OpenSSH (CVE-2024-6387). Jika eksploitasi berhasil, hal ini dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode arbitrer sebagai root di virtual machine target. Eksploitasi diyakini sulit dilakukan. Misalnya, pelanggan tidak dapat mengakses VM dan VM tidak memiliki IP publik. Kami tidak mengetahui adanya upaya eksploitasi.

Apa yang sebaiknya saya lakukan?

Deployment Akses VPC Serverless telah otomatis diperbarui oleh Google jika memungkinkan. Namun, Anda harus memverifikasi bahwa agen layanan yang dikelola Google memiliki peran yang diperlukan. Jika tidak, konektor Akses VPC Serverless Anda mungkin masih rentan. Sebaiknya Anda bermigrasi ke traffic keluar VPC Langsung, atau men-deploy konektor baru dan menghapus konektor lama, untuk memastikan Anda memiliki update yang diperlukan dengan perbaikan.

11-07-2024: Menambahkan versi patch untuk software GDC untuk VMware, GKE di AWS, dan GKE di Azure. Untuk mengetahui detailnya, lihat buletin berikut dalam dokumentasi GKE:

Pembaruan 10-07-2024:

  • Menambahkan buletin keamanan untuk Migrate to Virtual Machines.

Pembaruan 2024-07-09:

Beberapa pelanggan lingkungan fleksibel App Engine berpotensi terpengaruh oleh kerentanan di OpenSSH (CVE-2024-6387). Jika eksploitasi berhasil, hal ini dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode arbitrer sebagai root di virtual machine target.

Apa yang sebaiknya saya lakukan?

Google telah mengupdate deployment lingkungan fleksibel secara otomatis jika memungkinkan. Namun, beberapa pelanggan yang menonaktifkan agen layanan yang dikelola Google, atau melakukan perubahan pada Google Cloud API atau konfigurasi default lainnya, tidak dapat diupdate dan mungkin masih rentan. Anda harus men-deploy versi baru aplikasi untuk mendapatkan update dengan perbaikan.

Perhatikan bahwa deployment yang diupdate akan melaporkan versi SSH OpenSSH_9.6p1. Versi ini telah di-patch dengan perbaikan untuk CVE-2024-6387.

Kerentanan apa yang ditangani?

Kerentanan CVE-2024-6387, yang memungkinkan penyerang jarak jauh yang tidak diautentikasi mengeksekusi kode arbitrer sebagai root di mesin target.

Pembaruan 08-07-2024:

Cluster Dataproc di Google Compute Engine yang berjalan di versi image 2.2 (semua sistem operasi) dan 2.1 (khusus Debian) terpengaruh oleh kerentanan di OpenSSH (CVE-2024-6387) yang jika berhasil dieksploitasi dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk menjalankan kode arbitrer sebagai root di mesin target.

Versi image Dataproc di Google Compute Engine 2.0 dan 1.5, serta image Dataproc versi 2.1 yang tidak berjalan di Debian, tidak terpengaruh. Cluster Dataproc dengan Autentikasi Pribadi yang diaktifkan tidak terpengaruh. Dataproc Serverless juga tidak terpengaruh.

Apa yang sebaiknya saya lakukan?

Update cluster Dataproc Anda di Google Compute Engine ke salah satu versi berikut:

  • 2.2.24 atau yang lebih baru
  • 2.1.58 atau yang lebih baru

Jika Anda tidak dapat mengupdate cluster Dataproc ke salah satu versi di atas, sebaiknya gunakan tindakan inisialisasi yang tersedia di lokasi ini: gs://dataproc-initialization-actions/hotfixes/openssh-CVE-2024-6387-mitigation.sh

Ikuti petunjuk berikut tentang cara menentukan tindakan inisialisasi untuk Dataproc. Perhatikan bahwa tindakan inisialisasi harus dijalankan di setiap node (master dan pekerja) untuk cluster yang sudah ada.

Pembaruan 03-07-2024:

  • Menambahkan versi patch untuk GKE.
  • Menambahkan buletin keamanan untuk GDC yang terhubung.

Pembaruan 02-07-2024:

  • Memperjelas bahwa cluster Autopilot terpengaruh dan akan memerlukan tindakan pengguna.
  • Menambahkan penilaian dampak dan langkah-langkah mitigasi untuk software GDC untuk VMware, GKE di AWS, dan GKE di Azure.
  • Memperbaiki buletin keamanan software GDC untuk bare metal guna mengklarifikasi bahwa software GDC untuk bare metal tidak terpengaruh secara langsung dan pelanggan harus memeriksa patch dengan vendor OS.

Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan ini mengeksploitasi kondisi persaingan yang dapat digunakan untuk mendapatkan akses ke shell jarak jauh, sehingga memungkinkan penyerang mendapatkan akses root. Pada saat publikasi, eksploitasi diyakini sulit dan memerlukan waktu beberapa jam per mesin yang diserang. Kami tidak mengetahui adanya upaya eksploitasi.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Kritis CVE-2024-6387

GCP-2024-039

Dipublikasikan: 28-06-2024

Diperbarui: 25-09-2024

Deskripsi

Deskripsi Keparahan Catatan

25-09-2024 Update: Menambahkan versi patch untuk software GDC untuk VMware.

20-08-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26923

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2024-26923

GCP-2024-038

Dipublikasikan: 26-06-2024

Diperbarui: 17-09-2024

Deskripsi

Deskripsi Keparahan Catatan

17-09-2024 Pembaruan: Menambahkan versi patch untuk software GDC untuk VMware.

06-08-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26924

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2024-26924

GCP-2024-037

Dipublikasikan: 18-06-2024

Deskripsi Keparahan Catatan

VMware mengungkapkan beberapa kerentanan dalam VMSA-2024-0012 yang memengaruhi komponen vCenter yang di-deploy di lingkungan pelanggan.

Dampak Google Cloud VMware Engine

  • Kerentanan ini dapat dieksploitasi dengan mengakses port tertentu di Server vCenter. Google telah memblokir port yang rentan di server vCenter, sehingga mencegah potensi eksploitasi kerentanan ini.
  • Selain itu, Google memastikan semua deployment vCenter di masa mendatang tidak terpapar kerentanan ini.

Apa yang harus saya lakukan?

Untuk saat ini, Anda tidak perlu melakukan tindakan lebih lanjut.

Kritis

GCP-2024-036

Dipublikasikan: 18-06-2024

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2024-26584

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2024-26584

GCP-2024-035

Dipublikasikan: 12-06-2024

Diperbarui: 18-07-2024

Deskripsi

Deskripsi Keparahan Catatan

18-07-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE dan menambahkan versi patch untuk versi 1.27 di node pool Container-Optimized OS.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26584

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2024-26584

GCP-2024-034

Dipublikasikan: 11-06-2024

Diperbarui: 10-07-2024

Deskripsi

Deskripsi Keparahan Catatan

10-07-2024: Menambahkan versi patch untuk node Container-Optimized OS yang menjalankan versi minor 1.26 dan 1.27, serta menambahkan versi patch untuk node Ubuntu.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2024-26583

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2024-26583

GCP-2024-033

Dipublikasikan: 10-06-2024

Diperbarui: 26-09-2024

Deskripsi

Deskripsi Keparahan Catatan

26-09-2024 Update: Menambahkan versi patch untuk software GDC untuk VMware.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2022-23222

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2022-23222

GCP-2024-032

Dipublikasikan: 2024-06-04

Deskripsi

Deskripsi Keparahan Catatan

CVE berikut mengekspos Cloud Service Mesh ke kerentanan yang dapat dieksploitasi:

  • CVE-2024-23326: Envoy salah menerima respons HTTP 200 untuk memasuki mode upgrade.
  • CVE-2024-32974: Error di EnvoyQuicServerStream::OnInitialHeadersComplete().
  • CVE-2024-32975: Error di QuicheDataReader::PeekVarInt62Length().
  • CVE-2024-32976: Loop tanpa akhir saat mendekompresi data Brotli dengan input tambahan.
  • CVE-2024-34362: Error (use-after-free) di EnvoyQuicServerStream.
  • CVE-2024-34363: Terjadi error karena pengecualian JSON nlohmann yang tidak tertangkap.
  • CVE-2024-34364: Vektor OOM Envoy dari klien asinkron HTTP dengan buffer respons tanpa batas untuk respons mirror.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan Cloud Service Mesh.

Tinggi

GCP-2024-031

Dipublikasikan: 24-05-2024

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Versi Fluent Bit 2.0.7 hingga 3.0.3 terpengaruh.

GKE, GKE on VMware, GKE on AWS, GKE on Azure, dan GKE on Bare Metal tidak menggunakan Fluent Bit versi rentan dan tidak terpengaruh.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tidak ada CVE-2024-4323

GCP-2024-030

Dipublikasikan: 15-05-2024

Diperbarui: 18-07-2024

Deskripsi

Deskripsi Keparahan Catatan

18-07-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-52620

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2023-52620

GCP-2024-029

Dipublikasikan: 14-05-2024

Diperbarui: 19-08-2024

Deskripsi

Deskripsi Keparahan Catatan

19-08-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26642

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2024-26642

GCP-2024-028

Dipublikasikan: 13-05-2024

Diperbarui: 22-05-2024

Deskripsi

Deskripsi Keparahan Catatan

22-05-2024 Pembaruan: Menambahkan versi patch untuk Ubuntu

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26581

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2024-26581

GCP-2024-027

Dipublikasikan: 08-05-2024

Diperbarui: 25-09-2024

Deskripsi

Deskripsi Keparahan Catatan

25-09-2024 Update: Menambahkan versi patch untuk software GDC untuk VMware.

15-05-2024: Menambahkan versi patch untuk node pool GKE Ubuntu.

Pembaruan 09-05-2024: Memperbaiki tingkat keparahan dari Sedang menjadi Tinggi dan mengklarifikasi bahwa cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26808

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2024-26808

GCP-2024-026

Dipublikasikan: 07-05-2024

Diperbarui: 06-08-2024

Deskripsi

Deskripsi Keparahan Catatan

06-08-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Pembaruan 09-05-2024: Memperbaiki tingkat keseriusan dari Sedang menjadi Tinggi.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26643

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2024-26643

GCP-2024-025

Dipublikasikan: 26-04-2024

Deskripsi

Deskripsi Keparahan Catatan

Looker telah memperbaiki kerentanan yang dilaporkan oleh peneliti eksternal melalui program Vulnerability Reward Program (VRP) Google dan Alphabet, tetapi tidak menemukan bukti adanya eksploitasi. Masalah ini kini telah teratasi dan pengguna yang dihosting Looker di Looker (Google Cloud core) dan Looker (original) tidak perlu melakukan tindakan apa pun. Instance Looker yang dihosting sendiri disarankan untuk mengupdate ke versi terbaru yang didukung.

Apa yang sebaiknya saya lakukan?

Instance yang dihosting Looker: Instance Looker (Google Cloud core) dan Looker (asli)

Pelanggan tidak perlu melakukan tindakan apa pun.

Khusus instance Looker yang dihosting sendiri

Jika instance Looker Anda dihosting sendiri, sebaiknya upgrade instance Looker Anda ke salah satu versi berikut:

  • 24.6.12+
  • 24.4.27+
  • 24.2.58+
  • 24.0.65+
  • 23.18.100+
  • 23.12.105+
  • 23.6.163+

Bagaimana cara memperbaikinya?

Google menonaktifkan akses administratif langsung ke database internal dari aplikasi Looker, menghapus hak istimewa yang ditingkatkan yang memungkinkan akses lintas tenant, dan mengganti secret yang terekspos. Selain itu, kami telah memperbaiki kerentanan traversal jalur yang berpotensi mengekspos kredensial akun layanan. Kami juga melakukan peninjauan menyeluruh terhadap kode dan sistem kami untuk mengidentifikasi dan mengatasi potensi kerentanan serupa.

 Kritis

GCP-2024-024

Dipublikasikan: 25-04-2024

Diperbarui: 18-07-2024

Deskripsi

Deskripsi Keparahan Catatan

18-07-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26585

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2024-26585

GCP-2024-023

Dipublikasikan: 24-04-2024

Deskripsi

Deskripsi Keparahan Catatan

CVE berikut mengekspos Cloud Service Mesh ke kerentanan yang dapat dieksploitasi:

  • CVE-2024-27919: HTTP/2: kehabisan memori karena banjir frame CONTINUATION.
  • CVE-2024-30255: HTTP/2: Kelelahan CPU karena banjir frame CONTINUATION
  • CVE-2024-32475: Penghentian tidak normal saat menggunakan 'auto_sni' dengan header ':authority' yang lebih panjang dari 255 karakter.
  • CVE-2023-45288: Frame CONTINUATION HTTP/2 dapat digunakan untuk serangan DoS.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan Cloud Service Mesh.

Tinggi

GCP-2024-022

Dipublikasikan: 03-04-2024

Diperbarui: 17-07-2024

Deskripsi

Deskripsi Keparahan Catatan

17-07-2024: Menambahkan versi patch untuk GKE di VMware

09-07-2024: Menambahkan versi patch untuk GKE on Bare Metal

24-04-2024: Menambahkan versi patch untuk GKE.

Kerentanan Penolakan Layanan (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa penerapan protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE).

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2023-45288

GCP-2024-021

Dipublikasikan: 03-04-2024

Deskripsi

Deskripsi Keparahan Catatan

Compute Engine tidak terpengaruh oleh CVE-2024-3094, yang memengaruhi paket xz-utils versi 5.6.0 dan 5.6.1 di library liblzma, dan dapat menyebabkan utilitas OpenSSH terganggu.

Untuk mengetahui detail selengkapnya, lihat buletin keamanan Compute Engine.

 Sedang CVE-2024-3094

GCP-2024-020

Dipublikasikan: 02-04-2024

Deskripsi

Deskripsi Keparahan Catatan

Peneliti menemukan kerentanan (CVE-2023-48022) di Ray. Ray adalah alat open source pihak ketiga untuk workload AI. Karena Ray tidak memerlukan autentikasi, pelaku ancaman dapat mencapai eksekusi kode jarak jauh dengan mengirimkan tugas ke instance yang terekspos secara publik. Kerentanan tersebut telah disengketakan oleh Anyscale, developer Ray. Ray menyatakan bahwa fungsi-fungsinya adalah fitur produk inti yang dimaksudkan, dan keamanan harus diterapkan di luar cluster Ray, karena eksposur jaringan yang tidak diinginkan dari cluster Ray dapat menyebabkan kompromi.

Berdasarkan respons, CVE ini disengketakan dan mungkin tidak muncul di pemindai kerentanan. Terlepas dari itu, kerentanan ini sedang aktif dieksploitasi di luar sana dan pengguna harus mengonfigurasi penggunaan mereka seperti yang disarankan di bawah.

Apa yang sebaiknya saya lakukan?

Ikuti praktik terbaik dan panduan Ray, termasuk menjalankan kode tepercaya di jaringan tepercaya, untuk mengamankan workload Ray Anda. Deployment ray.io di instance cloud pelanggan termasuk dalam model tanggung jawab bersama.

Tim keamanan Google Kubernetes Engine (GKE) telah memublikasikan blog tentang penguatan Ray di GKE.

Untuk mengetahui informasi lebih lanjut tentang cara menambahkan autentikasi dan otorisasi ke layanan Ray, lihat dokumentasi Identity-Aware Proxy (IAP). Pengguna GKE dapat menerapkan IAP dengan mengikuti panduan ini atau dengan menggunakan kembali modul Terraform yang ditautkan di blog.

Tinggi CVE-2023-48022

GCP-2024-018

Dipublikasikan: 12-03-2024

Diperbarui: 04-04-2024, 06-05-2024

Deskripsi

Deskripsi Keparahan Catatan

06-05-2024: Menambahkan versi patch untuk node pool GKE Ubuntu.

Pembaruan 04-04-2024: Memperbaiki versi minimum untuk node pool GKE Container-Optimized OS.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-1085

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2024-1085

GCP-2024-017

Dipublikasikan: 06-03-2024

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3611

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2023-3611

GCP-2024-016

Dipublikasikan: 05-03-2024

Deskripsi Keparahan Catatan

VMware mengungkapkan beberapa kerentanan dalam VMSA-2024-0006 yang memengaruhi komponen ESXi yang di-deploy di lingkungan pelanggan.

Dampak Google Cloud VMware Engine

Private cloud Anda telah diupdate untuk mengatasi kerentanan keamanan.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Kritis

GCP-2024-014

Dipublikasikan: 26-02-2024

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3776

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2023-3776

GCP-2024-013

Dipublikasikan: 27-02-2024

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3610

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2023-3610

GCP-2024-012

Dipublikasikan: 20-02-2024

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-0193

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2024-0193

GCP-2024-011

Dipublikasikan: 15-02-2024

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-6932

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2023-6932

GCP-2024-010

Dipublikasikan: 14-02-2024

Diperbarui: 17-04-2024

Deskripsi

Deskripsi Keparahan Catatan

17-04-2024: Menambahkan versi patch untuk GKE di VMware.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-6931

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2023-6931

GCP-2024-009

Dipublikasikan: 13-02-2024

Deskripsi

Deskripsi Keparahan Catatan

Pada 13 Februari 2024, AMD mengungkapkan dua kerentanan yang memengaruhi SEV-SNP pada CPU EPYC berdasarkan core Zen "Milan" generasi ketiga dan "Genoa" generasi keempat. Kerentanan ini memungkinkan penyerang dengan hak istimewa mengakses data usang dari tamu atau menyebabkan hilangnya integritas tamu.

Google telah menerapkan perbaikan pada aset yang terpengaruh, termasuk Google Cloud, untuk memastikan pelanggan terlindungi. Saat ini, tidak ada bukti eksploitasi yang ditemukan atau dilaporkan ke Google.

Apa yang sebaiknya saya lakukan?

Pelanggan tidak perlu melakukan tindakan apa pun. Perbaikan telah diterapkan ke armada server Google untuk Google Cloud, termasuk Compute Engine.

Untuk mengetahui informasi selengkapnya, lihat buletin keamanan AMD AMD-SN-3007.

 Sedang

GCP-2024-008

Dipublikasikan: 12-02-2024

Deskripsi

Deskripsi Keparahan Catatan

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin di node tersebut.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2023-5528

GCP-2024-007

Dipublikasikan: 2024-02-08

Deskripsi

Deskripsi Keparahan Catatan

CVE berikut mengekspos Cloud Service Mesh ke kerentanan yang dapat dieksploitasi:

  • CVE-2024-23322: Envoy mengalami error saat tidak ada aktivitas dan permintaan per percobaan mengalami waktu tunggu habis dalam interval backoff.
  • CVE-2024-23323: Penggunaan CPU yang berlebihan saat pencocok template URI dikonfigurasi menggunakan regex.
  • CVE-2024-23324: Otorisasi eksternal dapat dilewati saat filter protokol Proxy menetapkan metadata UTF-8 yang tidak valid.
  • Envoy mengalami error saat menggunakan jenis alamat yang tidak didukung oleh OS.
  • CVE-2024-23327: Error pada protokol proxy saat jenis perintah adalah LOCAL.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat Buletin keamanan Cloud Service Mesh.

Tinggi

GCP-2024-006

Dipublikasikan: 2024-02-5

Deskripsi

Deskripsi Keparahan Catatan

Saat proxy Pengelolaan API Apigee terhubung ke target endpoint atau target server, proxy tidak melakukan validasi nama host untuk sertifikat yang diberikan oleh target endpoint atau target server secara default. Jika validasi nama host tidak diaktifkan menggunakan salah satu opsi berikut, proxy Apigee yang terhubung ke endpoint target atau server target mungkin berisiko mengalami serangan man-in-the-middle oleh pengguna yang berwenang. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi TLS dari Edge ke backend (Cloud dan Private Cloud).

Deployment proxy Apigee di platform Apigee berikut terpengaruh:

  • Apigee Edge untuk Public Cloud
  • Apigee Edge untuk Private Cloud

Untuk mengetahui petunjuk dan detail selengkapnya, lihat Buletin keamanan Apigee.

 Tinggi

GCP-2024-005

Dipublikasikan: 31-01-2024
Diperbarui: 02-04-2024, 06-05-2024

Deskripsi

Deskripsi Keparahan Catatan

Update 06-05-2024: Menambahkan versi patch untuk GKE di AWS dan GKE di Azure.

Pembaruan 02-04-2024: Menambahkan versi patch untuk GKE di Bare Metal

Update 06-03-2024: Menambahkan versi patch untuk GKE on VMware

Pembaruan 28-02-2024: Menambahkan versi patch untuk Ubuntu

Pembaruan 15-02-2024: Memperjelas bahwa versi patch Ubuntu 1.25 dan 1.26 dalam pembaruan 14-02-2024 dapat menyebabkan node tidak sehat.

14-02-2024 Update: Menambahkan versi patch untuk Ubuntu

06-02-2024 Update: Menambahkan versi patch untuk Container-Optimized OS.

Kerentanan keamanan, CVE-2024-21626, telah ditemukan di runc. Di sini, pengguna dengan izin untuk membuat Pod di node Container-Optimized OS dan Ubuntu mungkin dapat memperoleh akses penuh ke sistem file node.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2024-21626

GCP-2024-004

Dipublikasikan: 24-01-2024
Diperbarui: 07-02-2024

Deskripsi

Deskripsi Keparahan Catatan

07-02-2024 Pembaruan: Menambahkan versi patch untuk Ubuntu.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-6817

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2023-6817

GCP-2024-003

Dipublikasikan: 19-01-2024
Diperbarui: 26-01-2024

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 26-01-2024: Memperjelas jumlah cluster yang terpengaruh dan tindakan yang kami lakukan untuk membantu memitigasi dampaknya. Untuk mengetahui detailnya, lihat buletin keamanan GCP-2024-003.

Kami telah mengidentifikasi beberapa cluster tempat pengguna telah memberikan hak istimewa Kubernetes kepada grup system:authenticated, yang mencakup semua pengguna dengan Akun Google. Jenis binding ini tidak direkomendasikan, karena melanggar prinsip hak istimewa terendah dan memberikan akses ke grup pengguna yang sangat besar. Lihat panduan di bagian 'Apa yang harus saya lakukan' untuk mendapatkan petunjuk tentang cara menemukan jenis binding ini.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Sedang

GCP-2024-002

Dipublikasikan: 17-01-2024

Diperbarui: 20-02-2024

Deskripsi

Deskripsi Keparahan Catatan

20-02-2024 Update: Menambahkan versi patch untuk GKE di VMware.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS.

  • CVE-2023-6111

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2023-6111

GCP-2024-001

Dipublikasikan: 09-01-2024

Deskripsi

Deskripsi Keparahan Catatan

Beberapa kerentanan ditemukan di firmware UEFI TianoCore EDK II. Firmware ini digunakan di VM Google Compute Engine. Jika dieksploitasi, kerentanan ini dapat memungkinkan melewati booting aman, yang akan memberikan pengukuran yang salah dalam proses booting aman, termasuk saat digunakan di Shielded VM.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Google telah menambal kerentanan ini di Compute Engine dan semua VM dilindungi dari kerentanan ini.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Patch ini mengurangi kerentanan berikut:

  • CVE-2022-36763
  • CVE-2022-36764
  • CVE-2022-36765
 Sedang

GCP-2023-051

Dipublikasikan: 28-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3609

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2023-3609

GCP-2023-050

Dipublikasikan: 27-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3389

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2023-3389

GCP-2023-049

Dipublikasikan: 20-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3090

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2023-3090

GCP-2023-048

Dipublikasikan: 15-12-2023

Diperbarui: 21-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 21-12-2023: Memperjelas bahwa cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3390

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2023-3390

GCP-2023-047

Dipublikasikan: 14-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Penyerang yang telah membahayakan container logging Fluent Bit dapat menggabungkan akses tersebut dengan hak istimewa tinggi yang diperlukan oleh Cloud Service Mesh (di cluster yang telah mengaktifkannya) untuk melakukan eskalasi hak istimewa di cluster.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Sedang

GCP-2023-046

Dipublikasikan: 22-11-2023
Diperbarui: 04-03-2024

Deskripsi

Deskripsi Keparahan Catatan

04-03-2024 Info Terbaru: Menambahkan versi GKE untuk GKE di VMware.

22-01-2024 Update: Menambahkan versi patch Ubuntu

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-5717

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2023-5717

GCP-2023-045

Dipublikasikan: 20-11-2023

Diperbarui: 21-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 21-12-2023: Memperjelas bahwa cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-5197

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2023-5197

GCP-2023-044

Dipublikasikan: 15-11-2023

Deskripsi

Deskripsi Keparahan Catatan

Pada 14 November, AMD mengungkapkan beberapa kerentanan yang memengaruhi berbagai CPU server AMD. Secara khusus, kerentanan ini memengaruhi CPU Server EPYC yang memanfaatkan generasi inti Zen 2 "Rome", gen 3 "Milan", dan gen 4 "Genoa".

Google telah menerapkan perbaikan pada aset yang terpengaruh, termasuk Google Cloud, untuk memastikan pelanggan terlindungi. Saat ini, tidak ada bukti eksploitasi yang ditemukan atau dilaporkan ke Google.

Apa yang sebaiknya saya lakukan?

Pelanggan tidak perlu melakukan tindakan apa pun.

Perbaikan telah diterapkan ke armada server Google untuk Google Cloud, termasuk Google Compute Engine.

Kerentanan apa yang ditangani?

Patch ini mengurangi kerentanan berikut:

  • CVE-2022-23820
  • CVE-2021-46774
  • CVE-2023-20533
  • CVE-2023-20519
  • CVE-2023-20592
  • CVE-2023-20566
  • CVE-2023-20521
  • CVE-2021-46766
  • CVE-2022-23830
  • CVE-2023-20526
  • CVE-2021-26345

Untuk mengetahui informasi selengkapnya, lihat saran keamanan AMD AMD-SN-3005: "AMD INVD Instruction Security Notice", yang juga dipublikasikan sebagai CacheWarp, dan AMD-SN-3002: "AMD Server Vulnerabilities – November 2023".

 Sedang

GCP-2023-043

Dipublikasikan: 14-11-2023

Deskripsi

Deskripsi Keparahan Catatan

Intel mengungkapkan kerentanan CPU di beberapa prosesor tertentu. Google telah mengambil langkah-langkah untuk memitigasi inventaris servernya, termasuk Google Compute Engine untuk Google Cloud, dan perangkat Chrome OS untuk memastikan pelanggan terlindungi.

Detail kerentanan:

  • CVE-2023-23583

Apa yang sebaiknya saya lakukan?

Pelanggan tidak perlu melakukan tindakan apa pun.

Mitigasi yang disediakan oleh Intel untuk pemroses yang terpengaruh telah diterapkan ke armada server Google, termasuk Google Compute Engine untuk Google Cloud.

Saat ini, Google Distributed Cloud Edge memerlukan update dari OEM. Google akan memperbaiki produk ini setelah update tersedia, dan buletin ini akan diperbarui sebagaimana mestinya.

Perangkat Chrome OS dengan prosesor yang terpengaruh menerima perbaikan secara otomatis sebagai bagian dari rilis 119, 118, dan 114 (LTS).

Kerentanan apa yang ditangani?

CVE-2023-23583. Untuk mengetahui detailnya, lihat Intel Security Advisory INTEL-SA-00950.

 Tinggi CVE-2023-23583

GCP-2023-042

Dipublikasikan: 13-11-2023
Diperbarui: 15-11-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 15-11-2023: Memperjelas bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4147

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2023-4147

GCP-2023-041

Dipublikasikan: 08-11-2023

Diperbarui: 21-11-2023, 05-12-2023, 21-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 21-12-2023: Memperjelas bahwa cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh.

Pembaruan 05-12-2023: Menambahkan versi GKE tambahan untuk node pool Container-Optimized OS.

Pembaruan 21-11-2023: Memperjelas bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4004

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2023-4004

GCP-2023-040

Dipublikasikan: 06-11-2023

Diperbarui: 21-11-2023, 21-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 21-12-2023: Memperjelas bahwa cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh.

Pembaruan 21-11-2023: Memperjelas bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4921

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2023-4921

GCP-2023-039

Dipublikasikan: 2023-11-06

Diperbarui: 21-11-2023, 16-11-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 21-11-2023: Memperjelas bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.

Update 16-11-2023: Kerentanan yang terkait dengan buletin keamanan ini adalah CVE-2023-4622. CVE-2023-4623 keliru dicantumkan sebagai kerentanan dalam buletin keamanan versi sebelumnya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4623

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2023-4622

GCP-2023-038

Dipublikasikan: 06-11-2023

Diperbarui: 21-11-2023, 21-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 21-12-2023: Memperjelas bahwa cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh.

Pembaruan 21-11-2023: Memperjelas bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4623

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2023-4623

GCP-2023-037

Dipublikasikan: 2023-11-06

Diperbarui: 21-11-2023, 21-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 21-12-2023: Memperjelas bahwa cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh.

Pembaruan 21-11-2023: Memperjelas bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4015

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2023-4015

GCP-2023-036

Dipublikasikan: 30-10-2023

Deskripsi

Deskripsi Keparahan Catatan

Deep Learning VM Image adalah sekumpulan image virtual machine bawaan dengan framework deep learning yang siap dijalankan langsung. Baru-baru ini, kerentanan penulisan di luar batas ditemukan dalam fungsi `ReadHuffmanCodes()` di library `libwebp`. Hal ini dapat memengaruhi gambar yang menggunakan pustaka ini.

Google Cloud terus memindai gambar yang dipublikasikan secara publik dan mengupdate paket untuk memastikan distro yang di-patch disertakan dalam rilis terbaru yang tersedia untuk diadopsi pelanggan. Deep Learning VM Image telah diupdate untuk memastikan bahwa image VM terbaru menyertakan distro yang telah di-patch. Pelanggan yang menggunakan image VM terbaru tidak akan terpapar kerentanan ini.

Apa yang sebaiknya saya lakukan?

PelangganGoogle Cloud yang menggunakan image VM yang dipublikasikan harus memastikan bahwa mereka menggunakan image terbaru dan lingkungan mereka sudah diupdate sesuai dengan model tanggung jawab bersama.

CVE-2023-4863 dapat dieksploitasi oleh penyerang untuk mengeksekusi kode arbitrer. Kerentanan ini diidentifikasi di Google Chrome sebelum 116.0.5845.187 dan di `libwebp` sebelum 1.3.2 dan tercantum dalam CVE-2023-4863.

 Tinggi CVE-2023-4863

GCP-2023-035

Dipublikasikan: 26-10-2023

Diperbarui: 21-11-2023, 21-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 21-12-2023: Memperjelas bahwa cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh.

Pembaruan 21-11-2023: Memperjelas bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2023-4206CVE-2023-4207, CVE-2023-4208, CVE-2023-4128

GCP-2023-034

Dipublikasikan: 25-10-2023

Diperbarui: 27-10-2023

Deskripsi

Deskripsi Keparahan Catatan

VMware mengungkapkan beberapa kerentanan dalam VMSA-2023-0023 yang memengaruhi komponen vCenter yang di-deploy di lingkungan pelanggan.

Dampak Cloud Customer Care

  • Kerentanan ini dapat dieksploitasi dengan mengakses port tertentu di vCenter Server. Port ini tidak diekspos ke internet publik.
  • Jika port vCenter 2012/tcp, 2014/tcp, dan 2020/tcp Anda tidak dapat diakses oleh sistem yang tidak tepercaya, Anda tidak akan terekspos ke kerentanan ini.
  • Google telah memblokir port yang rentan di server vCenter, sehingga mencegah potensi eksploitasi kerentanan ini.
  • Selain itu, Google akan memastikan semua deployment server vCenter pada masa mendatang tidak terekspos kerentanan ini.
  • Pada saat buletin ini dikeluarkan, VMware tidak mengetahui adanya eksploitasi "di luar". Untuk mengetahui detail selengkapnya, lihat dokumentasi VMware untuk mengetahui informasi selengkapnya.

Apa yang harus saya lakukan?

Untuk saat ini, tidak ada tindakan lebih lanjut yang perlu Anda lakukan.

 Kritis CVE-2023-34048,CVE-2023-34056

GCP-2023-033

Dipublikasikan: 24-10-2023

Diperbarui: 21-11-2023, 21-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 21-12-2023: Memperjelas bahwa cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh dan workload GKE Sandbox tidak terpengaruh.

Pembaruan 21-11-2023: Memperjelas bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3777

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2023-3777

GCP-2023-032

Dipublikasikan: 13-10-2023

Diperbarui: 03-11-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 03-11-2023: Menambahkan masalah umum untuk Apigee Edge untuk Private Cloud.

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa penerapan protokol HTTP/2 (CVE-2023-44487), termasuk layanan Apigee Ingress (Cloud Service Mesh) yang digunakan oleh Apigee X dan Apigee Hybrid. Kerentanan tersebut dapat menyebabkan DoS pada fungsi pengelolaan API Apigee.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat Buletin keamanan Apigee.

Tinggi CVE-2023-44487

GCP-2023-031

Dipublikasikan: 10-10-2023

Deskripsi

Deskripsi Keparahan Catatan

Serangan penolakan layanan dapat memengaruhi bidang data saat menggunakan protokol HTTP/2. Untuk mengetahui petunjuk dan detail selengkapnya, lihat Buletin keamanan Cloud Service Mesh.

Tinggi CVE-2023-44487

GCP-2023-030

Dipublikasikan: 10-10-2023

Diperbarui: 20-03-2024

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 20-03-2024: Menambahkan versi patch untuk GKE di AWS dan GKE di Azure dengan patch terbaru untuk CVE-2023-44487.

14-02-2024: Menambahkan versi patch untuk GKE di VMware.

Update 09-11-2023: Menambahkan CVE-2023-39325. Versi GKE yang diupdate dengan patch terbaru untuk CVE-2023-44487 dan CVE-2023-39325.

Kerentanan Penolakan Layanan (DoS) baru-baru ini ditemukan di beberapa penerapan protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE). Cluster GKE dengan jaringan resmi yang dikonfigurasi dilindungi dengan membatasi akses jaringan, tetapi semua cluster lainnya terpengaruh.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2023-44487, CVE-2023-39325

GCP-2023-029

Dipublikasikan: 03-10-2023

Deskripsi

Deskripsi Keparahan Catatan

TorchServe digunakan untuk menghosting model machine learning PyTorch untuk prediksi online. Vertex AI menyediakan container penayangan model PyTorch bawaan yang bergantung pada TorchServe. Kerentanan baru-baru ini ditemukan di TorchServe yang memungkinkan penyerang mengontrol deployment TorchServe jika API pengelolaan modelnya terekspos. Pelanggan dengan model PyTorch yang di-deploy ke prediksi online Vertex AI tidak terpengaruh oleh kerentanan ini, karena Vertex AI tidak mengekspos API pengelolaan model TorchServe. Pelanggan yang menggunakan TorchServe di luar Vertex AI harus melakukan tindakan pencegahan untuk memastikan deployment mereka disiapkan dengan aman.

Apa yang sebaiknya saya lakukan?

Pelanggan Vertex AI dengan model yang di-deploy menggunakan container penayangan PyTorch bawaan Vertex AI tidak perlu melakukan tindakan apa pun untuk mengatasi kerentanan tersebut, karena deployment Vertex AI tidak mengekspos server pengelolaan TorchServe ke internet.

Pelanggan yang menggunakan container PyTorch bawaan dalam konteks lain, atau yang menggunakan distribusi TorchServe yang dibuat khusus atau dari pihak ketiga harus melakukan hal berikut:

  • Pastikan API pengelolaan model TorchServe tidak terekspos ke internet. API pengelolaan model dapat dibatasi untuk akses lokal hanya dengan memastikan bahwa management_address terikat dengan 127.0.0.1.
  • Gunakan setelan allowed_urls untuk memastikan bahwa model hanya dapat dimuat dari sumber yang diinginkan.
  • Upgrade TorchServe ke versi 0.8.2, yang mencakup mitigasi untuk masalah ini, sesegera mungkin. Sebagai tindakan pencegahan, Vertex AI akan merilis container bawaan tetap pada 13-10-2023.

Kerentanan apa yang ditangani?

API pengelolaan TorchServe terikat pada 0.0.0.0 secara default di sebagian besar image Docker TorchServe, termasuk yang dirilis oleh Vertex AI, sehingga dapat diakses oleh permintaan eksternal. Alamat IP default untuk API pengelolaan diubah menjadi 127.0.0.1 di TorchServe 0.8.2, sehingga dapat memitigasi masalah ini.

CVE-2023-43654 dan CVE-2022-1471 memungkinkan pengguna dengan akses ke API pengelolaan dapat memuat model dari sumber arbitrer dan mengeksekusi kode dari jarak jauh. Mitigasi untuk kedua masalah ini tercakup dalam TorchServe 0.8.2: jalur eksekusi kode jarak jauh akan dihapus, dan peringatan akan dimunculkan jika nilai default untuk allowed_urls digunakan.

 Tinggi CVE-2023-43654, CVE-2022-1471

GCP-2023-028

Dipublikasikan: 19-09-2023

Diperbarui: 29-05-2024

Deskripsi

Deskripsi Keparahan Catatan
Pembaruan 29-05-2024: Feed baru tidak lagi menggunakan akun layanan bersama, tetapi tetap aktif untuk feed yang ada guna menghindari gangguan layanan. Perubahan pada sumber di feed lama diblokir untuk mencegah penyalahgunaan akun layanan bersama. Pelanggan dapat terus menggunakan feed lama mereka seperti biasa, selama mereka tidak mengubah sumbernya.

Pelanggan dapat mengonfigurasi Google Security Operations untuk menyerap data dari bucket Cloud Storage milik pelanggan menggunakan feed penyerapan. Hingga saat ini, Google Security Operations menyediakan akun layanan bersama yang digunakan pelanggan untuk memberikan izin ke bucket. Ada peluang yang memungkinkan instance Google Security Operations satu pelanggan dikonfigurasi untuk menyerap data dari bucket Cloud Storage pelanggan lain. Setelah melakukan analisis dampak, kami tidak menemukan eksploitasi kerentanan ini saat ini atau sebelumnya. Kerentanan ini ada di semua versi Google Security Operations sebelum 19 September 2023.

Apa yang sebaiknya saya lakukan?

Mulai 19 September 2023, Google Security Operations telah diupdate untuk mengatasi kerentanan ini. Pelanggan tidak perlu melakukan tindakan apa pun.

Kerentanan apa yang ditangani?

Sebelumnya, Google Security Operations menyediakan akun layanan bersama yang digunakan pelanggan untuk memberikan izin ke bucket. Karena pelanggan yang berbeda memberikan izin akun layanan Google Security Operations yang sama ke bucket mereka, ada vektor eksploitasi yang memungkinkan feed satu pelanggan mengakses bucket pelanggan lain saat feed sedang dibuat atau diubah. Vektor eksploitasi ini memerlukan pengetahuan tentang URI bucket. Sekarang, selama pembuatan atau modifikasi feed, Google Security Operations menggunakan akun layanan unik untuk setiap pelanggan.

 Tinggi

GCP-2023-027

Dipublikasikan: 11-09-2023
Deskripsi Keparahan Catatan

Update VMware vCenter Server mengatasi beberapa kerentanan kerusakan memori (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896)

Dampak Layanan Pelanggan

VMware vCenter Server (vCenter Server) dan VMware Cloud Foundation (Cloud Foundation).

Apa yang harus saya lakukan?

Pelanggan tidak terpengaruh dan tidak ada tindakan yang perlu dilakukan.

 Sedang

GCP-2023-026

Dipublikasikan: 06-09-2023

Deskripsi

Deskripsi Keparahan Catatan

Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, di mana pengguna yang dapat membuat Pod di node Windows mungkin dapat melakukan eskalasi ke hak istimewa admin di node tersebut. Kerentanan ini memengaruhi Kubelet dan proxy CSI Kubernetes versi Windows.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2023-3676, CVE-2023-3955, CVE-2023-3893

GCP-2023-025

Dipublikasikan: 08-08-2023
Deskripsi Keparahan Catatan

Baru-baru ini, Intel mengumumkan Intel Security Advisory INTEL-SA-00828 yang memengaruhi beberapa keluarga prosesor mereka. Anda dianjurkan untuk menilai risiko Anda berdasarkan saran tersebut.

Dampak Google Cloud VMware Engine

Armada kami menggunakan keluarga prosesor yang terpengaruh. Dalam deployment kami, seluruh server dikhususkan untuk satu pelanggan. Oleh karena itu, model deployment kami tidak menambah risiko tambahan apa pun pada penilaian Anda terhadap kerentanan ini.

Kami bekerja sama dengan partner untuk mendapatkan patch yang diperlukan dan akan men-deploy patch ini dengan prioritas di seluruh armada menggunakan proses upgrade standar dalam beberapa minggu ke depan.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan apa pun. Kami sedang mengupgrade semua sistem yang terpengaruh.

 Tinggi

GCP-2023-024

Dipublikasikan: 08-08-2023

Diperbarui: 10-08-2023, 04-06-2024

Deskripsi

Deskripsi Keparahan Catatan

Update 04-06-2024: Produk berikut yang tidak ada kini telah diperbarui untuk memperbaiki kerentanan ini:

  • Google Distributed Cloud Hosted
  • Google Distributed Cloud Edge

10-08-2023: Menambahkan nomor versi LTS ChromeOS.

Intel mengungkapkan kerentanan pada prosesor tertentu (CVE-2022-40982). Google telah mengambil langkah-langkah untuk memitigasi armada servernya, termasuk Google Cloud, untuk memastikan pelanggan terlindungi.

Detail kerentanan:

  • CVE-2022-40982 (Intel IPU 2023.3, "GDS" alias "Downfall")

Apa yang sebaiknya saya lakukan?

Pelanggan tidak perlu melakukan tindakan apa pun.

Semua patch yang tersedia telah diterapkan ke fleet server Google untuk Google Cloud, termasuk Google Compute Engine.

Saat ini, produk berikut memerlukan pembaruan tambahan dari partner dan vendor.

  • Google Cloud VMware Engine
  • Google Distributed Cloud Hosted
  • Google Distributed Cloud Edge
  • Solusi Bare Metal Google Cloud
  • Evolved Packet Core

Google akan memperbaiki produk ini setelah patch tersebut tersedia, dan buletin ini akan diperbarui sesuai dengan itu.

Pelanggan Google Chromebook dan ChromeOS Flex secara otomatis menerima mitigasi yang disediakan Intel di Saluran Stabil (115), LTS (108), Beta (116), dan LTC (114). Pelanggan Chromebook dan ChromeOS Flex yang menggunakan rilis lama harus mempertimbangkan untuk melepaskan pin dan beralih ke rilis Stabil atau LTS untuk memastikan mereka menerima perbaikan kerentanan ini dan lainnya.

Kerentanan apa yang ditangani?

CVE-2022-40982 - Untuk mengetahui informasi selengkapnya, lihat Intel Security Advisory INTEL-SA-00828.

Tinggi CVE-2022-40982

GCP-2023-023

Dipublikasikan: 08-08-2023

Deskripsi

Deskripsi Keparahan Catatan

AMD mengungkapkan kerentanan pada prosesor tertentu (CVE-2023-20569). Google telah mengambil langkah-langkah untuk memitigasi armada servernya, termasuk Google Cloud, untuk memastikan pelanggan terlindungi.

Detail kerentanan:

  • CVE-2023-20569 (AMD SB-7005 alias "Inception")

Apa yang sebaiknya saya lakukan?

Pengguna VM Compute Engine harus mempertimbangkan mitigasi yang disediakan OS jika menggunakan eksekusi kode yang tidak tepercaya dalam instance. Sebaiknya pelanggan menghubungi vendor OS mereka untuk mendapatkan panduan yang lebih spesifik.

Perbaikan telah diterapkan ke armada server Google untuk Google Cloud, termasuk Google Compute Engine.

Kerentanan apa yang ditangani?

CVE-2023-20569 - Untuk mengetahui informasi selengkapnya, lihat AMD SB-7005.

Sedang CVE-2023-20569

GCP-2023-022

Dipublikasikan: 03-08-2023

Deskripsi

Deskripsi Keparahan Catatan

Google mengidentifikasi kerentanan dalam Implementasi gRPC C++ sebelum rilis 1.57. Kerentanan ini adalah kerentanan Denial-of-Service dalam penerapan C++ gRPC. Masalah ini telah diperbaiki dalam rilis 1.53.2, 1.54.3, 1.55.2, 1.56.2, dan 1.57.

Apa yang sebaiknya saya lakukan?

Pastikan Anda menggunakan versi terbaru dari paket software berikut:

  • gRPC (C++, Python, Ruby) versi 1.53, 1.54, 1.55, dan 1.56 perlu diupgrade ke rilis patch berikut:
    • 1.53.2
    • 1.54.3
    • 1.55.2
    • 1.56.2
  • gRPC (C++, Python, Ruby) versi 1.52 dan yang lebih lama harus diupgrade ke salah satu rilis patch yang disetujui. Misalnya, 1.53.2, 1.54.3, 1.53.4, dll.

Kerentanan apa yang ditangani?

Patch ini mengurangi kerentanan berikut:

  • Kerentanan Penolakan Layanan (Denial-Of-Service) dalam penerapan gRPC C++: Permintaan yang dibuat secara khusus dapat menyebabkan penghentian koneksi antara proxy dan backend.
Tinggi CVE-2023-33953

GCP-2023-021

Updated:2023-07-26

Published:2023-07-25

Deskripsi

Deskripsi Keparahan Catatan

CVE berikut mengekspos Cloud Service Mesh ke kerentanan yang dapat dieksploitasi:

  • CVE-2023-35941: Klien berbahaya dapat membuat kredensial dengan validitas permanen dalam beberapa skenario tertentu. Misalnya, kombinasi host dan waktu habis masa berlaku di payload HMAC dapat selalu valid dalam pemeriksaan HMAC filter OAuth2.
  • CVE-2023-35942: Logger akses gRPC yang menggunakan cakupan global listener dapat menyebabkan error penggunaan setelah pembersihan saat listener dikosongkan. Hal ini dapat dipicu oleh update LDS dengan konfigurasi log akses gRPC yang sama.
  • CVE-2023-35943: Jika header origin dikonfigurasi untuk dihapus dengan request_headers_to_remove: origin, filter CORS akan segfault dan menyebabkan Envoy error.
  • CVE-2023-35944: Penyerang dapat mengirim permintaan skema campuran untuk melewati pemeriksaan skema di Envoy. Misalnya, jika permintaan HTTP dengan skema campuran dikirim ke filter OAuth2, permintaan tersebut akan gagal dalam pemeriksaan kecocokan persis untuk HTTP, dan memberi tahu endpoint jarak jauh bahwa skemanya adalah HTTPS, sehingga berpotensi melewati pemeriksaan OAuth2 khusus untuk permintaan HTTP.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat Buletin keamanan Cloud Service Mesh.

Tinggi

GCP-2023-020

Updated:2023-07-26

Dipublikasikan: 24-07-2023

Deskripsi

Deskripsi Keparahan Catatan

AMD telah merilis update microcode yang mengatasi kerentanan keamanan hardware (CVE-2023-20593). Google telah menerapkan perbaikan yang diperlukan untuk kerentanan ini ke armada servernya, termasuk server untuk Google Cloud Platform. Pengujian menunjukkan bahwa tidak ada dampak pada performa sistem.

Apa yang sebaiknya saya lakukan?

Pelanggan tidak perlu melakukan tindakan apa pun, karena perbaikan telah diterapkan ke armada server Google untuk Google Cloud Platform.

Kerentanan apa yang ditangani?

CVE-2023-20593 mengatasi kerentanan di beberapa CPU AMD. Informasi selengkapnya dapat ditemukan di sini.

Tinggi CVE-2023-20593

GCP-2023-019

Published:2023-07-18

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan baru (CVE-2023-35945) telah ditemukan di Envoy yang mana respons yang dibuat secara khusus dari layanan upstream yang tidak tepercaya dapat menyebabkan penolakan layanan melalui kehabisan memori. Hal ini disebabkan oleh codec HTTP/2 Envoy yang dapat membocorkan peta header dan struktur pembukuan saat menerima RST_STREAM yang segera diikuti oleh frame GOAWAY dari server upstream.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat Buletin keamanan Cloud Service Mesh.

Tinggi CVE-2023-35945

GCP-2023-018

Dipublikasikan: 2023-06-27

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. Cluster GKE Autopilot terpengaruh karena node GKE Autopilot selalu menggunakan image node Container-Optimized OS. Cluster GKE Standard dengan versi 1.25 atau yang lebih baru yang menjalankan image node Container-Optimized OS terpengaruh.

Cluster GKE tidak terpengaruh jika hanya menjalankan image node Ubuntu, atau menjalankan versi sebelum 1.25, atau menggunakan GKE Sandbox.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2023-2235

GCP-2023-017

Dipublikasikan: 26-06-2023

Diperbarui: 11-07-2023

Deskripsi

Deskripsi Keparahan Catatan

Update 11-07-2023: Versi GKE baru telah diupdate untuk menyertakan versi Ubuntu terbaru yang melakukan patch CVE-2023-31436.

Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. Cluster GKE, termasuk cluster Autopilot, terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2023-31436

GCP-2023-016

Dipublikasikan: 26-06-2023

Deskripsi

Deskripsi Keparahan Catatan

Sejumlah kerentanan telah ditemukan di Envoy, yang digunakan di Cloud Service Mesh yang memungkinkan penyerang berbahaya menyebabkan penolakan layanan atau crash Envoy. Hal ini dilaporkan secara terpisah sebagai GCP-2023-002.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487

GCP-2023-015

Dipublikasikan: 2023-06-20

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan baru, CVE-2023-0468, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna yang tidak memiliki hak istimewa untuk melakukan eskalasi hak istimewa ke root saat io_poll_get_ownership akan terus meningkatkan req->poll_refs pada setiap io_poll_wake, lalu meluap ke 0 yang akan memanggil fput req->file dua kali dan menyebabkan masalah refcount file struct. Cluster GKE, termasuk cluster Autopilot, dengan Container-Optimized OS yang menggunakan Linux Kernel versi 5.15 terpengaruh. Cluster GKE yang menggunakan image Ubuntu atau GKE Sandbox tidak terpengaruh.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Sedang CVE-CVE-2023-0468

GCP-2023-014

Diperbarui: 11-08-2023
Dipublikasikan: 15-06-2023

Deskripsi

Deskripsi Keparahan Catatan

11-08-2023: Menambahkan versi patch untuk GKE di VMware, GKE di AWS, GKE di Azure, dan Google Distributed Cloud Virtual untuk Bare Metal.

Dua masalah keamanan baru ditemukan di Kubernetes. Pengguna mungkin dapat meluncurkan penampung yang melewati batasan kebijakan saat menggunakan penampung sementara dan ImagePolicyWebhook (CVE-2023-2727) atau plugin penerimaan ServiceAccount (CVE-2023-2728).

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Sedang CVE-2023-2727, CVE-2023-2728

GCP-2023-013

Dipublikasikan: 2023-06-08

Deskripsi

Deskripsi Keparahan Catatan

Saat Anda mengaktifkan Cloud Build API di project, Cloud Build akan otomatis membuat akun layanan default untuk menjalankan build atas nama Anda. Akun layanan Cloud Build ini sebelumnya memiliki izin IAM logging.privateLogEntries.list, yang memungkinkan build memiliki akses untuk mencantumkan log pribadi secara default. Izin ini kini telah dicabut dari akun layanan Cloud Build untuk mematuhi prinsip keamanan dengan hak istimewa terendah.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat Buletin keamanan Cloud Build.

 Rendah

GCP-2023-010

Dipublikasikan: 2023-06-07

Deskripsi

Deskripsi Keparahan Catatan

Google mengidentifikasi tiga kerentanan baru dalam penerapan gRPC C++. Kerentanan ini akan segera dipublikasikan sebagai CVE-2023-1428, CVE-2023-32731, dan CVE-2023-32732.

Pada bulan April, kami mengidentifikasi dua kerentanan dalam rilis 1.53 dan 1.54. Yang satu adalah kerentanan Penolakan Layanan dalam penerapan C++ gRPC dan yang lainnya adalah kerentanan eksfiltrasi data jarak jauh. Masalah ini telah diperbaiki di 1.53.1, 1.54.2, dan rilis yang lebih baru.

Sebelumnya pada bulan Maret, tim internal kami menemukan kerentanan Denial-of-Service dalam penerapan C++ gRPC saat melakukan aktivitas fuzzing rutin. Kerentanan ini ditemukan dalam rilis gRPC 1.52, dan telah diperbaiki dalam rilis 1.52.2 dan 1.53.

Apa yang harus saya lakukan?

Pastikan Anda menggunakan versi terbaru dari paket software berikut:

  • grpc (C++, Python, Ruby) versi 1.52, 1.53, dan 1.54 perlu diupgrade ke rilis patch berikut;
    • 1.52.2
    • 1.53.1
    • 1.54.2
  • grpc (C++, Python, Ruby) versi 1.51 dan yang lebih lama tidak terpengaruh, sehingga pengguna dengan versi ini tidak perlu melakukan tindakan apa pun

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Patch ini mengurangi kerentanan berikut:

  • Rilis 1.53.1, 1.54.2, dan yang lebih baru mengatasi masalah berikut: Kerentanan Denial-Of-Service dalam penerapan gRPC C++. Permintaan yang dibuat secara khusus dapat menyebabkan penghentian koneksi antara proxy dan backend. Kerentanan eksfiltrasi data jarak jauh: Desinkronisasi dalam tabel HPACK karena batasan ukuran header dapat menyebabkan backend proxy membocorkan data header dari klien lain yang terhubung ke proxy.
  • Rilis 1.52.2, 1.53, dan yang lebih baru mengatasi masalah berikut: Kerentanan Denial-of-Service dalam penerapan C++ gRPC. Mem-parsing beberapa permintaan yang dibuat secara khusus dapat menyebabkan error yang memengaruhi server.

Sebaiknya upgrade ke versi terbaru paket software berikut seperti yang tercantum di atas.

 Tinggi (CVE-2023-1428, CVE-2023-32731). Sedang (CVE-2023-32732) CVE-2023-1428, CVE-2023-32731, CVE-023-32732

GCP-2023-009

Dipublikasikan: 2023-06-06

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver. Dalam kerentanan ini, aktor yang memiliki akses ke log driver dapat mengamati token akun layanan.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tidak ada CVE-2023-2878

GCP-2023-008

Dipublikasikan: 2023-06-05

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa ke root di node.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2023-1872

GCP-2023-007

Dipublikasikan: 2023-06-02

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan baru-baru ini ditemukan di Cloud SQL untuk SQL Server yang memungkinkan akun administrator pelanggan membuat pemicu di database tempdb dan menggunakannya untuk mendapatkan hak istimewa sysadmin di instance. Hak istimewa sysadmin akan memberi penyerang akses ke database sistem dan akses sebagian ke mesin yang menjalankan instance SQL Server tersebut.

Google Cloud menyelesaikan masalah ini dengan mem-patch kerentanan keamanan paling lambat 1 Maret 2023. Google Cloud tidak menemukan instance pelanggan yang disusupi.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan Cloud SQL.

 Tinggi

GCP-2023-005

Dipublikasikan: 18-05-2023

Diperbarui: 06-06-2023

Deskripsi

Deskripsi Keparahan Catatan

Update 06-06-2023: Versi GKE baru telah diupdate untuk menyertakan versi Ubuntu terbaru yang menambal CVE-2023-1281 dan CVE-2023-1829.

Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa ke root di node.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2023-1281 CVE-2023-1829

GCP-2023-004

Dipublikasikan: 2023-04-26

Deskripsi

Deskripsi Keparahan Catatan

Dua kerentanan (CVE-2023-1017 dan CVE-2023-1018) ditemukan di Trusted Platform Module (TPM) 2.0.

Kerentanan ini dapat memungkinkan penyerang yang canggih untuk mengeksploitasi baca/tulis di luar batas 2 byte pada VM Compute Engine tertentu.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan Compute Engine.

 Sedang

GCP-2023-003

Dipublikasikan: 11-04-2023

Diperbarui: 21-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 21-12-2023: Memperjelas bahwa cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh.

Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna yang tidak memiliki hak istimewa untuk melakukan eskalasi hak istimewa.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2023-0240, CVE-2023-23586

GCP-2023-002

Deskripsi

Deskripsi Keparahan Catatan

CVE berikut mengekspos Cloud Service Mesh ke kerentanan yang dapat dieksploitasi:

  • CVE-2023-27496: Jika Envoy berjalan dengan filter OAuth yang diaktifkan dan diekspos, pihak yang berniat jahat dapat membuat permintaan yang akan menyebabkan penolakan layanan dengan membuat Envoy error.
  • CVE-2023-27488: Penyerang dapat menggunakan kerentanan ini untuk melewati pemeriksaan autentikasi saat ext_authz digunakan.
  • CVE-2023-27493: Konfigurasi Envoy juga harus menyertakan opsi untuk menambahkan header permintaan yang dibuat menggunakan input dari permintaan, seperti SAN sertifikat peer.
  • CVE-2023-27492: Penyerang dapat mengirimkan isi permintaan besar untuk rute yang mengaktifkan filter Lua dan memicu error.
  • CVE-2023-27491: Penyerang dapat mengirim permintaan HTTP/2 atau HTTP/3 yang dibuat secara khusus untuk memicu error parsing pada layanan upstream HTTP/1.
  • CVE-2023-27487: Header `x-envoy-original-path` seharusnya menjadi header internal, tetapi Envoy tidak menghapus header ini dari permintaan di awal pemrosesan permintaan saat dikirim dari klien yang tidak tepercaya.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan Cloud Service Mesh.:

Tinggi

GCP-2023-001

Dipublikasikan: 01-03-2023, 21-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 21-12-2023: Memperjelas bahwa cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh.

Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi CVE-2022-4696

GCP-2022-026

Dipublikasikan: 11-01-2023

Deskripsi

Deskripsi Keparahan Catatan

Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Sedang

GCP-2022-025

Dipublikasikan: 21-12-2022
Diperbarui: 19-01-2023, 21-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 21-12-2023: Memperjelas bahwa cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh.

19-01-2023: Menambahkan informasi bahwa GKE versi 1.21.14-gke.14100 sudah tersedia.

Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Sedang

GCP-2022-024

Dipublikasikan: 09-11-2022

Diperbarui: 19-01-2023

Deskripsi

Deskripsi Keparahan Catatan

19-01-2023: Menambahkan informasi bahwa GKE versi 1.21.14-gke.14100 sudah tersedia.

16-12-2022: Menambahkan versi patch untuk GKE dan GKE on VMware.

Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan container keluar sepenuhnya ke root di node.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat:

Tinggi

GCP-2022-023

Dipublikasikan: 04-11-2022

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh, yang memungkinkan penyerang berbahaya merusak bidang kontrol.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2022-39278

GCP-2022-022

Dipublikasikan: 28-10-2022

Diperbarui: 14-12-2022

Deskripsi

Deskripsi Keparahan Catatan

14-12-2022: Menambahkan versi patch untuk GKE dan GKE di VMware.

Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna yang tidak memiliki hak istimewa melakukan eskalasi ke hak istimewa eksekusi sistem.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2022-20409

GCP-2022-021

Dipublikasikan: 27-10-2022

Diperbarui: 19-01-2023, 21-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 21-12-2023: Memperjelas bahwa cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh.

19-01-2023: Menambahkan informasi bahwa GKE versi 1.21.14-gke.14100 sudah tersedia.

15-12-2022: Informasi yang diperbarui bahwa versi 1.21.14-gke.9400 Google Kubernetes Engine menunggu peluncuran dan mungkin digantikan oleh nomor versi yang lebih tinggi.

Pembaruan 22-11-2022: Menambahkan versi patch untuk GKE di VMware, GKE di AWS, dan GKE di Azure.

Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa untuk mencapai keluar dari penampung sepenuhnya ke root di node.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2022-3176

GCP-2022-020

Dipublikasikan: 05-10-2022

Diperbarui: 12-10-2022

Deskripsi

Deskripsi Keparahan Catatan

Bidang kontrol Istio istiod rentan terhadap error pemrosesan permintaan, sehingga memungkinkan penyerang berbahaya yang mengirimkan pesan yang dibuat khusus yang menyebabkan bidang kontrol mengalami error saat webhook validasi untuk cluster diekspos secara publik. Endpoint ini ditayangkan melalui port TLS 15017, tetapi tidak memerlukan autentikasi apa pun dari penyerang.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan Cloud Service Mesh.

 Tinggi CVE-2022-39278

GCP-2022-019

Dipublikasikan: 22-09-2022

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan penguraian pesan dan pengelolaan memori dalam implementasi C++ dan Python ProtocolBuffer dapat memicu kegagalan out of memory (OOM) saat memproses pesan yang dibuat secara khusus. Hal ini dapat menyebabkan penolakan layanan (DoS) pada layanan yang menggunakan library.

Apa yang harus saya lakukan?

Pastikan Anda menggunakan paket software versi terbaru berikut:

  • protobuf-cpp (3.18.3, 3.19.5, 3.20.2, 3.21.6)
  • protobuf-python (3.18.3, 3.19.5, 3.20.2, 4.21.6)

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Patch ini mengurangi jenis kerentanan berikut:

Pesan kecil yang dibuat khusus yang menyebabkan layanan yang sedang berjalan mengalokasikan RAM dalam jumlah besar. Ukuran permintaan yang kecil berarti bahwa kerentanan dapat dimanfaatkan dengan mudah dan sumber daya dapat habis. Sistem C++ dan Python yang menggunakan protobuf yang tidak tepercaya akan rentan terhadap serangan DoS jika berisi objek MessageSet dalam permintaan RPC-nya.

Sedang CVE-2022-1941

GCP-2022-018

Dipublikasikan: 01-08-2022

Diperbarui: 14-09-2022, 21-12-2023

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 21-12-2023: Memperjelas bahwa cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh.

Pembaruan 14-09-2022: Menambahkan versi patch untuk GKE di VMware, GKE di AWS, dan GKE di Azure.

Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa untuk melakukan pelarian penampung penuh ke root di node.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2022-2327

GCP-2022-017

Dipublikasikan: 29-06-2022
Diperbarui: 22-11-2022

Deskripsi

Deskripsi Keparahan Catatan

Update 22-11-2022: Workload yang menggunakan GKE Sandbox tidak terpengaruh oleh kerentanan ini.

Pembaruan 21-07-2022: informasi tambahan tentang GKE on VMware.

Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna tanpa hak istimewa dengan akses lokal ke cluster untuk melakukan pelarian kontainer penuh ke root di node. Hanya cluster yang menjalankan Container-Optimized OS yang terpengaruh. Versi Ubuntu GKE menggunakan kernel versi 5.4 atau 5.15 dan tidak terpengaruh.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat:

 Tinggi CVE-2022-1786

GCP-2022-016

Dipublikasikan: 23-06-2022
Diperbarui: 22-11-2022

Deskripsi

Deskripsi Keparahan Catatan

Update 22-11-2022: Cluster Autopilot tidak terpengaruh oleh CVE-2022-29581, tetapi rentan terhadap CVE-2022-29582 dan CVE-2022-1116.

Tiga kerentanan kerusakan memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna tanpa hak istimewa dengan akses lokal ke cluster untuk mencapai pemisahan container penuh ke root di node. Semua cluster Linux (Container-Optimized OS dan Ubuntu) terpengaruh.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Tinggi

GCP-2022-015

Dipublikasikan: 09-06-2022
Diperbarui: 10-06-2022

Deskripsi

Deskripsi Keparahan Catatan

Update 10-06-2022: Versi Cloud Service Mesh telah diupdate. Untuk mengetahui petunjuk dan detail selengkapnya, lihat Buletin keamanan Cloud Service Mesh.

CVE Envoy dan Istio berikut mengekspos Cloud Service Mesh dan Istio di GKE ke kerentanan yang dapat dieksploitasi dari jarak jauh:

  • CVE-2022-31045: Data plane Istio berpotensi mengakses memori secara tidak aman saat ekstensi Pertukaran Metadata dan Statistik diaktifkan.
  • CVE-2022-29225: Data dapat melampaui batas buffer perantara jika penyerang berbahaya meneruskan payload kecil yang sangat terkompresi (serangan bom zip).
  • CVE-2021-29224: Potensi dereferensi pointer null di GrpcHealthCheckerImpl.
  • CVE-2021-29226: Filter OAuth memungkinkan bypass sepele.
  • CVE-2022-29228: Filter OAuth dapat merusak memori (versi sebelumnya) atau memicu ASSERT() (versi yang lebih baru).
  • CVE-2022-29227: Error pengalihan internal untuk permintaan dengan isi atau trailer.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat Buletin keamanan Cloud Service Mesh.

Kritis

GCP-2022-014

Dipublikasikan: 26-04-2022
Diperbarui: 22-11-2022

Deskripsi

Deskripsi Keparahan Catatan

22-11-2022: Cluster dan workload GKE Autopilot yang berjalan di GKE Sandbox tidak terpengaruh.

Pembaruan 12-05-2022: Versi GKE di AWS dan GKE di Azure telah diupdate. Untuk petunjuk dan detail selengkapnya, lihat:

Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap konfigurasi dapat menyebabkan penyerang lokal dapat melakukan container breakout, eskalasi hak istimewa di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu). Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Tinggi CVE-2022-1055
CVE-2022-27666

GCP-2022-013

Dipublikasikan: 11-04-2022
Diperbarui: 22-04-2022

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan traversal jalur containerd dalam spesifikasi volume image OCI. Container yang diluncurkan melalui implementasi CRI containerd dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke file dan direktori arbitrer di host. Kerentanan ini dapat melewati penerapan berbasis kebijakan apa pun pada penyiapan container (termasuk Kebijakan Keamanan Pod Kubernetes).

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Sedang CVE-2022-23648

GCP-2022-012

Dipublikasikan: 07-04-2022
Diperbarui: 22-11-2022

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 22-11-2022: Untuk cluster GKE dalam kedua mode, Standard dan Autopilot, workload yang menggunakan GKE Sandbox tidak terpengaruh.

Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi meningkatkan hak istimewa penampung ke root. Kerentanan ini memengaruhi produk berikut:

  • Versi node pool GKE 1.22 dan yang lebih baru yang menggunakan image Container-Optimized OS (Container-Optimized OS 93 dan yang lebih baru)
  • GKE on VMware v1.10 untuk image Container-Optimized OS
  • GKE on AWS v1.21 dan GKE on AWS (generasi sebelumnya) v1.19, v1.20, v1.21, yang menggunakan Ubuntu
  • Cluster terkelola GKE on Azure v1.21 yang menggunakan Ubuntu

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Tinggi CVE-2022-0847

GCP-2022-011

Dipublikasikan: 22-03-2022
Diperbarui: 11-08-2022

Deskripsi

Deskripsi Keparahan

Pembaruan 11-08-2022: Menambahkan informasi selengkapnya tentang konfigurasi Multi-Threading Simultan (SMT). SMT seharusnya dinonaktifkan, tetapi diaktifkan pada versi yang tercantum.

Jika Anda mengaktifkan SMT secara manual untuk node pool sandbox, SMT akan tetap diaktifkan secara manual meskipun ada masalah ini.

Ada kesalahan konfigurasi pada Simultaneous Multi-Threading (SMT), yang juga dikenal sebagai Hyper-threading, pada image GKE Sandbox. Kesalahan konfigurasi ini berpotensi membuat node rentan terhadap serangan side channel seperti Sampling Data Mikroarsitektur (MDS) (untuk mengetahui konteks selengkapnya, lihat dokumentasi GKE Sandbox). Sebaiknya jangan gunakan versi yang terpengaruh berikut:

  • 1.22.4-gke.1501
  • 1.22.6-gke.300
  • 1.23.2-gke.300
  • 1.23.3-gke.600

Untuk mengetahui petunjuk dan detail selengkapnya, lihat: Buletin keamanan GKE.

 Sedang

GCP-2022-010

Deskripsi

Deskripsi Keparahan Catatan

CVE Istio berikut mengekspos Cloud Service Mesh ke kerentanan yang dapat dieksploitasi dari jarak jauh:

  • CVE-2022-24726: Bidang kontrol Istio, `istiod`, rentan terhadap error pemrosesan permintaan, sehingga memungkinkan penyerang berbahaya yang mengirim pesan yang dibuat khusus yang menyebabkan bidang kontrol berhenti berfungsi saat webhook validasi untuk cluster diekspos secara publik. Endpoint ini ditayangkan melalui port TLS 15017, tetapi tidak memerlukan autentikasi apa pun dari penyerang.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Tinggi

GCP-2022-009

Dipublikasikan: 01-03-2022

Deskripsi

Deskripsi Keparahan

Beberapa jalur yang tidak terduga untuk mengakses VM node di cluster GKE Autopilot dapat digunakan untuk meningkatkan hak istimewa di cluster. Masalah ini telah diperbaiki dan Anda tidak perlu melakukan tindakan lebih lanjut. Perbaikan ini mengatasi masalah yang dilaporkan melalui Vulnerability Reward Program kami.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan GKE

 Rendah

GCP-2022-008

Dipublikasikan: 23-02-2022
Diperbarui: 28-04-2022

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 28-04-2022: Menambahkan versi GKE di VMware yang memperbaiki kerentanan ini. Untuk mengetahui detailnya, lihat buletin keamanan GKE di VMware.

Project Envoy baru-baru ini menemukan serangkaian kerentanan. Semua masalah yang tercantum di bawah telah diperbaiki dalam rilis Envoy 1.21.1.
  • CVE-2022-23606: Saat cluster dihapus melalui Cluster Discovery Service (CDS), semua koneksi yang tidak aktif yang dibuat ke endpoint di cluster tersebut akan terputus. Rekursi secara keliru diperkenalkan di Envoy versi 1.19 ke prosedur untuk memutuskan koneksi yang tidak aktif yang dapat menyebabkan kelelahan stack dan penghentian proses yang tidak normal saat cluster memiliki banyak koneksi yang tidak aktif.
  • CVE-2022-21655: Kode pengalihan internal Envoy mengasumsikan bahwa entri rute ada. Saat pengalihan internal dilakukan ke rute yang memiliki entri respons langsung dan tidak ada entri rute, hal ini akan menyebabkan dereferensi pointer null dan error.
  • CVE-2021-43826: Jika Envoy dikonfigurasi untuk menggunakan tcp_proxy yang menggunakan tunneling upstream (melalui HTTP), dan penghentian TLS downstream, Envoy akan mengalami error jika klien downstream terputus selama handshake TLS saat aliran HTTP upstream masih dibuat. Pemutusan hubungan di hilir dapat dimulai oleh klien atau server. Klien dapat memutuskan koneksi karena alasan apa pun. Server dapat terputus jika, misalnya, tidak memiliki cipher TLS atau versi protokol TLS yang kompatibel dengan klien. Mungkin saja pemicuan error ini juga dapat terjadi pada konfigurasi hilir lainnya.
  • CVE-2021-43825: Mengirim respons yang dibuat secara lokal harus menghentikan pemrosesan lebih lanjut data permintaan atau respons. Envoy melacak jumlah data permintaan dan respons yang di-buffer, lalu membatalkan permintaan jika jumlah data yang di-buffer melebihi batas dengan mengirimkan respons 413 atau 500. Namun, saat respons yang dibuat secara lokal dikirim karena buffer internal meluap saat respons diproses oleh rantai filter, operasi mungkin tidak dibatalkan dengan benar dan mengakibatkan akses ke blok memori yang dibebaskan.
  • CVE-2021-43824: Envoy mengalami error saat menggunakan filter JWT dengan aturan pencocokan "safe_regex" dan permintaan yang dibuat khusus seperti "CONNECT host:port HTTP/1.1". Saat mencapai filter JWT, aturan "safe_regex" harus mengevaluasi jalur URL tetapi tidak ada di sini, dan Envoy mengalami error dengan segfault.
  • CVE-2022-21654: Envoy akan salah mengizinkan kelanjutan sesi TLS setelah setelan validasi mTLS dikonfigurasi ulang. Jika sertifikat klien diizinkan dengan konfigurasi lama, tetapi tidak diizinkan dengan konfigurasi baru, klien dapat melanjutkan sesi TLS sebelumnya meskipun konfigurasi saat ini seharusnya tidak mengizinkannya. Perubahan pada setelan berikut akan terpengaruh:
    • match_subject_alt_names
    • Perubahan CRL
    • allow_expired_certificate
    • Trust_chain_verification
    • only_verify_leaf_cert_crl
  • CVE-2022-21657: Envoy tidak membatasi kumpulan sertifikat yang diterimanya dari peer, baik sebagai klien TLS maupun server TLS, hanya pada sertifikat yang berisi extendedKeyUsage (id-kp-serverAuth dan id-kp-clientAuth, masing-masing). Artinya, peer dapat menampilkan sertifikat email (misalnya, id-kp-emailProtection), baik sebagai sertifikat leaf maupun sebagai CA dalam rantai, dan sertifikat tersebut akan diterima untuk TLS. Hal ini sangat buruk jika digabungkan dengan CVE-2022-21656 , karena memungkinkan CA PKI Web yang hanya ditujukan untuk digunakan dengan S/MIME, dan dengan demikian dikecualikan dari audit atau pengawasan, untuk menerbitkan sertifikat TLS yang akan diterima oleh Envoy.
  • CVE-2022-21656: Implementasi validator yang digunakan untuk menerapkan rutin validasi sertifikat default memiliki bug "kekeliruan jenis" saat memproses subjectAltNames. Pemrosesan ini memungkinkan, misalnya, rfc822Name atau uniformResourceIndicator diautentikasi sebagai nama domain. Kebingungan ini memungkinkan nameConstraints dilewati, sebagaimana diproses oleh implementasi OpenSSL/BoringSSL yang mendasarinya, sehingga memungkinkan peniruan identitas server arbitrer.
Untuk petunjuk mendetail terkait produk tertentu, lihat buletin keamanan berikut:
Apa yang harus saya lakukan?
Pengguna Envoy yang mengelola Envoy mereka sendiri harus memastikan bahwa mereka menggunakan rilis Envoy 1.21.1. Pengguna Envoy yang mengelola Envoy mereka sendiri membangun biner dari sumber seperti GitHub dan men-deploy-nya.

Tidak ada tindakan yang perlu dilakukan oleh pengguna yang menjalankan Envoy terkelola (Google Cloud menyediakan biner Envoy), yang produk Google Cloud nya akan beralih ke 1.21.1. 		Tinggi CVE-2022-23606
CVE-2022-21655
CVE-2021-43826
CVE-2021-43825
CVE-2021-43824
CVE-2022-21654
CVE-2022-21657
CVE-2022-21656

GCP-2022-007

Dipublikasikan: 22-02-2022

Deskripsi

Deskripsi Keparahan Catatan

CVE Envoy dan Istio berikut mengekspos Cloud Service Mesh dan Istio di GKE ke kerentanan yang dapat dieksploitasi dari jarak jauh:

  • CVE-2022-23635: Istiod mengalami error saat menerima permintaan dengan header authorization yang dibuat khusus.
  • CVE-2021-43824: Potensi dereferensi pointer null saat menggunakan filter JWT safe_regex match
  • CVE-2021-43825: Use-after-free saat filter respons meningkatkan data respons, dan data yang ditingkatkan melebihi batas buffer hilir.
  • CVE-2021-43826: Use-after-free saat melakukan tunneling TCP melalui HTTP, jika koneksi hilir terputus selama pembuatan koneksi hulu.
  • CVE-2022-21654: Penanganan konfigurasi yang salah memungkinkan penggunaan kembali sesi mTLS tanpa validasi ulang setelah setelan validasi berubah.
  • CVE-2022-21655: Penanganan yang salah atas pengalihan internal ke rute dengan entri respons langsung.
  • CVE-2022-23606: Kehabisan stack saat cluster dihapus melalui Cluster Discovery Service.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Tinggi

GCP-2022-006

Dipublikasikan: 14-02-2022
Diperbarui: 16-05-2022

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 16-05-2022: Menambahkan GKE versi 1.19.16-gke.7800 atau yang lebih baru ke daftar versi yang memiliki kode untuk memperbaiki kerentanan ini. Untuk mengetahui detailnya, lihat buletin keamanan GKE.

Pembaruan 12-05-2022: Versi GKE, GKE on VMware, GKE on AWS, dan GKE on Azure telah diperbarui. Untuk petunjuk dan detail selengkapnya, lihat:

Kerentanan keamanan, CVE-2022-0492, telah ditemukan dalam fungsi cgroup_release_agent_write kernel Linux. Serangan ini menggunakan namespace pengguna yang tidak memiliki hak istimewa dan dalam kondisi tertentu, kerentanan ini dapat dieksploitasi untuk keluar dari penampung.

 Rendah

Untuk mengetahui petunjuk dan detail selengkapnya, lihat:

GCP-2022-005

Dipublikasikan: 11-02-2022
Diperbarui: 15-02-2022

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan keamanan, CVE-2021-43527, telah ditemukan di biner apa pun yang ditautkan ke versi libnss3 yang rentan yang ditemukan di NSS (Network Security Services) versi sebelum 3.73 atau 3.68.1. Aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsi TLS, X.509, OCSP, atau CRL lainnya dapat terpengaruh, bergantung pada cara NSS digunakan/dikonfigurasi.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat:

Sedang CVE-2021-43527

GCP-2022-004

Dipublikasikan: 04-02-2022

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan keamanan, CVE-2021-4034, telah ditemukan di pkexec, bagian dari paket kit kebijakan Linux (polkit), yang memungkinkan pengguna yang diautentikasi melakukan serangan eskalasi hak istimewa. PolicyKit umumnya hanya digunakan pada sistem desktop Linux untuk mengizinkan pengguna non-root melakukan tindakan seperti memulai ulang sistem, menginstal paket, memulai ulang layanan, dll., sebagaimana diatur oleh kebijakan.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat:

Tidak ada CVE-2021-4034

GCP-2022-002

Dipublikasikan: 01-02-2022
Diperbarui: 25-02-2022

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 25-02-2022: Versi GKE telah diupdate. Untuk petunjuk dan detail selengkapnya, lihat:

23-02-2022: Versi GKE dan GKE di VMware telah diupdate. Untuk petunjuk dan detail selengkapnya, lihat:

Pembaruan 04-02-2022: Tanggal mulai peluncuran untuk versi patch GKE adalah 2 Februari.

Tiga kerentanan keamanan, CVE-2021-4154, CVE-2021-22600, dan CVE-2022-0185, telah ditemukan di kernel Linux, yang masing-masing dapat menyebabkan container breakout, eskalasi hak istimewa di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node (COS dan Ubuntu) di GKE, GKE di VMware, GKE di AWS (generasi saat ini dan sebelumnya), dan GKE di Azure. Pod yang menggunakan GKE Sandbox tidak rentan terhadap kerentanan ini. Lihat catatan rilis COS untuk mengetahui detail selengkapnya.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat:

Tinggi

GCP-2022-001

Dipublikasikan: 2022-01-06

Deskripsi

Deskripsi Keparahan Catatan

Potensi masalah Penolakan Layanan di protobuf-java ditemukan dalam prosedur parsing untuk data biner.

Apa yang sebaiknya saya lakukan?

Pastikan Anda menggunakan paket software versi terbaru berikut:

  • protobuf-java (3.16.1, 3.18.2, 3.19.2)
  • protobuf-kotlin (3.18.2, 3.19.2)
  • google-protobuf [Gem JRuby] (3.19.2)

Pengguna "javalite" Protobuf (biasanya Android) tidak terpengaruh.

Kerentanan apa yang dapat diatasi oleh patch ini?

Patch ini mengurangi jenis kerentanan berikut:

Kelemahan implementasi dalam cara kolom yang tidak diketahui diuraikan di Java. Payload berbahaya kecil (~800 KB) dapat menempati parser selama beberapa menit dengan membuat sejumlah besar objek berumur pendek yang menyebabkan jeda pembersihan sampah memori yang sering dan berulang.

 Tinggi CVE-2021-22569

GCP-2021-024

Dipublikasikan: 21-10-2021

Deskripsi

Deskripsi Keparahan Catatan

Masalah keamanan ditemukan di pengontrol ingress-nginx Kubernetes, CVE-2021-25742. Cuplikan kustom ingress-nginx memungkinkan pengambilan token dan secret akun layanan ingress-nginx di semua namespace.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat:

Tidak ada CVE-2021-25742

GCP-2021-019

Dipublikasikan: 29-09-2021

Deskripsi

Deskripsi Keparahan Catatan

Ada masalah umum saat mengupdate resource BackendConfig menggunakan v1beta1 API akan menghapus kebijakan keamanan Google Cloud Armor yang aktif dari layanannya.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan GKE.

 Rendah

GCP-2021-022

Dipublikasikan: 22-09-2021

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan telah ditemukan di modul LDAP GKE Enterprise Identity Service (AIS) pada GKE di VMware versi 1.8 dan 1.8.1, di mana kunci awal yang digunakan dalam pembuatan kunci dapat diprediksi. Dengan kerentanan ini, pengguna yang diautentikasi dapat menambahkan klaim arbitrer dan meningkatkan hak istimewa tanpa batas waktu.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan GKE di VMware.

 Tinggi

GCP-2021-021

Dipublikasikan: 22-09-2021

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan keamanan, CVE-2020-8561, telah ditemukan di Kubernetes yang memungkinkan webhook tertentu mengalihkan permintaan kube-apiserver ke jaringan pribadi server API tersebut.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat:

Sedang CVE-2020-8561

GCP-2021-023

Dipublikasikan: 21-09-2021

Deskripsi

Deskripsi Keparahan Catatan

Berdasarkan saran keamanan VMware VMSA-2021-0020, VMware menerima laporan tentang beberapa kerentanan di vCenter. VMware telah menyediakan update untuk mengatasi kerentanan ini di produk VMware yang terpengaruh.

Kami telah menerapkan patch yang disediakan oleh VMware untuk stack vSphere ke Google Cloud VMware Engine sesuai dengan saran keamanan VMware. Update ini mengatasi kerentanan keamanan yang dijelaskan dalam CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008, dan CVE-2021-22010. Masalah keamanan non-kritis lainnya akan ditangani dalam upgrade stack VMware mendatang (sesuai dengan pemberitahuan awal yang dikirim pada bulan Juli, detail selengkapnya akan segera diberikan terkait jadwal spesifik upgrade tersebut).

Dampak VMware Engine

Berdasarkan penyelidikan kami, tidak ada pelanggan yang terpengaruh.

Apa yang harus saya lakukan?

Karena cluster VMware Engine tidak terpengaruh oleh kerentanan ini, Anda tidak perlu melakukan tindakan lebih lanjut.

 Kritis

GCP-2021-020

Dipublikasikan: 17-09-2021

Deskripsi

Deskripsi Keparahan Catatan

Load balancer Google Cloud tertentu yang merutekan ke Layanan Backend yang mendukung Identity-Aware Proxy (IAP) mungkin rentan terhadap pihak yang tidak tepercaya dalam kondisi terbatas. Hal ini mengatasi masalah yang dilaporkan melalui Program Penghargaan Kerentanan kami.

Kondisinya adalah server:
  • Load balancer HTTP(S) dan
  • Menggunakan backend default atau backend yang memiliki aturan pemetaan host pengganti (yaitu, host="*")

Selain itu, pengguna di organisasi Anda harus mengklik link yang dibuat secara khusus dan dikirim oleh pihak yang tidak tepercaya.

Masalah ini sekarang telah diselesaikan. IAP telah diupdate untuk mengeluarkan cookie hanya ke host yang sah mulai 17 September 2021. Host dianggap berwenang jika cocok dengan setidaknya satu Nama Alternatif Subjek (SAN) di salah satu sertifikat yang diinstal di load balancer Anda.

Yang harus dilakukan

Beberapa pengguna Anda mungkin mengalami respons HTTP 401 Unauthorized dengan kode error IAP 52 saat mencoba mengakses aplikasi atau layanan. Kode error ini berarti klien mengirim header Host yang tidak cocok dengan Nama Alternatif Subjek yang terkait dengan sertifikat SSL load balancer. Administrator load balancer perlu memperbarui sertifikat SSL untuk memastikan bahwa daftar Nama Alternatif Subjek (SAN) berisi semua nama host yang digunakan pengguna untuk mengakses aplikasi atau layanan yang dilindungi IAP. Pelajari lebih lanjut kode error IAP.

Tinggi

GCP-2021-018

Dipublikasikan: 15-09-2021
Diperbarui: 20-09-2021

Deskripsi

Deskripsi Keparahan Catatan

Masalah keamanan ditemukan di Kubernetes, CVE-2021-25741, di mana pengguna mungkin dapat membuat container dengan pemasangan volume sublokasi untuk mengakses file & direktori di luar volume, termasuk di sistem file host.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat:

Tinggi CVE-2021-25741

GCP-2021-017

Dipublikasikan: 01-09-2021
Diperbarui: 23-09-2021

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 23-09-2021: Container yang berjalan di dalam GKE Sandbox tidak terpengaruh oleh kerentanan ini untuk serangan yang berasal dari dalam container.

Dua kerentanan keamanan, CVE-2021-33909 dan CVE-2021-33910, telah ditemukan di kernel Linux yang dapat menyebabkan crash OS atau eskalasi ke root oleh pengguna yang tidak memiliki hak istimewa. Kerentanan ini memengaruhi semua sistem operasi node GKE (COS dan Ubuntu).

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Tinggi CVE-2021-33909, CVE-2021-33910

GCP-2021-016

Dipublikasikan: 24-08-2021

Deskripsi

Deskripsi Keparahan Catatan

CVE Envoy dan Istio berikut mengekspos Cloud Service Mesh dan Istio di GKE ke kerentanan yang dapat dieksploitasi dari jarak jauh:

  • CVE-2021-39156: Permintaan HTTP dengan fragmen (bagian di akhir URI yang dimulai dengan karakter #) di jalur URI dapat melewati kebijakan otorisasi berbasis jalur URI Istio.
  • CVE-2021-39155: Permintaan HTTP berpotensi melewati kebijakan otorisasi Istio saat menggunakan aturan berdasarkan hosts atau notHosts.
  • CVE-2021-32781: Memengaruhi ekstensi decompressor, json-transcoder, atau grpc-web Envoy atau ekstensi eksklusif yang mengubah dan meningkatkan ukuran isi permintaan atau respons. Mengubah dan meningkatkan ukuran isi dalam ekstensi Envoy di luar ukuran buffer internal dapat menyebabkan Envoy mengakses memori yang tidak dialokasikan dan berakhir secara tidak normal.
  • CVE-2021-32780: Layanan upstream yang tidak tepercaya dapat menyebabkan Envoy berhenti secara tidak normal dengan mengirimkan frame GOAWAY yang diikuti dengan frame SETTINGS dengan parameter SETTINGS_MAX_CONCURRENT_STREAMS yang ditetapkan ke 0. (Tidak berlaku untuk Istio di GKE)
  • CVE-2021-32778: Klien Envoy yang membuka lalu mereset sejumlah besar permintaan HTTP/2 dapat menyebabkan konsumsi CPU yang berlebihan. (Tidak berlaku untuk Istio di GKE)
  • CVE-2021-32777: Permintaan HTTP dengan header multi-nilai dapat melakukan pemeriksaan kebijakan otorisasi yang tidak lengkap saat ekstensi ext_authz digunakan.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Tinggi

GCP-2021-015

Dipublikasikan: 13-07-2021
Diperbarui: 15-07-2021

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan keamanan baru, CVE-2021-22555, telah ditemukan. Pelaku berbahaya dengan hak istimewa CAP_NET_ADMIN berpotensi menyebabkan container breakout ke root di host. Kerentanan ini memengaruhi semua cluster GKE dan GKE di VMware yang menjalankan Linux versi 2.6.19 atau yang lebih baru.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Tinggi CVE-2021-22555

GCP-2021-014

Dipublikasikan: 05-07-2021

Deskripsi

Deskripsi Keparahan Catatan

Microsoft memublikasikan buletin keamanan tentang kerentanan Eksekusi kode jarak jauh (RCE), CVE-2021-34527, yang memengaruhi spooler cetak di server Windows. CERT Coordination Center (CERT/CC) memublikasikan catatan update tentang kerentanan terkait, yang dijuluki "PrintNightmare" yang juga memengaruhi spooler cetak Windows - PrintNightmare, Critical Windows Print Spooler Vulnerability

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan GKE.

Tinggi CVE-2021-34527

GCP-2021-012

Dipublikasikan: 24-06-2021
Diperbarui: 09-07-2021

Deskripsi

Deskripsi Keparahan Catatan

Project Istio baru-baru ini mengumumkan kerentanan keamanan yang memungkinkan kredensial yang ditentukan di kolom credentialName Gateway dan DestinationRule dapat diakses dari namespace yang berbeda.

Untuk petunjuk khusus produk dan detail selengkapnya, lihat:

 Tinggi CVE-2021-34824

GCP-2021-011

Dipublikasikan: 04-06-2021
Diperbarui: 19-10-2021

Deskripsi

Deskripsi Keparahan Catatan

Pembaruan 19-10-2021:

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Komunitas keamanan baru-baru ini mengungkap kerentanan keamanan baru (CVE-2021-30465) yang ditemukan di runc yang berpotensi memberikan akses penuh ke sistem file node.

Untuk GKE, karena eksploitasi kerentanan ini memerlukan kemampuan untuk membuat pod, kami telah menilai tingkat keparahan kerentanan ini sebagai SEDANG.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan GKE.

Sedang CVE-2021-30465

GCP-2021-010

Dipublikasikan: 25-05-2021

Deskripsi

Deskripsi Keparahan Catatan

Berdasarkan saran keamanan VMware VMSA-2021-0010, kerentanan eksekusi kode jarak jauh dan bypass autentikasi di vSphere Client (HTML5) dilaporkan secara pribadi ke VMware. VMware telah menyediakan update untuk mengatasi kerentanan ini di produk VMware yang terpengaruh.

Kami telah menerapkan patch yang disediakan oleh VMware untuk stack vSphere sesuai dengan saran keamanan VMware. Update ini mengatasi kerentanan keamanan yang dijelaskan dalam CVE-2021-21985 dan CVE-2021-21986. Versi image yang berjalan di cloud pribadi VMware Engine Anda saat ini tidak mencerminkan perubahan apa pun untuk menunjukkan patch yang diterapkan. Jangan khawatir, patch yang sesuai telah diinstal dan lingkungan Anda diamankan dari kerentanan ini.

Dampak VMware Engine

Berdasarkan penyelidikan kami, tidak ada pelanggan yang terpengaruh.

Apa yang harus saya lakukan?

Karena cluster VMware Engine tidak terpengaruh oleh kerentanan ini, Anda tidak perlu melakukan tindakan lebih lanjut.

 Kritis

GCP-2021-008

Dipublikasikan: 17-05-2021

Deskripsi

Deskripsi Keparahan Catatan

Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh, di mana klien eksternal dapat mengakses layanan yang tidak terduga di cluster, melewati pemeriksaan otorisasi, saat gateway dikonfigurasi dengan konfigurasi perutean AUTO_PASSTHROUGH.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan Cloud Service Mesh.

Tinggi

 CVE-2021-31921

GCP-2021-007

Dipublikasikan: 17-05-2021

Deskripsi

Deskripsi Keparahan Catatan

Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh, di mana jalur permintaan HTTP dengan beberapa garis miring atau karakter garis miring yang di-escape (%2F atau %5C) berpotensi melewati kebijakan otorisasi Istio saat aturan otorisasi berbasis jalur digunakan.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan Cloud Service Mesh.

Tinggi

 CVE-2021-31920

GCP-2021-006

Dipublikasikan: 11-05-2021

Deskripsi

Deskripsi Keparahan Catatan

Project Istio baru-baru ini mengungkapkan kerentanan keamanan baru (CVE-2021-31920) yang memengaruhi Istio.

Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh, di mana permintaan HTTP dengan beberapa garis miring atau karakter garis miring yang di-escape dapat melewati kebijakan otorisasi Istio saat aturan otorisasi berbasis jalur digunakan.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat:

Tinggi

 CVE-2021-31920

GCP-2021-005

Dipublikasikan: 11-05-2021

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan yang dilaporkan telah menunjukkan bahwa Envoy tidak mendekode urutan garis miring yang di-escape %2F dan %5C di jalur URL HTTP dalam versi Envoy 1.18.2 dan yang lebih lama. Selain itu, beberapa produk berbasis Envoy tidak mengaktifkan kontrol normalisasi jalur. Penyerang jarak jauh dapat membuat jalur dengan garis miring yang di-escape (misalnya, /something%2F..%2Fadmin,), untuk melewati kontrol akses (misalnya, pemblokiran pada /admin). Server backend kemudian dapat mendekode urutan garis miring dan menormalisasi jalur untuk memberikan akses penyerang di luar cakupan yang disediakan oleh kebijakan kontrol akses.

Apa yang harus saya lakukan?

Jika server backend memperlakukan / dan %2F atau \ dan %5C secara bergantian dan pencocokan berbasis jalur URL dikonfigurasi, sebaiknya konfigurasi ulang server backend agar tidak memperlakukan \ dan %2F atau \ dan %5C secara bergantian, jika memungkinkan.

Apa perubahan perilaku yang diperkenalkan?

Opsi normalize_path dan merge adjacent slashes Envoy diaktifkan untuk mengatasi kerentanan kebingungan jalur umum lainnya di produk berbasis Envoy.

Tinggi

 CVE-2021-29492

GCP-2021-004

Dipublikasikan: 06-05-2021

Deskripsi

Deskripsi Keparahan Catatan

Project Envoy dan Istio baru-baru ini mengumumkan beberapa kerentanan keamanan baru (CVE-2021-28683, CVE-2021-28682, dan CVE-2021-29258), yang dapat memungkinkan penyerang membuat Envoy mengalami error.

Cluster Google Kubernetes Engine tidak menjalankan Istio secara default dan tidak rentan. Jika Istio telah diinstal di cluster dan dikonfigurasi untuk mengekspos layanan ke internet, layanan tersebut mungkin rentan terhadap penolakan layanan.

Google Distributed Cloud Virtual for Bare Metal dan GKE on VMware menggunakan Envoy secara default untuk Ingress, sehingga layanan Ingress mungkin rentan terhadap serangan denial of service.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Sedang

GCP-2021-003

Dipublikasikan: 19-04-2021

Deskripsi

Deskripsi Keparahan Catatan

Project Kubernetes baru-baru ini mengumumkan kerentanan keamanan baru, CVE-2021-25735, yang dapat memungkinkan update node melewati Validating Admission Webhook.

Dalam skenario ketika penyerang memiliki hak istimewa yang memadai dan ketika Validating Admission Webhook diimplementasikan yang menggunakan properti objek Node lama (misalnya, kolom di Node.NodeSpec), penyerang dapat memperbarui properti node yang dapat menyebabkan kompromi cluster. Tidak ada kebijakan yang diberlakukan oleh pengontrol akses bawaan GKE dan Kubernetes yang terpengaruh, tetapi sebaiknya pelanggan memeriksa webhook akses tambahan yang telah mereka instal.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Sedang

CVE-2021-25735

GCP-2021-002

Dipublikasikan: 05-03-2021

Deskripsi

Deskripsi Keparahan Catatan

Berdasarkan saran keamanan VMware VMSA-2021-0002, VMware menerima laporan tentang beberapa kerentanan di VMware ESXi dan vSphere Client (HTML5). VMware telah menyediakan update untuk memperbaiki kerentanan ini di produk VMware yang terpengaruh.

Kami telah menerapkan solusi sementara yang didokumentasikan secara resmi untuk stack vSphere sesuai dengan saran keamanan VMware. Update ini mengatasi kerentanan keamanan yang dijelaskan dalam CVE-2021-21972, CVE-2021-21973, dan CVE-2021-21974.

Dampak VMware Engine

Berdasarkan penyelidikan kami, tidak ada pelanggan yang terpengaruh.

Apa yang harus saya lakukan?

Karena cluster VMware Engine tidak terpengaruh oleh kerentanan ini, tidak diperlukan tindakan lebih lanjut.

 Kritis

GCP-2021-001

Dipublikasikan: 28-01-2021

Deskripsi

Deskripsi Keparahan Catatan

Baru-baru ini ditemukan kerentanan di utilitas Linux sudo, yang dijelaskan dalam CVE-2021-3156, yang dapat memungkinkan penyerang dengan akses shell lokal yang tidak memiliki hak istimewa pada sistem yang menginstal sudo untuk meningkatkan hak istimewanya menjadi root di sistem.

Infrastruktur yang mendasari yang menjalankan Compute Engine tidak terpengaruh oleh kerentanan ini.

Semua cluster Google Kubernetes Engine (GKE), GKE di VMware, GKE di AWS, dan Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh kerentanan ini.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Tidak ada CVE-2021-3156

GCP-2020-015

Dipublikasikan: 07-12-2020
Diperbarui: 22-12-2020

Deskripsi

Deskripsi Keparahan Catatan

Diperbarui: 22-12-2021 Perintah untuk GKE di bagian berikut harus menggunakan gcloud beta, bukan perintah gcloud. 

gcloud container clusters update –no-enable-service-externalips
Diperbarui: 15-12-2021 Untuk GKE, mitigasi berikut kini tersedia:
  1. Mulai GKE versi 1.21, layanan dengan ExternalIP diblokir oleh pengontrol penerimaan DenyServiceExternalIPs yang diaktifkan secara default untuk cluster baru.
  2. Pelanggan yang mengupgrade ke GKE versi 1.21 dapat memblokir layanan dengan ExternalIP menggunakan perintah berikut: 
    gcloud container clusters update –no-enable-service-externalips

Untuk mengetahui informasi selengkapnya, lihat Memperkuat keamanan cluster Anda.

Project Kubernetes baru-baru ini menemukan kerentanan keamanan baru, CVE-2020-8554, yang dapat memungkinkan penyerang yang telah mendapatkan izin untuk membuat Layanan Kubernetes jenis LoadBalancer atau ClusterIP mencegat traffic jaringan yang berasal dari Pod lain di cluster. Kerentanan ini sendiri tidak memberikan izin kepada penyerang untuk membuat Layanan Kubernetes.

Semua cluster Google Kubernetes Engine (GKE), GKE di VMware, dan GKE di AWS terpengaruh oleh kerentanan ini.

Apa yang harus saya lakukan?

Untuk mengetahui petunjuk dan detail selengkapnya, lihat:

Sedang

 CVE-2020-8554

GCP-2020-014

Dipublikasikan: 20-10-2020
Diperbarui: 20-10-2020

Deskripsi

Deskripsi Keparahan Catatan

Project Kubernetes baru-baru ini menemukan beberapa masalah yang memungkinkan data rahasia terekspos saat opsi logging verbose diaktifkan. Masalahnya adalah:

  • CVE-2020-8563: Kebocoran secret dalam log untuk kube-controller-manager vSphere Provider
  • CVE-2020-8564: Rahasia konfigurasi Docker bocor saat file rusak dan loglevel >= 4
  • CVE-2020-8565: Perbaikan yang tidak lengkap untuk CVE-2019-11250 di Kubernetes memungkinkan kebocoran token dalam log saat logLevel >= 9. Ditemukan oleh Keamanan GKE.
  • CVE-2020-8566: adminSecrets Ceph RBD terekspos di log saat loglevel >= 4

Apa yang harus saya lakukan?

Tidak ada tindakan lebih lanjut yang diperlukan karena tingkat logging kejelasan default GKE.

Tidak ada

Google Cloud dampak

Detail per produk tercantum di bawah.

Produk

Dampak

Google Kubernetes Engine (GKE)

Google Kubernetes Engine (GKE) tidak terpengaruh.

GKE On-Prem

GKE On-Prem tidak terpengaruh.

GKE di AWS

GKE di AWS tidak terpengaruh.

GCP-2020-013

Dipublikasikan: 29-09-2020

Deskripsi

Microsoft telah mengungkapkan kerentanan berikut:

Kerentanan

Keparahan

CVE

CVE-2020-1472 — Kerentanan di Windows Server memungkinkan penyerang menggunakan Netlogon Remote Protocol untuk menjalankan aplikasi yang dibuat khusus di perangkat di jaringan.

Skor Dasar NVD: 10 (Kritis)

CVE-2020-1472

Untuk mengetahui informasi selengkapnya, lihat Pengungkapan Microsoft.

Google Cloud dampak

Infrastruktur yang menghosting Google Cloud dan produk Google tidak terpengaruh oleh kerentanan ini. Detail tambahan per produk tercantum di bawah.

Produk

Dampak

Compute Engine

CVE-2020-1472

Sebagian besar pelanggan tidak perlu melakukan tindakan lebih lanjut.

Pelanggan yang menggunakan virtual machine Compute Engine yang menjalankan Windows Server harus memastikan instance mereka telah diupdate dengan patch Windows terbaru atau menggunakan image Windows Server yang dipublikasikan setelah 17-08-2020 (v20200813 atau yang lebih baru).

Google Kubernetes Engine

CVE-2020-1472

Sebagian besar pelanggan tidak perlu melakukan tindakan lebih lanjut.

Setiap pelanggan yang menghosting pengontrol domain di node Windows Server GKE harus memastikan bahwa node dan beban kerja yang di-container yang berjalan di node tersebut memiliki image node Windows terbaru saat tersedia. Versi image node baru akan diumumkan dalam catatan rilis GKE pada bulan Oktober.

Layanan Terkelola untuk Microsoft Active Directory

CVE-2020-1472

Sebagian besar pelanggan tidak perlu melakukan tindakan lebih lanjut.

Patch bulan Agustus yang dirilis oleh Microsoft yang mencakup perbaikan pada protokol NetLogon telah diterapkan ke semua pengontrol domain Microsoft AD Terkelola. Patch ini memberikan fungsi untuk melindungi dari potensi eksploitasi. Penerapan patch tepat waktu adalah salah satu keunggulan utama penggunaan Managed Service for Microsoft Active Directory. Semua pelanggan yang menjalankan Microsoft Active Directory secara manual (dan tidak menggunakan layanan terkelola Google Cloud) harus memastikan instance mereka memiliki patch Windows terbaru atau menggunakan image Windows Server.

Google Workspace

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Lingkungan standar App Engine

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Lingkungan fleksibel App Engine

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud Run

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud Run Functions

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud Composer

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Dataflow

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Dataproc

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud SQL

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

GCP-2020-012

Dipublikasikan: 14-09-2020
Diperbarui: 17-09-2020

Deskripsi

Deskripsi Keparahan Catatan

Baru-baru ini ditemukan kerentanan di kernel Linux, yang dijelaskan dalam CVE-2020-14386, yang dapat memungkinkan container escape mendapatkan hak istimewa root di node host.

Semua node GKE terpengaruh. Pod yang berjalan di GKE Sandbox tidak dapat memanfaatkan kerentanan ini.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat:


Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Patch ini mengurangi jenis kerentanan berikut:

Kerentanan CVE-2020-14386, yang memungkinkan container dengan CAP_NET_RAW
menulis 1 hingga 10 byte memori kernel, dan mungkin keluar dari container dan mendapatkan hak istimewa root di node host. Kerentanan ini dinilai sebagai kerentanan tingkat keparahan Tinggi.

Tinggi

CVE-2020-14386

GCP-2020-011

Dipublikasikan: 24-07-2020

Deskripsi

Deskripsi Keparahan Catatan

Baru-baru ini ditemukan kerentanan jaringan, CVE-2020-8558, di Kubernetes. Layanan terkadang berkomunikasi dengan aplikasi lain yang berjalan di dalam Pod yang sama menggunakan antarmuka loopback lokal (127.0.0.1). Kerentanan ini memungkinkan penyerang dengan akses ke jaringan cluster untuk mengirim traffic ke antarmuka loopback Pod dan node yang berdekatan. Layanan yang mengandalkan antarmuka loopback yang tidak dapat diakses di luar Pod-nya dapat dieksploitasi.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat:

Rendah (GKE dan GKE di AWS),
Sedang (GKE di VMware)

CVE-2020-8558

GCP-2020-010

Dipublikasikan: 27-07-2020

Deskripsi

Microsoft telah mengungkapkan kerentanan berikut:

Kerentanan

Keparahan

CVE

CVE-2020-1350 — Server Windows yang berfungsi sebagai server DNS dapat dieksploitasi untuk menjalankan kode yang tidak tepercaya oleh Akun Sistem Lokal.

Skor Dasar NVD: 10.0 (Kritis)

CVE-2020-1350

Untuk mengetahui informasi selengkapnya, lihat Pengungkapan Microsoft.

Google Cloud dampak

Infrastruktur yang menghosting Google Cloud dan produk Google tidak terpengaruh oleh kerentanan ini. Detail tambahan per produk tercantum di bawah.

Produk

Dampak

Compute Engine

CVE-2020-1350

Sebagian besar pelanggan tidak perlu melakukan tindakan lebih lanjut.

Pelanggan yang menggunakan virtual machine Compute Engine yang menjalankan Windows Server sebagai server DNS harus memastikan instance mereka memiliki patch Windows terbaru atau menggunakan image Windows Server yang disediakan sejak 14/07/2020.

Google Kubernetes Engine

CVE-2020-1350

Sebagian besar pelanggan tidak perlu melakukan tindakan lebih lanjut.

Pelanggan yang menggunakan GKE dengan node Windows Server dalam kapasitas server DNS harus mengupdate secara manual node dan workload yang di-container yang berjalan di node tersebut ke versi Windows Server yang berisi perbaikan.

Layanan Terkelola untuk Microsoft Active Directory

CVE-2020-1350

Sebagian besar pelanggan tidak perlu melakukan tindakan lebih lanjut.

Semua domain Managed Microsoft AD telah diperbarui secara otomatis dengan image yang di-patch. Semua pelanggan yang menjalankan Microsoft Active Directory secara manual (dan tidak menggunakan Managed Microsoft AD) harus memastikan instance mereka memiliki patch Windows terbaru atau menggunakan image Windows Server yang disediakan sejak 14/07/2020.

Google Workspace

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Lingkungan standar App Engine

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Lingkungan fleksibel App Engine

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud Run

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud Run Functions

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud Composer

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Dataflow

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Dataproc

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud SQL

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

GCP-2020-009

Dipublikasikan: 15-07-2020

Deskripsi

Deskripsi Keparahan Catatan

Baru-baru ini ditemukan kerentanan eskalasi hak istimewa, CVE-2020-8559, di Kubernetes. Kerentanan ini memungkinkan penyerang yang telah menyusupi node untuk menjalankan perintah di Pod mana pun dalam cluster. Dengan demikian, penyerang dapat menggunakan node yang sudah disusupi untuk menyusupi node lain dan berpotensi membaca informasi, atau menyebabkan tindakan merusak.

Perhatikan bahwa agar penyerang dapat mengeksploitasi kerentanan ini, node di cluster Anda harus sudah disusupi. Kerentanan ini, dengan sendirinya, tidak akan membahayakan node apa pun di cluster Anda.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat:

Sedang

CVE-2020-8559

GCP-2020-008

Dipublikasikan: 19-06-2020

Deskripsi

Deskripsi Keparahan Catatan

Deskripsi

VM yang mengaktifkan Login OS mungkin rentan terhadap kerentanan eskalasi hak istimewa. Kerentanan ini memberi pengguna yang diberi izin Login OS (tetapi tidak diberi akses admin) kemampuan untuk melakukan eskalasi ke akses root di VM.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan Compute Engine.

 Tinggi

GCP-2020-007

Dipublikasikan: 01-06-2020

Deskripsi

Deskripsi Keparahan Catatan

Kerentanan Pemalsuan Permintaan Sisi Server (SSRF), CVE-2020-8555, baru-baru ini ditemukan di Kubernetes, yang memungkinkan pengguna tertentu yang diberi otorisasi untuk membocorkan hingga 500 byte informasi sensitif dari jaringan host control plane. Bidang kontrol Google Kubernetes Engine (GKE) menggunakan pengontrol dari Kubernetes dan dengan demikian terpengaruh oleh kerentanan ini. Sebaiknya upgrade panel kontrol ke versi patch terbaru. Upgrade node tidak diperlukan.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat:

Sedang

CVE-2020-8555

GCP-2020-006

Dipublikasikan: 01-06-2020

Deskripsi

Deskripsi Keparahan Catatan

Kubernetes telah mengungkapkan kerentanan yang memungkinkan container dengan hak istimewa mengalihkan traffic node ke container lain. Traffic TLS/SSH dua arah, seperti antara kubelet dan server API atau traffic dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau diubah oleh serangan ini. Kerentanan ini memengaruhi semua node Google Kubernetes Engine (GKE), dan kami sarankan Anda meng-upgrade ke versi patch terbaru.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat:

Sedang

Masalah Kubernetes 91507

GCP-2020-005

Dipublikasikan: 07-05-2020

Deskripsi

Kerentanan

Keparahan

CVE

Baru-baru ini ditemukan kerentanan di kernel Linux, yang dijelaskan dalam CVE-2020-8835, yang memungkinkan container escape mendapatkan hak istimewa root di node host.

Kerentanan ini memengaruhi node Ubuntu Google Kubernetes Engine (GKE) yang menjalankan GKE 1.16 atau 1.17. Sebaiknya Anda mengupgrade ke versi patch terbaru secepatnya.

Lihat buletin keamanan GKE untuk mengetahui petunjuk dan detail selengkapnya.

Tinggi

CVE-2020-8835

GCP-2020-004

Dipublikasikan: 31-03-2020
Diperbarui: 31-03-2020

Deskripsi

Kubernetes telah mengungkapkan kerentanan berikut:

Kerentanan

Keparahan

CVE

CVE-2019-11254 — Ini adalah kerentanan Denial of Service (DoS) yang memengaruhi server API.

Sedang

CVE-2019-11254

Lihat buletin keamanan GKE di VMware untuk mengetahui petunjuk dan detail selengkapnya.

GCP-2020-003

Dipublikasikan: 31-03-2020
Diperbarui: 31-03-2020

Deskripsi

Kubernetes telah mengungkapkan kerentanan berikut:

Kerentanan

Keparahan

CVE

CVE-2019-11254 — Ini adalah kerentanan Denial of Service (DoS) yang memengaruhi server API.

Sedang

CVE-2019-11254

Lihat buletin keamanan GKE untuk mengetahui petunjuk dan detail selengkapnya.

GCP-2020-002

Dipublikasikan: 23-03-2020
Diperbarui: 23-03-2020

Deskripsi

Kubernetes telah mengungkapkan kerentanan berikut:

Kerentanan

Keparahan

CVE

CVE-2020-8551 — Ini adalah kerentanan Denial of Service (DoS) yang memengaruhi kubelet.

Sedang

CVE-2020-8551

CVE-2020-8552 — Ini adalah kerentanan Denial of Service (DoS) yang memengaruhi server API.

Sedang

CVE-2020-8552

Lihat buletin keamanan GKE untuk mengetahui petunjuk dan detail selengkapnya.

GCP-2020-001

Dipublikasikan: 21-01-2020
Diperbarui: 21-01-2020

Deskripsi

Microsoft telah mengungkapkan kerentanan berikut:

Kerentanan

Keparahan

CVE

CVE-2020-0601 — Kerentanan ini juga dikenal sebagai Kerentanan Pemalsuan Windows Crypto API. Kerentanan ini dapat dieksploitasi untuk membuat file yang dapat dieksekusi berbahaya tampak tepercaya atau memungkinkan penyerang melakukan serangan man-in-the-middle dan mendekripsi informasi rahasia pada koneksi pengguna ke software yang terpengaruh.

Skor Dasar NVD: 8,1 (Tinggi)

CVE-2020-0601

Untuk mengetahui informasi selengkapnya, lihat Pengungkapan Microsoft.

Google Cloud dampak

Infrastruktur yang menghosting Google Cloud dan produk Google tidak terpengaruh oleh kerentanan ini. Detail tambahan per produk tercantum di bawah.

Produk

Dampak

Compute Engine

CVE-2020-0601

Sebagian besar pelanggan tidak perlu melakukan tindakan lebih lanjut.

Pelanggan yang menggunakan mesin virtual Compute Engine yang menjalankan Windows Server harus memastikan instance mereka memiliki patch Windows terbaru atau menggunakan image Windows Server yang disediakan sejak 15/1/2020. Lihat buletin keamanan Compute Engine untuk mengetahui detail selengkapnya.

Google Kubernetes Engine

CVE-2020-0601

Sebagian besar pelanggan tidak perlu melakukan tindakan lebih lanjut.

Pelanggan yang menggunakan GKE dengan node Windows Server, baik node maupun workload yang di-container yang berjalan di node tersebut harus diupdate ke versi yang telah di-patch untuk memitigasi kerentanan ini. Lihat buletin keamanan GKE untuk mengetahui petunjuk dan detail selengkapnya.

Layanan Terkelola untuk Microsoft Active Directory

CVE-2020-0601

Sebagian besar pelanggan tidak perlu melakukan tindakan lebih lanjut.

Semua domain Managed Microsoft AD telah diperbarui secara otomatis dengan image yang di-patch. Setiap pelanggan yang menjalankan Microsoft Active Directory secara manual (dan tidak menggunakan Managed Microsoft AD) harus memastikan instance mereka memiliki patch Windows terbaru atau menggunakan image Windows Server yang disediakan sejak 15/1/2020.

Google Workspace

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Lingkungan standar App Engine

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Lingkungan fleksibel App Engine

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud Run

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud Run Functions

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud Composer

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Dataflow

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Dataproc

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud SQL

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

GCP-2019-001

Dipublikasikan: 12-11-2019
Diperbarui: 12-11-2019

Deskripsi

Intel telah mengungkapkan kerentanan berikut:

Kerentanan

Keparahan

CVE

CVE-2019-11135 — Kerentanan ini yang disebut sebagai TSX Async Abort (TAA) dapat digunakan untuk mengeksploitasi eksekusi spekulatif dalam transaksi TSX. Kerentanan ini berpotensi memungkinkan data diekspos melalui struktur data mikroarsitektur yang sama yang diekspos oleh Sampling Data Mikroarsitektur (MDS).

Sedang

CVE-2019-11135

CVE-2018-12207 — Ini adalah kerentanan Denial of Service (DoS) yang memengaruhi host (bukan tamu) mesin virtual. Masalah ini dikenal sebagai "Machine Check Error on Page Size Change".

Sedang

CVE-2018-12207

Untuk mengetahui informasi selengkapnya, lihat pengungkapan Intel:

Google Cloud dampak

Infrastruktur yang menghosting Google Cloud dan produk Google dilindungi dari kerentanan ini. Detail tambahan per produk tercantum di bawah.

Produk

Dampak

Compute Engine

CVE-2019-11135

Sebagian besar pelanggan tidak perlu melakukan tindakan tambahan.

Pelanggan N2, C2, atau M2 yang menjalankan kode yang tidak tepercaya di layanan multi-tenant mereka sendiri dalam virtual machine Compute Engine harus menghentikan dan memulai VM mereka untuk memastikan bahwa mereka memiliki mitigasi keamanan terbaru.

CVE-2018-12207

Semua pelanggan tidak perlu melakukan tindakan tambahan.

Google Kubernetes Engine

CVE-2019-11135

Sebagian besar pelanggan tidak perlu melakukan tindakan tambahan.

Jika Anda menggunakan node pool dengan node N2, M2, atau C2, dan node tersebut menjalankan kode yang tidak tepercaya di dalam cluster GKE multi-tenant Anda sendiri, Anda harus memulai ulang node. Jika Anda ingin memulai ulang semua node di node pool, upgrade node pool yang terpengaruh.

CVE-2018-12207

Semua pelanggan tidak perlu melakukan tindakan tambahan.

Lingkungan standar App Engine

Anda tidak perlu melakukan tindakan tambahan apa pun.

Lingkungan fleksibel App Engine

CVE-2019-11135

Tidak ada tindakan tambahan yang diperlukan.

Pelanggan harus meninjau praktik terbaik Intel terkait berbagi tingkat aplikasi yang dapat terjadi antara hyperthread dalam VM Flex.

CVE-2018-12207

Tidak diperlukan tindakan tambahan.

Cloud Run

Anda tidak perlu melakukan tindakan tambahan apa pun.

Cloud Run Functions

Anda tidak perlu melakukan tindakan tambahan apa pun.

Cloud Composer

Anda tidak perlu melakukan tindakan tambahan apa pun.

Dataflow

CVE-2019-11135

Sebagian besar pelanggan tidak perlu melakukan tindakan tambahan.

Pelanggan Dataflow yang menjalankan beberapa workload tidak tepercaya di VM Compute Engine N2, C2, atau M2 yang dikelola oleh Dataflow dan khawatir tentang serangan intra-tamu harus mempertimbangkan untuk memulai ulang pipeline streaming yang sedang berjalan. Secara opsional, pipeline batch dapat dibatalkan dan dijalankan ulang. Tidak ada tindakan yang diperlukan untuk pipeline yang diluncurkan setelah hari ini.

CVE-2018-12207

Semua pelanggan tidak perlu melakukan tindakan tambahan.

Dataproc

CVE-2019-11135

Sebagian besar pelanggan tidak perlu melakukan tindakan tambahan.

Pelanggan Cloud Dataproc yang menjalankan beberapa workload tidak tepercaya di cluster Cloud Dataproc yang sama yang berjalan di VM N2, C2, atau M2 Compute Engine dan khawatir tentang serangan intra-guest, harus men-deploy ulang cluster mereka.

CVE-2018-12207

Semua pelanggan tidak perlu melakukan tindakan tambahan.

Cloud SQL

Anda tidak perlu melakukan tindakan tambahan apa pun.