次のセキュリティに関する情報は、Google Cloud 製品に関連するものです。
このページのセキュリティに関する公開情報を定期的に受け取るには、こちらの XML フィードを使用してください。
GCP-2024-064
公開: 2024-12-10
説明 | 重大度 | メモ |
---|---|---|
VMware セキュリティ アドバイザリ VMSA-2024-0022 によると、VMware Aria Operations の複数の脆弱性が VMware に責任を持って報告されました。影響を受ける VMware 製品の脆弱性を修正するためのアップデートが利用可能です。 必要な対策VMware Aria Operations 8.18.2 にアップグレードすることをおすすめします。 |
重要 |
GCP-2024-063
公開: 2024-12-06
説明 | 重大度 | メモ |
---|---|---|
Gemini マルチモーダル リクエストを処理する Vertex AI API で脆弱性が見つかりました。これにより、VPC Service Controls をバイパスできる可能性があります。攻撃者は、API の どうすればよいですか? 対応は不要です。fileUri パラメータでメディア ファイルの URL が指定され、VPC Service Controls が有効になっている場合にエラー メッセージを返す修正を実装しました。その他のユースケースは影響を受けません。 対処されている脆弱性
Gemini マルチモーダル リクエストを処理する Cloud Support API では、 |
中 | CVE-2024-12236 |
GCP-2024-062
公開日: 2024 年 12 月 2 日
説明
説明 | 重大度 | メモ |
---|---|---|
Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2024-46800 |
GCP-2024-061
公開日: 2024-11-25
説明
説明 | 重大度 | メモ |
---|---|---|
Kubernetes クラスタで見つかったセキュリティ問題により、 手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2024-10220 |
GCP-2024-060
公開: 2024-10-17
説明 | 重大度 | メモ |
---|---|---|
VMware セキュリティ アドバイザリ VMSA-2024-0020 によると、VMware NSX の複数の脆弱性が VMware に責任を持って報告されました。 VMware Engine 環境で実行されている NSX-T のバージョンは、CVE-2024-38815、CVE-2024-38818、CVE-2024-38817 の影響を受けません。 必要な対策VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。 |
中 |
GCP-2024-059
公開: 2024-10-16
説明 | 重大度 | メモ |
---|---|---|
VMware セキュリティ アドバイザリ VMSA-2024-0021 によると、VMware HCX の認証済み SQL インジェクションの脆弱性が非公開で VMware に報告されました。 Google は、この脆弱性に対処するために VMware が承認した緩和策を適用しました。この修正は、CVE-2024-38814 に記載されているセキュリティの脆弱性に対処しています。現時点で、VMware Engine プライベート クラウドで実行されているイメージ バージョンには、パッチが適用済みであることを示す変更は反映されていません。適切な緩和策がインストールされており、お客様の環境はこの脆弱性から保護されています。 必要な対策VMware HCX バージョン 4.9.2 にアップグレードすることをおすすめします。 |
高 |
GCP-2024-058
公開: 2024-10-16
説明
説明 | 重大度 | メモ |
---|---|---|
Migrate to Containers for Windows バージョン 1.1.0 ~ 1.2.2 では、管理者権限を持つローカル 必要な対策次のバージョンの Migrate to Containers CLI for Windows は更新されており、この脆弱性を修正するためのコードが追加されています。Migrate to Containers CLI を手動で次のバージョン以降にアップグレードすることをおすすめします。
対処されている脆弱性この脆弱性(CVE-2024-9858)により、攻撃者は Migrate to Containers ソフトウェアによって作成されたローカル管理者ユーザーを使用して、影響を受ける Windows マシンへの管理者アクセス権を取得できます。 |
中 | CVE-2024-9858 |
GCP-2024-057
公開: 2024-10-03
更新日: 2024-11-19
説明
説明 | 重大度 | メモ |
---|---|---|
2024 年 11 月 19 日更新: GKE の Ubuntu ノードプールのパッチ バージョンを追加しました。 2024 年 10 月 15 日更新: GDC(VMware)のパッチ バージョンを追加しました。GKE と GDC(VMware)の重大度レベルを更新しました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
中 | CVE-2024-45016 |
GCP-2024-056
公開: 2024-09-27
説明
説明 | 重大度 | メモ |
---|---|---|
一部の Linux ディストリビューションで使用されている CUPS 印刷システムで、リモートコード実行につながる可能性がある脆弱性チェーン(CVE-2024-47076、CVE-2024-47175、CVE-2024-47176、CVE-2024-47177)が見つかりました。CUPS サービスが UDP ポート 631 でリッスンしていて、攻撃者がそのポートに接続できる場合、攻撃者はこの脆弱性を悪用できます。 手順と詳細については、次の公開情報をご覧ください。 |
なし |
GCP-2024-055
公開: 2024-09-24
説明
説明 | 重大度 | メモ |
---|---|---|
Looker の HTTP リクエスト スマグリング脆弱性により、不正な攻撃者が正当なユーザー宛ての HTTP レスポンスをキャプチャできるようになりました。 Looker でホストされる Looker には、次の 2 つのバージョンがあります。
セルフホスト型 Looker インスタンスに脆弱性が見つかったため、次のいずれかのバージョンにアップグレードする必要があります。 サポートされているすべてのバージョンのセルフホスト型 Looker に、この脆弱性のパッチが適用されています。これらのバージョンは、Looker のダウンロード ページで入手できます。 必要な対策
対処されている脆弱性この脆弱性(CVE-2024-8912)により、攻撃者は不正な HTTP リクエスト ヘッダーを Looker に送信できるため、他のユーザー宛ての HTTP レスポンスがインターセプトされる可能性があります。 これらのレスポンスには機密情報が含まれている可能性があります。 この脆弱性は、特定の構成の場合のみ悪用される可能性があります。 |
中 | CVE-2024-8912 |
GCP-2024-054
公開: 2024-09-23
説明
説明 | 重大度 | メモ |
---|---|---|
Windows ノードを使用する Kubernetes クラスタでセキュリティの問題が見つかりました。この問題により、 手順と詳細については、次の公開情報をご覧ください。 |
中 | CVE-2024-5321 |
GCP-2024-053
公開: 2024-09-19
説明
説明 | 重大度 | メモ |
---|---|---|
Protobuf Java Full ライブラリと Lite ライブラリで不明なフィールドを解析する際に、悪意を持って作成されたメッセージが原因で StackOverflow エラーが発生し、プログラムがクラッシュする可能性があります。 必要な対策 Google は、この問題の解決に全力で取り組んでおり、現在利用可能な緩和策をリリースしました。次のソフトウェア パッケージの最新バージョンを使用することをおすすめします。
このパッチで対処される脆弱性 この脆弱性は、サービス拒否攻撃の可能性があります。 ネストされたグループを DiscardUnknownFieldsParser または Java Protobuf Lite パーサーで不明なフィールドとして解析するか、Protobuf マップ フィールドに対して解析すると、攻撃者によって悪用される可能性がある無制限の再帰が発生します。 |
CVSS4.0 スコア 8.7 高 |
CVE-2024-7254 |
GCP-2024-052
説明
説明 | 重大度 | メモ |
---|---|---|
次の CVE は、Cloud Service Mesh を悪用可能な脆弱性にさらします。
手順と詳細については、Cloud Service Mesh のセキュリティに関する公開情報をご覧ください。 |
中~高 |
GCP-2024-051
公開: 2024-09-18
説明 | 重大度 | メモ |
---|---|---|
VMware は、VMSA-2024-0019 でお客様の環境にデプロイされた vCenter コンポーネントに影響する複数の脆弱性が開示されました。 VMware Engine への影響
必要な対策現時点ではこれ以上のご対応は必要ございません。 |
重大 |
GCP-2024-050
公開: 2024-09-04
説明
説明 | 重大度 | メモ |
---|---|---|
Windows で新しいリモートコード実行の脆弱性(CVE-2024-38063)が見つかりました。攻撃者は、特別に細工した IPv6 パケットをホストに送信することで、この脆弱性をリモートで悪用する可能性があります。 手順と詳細については、次の公開情報をご覧ください。 |
なし | CVE-2024-38063 |
GCP-2024-049
公開: 2024-08-21
更新日: 2024 年 11 月 1 日
説明
説明 | 重大度 | メモ |
---|---|---|
2024 年 11 月 1 日更新: GKE の Ubuntu ノードプールのパッチ バージョンを追加しました。 2024 年 10 月 21 日更新: GDC(VMware)のパッチ バージョンを追加し、重大度を更新しました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2024-36978 |
GCP-2024-048
公開: 2024-08-20
最終更新: 2024-10-30
説明
説明 | 重大度 | メモ |
---|---|---|
2024 年 10 月 30 日更新: GKE の Ubuntu ノードプールのパッチ バージョンを追加しました。 2024 年 10 月 25 日更新: GDC(VMware)のパッチ バージョンを追加し、重大度を更新しました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2024-41009 |
GCP-2024-047
公開: 2024-08-19
最終更新: 2024-10-30
説明
説明 | 重大度 | メモ |
---|---|---|
2024 年 10 月 30 日更新: GKE の Ubuntu ノードプールのパッチ バージョンを追加しました。 2024 年 10 月 21 日更新: GDC(VMware)のパッチ バージョンを追加し、重大度を更新しました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2024-39503 |
GCP-2024-046
公開: 2024-08-05
説明
説明 | 重大度 | メモ |
---|---|---|
AMD は、AMD EPYC 第 3 世代(Milan)と第 4 世代(Genoa)CPU の SEV-SNP に影響する 3 つの新しいファームウェアの脆弱性(2 つは中程度のリスク、1 つは高リスク)について Google に通知しました。 Google では、Google Cloud を含む関連アセットに修正を適用し、お客様を確実に保護してきました。現時点では、悪用された形跡は見つからず、Google に対する報告もありません。 必要な対策 お客様による対応は必要ありません。 Google サーバー フリートにはすでに修正が適用されています。 詳細については、AMD セキュリティ アドバイザリ AMD-SN-3007 をご覧ください。 |
中~高 |
GCP-2024-045
公開: 2024-07-17
最終更新: 2024-09-19
説明
説明 | 重大度 | メモ |
---|---|---|
2024 年 9 月 19 日更新: VMware 用 GDC ソフトウェアのパッチ バージョンを追加しました。 2024 年 8 月 21 日更新: GKE の Ubuntu ノードプールのパッチ バージョンを追加しました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2024-26925 |
GCP-2024-044
公開: 2024-07-16
最終更新: 2024-10-30
説明
説明 | 重大度 | メモ |
---|---|---|
2024 年 10 月 30 日更新: GKE の Ubuntu ノードプールのパッチ バージョンを追加しました。 2024 年 10 月 21 日更新: GDC(VMware)のパッチ バージョンを追加し、重大度を更新しました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2024-36972 |
GCP-2024-043
公開: 2024-07-16
最終更新: 2024-10-02
説明
説明 | 重大度 | メモ |
---|---|---|
2024 年 10 月 2 日更新: GKE の Ubuntu ノードプールのパッチ バージョンを追加しました。 2024 年 9 月 20 日更新: VMware 用 GDC ソフトウェアのパッチ バージョンを追加しました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2024-26921 |
GCP-2024-042
公開: 2024-07-15
最終更新: 2024-07-18
説明
説明 | 重大度 | メモ |
---|---|---|
2024 年 7 月 18 日更新: デフォルト構成の Autopilot クラスタは影響を受けないことを明記しました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2024-26809 |
GCP-2024-041
公開: 2024-07-08
最終更新: 2024-09-16
説明
説明 | 重大度 | メモ |
---|---|---|
2024 年 9 月 16 日更新: VMware 用 GDC ソフトウェアのパッチ バージョンを追加しました。 2024 年 7 月 19 日更新: GKE の Ubuntu ノードプールのパッチ バージョンを追加しました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 |
GCP-2024-040
公開: 2024-07-01
最終更新: 2024-07-16
説明
説明 | 重大度 | メモ |
---|---|---|
2024-07-16 更新: 一部のサーバーレス VPC アクセスをご利用のお客様は、OpenSSH の脆弱性(CVE-2024-6387)の影響を受ける可能性があります。悪用されると、認証されていないリモートの攻撃者が、ターゲット仮想マシンでルート権限で任意のコードを実行できるようになります。悪用は困難であると考えられます。たとえば、お客様が VM にアクセスできず、VM にパブリック IP がない場合があります。悪用されたという報告は確認されていません。 必要な対策 サーバーレス VPC アクセスのデプロイは、可能な限り Google によって自動的に更新されています。ただし、Google マネージド サービス エージェントに必要なロールがあることを確認する必要があります。そうでない場合、サーバーレス VPC アクセス コネクタは引き続き脆弱な状態である可能性があります。修正を含む必要な更新が確実に適用されるように、ダイレクト VPC 下り(外向き)に移行するか、新しいコネクタをデプロイして古いコネクタを削除することをおすすめします。 2024 年 7 月 11 日更新: VMware、GKE on AWS、GKE on Azure の GDC ソフトウェアのパッチ バージョンを追加しました。詳細については、GKE ドキュメントの次の公開情報をご覧ください。 2024-07-10 更新:
2024-07-09 更新: App Engine フレキシブル環境をご利用のお客様の中には、OpenSSH の脆弱性(CVE-2024-6387)の影響を受ける可能性があるお客様がいらっしゃいます。悪用されると、認証されていないリモートの攻撃者が、ターゲット仮想マシンでルート権限で任意のコードを実行できるようになります。 必要な対策 フレキシブル環境のデプロイは、可能な限りすでに自動的に更新されています。ただし、Google 管理のサービス エージェントを無効にしたお客様や、Google Cloud API や他のデフォルト構成を変更したお客様は、更新されず、引き続き脆弱性の影響を受ける可能性があります。修正を含むアップデートを取得するには、アプリの新しいバージョンをデプロイする必要があります。 更新されたデプロイで報告される SSH バージョンは 対処されている脆弱性 CVE-2024-6387 の脆弱性。認証されていないリモートの攻撃者が、ターゲット マシンでルート権限で任意のコードを実行できるようになります。 2024-07-08 更新: イメージ バージョン 2.2(すべてのオペレーティング システム)と 2.1(Debian のみ)で実行されている Google Compute Engine の Dataproc クラスタは、OpenSSH の脆弱性(CVE-2024-6387)の影響を受けています。この脆弱性が悪用されると、認証されていないリモートの攻撃者がターゲット マシンでルート権限で任意のコードを実行できるようになります。 Google Compute Engine 上の Dataproc イメージ バージョン 2.0 と 1.5、および Debian で実行されていない Dataproc イメージ バージョン 2.1 は影響を受けません。個人認証が有効になっている Dataproc クラスタは影響を受けません。Dataproc Serverless も影響を受けません。 必要な対策 Google Compute Engine 上の Dataproc クラスタを次のいずれかのバージョンに更新してください。
Dataproc クラスタを上記のいずれかのバージョンに更新できない場合は、 Dataproc の初期化アクションを指定する方法については、次の手順をご覧ください。既存のクラスタでは、初期化アクションをすべてのノード(マスターとワーカー)で実行する必要があります。 2024-07-03 更新:
2024-07-02 更新:
先日、OpenSSH において、リモートコード実行の脆弱性である CVE-2024-6387 が発見されました。この脆弱性により、リモートシェルへのアクセス権の取得が可能な競合状態が悪用され、攻撃者が root アクセス権を取得する可能性があります。本情報の公開時点において、悪用は困難であり、攻撃にはマシン 1 台あたり数時間かかると考えられています。悪用されたという報告は確認されていません。 手順と詳細については、次の公開情報をご覧ください。
|
重大 | CVE-2024-6387 |
GCP-2024-039
公開: 2024-06-28
最終更新: 2024-09-25
説明
説明 | 重大度 | メモ |
---|---|---|
2024 年 9 月 25 日更新: VMware 用 GDC ソフトウェアのパッチ バージョンを追加しました。 2024 年 8 月 20 日更新: GKE の Ubuntu ノードプールのパッチ バージョンを追加しました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2024-26923 |
GCP-2024-038
公開: 2024-06-26
最終更新: 2024-09-17
説明
説明 | 重大度 | メモ |
---|---|---|
2024 年 9 月 17 日更新: VMware 用 GDC ソフトウェアのパッチ バージョンを追加しました。 2024 年 8 月 6 日更新: GKE の Ubuntu ノードプールのパッチ バージョンを追加しました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2024-26924 |
GCP-2024-037
公開: 2024 年 6 月 18 日
説明 | 重大度 | メモ |
---|---|---|
VMware は、VMSA-2024-0012 でお客様の環境にデプロイされた vCenter コンポーネントに影響する複数の脆弱性が開示されました。 Google Cloud VMware Engine への影響
必要な対策現時点ではこれ以上のご対応は必要ございません。 |
重大 |
GCP-2024-036
公開: 2024 年 6 月 18 日
説明
説明 | 重大度 | メモ |
---|---|---|
Linux カーネルに、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2024-26584 |
GCP-2024-035
公開: 2024-06-12
最終更新: 2024-07-18
説明
説明 | 重大度 | メモ |
---|---|---|
2024 年 7 月 18 日更新: GKE の Ubuntu ノードプールのパッチ バージョンを追加し、Container-Optimized OS ノードプールのバージョン 1.27 のパッチ バージョンを追加しました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2024-26584 |
GCP-2024-034
公開: 2024-06-11
最終更新: 2024-07-10
説明
説明 | 重大度 | メモ |
---|---|---|
2024 年 7 月 10 日更新: マイナー バージョン 1.26 と 1.27 を実行する Container-Optimized OS ノードのパッチ バージョンを追加し、Ubuntu ノードのパッチ バージョンを追加しました。 Linux カーネルに、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2024-26583 |
GCP-2024-033
公開: 2024-06-10
最終更新: 2024-09-26
説明
説明 | 重大度 | メモ |
---|---|---|
2024 年 9 月 26 日更新: VMware 用 GDC ソフトウェアのパッチ バージョンを追加しました。 Linux カーネルに、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2022-23222 |
GCP-2024-032
公開: 2024-06-04
説明
説明 | 重大度 | メモ |
---|---|---|
次の CVE は、Cloud Service Mesh を悪用可能な脆弱性にさらします。
手順と詳細については、Cloud Service Mesh のセキュリティに関する公開情報をご覧ください。 |
高 |
GCP-2024-031
公開日: 2024 年 5 月 24 日
説明
説明 | 重大度 | メモ |
---|---|---|
Fluent Bit で、リモートコード実行につながる新しい脆弱性(CVE-2024-4323)が見つかりました。影響を受ける Fluent Bit のバージョンは 2.0.7 ~ 3.0.3 です。 GKE、GKE on VMware、GKE on AWS、GKE on Azure、GKE on Bare Metal は、脆弱なバージョンの Fluent Bit を使用していないため、影響を受けません。 手順と詳細については、次の公開情報をご覧ください。 |
なし | CVE-2024-4323 |
GCP-2024-030
公開日: 2024 年 5 月 15 日
最終更新: 2024-07-18
説明
説明 | 重大度 | メモ |
---|---|---|
2024 年 7 月 18 日更新: GKE の Ubuntu ノードプールのパッチ バージョンを追加しました Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2023-52620 |
GCP-2024-029
公開日: 2024 年 5 月-14 日
最終更新: 2024-08-19
説明
説明 | 重大度 | メモ |
---|---|---|
2024 年 8 月 19 日更新: GKE の Ubuntu ノードプールのパッチ バージョンを追加しました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2024-26642 |
GCP-2024-028
公開日: 2024 年 5 月 13 日
更新日: 2024 年 5 月 22 日
説明
説明 | 重大度 | メモ |
---|---|---|
2024 年 5 月 22 日更新: Ubuntu のパッチ バージョンを追加しました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2024-26581 |
GCP-2024-027
公開日: 2024 年 5 月 8 日
最終更新: 2024-09-25
説明
説明 | 重大度 | メモ |
---|---|---|
2024 年 9 月 25 日更新: VMware 用 GDC ソフトウェアのパッチ バージョンを追加しました。 2024 年 5 月 15 日更新: GKE Ubuntu ノードプールのパッチ バージョンを追加しました。 2024 年 5 月 9 日更新: 重大度を中から高に修正し、デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明記しました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2024-26808 |
GCP-2024-026
公開日: 2024 年 5 月 7 日
最終更新: 2024-08-06
説明
説明 | 重大度 | メモ |
---|---|---|
2024 年 8 月 6 日更新: GKE の Ubuntu ノードプールのパッチ バージョンを追加しました。 2024 年 5 月 9 日更新: 重大度を中から高に修正しました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2024-26643 |
GCP-2024-025
公開: 2024-04-26
説明
説明 | 重大度 | メモ |
---|---|---|
Looker では、Google および Alphabet の脆弱性報奨プログラム(VRP)プログラムを介して外部研究者から報告された脆弱性は修正されましたが、悪用の証拠は見られませんでした。この問題は現在すでに解決されています。Looker(Google Cloud コア)および Looker(オリジナル)の Looker でホストされているお客様によるご対応は必要ありません。自己ホスト型の Looker インスタンスについては、サポートされている最新バージョンに更新することをおすすめします。 必要な対策 Looker でホストされるインスタンス: Looker(Google Cloud コア)と Looker(オリジナル)のインスタンス お客様による対応は必要ありません。 自己ホスト型の Looker インスタンスのみ Looker インスタンスが自己ホスト型の場合は、Looker インスタンスを次のいずれかのバージョンにアップグレードすることをおすすめします。
問題の解決 Google は、Looker アプリケーションから内部データベースへの直接管理者権限の無効化、テナント間のアクセスを可能にする権限昇格の削除、公開されたシークレットのローテーションを行いました。さらに、サービス アカウントの認証情報の漏洩を引き起こす可能性があるパス トラバーサルの脆弱性にもパッチを適用しました。また、同様の潜在的な脆弱性を特定、対処するために、コードとシステムの徹底的なレビューも実施しています。 |
重大 |
GCP-2024-024
公開: 2024-04-25
最終更新: 2024-07-18
説明
説明 | 重大度 | メモ |
---|---|---|
2024 年 7 月 18 日更新: GKE の Ubuntu ノードプールのパッチ バージョンを追加しました Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2024-26585 |
GCP-2024-023
公開日: 2024 年 4 月 24 日
説明
説明 | 重大度 | メモ |
---|---|---|
次の CVE は、Cloud Service Mesh を悪用可能な脆弱性にさらします。
手順と詳細については、Cloud Service Mesh のセキュリティに関する公開情報をご覧ください。 |
高 |
GCP-2024-022
公開日: 2024 年 4 月 3 日
最終更新: 2024-07-17
説明
説明 | 重大度 | メモ |
---|---|---|
2024 年 7 月 17 日更新: GKE on VMware のパッチ バージョンを追加しました。 2024 年 7 月 9 日更新: GKE on Bare Metal のパッチ バージョンを追加しました。 2024 年 4 月 24 日更新: GKE のパッチ バージョンを追加しました。 先ごろ、サービス拒否攻撃(DoS)の脆弱性(CVE-2023-45288)が HTTP/2 プロトコルの複数の実装で発見されました。これには、Kubernetes で使用されている GoLang HTTP サーバーも含まれます。この脆弱性により、Google Kubernetes Engine(GKE)コントロール プレーンの DoS が発生する可能性があります。 手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2023-45288 |
GCP-2024-021
公開日: 2024 年 4 月 3 日
説明
説明 | 重大度 | メモ |
---|---|---|
Compute Engine は CVE-2024-3094 の影響を受けません。これは、liblzma ライブラリの xz-utils パッケージのバージョン 5.6.0 と 5.6.1 に影響します。これにより、OpenSSH ユーティリティが侵害されるおそれがあります。 詳細については、Compute Engine のセキュリティに関する公開情報をご覧ください。 |
中 | CVE-2024-3094 |
GCP-2024-020
公開日: 2024 年 4 月 2 日
説明
説明 | 重大度 | メモ |
---|---|---|
研究者によって Ray の脆弱性(CVE-2023-48022)が発見されました。Ray は、AI ワークロード用のサードパーティのオープンソース ツールです。Ray では認証が不要であるため、脅威の行為者は一般公開されているインスタンスにジョブを送信することでリモート コード実行を実行できます。この脆弱性は、Ray のデベロッパーである Anyscale によって異議申し立てされています。Ray は、その機能が意図したコア プロダクト機能であると維持されています。セキュリティは、Ray クラスタの意図しないネットワーク公開によって侵害される可能性があるため、代わりに Ray クラスタの外部で実装する必要があります。 レスポンスに基づいて、この CVE は異議を申し立てられ、脆弱性スキャナに表示されない可能性があります。いずれにしても、実際に悪用されていることから、ユーザーは次のように使用を構成する必要があります。 必要な対策 Ray ワークロードを保護するには、Ray のベスト プラクティスとガイドライン(信頼できるネットワークで信頼できるコードを実行するなど)に従ってください。お客様のクラウド インスタンスへの ray.io のデプロイは、共有責任モデルに分類されます。 Google Kubernetes Engine(GKE)のセキュリティは、GKE での Ray の強化に関するブログを公開しています。 Ray サービスに認証と認可を追加する方法の詳細については、Identity-Aware Proxy(IAP)のドキュメントをご覧ください。GKE ユーザーは、このガイダンスに従うか、ブログにリンクされた Terraform モジュールを再利用することで、IAP を実装できます。 |
高 | CVE-2023-48022 |
GCP-2024-018
公開日: 2024 年 3 月 12 日
更新日: 2024 年 4 月 4 日、2024 年 5 月 6 日
説明
説明 | 重大度 | メモ |
---|---|---|
2024 年 5 月 6 日更新: GKE Ubuntu ノードプールのパッチ バージョンを追加しました。 2024 年 4 月 4 日更新: GKE Container-Optimized OS ノードプールの最小バージョンを修正しました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2024-1085 |
GCP-2024-017
公開日: 2024 年 3 月 6 日
説明
説明 | 重大度 | メモ |
---|---|---|
Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2023-3611 |
GCP-2024-016
公開日: 2024 年 3 月 5 日
説明 | 重大度 | メモ |
---|---|---|
VMware は、VMSA-2024-0006 でお客様の環境にデプロイされた ESXi コンポーネントに影響する複数の脆弱性が開示されました。 Google Cloud VMware Engine への影響セキュリティの脆弱性に対処するため、プライベート クラウドが更新されました。 必要な対策お客様側での対応は必要ありません。 |
重大 |
GCP-2024-014
公開日: 2024 年 2 月 26 日
説明
説明 | 重大度 | メモ |
---|---|---|
Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2023-3776 |
GCP-2024-013
公開日: 2024 年 2 月 27 日
説明
説明 | 重大度 | メモ |
---|---|---|
Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2023-3610 |
GCP-2024-012
公開日: 2024 年 2 月 20 日
説明
説明 | 重大度 | メモ |
---|---|---|
Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2024-0193 |
GCP-2024-011
公開日: 2024 年 2 月 15 日
説明
説明 | 重大度 | メモ |
---|---|---|
Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2023-6932 |
GCP-2024-010
公開日: 2024 年 2 月 14 日
更新日時: 2024 年 4 月 17 日
説明
説明 | 重大度 | メモ |
---|---|---|
2024 年 4 月 17 日更新: GKE on VMware のパッチ バージョンを追加しました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2023-6931 |
GCP-2024-009
公開日: 2024 年 2 月 13 日
説明
説明 | 重大度 | メモ |
---|---|---|
AMD は 2024 年 2 月 13 日に、第 3 世代「Milan」と第 4 世代「Genoa」の Zen コアをベースにした EPYC CPU 上で SEV-SNP に影響する 2 つの脆弱性を公表しました。この脆弱性により、特権を持つ攻撃者がゲストの古いデータにアクセスしたり、ゲストの完全性を失わせたりする可能性があります。 Google では、Google Cloud を含む関連アセットに修正を適用し、お客様を確実に保護してきました。現時点では、悪用された形跡は見つからず、Google に対する報告もありません。 必要な対策 お客様による対応は必要ありません。 Compute Engine を含む Google Cloud の Google サーバー フリートには、すでに修正が適用されています。 詳細については、AMD セキュリティ アドバイザリ AMD-SN-3007 をご覧ください。 |
中 |
GCP-2024-008
公開: 2024-02-12
説明
説明 | 重大度 | メモ |
---|---|---|
CVE-2023-5528 により、攻撃者は Windows ノードで Pod と永続ボリュームを作成し、それらのノードで管理者権限昇格を実行できるようになります。 手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2023-5528 |
GCP-2024-007
公開: 2024-02-08
説明
説明 | 重大度 | メモ |
---|---|---|
次の CVE は、Cloud Service Mesh を悪用可能な脆弱性にさらします。
手順と詳細については、Cloud Service Mesh のセキュリティに関する公開情報をご覧ください。 |
高 |
GCP-2024-006
公開日: 2024-02-5
説明
説明 | 重大度 | メモ |
---|---|---|
Apigee API 管理プロキシがターゲット エンドポイントまたは ターゲット サーバーに接続した際に、デフォルトでは、プロキシはターゲット エンドポイントまたはターゲット サーバーによって提示された証明書のホスト名検証を実行しません。 次のいずれかのオプションを使用してホスト名検証を有効にしていない場合、ターゲット エンドポイントまたはターゲット サーバーに接続している Apigee プロキシが、承認済みユーザーによる中間者攻撃を受けるリスクがあります。詳細については、Edge からバックエンドへの TLS の構成(Cloud、Private Cloud)をご覧ください。 次の Apigee プラットフォームの Apigee プロキシのデプロイが影響を受けます。
手順と詳細については、Apigee のセキュリティに関する公開情報をご覧ください。 |
高 |
GCP-2024-005
公開日: 2024 年 1 月 31 日
更新日: 2024 年 4 月 2 日、2024 年 5 月 6 日
説明
説明 | 重大度 | メモ |
---|---|---|
2024 年 5 月 6 更新日: GKE on AWS と GKE on Azure のパッチ バージョンを追加しました。 2024 年 4 月 2 日更新: GKE on Bare Metal のパッチ バージョンを追加しました。 2024 年 3 月 6 日更新: GKE on VMware のパッチ バージョンを追加しました。 2024 年 2 月 28 日更新: Ubuntu のパッチ バージョンを追加しました。 2024 年 2 月 15 日更新: 2024 年 2 月 14 日の更新で、Ubuntu パッチ バージョン 1.25 と 1.26 が原因でノードに異常が発生する可能性があることを明記しました。 2024 年 2 月 14 日更新: Ubuntu のパッチ バージョンを追加しました。 2024 年 2 月 6 日更新: Container-Optimized OS のパッチ バージョンを追加しました。 セキュリティ上の脆弱性 CVE-2024-21626 が 手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2024-21626 |
GCP-2024-004
公開日: 2024 年 1 月 24 日
更新日: 2024 年 2 月 7 日
説明
説明 | 重大度 | メモ |
---|---|---|
2024 年 2 月 7 日更新: Ubuntu のパッチ バージョンを追加しました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2023-6817 |
GCP-2024-003
公開日: 2024 年 1 月 19 日
更新日: 2024 年 1 月 26 日
説明
説明 | 重大度 | メモ |
---|---|---|
2024 年 1 月 26 日更新: 影響を受けたクラスタの数と、その影響を軽減するために Google が行ったアクションを明確にしました。詳細については、GCP-2024-003 セキュリティに関する公開情報をご覧ください。 ユーザーが Google アカウントを持つすべてのユーザーが含まれる 手順と詳細については、次の公開情報をご覧ください。 |
中 |
GCP-2024-002
公開日: 2024 年 1 月 17 日
更新日: 2024 年 2 月 20 日
説明
説明 | 重大度 | メモ |
---|---|---|
2024 年 2 月 20 日更新: GKE on VMware のパッチ バージョンを追加しました。 Linux カーネルで、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2023-6111 |
GCP-2024-001
公開日: 2024 年 1 月 9 日説明
説明 | 重大度 | メモ |
---|---|---|
TianoCore EDK II UEFI ファームウェアで複数の脆弱性が見つかりました。このファームウェアは Google Compute Engine VM で使われています。この脆弱性が悪用されると、セキュアブートをバイパスできる可能性があります。これにより、Shielded VM で使用する場合など、セキュアブート プロセスで誤った測定が行われる可能性があります。 必要な対策必要なご対応は特にありません。Google は、Compute Engine 全体でこの脆弱性にパッチを適用し、すべての VM を脆弱性から保護しました。 このパッチで対処される脆弱性このパッチで緩和された脆弱性は次のとおりです。
|
中 |
GCP-2023-051
公開日: 2023 年 12 月 28 日
説明
説明 | 重大度 | メモ |
---|---|---|
Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2023-3609 |
GCP-2023-050
公開日: 2023 年 12 月 27 日
説明
説明 | 重大度 | メモ |
---|---|---|
Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2023-3389 |
GCP-2023-049
公開日: 2023 年 12 月 20 日
説明
説明 | 重大度 | メモ |
---|---|---|
Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2023-3090 |
GCP-2023-048
公開日: 2023-12-15
最終更新日: 2023 年 12 月 21 日
説明
説明 | 重大度 | メモ |
---|---|---|
2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明記しました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2023-3390 |
GCP-2023-047
公開日: 2023-12-14
説明
説明 | 重大度 | メモ |
---|---|---|
Fluent Bit ロギング コンテナを侵害した攻撃者によって、そのアクセス権を Cloud Service Mesh で必要な高い権限(権限を有効にしたクラスタにおいて)と組み合わせ、クラスタ内の権限を昇格させられる危険性が見つかりました。 手順と詳細については、次の公開情報をご覧ください。 |
中 |
GCP-2023-046
公開日: 2023 年 11 月 22 日
更新日: 2024 年 3 月 4 日
説明
説明 | 重大度 | メモ |
---|---|---|
2024 年 3 月 4 日更新: GKE on VMware の GKE バージョンを追加しました。 2024 年 1 月 22 日更新: Ubuntu パッチ バージョンを追加しました Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2023-5717 |
GCP-2023-045
公開日: 2023 年 11 月 20 日
最終更新日: 2023 年 12 月 21 日
説明
説明 | 重大度 | メモ |
---|---|---|
2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明記しました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2023-5197 |
GCP-2023-044
公開日: 2023 年 11 月 15 日
説明
説明 | 重大度 | メモ |
---|---|---|
11 月 14 日、AMD はさまざまな AMD サーバー CPU に影響する複数の脆弱性を公開しました。具体的には、脆弱性は Zen コア第 2 世代「Rome」、第 3 世代「Milan」、第 4 世代「Genoa」を利用した EPYC サーバー CPU に影響します。 Google では、Google Cloud を含む関連アセットに修正を適用し、お客様を確実に保護してきました。現時点では、悪用された形跡は見つからず、Google に対する報告もありません。 必要な対策 お客様による対応は必要ありません。 Google Compute Engine を含む Google Cloud の Google サーバー フリートには、すでに修正が適用されています。 対処されている脆弱性 このパッチで緩和された脆弱性は次のとおりです。
詳細については、CacheWarp としても公開されている AMD のセキュリティ アドバイザリ AMD-SN-3005: 「AMD INVD Instruction Security Notice」、AMD-SN-3002: 「AMD Server Vulnerabilities – November 2023」 をご覧ください。 |
中 |
GCP-2023-043
公開日: 2023 年 11 月 14 日
説明
説明 | 重大度 | メモ |
---|---|---|
Intel は、一部のプロセッサの CPU の脆弱性を公表しました。Google では、Google Cloud の Google Compute Engine や ChromeOS デバイスを含むサーバー フリートを軽減して、お客様を確実に保護するための対策を講じています。 脆弱性の詳細:
必要な対策 お客様による対応は必要ありません。 影響を受けるプロセッサに対して Intel が提供している緩和策は、Google Cloud の Google Compute Engine を含む Google のサーバー フリートに適用されています。 現在のところ、Google Distributed Cloud Edge には OEM からの更新が必要です。このセキュリティに関する公開情報は、更新が利用可能になり次第、修正を行います。また、この情報も更新されます。 影響を受けるプロセッサを搭載した ChromeOS デバイスには、リリース 119、118、114(LTS)の一部として修正が自動的に適用されています。 対処されている脆弱性 CVE-2023-23583詳細については、Intel Security Advisory INTEL-SA-00950 をご覧ください。 |
高 | CVE-2023-23583 |
GCP-2023-042
公開日: 2023 年 11 月 13 日
更新日: 2023 年 11 月 15 日
説明
説明 | 重大度 | メモ |
---|---|---|
2023 年 11 月 15 日更新: GKE の対応するパッチ適用済みバージョンへのアップグレードが必要なのは、リストされているマイナー バージョンのみであることを明確にしました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2023-4147 |
GCP-2023-041
公開日: 2023 年 11 月 8 日
更新日: 2023 年 11 月 21 日、2023 年 12 月 5 日、2023 年 12 月 21 日
説明
説明 | 重大度 | メモ |
---|---|---|
2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明記しました。 2023 年 12 月 5 日更新: Container-Optimized OS ノードプールの GKE バージョンを追加しました。 2023 年 11 月 21 日更新: GKE の対応するパッチ適用済みバージョンへのアップグレードが必要なのは、リストされているマイナー バージョンのみであることを明確にしました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2023-4004 |
GCP-2023-040
公開日: 2023-11-06
最終更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日
説明
説明 | 重大度 | メモ |
---|---|---|
2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明記しました。 2023 年 11 月 21 日更新: GKE の対応するパッチ適用済みバージョンへのアップグレードが必要なのは、リストされているマイナー バージョンのみであることを明確にしました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2023-4921 |
GCP-2023-039
公開日: 2023-11-06
更新日: 2023 年 11 月 21 日、2023 年 11 月 16 日
説明
説明 | 重大度 | メモ |
---|---|---|
2023 年 11 月 21 日更新: GKE の対応するパッチ適用済みバージョンへのアップグレードが必要なのは、リストされているマイナー バージョンのみであることを明確にしました。 2023 年 11 月 16 日更新: このセキュリティに関する公開情報に関連する脆弱性は CVE-2023-4622 です。CVE-2023-4623 は、以前のバージョンのセキュリティに関する公開情報における脆弱性として誤ってリストされました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2023-4622 |
GCP-2023-038
公開日: 2023-11-06
最終更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日
説明
説明 | 重大度 | メモ |
---|---|---|
2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明記しました。 2023 年 11 月 21 日更新: GKE の対応するパッチ適用済みバージョンへのアップグレードが必要なのは、リストされているマイナー バージョンのみであることを明確にしました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2023-4623 |
GCP-2023-037
公開日: 2023-11-06
最終更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日
説明
説明 | 重大度 | メモ |
---|---|---|
2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明記しました。 2023 年 11 月 21 日更新: GKE の対応するパッチ適用済みバージョンへのアップグレードが必要なのは、リストされているマイナー バージョンのみであることを明確にしました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2023-4015 |
GCP-2023-036
公開日: 2023 年 10 月 30 日
説明
説明 | 重大度 | メモ |
---|---|---|
Deep Learning VM Image は、初期設定の状態で実行できるディープ ラーニング フレームワークを含むパッケージ化された仮想マシンイメージのセットです。最近、「libwebp」ライブラリの「ReadHuffmanCodes()」関数で範囲外書き込みの脆弱性が発見されました。このライブラリを使用するイメージに影響する可能性があります。 Google Cloud は、一般公開されているイメージを継続的にスキャンし、パッケージを更新して、お客様が利用可能な最新リリースにパッチ適用済みのディストリビューションが含まれるようにしています。Deep Learning VM Image が更新され、最新の VM イメージにパッチ適用済みのディストリビューションが含まれるようになりました。最新の VM イメージを採用しているお客様は、この脆弱性の影響を受けません。 必要な対策 公開されている VM イメージを使用する Google Cloud のお客様は、最新のイメージを採用し、共有責任モデルに従って自社の環境が最新であることを確認する必要があります。 CVE-2023-4863 を攻撃者が悪用して任意のコードを実行するおそれがあります。この脆弱性は、Google Chrome 116.0.5845.187 より前のバージョンと libwebp 1.3.2 より前のバージョンで特定されており、CVE-2023-4863 に記載されています。 |
高 | CVE-2023-4863 |
GCP-2023-035
公開日: 2023 年 10 月 26 日
最終更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日
説明
説明 | 重大度 | メモ |
---|---|---|
2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明記しました。 2023 年 11 月 21 日更新: GKE の対応するパッチ適用済みバージョンへのアップグレードが必要なのは、リストされているマイナー バージョンのみであることを明確にしました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2023-4206、CVE-2023-4207、CVE-2023-4208、CVE-2023-4128 |
GCP-2023-034
公開日: 2023 年 10 月 25 日
最終更新日: 2023 年 10 月 27 日
説明
説明 | 重大度 | メモ |
---|---|---|
VMware は、VMSA-2023-0023 でお客様の環境にデプロイされた vCenter コンポーネントに影響する複数の脆弱性が開示されました。 Cloud カスタマーケアへの影響
必要な対策現時点ではこれ以上のご対応は必要ございません。 |
重大 | CVE-2023-34048、CVE-2023-34056 |
GCP-2023-033
公開日: 2023 年 10 月 24 日
最終更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日
説明
説明 | 重大度 | メモ |
---|---|---|
2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けず、GKE Sandbox ワークロードは影響を受けないことを明記しました。 2023 年 11 月 21 日更新: GKE の対応するパッチ適用済みバージョンへのアップグレードが必要なのは、リストされているマイナー バージョンのみであることを明確にしました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。
手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2023-3777 |
GCP-2023-032
公開日: 2023 年 10 月 13 日
更新日時: 2023 年 11 月 3 日
説明
説明 | 重大度 | 注 |
---|---|---|
2023 年 11 月 3 日更新: Apigee Edge for Private Cloud の 既知の問題を追加しました。 先ごろ、サービス拒否攻撃(DoS)の脆弱性が HTTP/2 プロトコル(CVE-2023-44487)の複数の実装で発見されました。これには、Apigee X と Apigee ハイブリッドで使用されている Apigee Ingress(Cloud Service Mesh)サービスも含まれます。この脆弱性により、Apigee API 管理機能の DoS が発生する可能性があります。 手順と詳細については、GKE のセキュリティに関する公開情報をご覧ください。 |
高 | CVE-2023-44487 |
GCP-2023-031
公開日: 2023 年 10 月 10 日
説明
説明 | 重大度 | メモ |
---|---|---|
HTTP/2 プロトコルを使用している場合、データプレーンがサービス拒否攻撃の影響を受ける可能性があります。手順と詳細については、Cloud Service Mesh のセキュリティに関する公開情報をご覧ください。 |
高 | CVE-2023-44487 |
GCP-2023-030
公開日: 2023 年 10 月 10 日
更新日時: 2024 年 3 月 20 日
説明
説明 | 重大度 | メモ |
---|---|---|
2024 年 3 月 20 日更新: CVE-2023-44487 の最新のパッチを含む GKE on AWS と GKE on Azure のパッチ バージョンを追加しました。 2024 年 2 月 14 日更新: GKE on VMware のパッチ バージョンを追加しました。 2023 年 11 月 9 日更新: CVE-2023-39325 を追加しました。CVE-2023-44487 と CVE-2023-39325 の最新のパッチで GKE バージョンを更新しました。 先ごろ、サービス拒否攻撃(DoS)の脆弱性が HTTP/2 プロトコル(CVE-2023-44487)の複数の実装で発見されました(CVE-2023-44487)。これには、Kubernetes で使用される golang HTTP サーバーも含まれます。この脆弱性により、Google Kubernetes Engine(GKE)コントロール プレーンの DoS が発生する可能性があります。承認済みネットワークが構成されている GKE クラスタはネットワーク アクセスを制限することで保護されますが、他のすべてのクラスタは影響を受けます。 手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2023-44487、 CVE-2023-39325 |
GCP-2023-029
公開日: 2023 年 10 月 03 日
説明
説明 | 重大度 | メモ |
---|---|---|
TorchServe は、オンライン予測用に PyTorch の ML モデルをホストするために使用されます。Vertex AI は、TorchServe に依存する事前構築済みの PyTorch モデル サービング コンテナを提供します。先ごろ、TorchServe の脆弱性が発見されました。この脆弱性により、TorchServe デプロイメントのモデル管理 API を公開すると、デプロイメントが攻撃者に乗っ取られる可能性があります。Vertex AI は TorchServe のモデル管理 API を公開しないため、Vertex AI Online Prediction で PyTorch モデルをデプロイしているお客様は、この脆弱性の影響を受けません。Vertex AI の外部で TorchServe を使用しているお客様は、デプロイメントが安全に設定されるように予防措置を講じる必要があります。 必要な対策 Vertex AI で、Vertex AI のビルド済み PyTorch サービング コンテナを使用してモデルをデプロイしている場合は、Vertex AI のデプロイメントは TorchServe の管理サーバーをインターネットに公開しないため、脆弱性に対処するために必要な操作はありません。 ビルド済みの PyTorch コンテナを他のコンテキストで使用している場合、またはカスタムビルドの PyTorch またはサードパーティ ディストリビューションの TorchServe を使用している場合は、次のことを行う必要があります。
対処されている脆弱性 TorchServe の管理 API は、Vertex AI によってリリースされるものを含むほとんどの TorchServe Docker イメージで、デフォルトで CVE-2023-43654 と CVE-2022-1471 の脆弱性により、管理 API にアクセスできるユーザーが任意のソースからモデルを読み込み、リモートからコードを実行することができます。TorchServe 0.8.2 には、この両方の問題を解決する機能が含まれています。リモートコード実行パスが削除され、 |
高 | CVE-2023-43654, CVE-2022-1471 |
GCP-2023-028
公開日: 2023 年 9 月 19 日
最終更新: 2024-05-29
説明
説明 | 重大度 | メモ |
---|---|---|
2024 年 5 月 29 日の更新: 新しいフィードでは共有サービス アカウントを使用しなくなりましたが、サービスが中断しないように既存のフィードでは引き続き有効になっています。共有サービス アカウントの不正使用を防ぐため、古いフィードのソースへの変更はブロックされます。顧客はソースを変更しない限り、古いフィードを引き続き使用できます。 お客様は、取り込みフィードを使用して、お客様所有の Cloud Storage バケットからデータを取り込むように Google Security Operations を構成できます。Google Security Operations では最近まで共有サービス アカウントを提供しており、お客様がバケットへのアクセス権を付与する用途に使われていました。ひとつのお客様の Google Security Operations インスタンスが、別のお客様の Cloud Storage バケットからデータを取り込むように構成できてしまうという可能性が存在していました。影響分析を実行したところ、この脆弱性は過去にも現在にも悪用されていることが確認されていません。この脆弱性は、2023 年 9 月 19 日より前の Google Security Operations のすべてのバージョンに存在していました。 必要な対策 2023 年 9 月 19 日時点で、Google Security Operations はこの脆弱性に対処するように更新されています。お客様による対応は必要ありません。 対処されている脆弱性 Google Security Operations では以前は共有サービス アカウントを提供しており、お客様がバケットへのアクセス権を付与する用途に使われていました。複数のお客様が、同一の Google Security Operations サービス アカウントへのアクセス権を各自のバケットに付与していたため、フィードが作成または変更されたときに、ひとつのお客様のフィードが別のお客様のバケットにアクセスできるという悪用ベクトルが存在していました。この悪用ベクトルには、バケット URI に関する知識が必要でした。現在、フィードの作成時または変更時には、Google Security Operations はお客様ごとに一意のサービス アカウントを使用します。 |
高 |
GCP-2023-027
公開日: 2023-09-11説明 | 重大度 | メモ |
---|---|---|
VMware vCenter Server の更新により、メモリ破損に関する複数の脆弱性(CVE-2023-20892、CVE-2023-20893、CVE-2023-20894、CVE-2023-20895、CVE-2023-20896)に対処 カスタマーケアへの影響VMware vCenter Server(vCenter Server)と VMware Cloud Foundation(Cloud Foundation)。 必要な対策お客様には影響がないため、ご対応は不要です。 |
中 |
GCP-2023-026
公開日: 2023 年 9 月 6 日
説明
説明 | 重大度 | メモ |
---|---|---|
Kubernetes で 3 つの脆弱性(CVE-2023-3676、CVE-2023-3955、CVE-2023-3893)が見つかりました。この脆弱性により、Windows ノードで Pod を作成できるユーザーは、そのノードに対して管理者権限を持つよう昇格できる可能性があります。これらの脆弱性は、Windows バージョンの Kubelet と Kubernetes CSI プロキシに影響します。 手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2023-3676、 CVE-2023-3955、 CVE-2023-3893 |
GCP-2023-025
公開日: 2023 年 8 月 8 日説明 | 重大度 | メモ |
---|---|---|
Intel は最近、プロセッサ ファミリーの一部に影響する Intel Security Advisory INTEL-SA-00828 を発表しました。アドバイザリに基づいてリスクを評価することをおすすめします。 Google Cloud VMware Engine への影響Google のフリートは、影響を受けるプロセッサ ファミリーを利用しています。Google のデプロイモデルではサーバー全体が 1 人のユーザー専用であるため、この脆弱性の評価で追加のリスクは発生しません。 Google ではパートナーと協力して必要なパッチを入手しており、今後数週間のうちに標準のアップグレード プロセスを使用して、これらのパッチをフリート全体に優先的にデプロイする予定です。 必要な対策影響を受けるすべてのシステムを Google がアップグレードするため、お客様側での対応は不要です。 |
高 |
GCP-2023-024
公開日: 2023 年 8 月 8 日
最終更新: 2023-08-10、2024-06-04
説明
説明 | 重大度 | メモ |
---|---|---|
2024 年 6 月 4 日更新: 次の不足しているプロダクトが更新され、この脆弱性が修正されました。
2023 年 8 月 10 日更新: ChromeOS LTS のバージョン番号を追加しました。 Intel が一部のプロセッサの脆弱性(CVE-2022-40982)を公表しました。Google では、Google Cloud を含むサーバー フリートを軽減して、お客様を確実に保護するための対策を講じています。 脆弱性の詳細:
必要な対策
お客様による対応は必要ありません。 利用可能なすべてのパッチは、Google Compute Engine を含む Google Cloud の Google サーバー フリートにすでに適用されています。 現在、以下のプロダクトではパートナーとベンダーによる更新が必要になります。
Google は、これらのパッチが公開され次第これらのプロダクトを修正し、このセキュリティ情報を更新する予定です。 Google Chromebook と ChromeOS Flex のお客様は、Intel の Stable(115)、LTS(108)、Beta(116)、LTC(114)で緩和策を自動的に受け取りました。古いリリースに固定された Chromebook と ChromeOS Flex のお客様は、固定を解除して Stable または LTS 版リリースに移行して、この脆弱性や他の脆弱性の修正を適用することを検討してください。 対処されている脆弱性 CVE-2022-40982 - 詳細については、Intel Security Advisory INTEL-SA-00828 をご覧ください。 |
高 | CVE-2022-40982 |
GCP-2023-023
公開日: 2023 年 8 月 8 日
説明
説明 | 重大度 | メモ |
---|---|---|
AMD は一部のプロセッサの脆弱性(CVE-2023-20569)を公表しました。Google では、Google Cloud を含むサーバー フリートを軽減して、お客様を確実に保護するための対策を講じています。 脆弱性の詳細:
必要な対策
Compute Engine VM のユーザーは、インスタンス内で信頼できないコード実行を使用する場合に、OS が提供する緩和策を検討する必要があります。具体的なガイダンスについては、OS ベンダーに問い合わせることをおすすめします。 Google Compute Engine を含む Google Cloud の Google サーバー フリートには、すでに修正が適用されています。 対処されている脆弱性 CVE-2023-20569 - 詳細については、AMD SB-7005 をご覧ください。 |
中 | CVE-2023-20569 |
GCP-2023-022
公開日: 2023 年 8 月 3 日
説明
説明 | 重大度 | メモ |
---|---|---|
gRPC C++ の 1.57 リリースに先立ち、gRPC C++ の実装に脆弱性が見つかりました。これは、gRPC C++ の実装におけるサービス拒否攻撃の脆弱性であり、これらの脆弱性は、1.53.2、1.54.3、1.55.2、1.56.2、1.57 のリリースで修正されています。 必要な対策 次のソフトウェア パッケージの最新バージョンを使用していることをご確認ください。
対処されている脆弱性 これらのパッチで緩和される脆弱性は以下のとおりです。
| 高 | CVE-2023-33953 |
GCP-2023-021
最終更新日: 2023 年 7 月 26 日
公開日: 2023 年 7 月 25 日
説明
説明 | 重大度 | メモ |
---|---|---|
次の CVE は、Cloud Service Mesh を悪用可能な脆弱性にさらします。
手順と詳細については、Cloud Service Mesh のセキュリティに関する公開情報をご覧ください。 |
高 |
GCP-2023-020
最終更新日: 2023 年 7 月 26 日
公開日: 2023 年 7 月 24 日
説明
説明 | 重大度 | メモ |
---|---|---|
AMD は、ハードウェア セキュリティの脆弱性(CVE-2023-20593)に対処するマイクロコード アップデートをリリースしました。Google は、Google Cloud Platform のサーバーを含むサーバー フリートに、この脆弱性に対する必要な修正を適用しました。テストでは、システムのパフォーマンスに影響がないことを示しています。 必要な対策 Google Cloud Platform の Google サーバー フリートにはすでに修正が適用されているため、お客様による対応は必要ありません。 対処されている脆弱性 CVE-2023-20593 は、一部の AMD CPU の脆弱性に対処します。詳細についてはこちらをご覧ください | 高 | CVE-2023-20593 |
GCP-2023-019
公開日: 2023 年 7 月 18 日
説明
説明 | 重大度 | メモ |
---|---|---|
Envoy で、信頼できないアップストリーム サービスからの特別に作成されたレスポンスで、メモリを枯渇させるサービス拒否を発生させることができる新しい脆弱性(CVE-2023-35945)が見つかりました。これは、Envoy の HTTP/2 コーデックが原因であり、アップストリーム サーバーから 手順と詳細については、Cloud Service Mesh のセキュリティに関する公開情報をご覧ください。 | 高 | CVE-2023-35945 |
GCP-2023-018
公開日: 2023 年 6 月 27 日
説明
説明 | 重大度 | メモ |
---|---|---|
Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2023-2235)が見つかりました。GKE Autopilot ノードは常に Container-Optimized OS ノードイメージを使用するため、GKE Autopilot クラスタが影響を受けます。影響を受けるのは、Container-Optimized OS ノードイメージを実行しているバージョン 1.25 以降の GKE Standard クラスタです。 GKE クラスタは、Ubuntu ノードイメージのみを実行している場合、1.25 より前のバージョンを実行している場合、GKE Sandbox を使用している場合には影響を受けません。 手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2023-2235 |
GCP-2023-017
公開日: 2023 年 6 月 26 日
最終更新日: 2023 年 7 月 11 日
説明
説明 | 重大度 | メモ |
---|---|---|
2023 年 7 月 11 日更新: 新しい GKE バージョンが更新され、CVE-2023-31436 にパッチを適用する最新の Ubuntu バージョンが追加されました。 Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2023-31436)が見つかりました。Autopilot クラスタを含む GKE クラスタが影響を受けます。GKE Sandbox を使用する GKE クラスタは影響を受けません。 手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2023-31436 |
GCP-2023-016
公開日: 2023 年 6 月 26 日
説明
説明 | 重大度 | メモ |
---|---|---|
Envoy で数多くの脆弱性が発見されました。これらは Cloud Service Mesh で使用されており、悪意のある攻撃者がサービス拒否攻撃や Envoy のクラッシュを引き起こす可能性があります。これらは GCP-2023-002 として個別に報告されました。 手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2023-27496、 CVE-2023-27488、 CVE-2023-27493、 CVE-2023-27492、 CVE-2023-27491、 CVE-2023-27487 |
GCP-2023-015
公開日: 2023 年 6 月 20 日
説明
説明 | 重大度 | メモ |
---|---|---|
Linux カーネルで、新しい脆弱性(CVE-2023-0468)が見つかりました。この脆弱性は、io_poll_get_ownership が io_poll_wake ごとに req->poll_refs を増加させ続け、その後 0 にオーバーフローして req->file を 2 回出力し、構造体ファイルの refcount 問題を引き起こす際に、権限のないユーザーの権限が root に昇格する可能性があります。Linux カーネル バージョン 5.15 を使用した Container-Optimized OS がある GKE クラスタ(Autopilot クラスタを含む)が影響を受けます。Ubuntu イメージや GKE Sandbox を使用する GKE クラスタは影響を受けません。 手順と詳細については、次の公開情報をご覧ください。 |
中 | CVE-CVE-2023-0468 |
GCP-2023-014
最終更新日: 2023 年 8 月 11 日
公開日: 2023 年 6 月 15 日
説明
説明 | 重大度 | メモ |
---|---|---|
2023 年 8 月 11 日更新: GKE on VMware、GKE on AWS、GKE on Azure、Google Distributed Cloud Virtual for Bare Metal のパッチ バージョンを追加しました。 Kubernetes で 2 つの新しいセキュリティ問題が見つかりました。この脆弱性を利用すると、エフェメラル コンテナとともに ImagePolicyWebhook(CVE-2023-2727)または ServiceAccount アドミッション プラグイン(CVE-2023-2728)のどちらかを使用した際に、ポリシー制限をバイパスするコンテナを起動できる可能性があります。 手順と詳細については、次の公開情報をご覧ください。 |
中 | CVE-2023-2727、CVE-2023-2728 |
GCP-2023-013
公開日: 2023 年 6 月 8 日
説明
説明 | 重大度 | メモ |
---|---|---|
プロジェクトで Cloud Build API を有効にすると、Cloud Build は、ユーザーに代わってビルドを実行するデフォルトのサービス アカウントを自動的に作成します。この Cloud Build サービス アカウントには、以前は 手順と詳細については、Cloud Build のセキュリティに関する公開情報をご覧ください。 |
低 |
GCP-2023-010
公開日: 2023 年 6 月 7 日
説明
説明 | 重大度 | メモ |
---|---|---|
Google は、gRPC C++ の実装に 3 つの新しい脆弱性を確認しました。これらの脆弱性は、まもなく CVE-2023-1428、CVE-2023-32731、CVE-2023-32732 として一般公開されます。 4 月に、1.53 および 1.54 リリースで 2 点の脆弱性が見つかりました。1 つ目は、gRPC C++ の実装におけるサービス拒否攻撃の脆弱性です。2 つ目は、リモートデータの引き出しの脆弱性です。これらの脆弱性は、1.53.1、1.54.2 およびそれ以降のリリースで修正されています。 以前 3 月に、Google 内部のチームがルーティンのファジングを実行中に、gRPC C++ の実装におけるサービス拒否攻撃の脆弱性を発見しました。この脆弱性は gRPC 1.52 リリースで見つかり、1.52.2 および 1.53 リリースで修正されています。 必要な対策次のソフトウェア パッケージの最新バージョンを使用していることをご確認ください。
これらのパッチで対処される脆弱性これらのパッチで緩和される脆弱性は以下のとおりです。
上記のソフトウェア パッケージを最新バージョンにアップグレードすることをおすすめします。 |
高(CVE-2023-1428、CVE-2023-32731)。中程度(CVE-2023-32732) | CVE-2023-1428、 CVE-2023-32731、 CVE-023-32732 |
GCP-2023-009
公開日: 2023 年 6 月 6 日
説明
説明 | 重大度 | メモ |
---|---|---|
secrets-store-csi-driver で新しい脆弱性(CVE-2023-2878)が見つかりました。この脆弱性により、ドライバログにアクセスできる攻撃者がサービス アカウント トークンを検出できる可能性があります。 手順と詳細については、次の公開情報をご覧ください。 |
なし | CVE-2023-2878 |
GCP-2023-008
公開日: 2023 年 6 月 5 日
説明
説明 | 重大度 | メモ |
---|---|---|
Linux カーネルで、ノードの root への権限昇格を引き起こす可能性がある新しい脆弱性が見つかりました。 手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2023-1872 |
GCP-2023-007
公開日: 2023 年 6 月 2 日
説明
説明 | 重大度 | メモ |
---|---|---|
最近、Cloud SQL for SQL Server に脆弱性が発見されました。この脆弱性により、お客様の管理者アカウントは Google Cloud は、2023 年 3 月 1 日までにセキュリティの脆弱性にパッチを適用することでこの問題を解決しました。Google Cloud が調べた結果、不正使用された顧客インスタンスは見つかりませんでした。 手順と詳細については、Cloud SQL のセキュリティに関する公開情報をご覧ください。 |
高 |
GCP-2023-005
公開日: 2023 年 5 月 18 日
最終更新日: 2023 年 6 月 6 日
説明
説明 | 重大度 | メモ |
---|---|---|
2023 年 6 月 6 日更新: 新しい GKE バージョンが更新され、CVE-2023-1281 と CVE-2023-1829 にパッチを適用する最新の Ubuntu バージョンが追加されました。 Linux カーネルで 2 つの新しい脆弱性(CVE-2023-1281、CVE-2023-1829)が発見されました。この脆弱性により、ノードの root への権限昇格を引き起こす可能性があります。 手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2023-1281 CVE-2023-1829 |
GCP-2023-004
公開日: 2023 年 4 月 26 日
説明
説明 | 重大度 | メモ |
---|---|---|
トラステッド プラットフォーム モジュール(TPM)2.0 で 2 つの脆弱性(CVE-2023-1017 と CVE-2023-1018)が見つかりました。 この脆弱性のため、巧妙な攻撃者により、特定の Compute Engine VM で 2 バイトの境界外読み取りおよび境界外書き込みが悪用されるおそれがあります。 手順と詳細については、Compute Engine のセキュリティに関する情報をご覧ください。 |
中 |
GCP-2023-003
公開日: 2023 年 4 月 11 日
最終更新日: 2023 年 12 月 21 日
説明
説明 | 重大度 | メモ |
---|---|---|
2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明記しました。 Linux カーネルで新たに 2 つの脆弱性 CVE-2023-0240 と CVE-2023-23586 が発見されました。この脆弱性により、権限のないユーザーが権限をエスカレーションできるようになります。 手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2023-0240、CVE-2023-23586 |
GCP-2023-002
説明
説明 | 重大度 | メモ |
---|---|---|
次の CVE は、Cloud Service Mesh を悪用可能な脆弱性にさらします。
手順と詳細については、Cloud Service Mesh のセキュリティに関する公開情報をご覧ください。 |
高 |
GCP-2023-001
公開日: 2023 年 3 月 1 日、2023 年 12 月 21 日
説明
説明 | 重大度 | メモ |
---|---|---|
2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明記しました。 Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2022-4696)が見つかりました。 手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2022-4696 |
GCP-2022-026
公開日: 2023 年 1 月 11 日
説明
説明 | 重大度 | メモ |
---|---|---|
OpenSSL v3.0.6 でクラッシュを引き起こす可能性のある 2 つの新しい脆弱性(CVE-2022-3786 と CVE-2022-3602)が発見されました。 手順と詳細については、次の公開情報をご覧ください。 |
中 |
GCP-2022-025
公開日: 2022 年 12 月 21 日
最終更新日: 2023 年 1 月 19 日、2023 年 12 月 21 日
説明
説明 | 重大度 | メモ |
---|---|---|
2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明記しました。 2023 年 1 月 19 日更新: GKE バージョン 1.21.14-gke.14100 が利用可能であるという情報を追加しました。 OpenSSL v3.0.6 でクラッシュを引き起こす可能性のある 2 つの新しい脆弱性(CVE-2022-3786 と CVE-2022-3602)が発見されました。 手順と詳細については、次の公開情報をご覧ください。 |
中 |
GCP-2022-024
公開日: 2022 年 11 月 9 日
最終更新日: 2023 年 1 月 19 日
説明
説明 | 重大度 | メモ |
---|---|---|
2023 年 1 月 19 日更新: GKE バージョン 1.21.14-gke.14100 が利用可能であるという情報を追加しました。 2022 年 12 月 16 日更新: GKE と GKE on VMware のパッチ バージョンを追加しました。 Linux カーネルに 2 つの新しい脆弱性(CVE-2022-2585 と CVE-2022-2588)が見つかりました。これにより、ノード上のルートで完全なコンテナ ブレイクアウトが引き起こされる可能性があります。 設定手順と詳細については、以下をご覧ください。 |
高 |
GCP-2022-023
公開日: 2022 年 11 月 4 日
説明
説明 | 重大度 | メモ |
---|---|---|
Istio で、Cloud Service Mesh で使用されているセキュリティ上の脆弱性、CVE-2022-39278 が発見されました。これは、悪意のある攻撃者がコントロール プレーンをクラッシュできるというものです。 手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2022-39278 |
GCP-2022-022
公開日: 2022 年 10 月 28 日
最終更新日: 2022 年 12 月 14 日
説明
説明 | 重大度 | メモ |
---|---|---|
2022 年 12 月 14 日更新: GKE と GKE on VMware のパッチ バージョンを追加しました。 Linux カーネルで、権限のないユーザーがシステム実行権限に昇格する可能性がある新しい脆弱性(CVE-2022-20409)が見つかりました。 手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2022-20409 |
GCP-2022-021
公開日: 2022 年 10 月 27 日
最終更新日: 2023 年 1 月 19 日、2023 年 12 月 21 日
説明
説明 | 重大度 | メモ |
---|---|---|
2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明記しました。 2023 年 1 月 19 日更新: GKE バージョン 1.21.14-gke.14100 が利用可能であるという情報を追加しました。 2022 年 12 月 15 日更新: Google Kubernetes Engine のバージョン 1.21.14-gke.9400 がロールアウトを保留中であり、高いバージョン番号に置き換えられる可能性があるという情報を更新しました。 2022 年 11 月 22 日更新: GKE on VMware、GKE on AWS、GKE on Azure のパッチ バージョンを追加しました。 Linux カーネルで、ローカルでの権限昇格につながる可能性がある新しい脆弱性(CVE-2022-3176)が見つかりました。この脆弱性により、権限のないユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。 手順と詳細については、次の公開情報をご覧ください。 |
高 | CVE-2022-3176 |
GCP-2022-020
公開日: 2022 年 10 月 5 日
最終更新日: 2022 年 10 月 12 日
説明
説明 | 重大度 | メモ |
---|---|---|
Istio コントロール プレーン 設定手順と詳細については、Cloud Service Mesh のセキュリティに関する公開情報をご覧ください。 |
高 | CVE-2022-39278 |
GCP-2022-019
公開日: 2022 年 9 月 22 日
説明
説明 | 重大度 | メモ |
---|---|---|
ProtocolBuffer の C++ および Python 実装におけるメッセージ解析とメモリ管理の脆弱性により、特別に細工されたメッセージを処理するときにメモリ不足(OOM)障害が発生する可能性があります。これにより、ライブラリを使用するサービスに対してサービス拒否攻撃(DoS)を受けるおそれがあります。 必要な対策次のソフトウェア パッケージの最新バージョンを使用していることを確認してください。
このパッチで対処される脆弱性このパッチで緩和される脆弱性は以下のとおりです。
実行中のサービスによって大量の RAM が割り当てられるように特別に構成された小さなメッセージ。リクエストのサイズが小さいため、容易に脆弱性を悪用してリソースを枯渇させます。信頼できない protobuf を使用する C++ および Python システムの RPC リクエストに |
中 | CVE-2022-1941 |
GCP-2022-018
公開日:: 2022 年 8 月 1 日
最終更新日: 2022 年 9 月 14 日、2023 年 12 月 21 日
説明
説明 | 重大度 | メモ |
---|---|---|
2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けないことを明記しました。 2022 年 9 月 14 日更新: GKE on VMware、GKE on AWS、GKE on Azure のパッチ バージョンを追加しました。 Linux カーネルで、ローカルでの権限昇格につながる可能性がある新しい脆弱性(CVE-2022-2327)が見つかりました。この脆弱性により、権限のないユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。 手順と詳細については、次の公開情報をご覧ください。 | 高 | CVE-2022-2327 |
GCP-2022-017
公開日: 2022 年 6 月 29 日
最終更新日: 2022 年 11 月 22 日
説明
説明 | 重大度 | メモ |
---|---|---|
2022 年 11 月 22 日更新: GKE Sandbox を使用するワークロードは、これらの脆弱性の影響を受けません。 2022 年 7 月 21 日更新: GKE on VMware に関する追加情報。 Linux カーネル バージョン 5.10 と 5.11 で、新しい脆弱性(CVE-2022-1786)が見つかりました。この脆弱性により、クラスタへのローカル アクセス権限を持つ非特権ユーザーが、ノード上で root への完全なコンテナ ブレークアウトを実現できます。Container-Optimized OS を実行しているクラスタのみが影響を受けます。GKE Ubuntu バージョンは、バージョン 5.4 または 5.15 のカーネルを使用しており、影響を受けません。 手順と詳細については、以下をご覧ください。 |
高 | CVE-2022-1786 |
GCP-2022-016
公開日: 2022 年 6 月 23 日
最終更新日: 2022 年 11 月 22 日
説明
説明 | 重大度 | メモ |
---|---|---|
2022 年 11 月 22 日更新: Autopilot クラスタは CVE-2022-29581 の影響を受けませんが、CVE-2022-29582 と CVE-2022-1116 の脆弱性があります。 Linux カーネルで 3 つの新しいメモリ破損の脆弱性(CVE-2022-29581、CVE-2022-29582、CVE-2022-1116)が見つかりました。この脆弱性により、クラスタへのローカル アクセス権限を持つ非特権ユーザーが、ノード上のルートで完全なコンテナ ブレイクアウトを引き起こす可能性があります。すべての Linux クラスタ(Container-Optimized OS と Ubuntu)が影響を受けます。 手順と詳細については、以下の公開情報をご覧ください。 |
高 |
GCP-2022-015
公開日: 2022 年 6 月 9 日
最終更新日: 2022 年 6 月 10 日
説明
説明 | 重大度 | メモ |
---|---|---|
2022 年 6 月 10 日更新: Cloud Service Mesh のバージョンが更新されました。手順と詳細については、Cloud Service Mesh のセキュリティに関する公開情報をご覧ください。 次の Envoy と Istio の CVE は、リモートで悪用可能な脆弱性に対して Cloud Service Mesh と GKE on Istio が無防備な状態になります。
手順と詳細については、Cloud Service Mesh のセキュリティに関する公開情報をご覧ください。 |
重大 |
GCP-2022-014
公開日: 2022 年 4 月 26 日
最終更新日: 2022 年 11 月 22 日
説明
説明 | 重大度 | メモ |
---|---|---|
2022 年 11 月 22 日更新: GKE Sandbox で実行されている GKE Autopilot クラスタとワークロードは影響を受けません。 2022 年 5 月 12 日更新: GKE on AWS と GKE on Azure のバージョンが更新されました。手順と詳細については、以下をご覧ください。 Linux カーネルで CVE-2022-1055 と CVE-2022-27666 の 2 つのセキュリティの脆弱性が見つかりました。いずれも、ローカルの攻撃者がコンテナ ブレークアウト、ホストでの権限昇格、またはその両方を実行できる可能性があります。これらの脆弱性は、すべての GKE ノード オペレーティング システム(Container-Optimized OS と Ubuntu)に影響します。手順と詳細については、次のセキュリティ情報をご覧ください。 |
高 |
CVE-2022-1055 CVE-2022-27666 |
GCP-2022-013
公開日: 2022 年 4 月 11 日
最終更新日: 2022 年 4 月 22 日
説明
説明 | 重大度 | メモ |
---|---|---|
セキュリティ上の脆弱性(CVE-2022-23648)が、OCI イメージ ボリューム仕様におけるコンテナパスのパス走査の処理で見つかりました。特別に作成されたイメージ構成で containerd の CRI 実装を使ってコンテナが起動されると、ホスト上の任意のファイルとディレクトリへの完全な読み取りアクセス権を取得できます。この脆弱性により、コンテナの設定に対するポリシーベースの適用(Kubernetes Pod セキュリティ ポリシーを含む)がバイパスされる可能性があります。 手順と詳細については、次のセキュリティ情報をご覧ください。 |
中 | CVE-2022-23648 |
GCP-2022-012
公開日: 2022 年 4 月 7 日
最終更新日: 2022 年 11 月 22 日
説明
説明 | 重大度 | メモ |
---|---|---|
2022 年 11 月 22 日更新: Standard モードと Autopilot モードの両方の GKE クラスタで、GKE Sandbox を使用するワークロードは影響を受けません。 Linux カーネル バージョン 5.8 以降で、コンテナの権限を root に昇格できる可能性があるセキュリティ上の脆弱性(CVE-2022-0847)が見つかりました。この脆弱性の影響があるのは次のプロダクトです。
手順と詳細については、次のセキュリティに関する公開情報をご覧ください。 |
高 | CVE-2022-0847 |
GCP-2022-011
公開日: 2022 年 3 月 22 日
最終更新日: 2022 年 8 月 11 日
説明
説明 | 重大度 |
---|---|
2022 年 8 月 11 日更新: 同時マルチスレッディング(SMT)構成に関する情報を追加しました。SMT は無効になっていることが想定されていましたが、リストにあるバージョンでは有効になっています。 サンドボックス化されたノードプールに対して SMT を手動で有効にした場合、この問題が発生しても SMT は手動で有効にされたままになります。 GKE Sandbox イメージに、ハイパー スレッディングとも呼ばれる同時マルチ スレッディング(SMT)の構成ミスが存在します。構成ミスにより、ノードがマイクロアーキテクチャ データ サンプリング(MDS)などのサイドチャネル攻撃を受ける可能性があります(詳細については、GKE Sandbox のドキュメントをご覧ください)。次の影響を受けるバージョンの使用はおすすめしません。
手順と詳細については、GKE のセキュリティ情報をご覧ください。 |
中 |
GCP-2022-010
説明
説明 | 重大度 | メモ |
---|---|---|
次の Istio CVE では、Cloud Service Mesh がリモートからの攻撃に利用できる脆弱性にさらされます。
手順と詳細については、次のセキュリティ情報をご覧ください。 |
高 |
GCP-2022-009
公開日: 2022 年 3 月 1 日説明
説明 | 重大度 |
---|---|
GKE Autopilot クラスタのノード VM にアクセスする予期せぬパスの一部が、クラスタ内の権限を昇格させるために使用された可能性があります。これらの問題は修正済みであり、これ以上の操作は必要ありません。この修正は、脆弱性報奨金プログラムを通じて報告された事象に対処したものです。 手順と詳細については、GKE のセキュリティ情報をご覧ください。 |
低 |
GCP-2022-008
公開日: 2022 年 2 月 23 日
最終更新日: 2022 年 4 月 28 日
説明
説明 | 重大度 | メモ |
---|---|---|
2022 年 4 月 28 日更新: これらの脆弱性を修正した GKE on VMware のバージョンを追加しました。詳細については、GKE on VMware のセキュリティに関する公開情報をご覧ください。 先ごろ、Envoy プロジェクトで一連の脆弱性が発見されました。以下の問題はすべて、Envoy リリース 1.21.1 で修正されています。
必要な対策 独自の Envoy を管理しているユーザーは、Envoy リリース 1.21.1 を使用する必要があります。独自の Envoy を管理する Envoy ユーザーは、GitHub などのソースからバイナリをビルドしてデプロイします。 マネージド Envoy(Google Cloud が Envoy バイナリを提供)を実行しているユーザーが行う必要がある操作はありません。Google Cloud プロダクトは 1.21.1 に切り替わります。 |
高 |
CVE-2022-23606 CVE-2022-21655 CVE-2021-43826 CVE-2021-43825 CVE-2021-43824 CVE-2022-21654 CVE-2022-21657 CVE-2022-21656 |
GCP-2022-007
公開日: 2022 年 2 月 22 日説明
説明 | 重大度 | メモ |
---|---|---|
次の Envoy と Istio の CVE は、リモートで悪用可能な脆弱性に対して Cloud Service Mesh と GKE on Istio が無防備な状態になります。
手順と詳細については、次のセキュリティ情報をご覧ください。 |
高 |
GCP-2022-006
公開日: 2022 年 2 月 14 日最終更新日: 2022 年 5 月 16 日
説明
説明 | 重大度 | メモ |
---|---|---|
2022 年 5 月 16 日更新: この脆弱性を修正するためのコードが含まれているバージョンのリストに GKE バージョン 1.19.16-gke.7800 以降を追加しました。詳細については、GKE のセキュリティに関する公開情報をご覧ください。 2022 年 5 月 12 日更新: GKE、GKE on VMware、GKE on AWS、GKE on Azure のバージョンが更新されました。手順と詳細については、以下をご覧ください。 セキュリティ上の脆弱性 CVE-2022-0492 が Linux カーネルの |
低 |
設定手順と詳細については、以下をご覧ください。 |
GCP-2022-005
公開日: 2022 年 2 月 11 日最終更新日: 2022 年 2 月 15 日
説明
説明 | 重大度 | メモ |
---|---|---|
3.73 または 3.68.1 より前の NSS(Network Security Services)バージョンで見つかった脆弱性のあるバージョンの libnss3 にリンクするバイナリで、セキュリティ上の脆弱性 CVE-2021-43527 が発見されました。NSS を証明書の検証や、TLS、X.509、OCSP、CRL などの機能に使用しているアプリケーションは、NSS の使用方法や構成に応じて影響を受ける可能性があります。 設定手順と詳細については、以下をご覧ください。 |
中 | CVE-2021-43527 |
GCP-2022-004
公開日: 2022 年 2 月 4 日説明
説明 | 重大度 | メモ |
---|---|---|
セキュリティ上の脆弱性 CVE-2021-4034 が Linux ポリシーキット パッケージ(polkit)の一部である pkexec で発見されました。この脆弱性は、認証済みのユーザーが権限昇格攻撃を実行できるというものです。PolicyKit は通常、Linux デスクトップ システム上でのみ使用され、root 以外のユーザーがポリシーに沿ってシステムの再起動、パッケージのインストール、サービスの再起動などの操作を実行できるようにするものです。 設定手順と詳細については、以下をご覧ください。 |
なし | CVE-2021-4034 |
GCP-2022-002
公開日: 2022 年 2 月 1 日最終更新日: 2022 年 2 月 25 日
説明
説明 | 重大度 | メモ |
---|---|---|
2022 年 2 月 25 日更新: GKE のバージョンが更新されました。設定手順と詳細については、以下をご覧ください。 2022 年 2 月 23 日更新: GKE と GKE on VMware のバージョンが更新されました。設定手順と詳細については、以下をご覧ください。 2022 年 2 月 4 日更新: GKE パッチ バージョンのロールアウト開始日は 2 月 2 日でした。 Linux カーネルで 3 つのセキュリティ脆弱性 CVE-2021-4154、CVE-2021-22600、CVE-2022-0185 が見つかりました。これらは、それぞれコンテナ ブレイクアウト、ホストに対する権限昇格、またはその両方につながる可能性があります。これらの脆弱性は、GKE 上のすべてのノード オペレーティング システム(COS と Ubuntu)、GKE on VMware、GKE on AWS(最新および旧世代)、GKE on Azure に影響します。GKE Sandbox を使用する Pod には、これらの脆弱性はありません。詳細については、COS リリースノートをご覧ください。 設定手順と詳細については、以下をご覧ください。 |
高 |
GCP-2022-001
公開日: 2022 年 1 月 6 日説明
説明 | 重大度 | メモ |
---|---|---|
バイナリデータの解析手順で、 必要な対策 次のソフトウェア パッケージの最新バージョンを使用していることを確認してください。
Protobuf「javalite」ユーザー(通常は Android)は影響を受けません。 このパッチで対処される脆弱性 このパッチで緩和される脆弱性は以下のとおりです。 Java で不明なフィールドを解析する方法の実装に存在する脆弱性。800 KB 程度の小さな悪意のあるペイロードにより、短命なオブジェクトを多数作成することでガベージ コレクションを頻繁かつ繰り返し発生させ、パーサーを数分間占有することが可能です。 |
高 | CVE-2021-22569 |
GCP-2021-024
公開日: 2021 年 10 月 21 日説明
説明 | 重大度 | メモ |
---|---|---|
Kubernetes の ingress-nginx コントローラ CVE-2021-25742 でセキュリティの問題が見つかりました。Ingress-nginx カスタム スニペットを使用すると、すべての名前空間で ingress-nginx サービス アカウント トークンとシークレットを取得できます。 設定手順と詳細については、以下をご覧ください。 | なし | CVE-2021-25742 |
GCP-2021-019
公開日: 2021 年 9 月 29 日説明
説明 | 重大度 | メモ |
---|---|---|
手順と詳細については、GKE のセキュリティ関する情報をご覧ください。 |
低 |
GCP-2021-022
公開日: 2021 年 9 月 22 日説明
説明 | 重大度 | メモ |
---|---|---|
GKE on VMware バージョン 1.8 および 1.8.1 の GKE Enterprise Identity Service(AIS)LDAP モジュールで、鍵の生成に使用されるシード鍵を予測できる脆弱性が見つかりました。この脆弱性により、認証されたユーザーが任意のクレームを追加して、権限を無期限にエスカレーションできるようになります。 設定手順と詳細については、GKE on VMware のセキュリティに関する公開情報をご覧ください。 |
高 |
GCP-2021-021
公開日: 2021 年 9 月 22 日説明
説明 | 重大度 | メモ |
---|---|---|
セキュリティ上の脆弱性 CVE-2020-8561 が Kubernetes で発見されました。これは、kube-apiserver リクエストをその API サーバーのプライベート ネットワークにリダイレクトする Webhook を作成できるものです。 設定手順と詳細については、以下をご覧ください。 |
中 | CVE-2020-8561 |
GCP-2021-023
公開日: 2021 年 9 月 21 日説明
説明 | 重大度 | メモ |
---|---|---|
VMware セキュリティ アドバイザリ VMSA-2021-0020 によると、VMware は vCenter で複数の脆弱性に関する報告を受信しました。VMware は、影響を受ける VMware 製品の脆弱性の修正のためにアップデートを行いました。 vSphere スタック用に VMware から提供されたパッチを、VMware セキュリティ アドバイザリに従って Google Cloud VMware Engine にすでに適用しています。このアップデートは、CVE-2021-22005、CVE-2021-22006、CVE-2021-22007、CVE-2021-22008、CVE-2021-22010 に記載されているセキュリティの脆弱性に対応しています。その他の重要ではないセキュリティの問題は、今後の VMware スタックのアップグレードで対処されます(7 月に送信された事前通知に従い、詳細についてはアップグレードの具体的なタイムラインで提供されます)。 VMware Engine への影響調査の結果、影響を受けたお客様は見つかりませんでした。 必要な対策VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。 |
重大 |
GCP-2021-020
公開日: 2021 年 9 月 17 日説明
説明 | 重大度 | メモ |
---|---|---|
Identity-Aware Proxy(IAP)が有効なバックエンド サービスにルーティングする Google Cloud の特定のロードバランサで、限定された条件下にて、信頼できないグループに対して脆弱である恐れがあります。これは、Google の脆弱性報奨金プログラムを通じて報告された事象に対処したものです。 条件は、サーバーが以下の通りであることでした。
さらに、組織内のユーザーが、信頼できないグループから送信された特別に作成されたリンクをクリックしなければなりません。 現在、この問題は解決しています。2021 年 9 月 17 日の時点で、認証済みのホストにのみ Cookie を発行するように IAP が更新されました。ホストが認証済みとみなされるのは、ロードバランサにインストールされているいずれかの証明書の少なくとも 1 つのサブジェクト代替名(SAN)と一致する場合です。 手順
貴社の一部のユーザーは、アプリまたはサービスにアクセスしようとしたときに、HTTP 401 Unauthorized レスポンスと IAP エラーコード 52 が返される場合があります。このエラー コードは、ロードバランサの SSL 証明書に関連付けられたサブジェクト代替名と一致しない |
高 |
GCP-2021-018
公開日: 2021 年 9 月 15 日最終更新日: 2021 年 9 月 20 日
説明
説明 | 重大度 | メモ |
---|---|---|
Kubernetes で CVE-2021-25741 に記載されたセキュリティの問題が見つかりました。これにより、ユーザーが subpath ボリューム マウントを使用するコンテナを作成し、ボリュームの外部(ホストのファイルシステムを含む)にあるファイルとディレクトリにアクセスできる可能性があります。 設定手順と詳細については、以下をご覧ください。 |
高 | CVE-2021-25741 |
GCP-2021-017
公開日: 2021 年 9 月 1 日最終更新日: 2021 年 9 月 23 日
説明
説明 | 重大度 | メモ |
---|---|---|
2021 年 9 月 23 日更新: GKE Sandbox 内で動作するコンテナは、コンテナ内で発生した攻撃に対して、この脆弱性の影響を受けません。 Linux カーネルで 2 つのセキュリティ脆弱性 CVE-2021-33909 と CVE-2021-33910 が発見されました。これらは、OS のクラッシュや権限のないユーザーによる root へのエスカレーションにつながる可能性があります。この脆弱性は、すべての GKE ノードのオペレーティング システム(COS と Ubuntu)に影響を及ぼします。 手順と詳細については、次のセキュリティ情報をご覧ください。 |
高 | CVE-2021-33909、 CVE-2021-33910 |
GCP-2021-016
公開日: 2021 年 8 月 24 日
説明
説明 | 重大度 | メモ |
---|---|---|
次の Envoy と Istio の CVE は、リモートで悪用可能な脆弱性に対して Cloud Service Mesh と GKE on Istio が無防備な状態になります。
手順と詳細については、次のセキュリティに関する公開情報をご覧ください。 |
高 |
GCP-2021-015
公開日: 2021 年 7 月 13 日最終更新日: 2021 年 7 月 15 日
説明
説明 | 重大度 | メモ |
---|---|---|
新たなセキュリティ上の脆弱性 CVE-2021-22555 が発見されました。この脆弱性によって、 手順と詳細については、次のセキュリティに関する公開情報をご覧ください。 |
高 | CVE-2021-22555 |
GCP-2021-014
公開日: 2021 年 7 月 5 日説明
説明 | 重大度 | メモ |
---|---|---|
Microsoft は、Windows Server の印刷スプーラーに影響するリモートコード実行(RCE)の脆弱性 CVE-2021-34527 についてのセキュリティ情報を公開しました。CERT Coordination Center(CERT/CC)は、「Printnightmare」と呼ばれる、関連する脆弱性に対する更新メモを公開しました。この脆弱性は Windows 印刷スプーラーにも影響します。Printnightmare、重大な Windows 印刷スプーラーの脆弱性 手順と詳細については、GKE のセキュリティ情報をご覧ください。 |
高 | CVE-2021-34527 |
GCP-2021-012
公開日: 2021 年 6 月 24 日最終更新日: 2021 年 7 月 9 日
説明
説明 | 重大度 | メモ |
---|---|---|
先ごろ、Istio プロジェクトによって、ゲートウェイと DestinationRule の credentialName フィールドで指定された認証情報に異なる名前空間からアクセスできるようになるというセキュリティの脆弱性が発表されました。 サービス固有の手順と詳細については、以下をご覧ください。
|
高 | CVE-2021-34824 |
GCP-2021-011
公開日: 2021 年 6 月 4 日最終更新日: 2021 年 10 月 19 日
説明
説明 | 重大度 | メモ |
---|---|---|
2021 年 10 月 19 日更新: 手順と詳細については、次のセキュリティに関する公開情報をご覧ください。
先ごろ、セキュリティ コミュニティが この脆弱性を悪用するためにはポッドを作成する能力が必要であるため、GKE では、この脆弱性の重大度を MEDIUM と評価しています。 手順と詳細については、GKE のセキュリティ情報をご覧ください。 |
中 | CVE-2021-30465 |
GCP-2021-010
公開日: 2021 年 5 月 25 日説明
説明 | 重大度 | メモ |
---|---|---|
VMware セキュリティ アドバイザリ VMSA-2021-0010 によると、vSphere Client(HTML5)のリモートコード実行と認証バイパスに関する脆弱性が VMware に非公開で報告されました。VMware は、影響を受ける VMware 製品の脆弱性の修正のためにアップデートを作成しました。 Google では、VMware セキュリティ アドバイザリに従い、vSphere スタック用に VMware が提供するパッチを適用しました。このアップデートは、CVE-2021-21985、CVE-2021-21986 に記載されている脆弱性に対応しています。この時点で、VMware Engine Private Cloud で実行されているイメージ バージョンには、パッチが適用済みであることを示す変更の反映はありません。適切なパッチがインストールされ、これらの脆弱性からお客様の環境が保護されていますのでご安心ください。 VMware Engine への影響調査の結果、影響を受けたお客様は見つかりませんでした。 必要な対策VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。 |
重大 |
GCP-2021-008
公開日: 2021 年 5 月 17 日説明
説明 | 重大度 | メモ |
---|---|---|
Istio には、ゲートウェイが 設定手順と詳細については、Cloud Service Mesh のセキュリティに関する公開情報をご覧ください。 |
高 |
CVE-2021-31921 |
GCP-2021-007
公開日: 2021 年 5 月 17 日説明
説明 | 重大度 | メモ |
---|---|---|
Istio には、パスベースの認証ルールが使用されている場合に、リモートから悪用できる脆弱性が含まれています。この脆弱性により、複数のスラッシュやエスケープされたスラッシュ文字( 設定手順と詳細については、Cloud Service Mesh のセキュリティに関する公開情報をご覧ください。 |
高 |
CVE-2021-31920 |
GCP-2021-006
公開日: 2021 年 5 月 11 日説明
説明 | 重大度 | メモ |
---|---|---|
先ごろ、Istio プロジェクトでは、Istio に影響を与える新しいセキュリティの脆弱性(CVE-2021-31920)が公表されました。 Istio には、パスベースの承認ルールを使用している場合にリモートから悪用できる脆弱性が含まれており、これを利用すると、複数のスラッシュやエスケープされたスラッシュ記号を含む HTTP リクエストが Istio 認可ポリシーを迂回できるようになります。 設定手順と詳細については、以下をご覧ください。 |
高 |
CVE-2021-31920 |
GCP-2021-005
公開日: 2021 年 5 月 11 日説明
説明 | 重大度 | メモ |
---|---|---|
報告された脆弱性により、Envoy は Envoy バージョン 1.18.2 以前の HTTP URL パス内のエスケープされたスラッシュ シーケンス 必要な対策
バックエンド サーバーが 導入された動作変更の内容Envoy の normalize_path オプションと隣接するスラッシュを結合するオプションを使用して、Envoy ベースのプロダクトで他の一般的なパスの混乱の脆弱性に対処できるようになりました。 |
高 |
CVE-2021-29492 |
GCP-2021-004
公開日: 2021 年 5 月 6 日説明
説明 | 重大度 | メモ |
---|---|---|
Envoy と Istio のプロジェクトは、最近、攻撃者が Envoy をクラッシュさせるおそれがある新しいセキュリティ上の脆弱性(CVE-2021-28683、CVE-2021-28682、CVE-2021-29258)を発表しました。 Google Kubernetes Engine クラスタは、デフォルトでは Istio を実行せず、脆弱性はありません。 Istio がクラスタにインストールされ、インターネットにサービスを公開するように構成されている場合、このサービスにはサービス拒否攻撃を受ける脆弱性が存在する可能性があります。 Google Distributed Cloud Virtual for Bare Metal と GKE on VMware は、デフォルトで Ingress に Envoy を使用するため、Ingress サービスがサービス拒否攻撃に対して脆弱性を持つ可能性があります。 手順と詳細については、次のセキュリティに関する公開情報をご覧ください。 |
中 |
GCP-2021-003
公開日: 2021 年 4 月 19 日説明
説明 | 重大度 | メモ |
---|---|---|
先ごろ、Kubernetes プロジェクトが新しいセキュリティ上の脆弱性 CVE-2021-25735 を発表しました。この脆弱性が悪用されると、ノードの更新で Validating Admission Webhook がバイパスされる可能性があります。
攻撃者に十分な権限があり、古い 手順と詳細については、次のセキュリティ情報をご覧ください。 |
中 |
GCP-2021-002
公開日: 2021 年 3 月 5 日説明
説明 | 重大度 | メモ |
---|---|---|
VMware セキュリティ アドバイザリ VMSA-2021-0002 によると、VMware は、VMware ESXi と vSphere クライアント(HTML5)に複数の脆弱性に関する報告を受けました。VMware には、影響を受ける VMware プロダクトにおけるこれらの脆弱性の修正のためのアップデートを行いました。 Google では、VMware セキュリティ アドバイザリに従い、公式のドキュメントに記載されている回避策を vSphere スタックに適用しました。このアップデートは、CVE-2021-21972、CVE-2021-21973、CVE-2021-21974 に記載されているセキュリティ脆弱性に対応しています。 VMware Engine への影響調査の結果、影響を受けたお客様は見つかりませんでした。 必要な対策VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。 |
重大 |
GCP-2021-001
公開日: 2021 年 1 月 28 日説明
説明 | 重大度 | メモ |
---|---|---|
先ごろ、Linux ユーティリティ Compute Engine を実行する基盤となるインフラストラクチャは、この脆弱性の影響を受けません。 この脆弱性は、すべての Google Kubernetes Engine(GKE)、GKE on VMware、GKE on AWS、Google Distributed Cloud Virtual for Bare Metal クラスタには影響しません。 手順と詳細については、次のセキュリティに関する公開情報をご覧ください。 |
なし | CVE-2021-3156 |
GCP-2020-015
公開日: 2020 年 12 月 7 日最終更新日: 2020 年 12 月 22 日
説明
説明 | 重大度 | メモ |
---|---|---|
更新: 2021 年 12 月 22 日 次のセクションの GKE のコマンドでは、 gcloud container clusters update –no-enable-service-externalips 2021 年 12 月 15 日更新: GKE について、以下の緩和策が利用可能です。
詳細については、クラスタのセキュリティの強化をご覧ください。 Kubernetes プロジェクトで最近見つかった新しいセキュリティの脆弱性 CVE-2020-8554 では、LoadBalancer または ClusterIP タイプの Kubernetes Service を作成する権限を取得した攻撃者が、クラスタ内の他の Pod から発信されるネットワーク トラフィックをインターセプトできる可能性があります。この脆弱性だけでは、攻撃者が Kubernetes Service を作成する権限は付与されません。 この脆弱性の影響を受けるのは、すべての Google Kubernetes Engine(GKE)、GKE on VMware、GKE on AWS クラスタです。 必要な対策設定手順と詳細については、以下をご覧ください。 |
中 |
CVE-2020-8554 |
GCP-2020-014
公開日: 2020 年 10 月 20 日最終更新日: 2020 年 10 月 20 日
説明
説明 | 重大度 | メモ |
---|---|---|
最近、Kubernetes プロジェクトでは、詳細ロギング オプションが有効になっている場合にシークレット データが公開されてしまういくつかの問題を確認しました。問題は次のとおりです。
必要な対策GKE のデフォルトの詳細ロギングレベルでは、これ以上のアクションは必要ありません。 |
なし |
Google Cloud への影響
プロダクトごとの詳細については、以下をご覧ください。
プロダクト |
影響 |
---|---|
Google Kubernetes Engine(GKE)は影響を受けません。 |
|
GKE On-Prem は影響を受けません。 |
|
GKE on AWS は影響を受けません。 |
GCP-2020-013
公開日: 2020 年 9 月 29 日説明
次の脆弱性が Microsoft により公表されました。
Vulnerability |
重大度 |
CVE |
---|---|---|
CVE-2020-1472 - Windows Server の脆弱性により、攻撃者が Netlogon Remote Protocol を使用して、ネットワーク上のデバイス上で特別に細工したアプリケーションを実行するおそれがあります。 |
NVD ベーススコア: 10(重大) |
詳しくは、Microsoft の開示情報をご覧ください。
Google Cloud への影響
この脆弱性は、Google Cloud と Google のサービスをホストするインフラストラクチャには影響しません。プロダクトごとの詳細については、以下をご覧ください。
プロダクト |
影響 |
---|---|
Compute Engine |
CVE-2020-1472 |
Google Kubernetes Engine |
CVE-2020-1472 |
Managed Service for Microsoft Active Directory |
CVE-2020-1472 |
Google Workspace |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
App Engine スタンダード環境 |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
App Engine フレキシブル環境 |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Cloud Run |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Cloud Run 関数 |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Cloud Composer |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Dataflow |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Dataproc |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Cloud SQL |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
GCP-2020-012
公開日: 2020 年 9 月 14 日最終更新日: 2020 年 9 月 17 日
説明
説明 | 重大度 | メモ |
---|---|---|
先ごろ、Linux カーネルに脆弱性 CVE-2020-14386 が発見されました。この脆弱性により、コンテナがエスケープ処理を行ってホストノードの root 権限を奪ってしまうおそれがあります。 すべての GKE ノードが影響を受けます。GKE Sandbox で実行中の Pod はこの脆弱性の影響を受けません。 設定手順と詳細については、以下をご覧ください。 このパッチで対処される脆弱性 このパッチで緩和される脆弱性は以下のとおりです: 脆弱性 CVE-2020-14386。CAP_NET_RAW を備えたコンテナでは、1 ~ 10 バイトのカーネルメモリを書き込み、場合によってはコンテナをエスケープしてホストノードのルート権限を取得できます。この脆弱性の重大度評価は高です。 |
高 |
GCP-2020-011
公開日: 2020 年 7 月 24 日説明
説明 | 重大度 | メモ |
---|---|---|
先ごろ、ネットワークに関する脆弱性 CVE-2020-8558 が Kubernetes で発見されました。Service は、ローカル ループバック インターフェース(127.0.0.1)を使用して同じ Pod 内で実行されている他のアプリケーションと通信することがあります。この脆弱性により、クラスタのネットワークにアクセスできる攻撃者が、隣接する Pod とノードのループバック インターフェースにトラフィックを送信できてしまいます。ループバック インターフェースが Pod の外部からアクセスできないことに依存しているサービスが侵害される可能性があります。 設定手順と詳細については、以下をご覧ください。 |
低(GKE、GKE on AWS)、 |
GCP-2020-010
公開日: 2020 年 7 月 27 日説明
次の脆弱性が Microsoft により公表されました。
Vulnerability |
重大度 |
CVE |
---|---|---|
CVE-2020-1350 - DNS サーバーとして動作する Windows Server には、ローカル システム アカウントで信頼できないコードを実行できるという脆弱性があります。 |
NVD ベーススコア: 10.0(重大) |
詳しくは、Microsoft の開示情報をご覧ください。
Google Cloud への影響
この脆弱性は、Google Cloud と Google のサービスをホストするインフラストラクチャには影響しません。プロダクトごとの詳細については、以下をご覧ください。
プロダクト |
影響 |
---|---|
Compute Engine |
CVE-2020-1350 |
Google Kubernetes Engine |
CVE-2020-1350 |
Managed Service for Microsoft Active Directory |
CVE-2020-1350 |
Google Workspace |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
App Engine スタンダード環境 |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
App Engine フレキシブル環境 |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Cloud Run |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Cloud Run 関数 |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Cloud Composer |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Dataflow |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Dataproc |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Cloud SQL |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
GCP-2020-009
公開日: 2020 年 7 月 15 日説明
説明 | 重大度 | メモ |
---|---|---|
先ごろ、権限昇格に関する脆弱性 CVE-2020-8559 が Kubernetes で発見されました。この脆弱性により、ノードを不正使用した攻撃者が、クラスタ内の任意の Pod でコマンドを実行できてしまいます。これにより、攻撃者はすでに不正使用したノードを使用して他のノードを不正使用し、情報の読み取りや、破壊的な操作をする可能性があります。 攻撃者がこの脆弱性を悪用するには、クラスタ内のノードがすでに不正使用されている必要があります。この脆弱性だけで、クラスタ内のノードが不正使用されることはありません。 設定手順と詳細については、以下をご覧ください。 |
中 |
GCP-2020-008
公開日: 2020 年 6 月 19 日説明
説明 | 重大度 | メモ |
---|---|---|
説明OS Loginが有効になっている VM は、権限昇格の脆弱性の影響を受けやすい場合があります。これらの脆弱性により、OS Login権限を付与された(しかし管理者アクセス権は付与されていない)ユーザーは VM 内のルートアクセス権に昇格できます。 手順と詳細については、Compute Engine のセキュリティに関する情報をご覧ください。
|
高 |
GCP-2020-007
公開日: 2020 年 6 月 1 日説明
説明 | 重大度 | メモ |
---|---|---|
最近、Kubernetes でサーバー側のリクエスト フォージェリ(SSRF)の脆弱性 CVE-2020-8555 が検出され、特定の承認済みユーザーがコントロール プレーン ホスト ネットワークから最大 500 バイトの機密情報を漏洩する可能性が生じました。Google Kubernetes Engine(GKE)コントロール プレーンでは、Kubernetes のコントローラを使用するため、この脆弱性の影響を受けます。コントロール プレーンを最新のパッチ バージョンにアップグレードすることをおすすめします。ノードのアップグレードは不要です。 設定手順と詳細については、以下をご覧ください。 |
中 |
GCP-2020-006
公開日: 2020 年 6 月 1 日説明
説明 | 重大度 | メモ |
---|---|---|
Kubernetes は、特権コンテナでノード トラフィックを別のコンテナにリダイレクトできるようになる脆弱性を公表しました。kubelet と API サーバーの間の相互 TLS/SSH トラフィックや、mTLS を使用するアプリケーションからのトラフィックは、この攻撃によって読み取ることも変更することもできません。この脆弱性は、すべての Google Kubernetes Engine(GKE)ノードに影響します。最新のパッチ バージョンにアップグレードすることをおすすめします。 設定手順と詳細については、以下をご覧ください。 |
中 |
GCP-2020-005
公開日: 2020 年 5 月 7 日説明
Vulnerability |
重大度 |
CVE |
---|---|---|
先ごろ、Linux カーネルに脆弱性 CVE-2020-8835 が発見されました。この脆弱性により、コンテナがエスケープ処理を行い、ホストノードの root 権限が取得されるおそれがあります。 この脆弱性は、GKE 1.16 または 1.17 を実行する Google Kubernetes Engine(GKE)Ubuntu ノードはに影響します。できるだけ早く最新のパッチ バージョンにアップグレードすることをおすすめします。 手順と詳細については、GKE のセキュリティに関する情報をご覧ください。 |
高 |
GCP-2020-004
公開日: 2020 年 3 月 31 日最終更新日: 2020 年 3 月 31 日
説明
次の脆弱性が Kubernetes により公表されました。
Vulnerability |
重大度 |
CVE |
---|---|---|
CVE-2019-11254 - これは API サーバーに影響を与えるサービス拒否攻撃(DoS)の脆弱性です。 |
中 |
手順と詳細については、GKE on VMware のセキュリティに関する公開情報をご覧ください。
GCP-2020-003
公開日: 2020 年 3 月 31 日最終更新日: 2020 年 3 月 31 日
説明
次の脆弱性が Kubernetes により公表されました。
Vulnerability |
重大度 |
CVE |
---|---|---|
CVE-2019-11254 - これは API サーバーに影響を与えるサービス拒否攻撃(DoS)の脆弱性です。 |
中 |
手順と詳細については、GKE のセキュリティ情報をご覧ください。
GCP-2020-002
公開日: 2020 年 3 月 23 日最終更新日: 2020 年 3 月 23 日
説明
次の脆弱性が Kubernetes により公表されました。
Vulnerability |
重大度 |
CVE |
---|---|---|
CVE-2020-8551 - これは kubelet に影響を与えるサービス拒否攻撃(DoS)の脆弱性です。 |
中 |
|
CVE-2020-8552 - これは API サーバーに影響を与えるサービス拒否攻撃(DoS)の脆弱性です。 |
中 |
手順と詳細については、GKE のセキュリティ情報をご覧ください。
GCP-2020-001
公開日: 2020 年 1 月 21 日最終更新日: 2020 年 1 月 21 日
説明
次の脆弱性が Microsoft により公表されました。
Vulnerability |
重大度 |
CVE |
---|---|---|
CVE-2020-0601 - この脆弱性は Windows Crypto API のなりすましの脆弱性とも呼ばれます。これを悪用すると、悪意ある実行可能ファイルを信頼されたもののように見せかけることができます。また、攻撃者が中間者攻撃を行って標的ソフトウェアへの接続上で秘密情報を復号することも可能です。 |
NVD ベーススコア: 8.1(高) |
詳しくは、Microsoft の開示情報をご覧ください。
Google Cloud への影響
この脆弱性は、Google Cloud と Google のサービスをホストするインフラストラクチャには影響しません。プロダクトごとの詳細については、以下をご覧ください。
プロダクト |
影響 |
---|---|
Compute Engine |
CVE-2020-0601 |
Google Kubernetes Engine |
CVE-2020-0601 |
Managed Service for Microsoft Active Directory |
CVE-2020-0601 |
Google Workspace |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
App Engine スタンダード環境 |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
App Engine フレキシブル環境 |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Cloud Run |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Cloud Run 関数 |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Cloud Composer |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Dataflow |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Dataproc |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
Cloud SQL |
お客様による対応は必要ありません。 このサービスはこの脆弱性による影響を受けません。 |
GCP-2019-001
公開日: 2019 年 11 月 12 日最終更新日: 2019 年 11 月 12 日
説明
Intel により次の脆弱性が開示されました。
Vulnerability |
重大度 |
CVE |
---|---|---|
CVE-2019-11135 - TSX の非同期中止(TAA)と呼ばれるこの脆弱性は、TSX のトランザクション内で投機的実行の悪用に使用される可能性があります。この脆弱性により、Microarchitectural Data Sampling(MDS)によって読み出されたマイクロアーキテクチャのデータ構造を通してデータが公開されてしまう可能性があります。 |
中 |
|
CVE-2018-12207 - 仮想マシンのホスト(ゲストではない)に影響を及ぼすサービス拒否攻撃(DoS)の脆弱性が存在します。この問題は、「ページサイズ変更によるマシンチェック エラー」として知られています。 |
中 |
詳しくは、Intel の開示情報をご覧ください。
Google Cloud への影響
Google Cloud および Google プロダクトをホストしているインフラストラクチャは、これらの脆弱性から保護されています。プロダクトごとの詳細については、以下をご覧ください。
プロダクト |
影響 |
---|---|
Compute Engine |
CVE-2019-11135 CVE-2018-12207 |
Google Kubernetes Engine |
CVE-2019-11135 CVE-2018-12207 |
App Engine スタンダード環境 |
追加のアクションを行う必要はありません。 |
App Engine フレキシブル環境 |
CVE-2019-11135 CVE-2018-12207 |
Cloud Run |
追加のアクションを行う必要はありません。 |
Cloud Run 関数 |
追加のアクションを行う必要はありません。 |
Cloud Composer |
追加のアクションを行う必要はありません。 |
Dataflow |
CVE-2019-11135 CVE-2018-12207 |
Dataproc |
CVE-2019-11135 CVE-2018-12207 |
Cloud SQL |
追加のアクションを行う必要はありません。 |