다음은 Google Cloud 제품과 관련된 보안 게시판입니다.
이 XML 피드를 사용하여 이 페이지의 보안 게시판을 구독합니다.
GCP-2024-062
게시: 2024년 12월 2일
설명
설명 | 심각도 | 참고 |
---|---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2024-46800 |
GCP-2024-061
게시: 2024년 11월 25일
설명
설명 | 심각도 | 참고 |
---|---|---|
Kubernetes 클러스터에서 발견된 보안 문제로 인해 자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2024-10220 |
GCP-2024-060
게시: 2024-10-17
설명 | 심각도 | 참고 |
---|---|---|
VMware 보안 권고 VMSA-2024-0020에 따라 VMware NSX의 여러 취약점이 VMware에 책임감 있게 보고되었습니다. VMware Engine 환경에서 실행되는 NSX-T 버전은 CVE-2024-38815, CVE-2024-38818 또는 CVE-2024-38817의 영향을 받지 않습니다. 어떻게 해야 하나요?VMware Engine 클러스터는 이 취약점의 영향을 받지 않으므로 추가 작업이 필요하지 않습니다. |
보통 |
GCP-2024-059
게시: 2024-10-16
설명 | 심각도 | 참고 |
---|---|---|
VMware 보안 권고 VMSA-2024-0021에 따라 VMware HCX의 인증된 SQL 삽입 취약점이 VMware에 비공개로 보고되었습니다. 이 취약점을 해결하기 위해 VMware에서 승인한 완화 조치를 적용했습니다. 이 수정사항은 CVE-2024-38814에 설명된 보안 취약점을 해결합니다. VMware Engine 프라이빗 클라우드에서 실행되는 이미지 버전은 적용된 변경사항을 나타내는 현재의 변경사항을 반영하지 않습니다. 적절한 완화 조치가 설치되었으며 이 취약점으로부터 환경이 보호되고 있습니다. 어떻게 해야 하나요?VMware HCX 버전 4.9.2로 업그레이드하는 것이 좋습니다. |
높음 |
GCP-2024-058
게시: 2024-10-16
설명
설명 | 심각도 | 참고 |
---|---|---|
Windows용 Migrate to Containers 버전 1.1.0~1.2.2에서 관리자 권한이 있는 로컬 어떻게 해야 하나요?다음 Windows용 Migrate to Containers CLI 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. Migrate to Containers CLI를 다음 버전 이상으로 수동으로 업그레이드하는 것이 좋습니다.
해결되는 취약점은 무엇인가요?이 취약점(CVE-2024-9858)을 통해 공격자는 Migrate to Containers 소프트웨어에서 만든 로컬 관리자 사용자를 사용하여 영향을 받는 Windows 머신에 대한 관리자 액세스 권한을 얻을 수 있습니다. |
보통 | CVE-2024-9858 |
GCP-2024-057
게시: 2024-10-03
업데이트: 2024년 11월 19일
설명
설명 | 심각도 | 참고 |
---|---|---|
2024년 11월 19일 업데이트: GKE용 Ubuntu 노드 풀의 패치 버전이 추가되었습니다. 2024-10-15 업데이트: GDC(VMware)의 패치 버전이 추가되었습니다. GKE 및 GDC(VMware) 심각도 수준을 업데이트했습니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
보통 | CVE-2024-45016 |
GCP-2024-056
게시: 2024-09-27
설명
설명 | 심각도 | 참고 |
---|---|---|
일부 Linux 배포판에서 사용하는 CUPS 인쇄 시스템에서 원격 코드 실행을 초래할 수 있는 취약점 체인(CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177)이 발견되었습니다. CUPS 서비스가 UDP 포트 631에서 리슨 중이고 공격자가 이 포트에 연결할 수 있는 경우 공격자가 이 취약점을 악용할 수 있습니다. 자세한 내용 및 안내는 다음 게시판을 참조하세요. |
없음 |
GCP-2024-055
게시: 2024-09-24
설명
설명 | 심각도 | 참고 |
---|---|---|
Looker의 HTTP 요청 스머글링 취약점으로 인해 승인되지 않은 공격자가 승인된 사용자를 대상으로 하는 HTTP 응답을 캡처할 수 있었습니다. Looker에서 호스팅하는 Looker 버전에는 두 가지가 있습니다.
고객 호스팅 Looker 인스턴스가 취약한 것으로 확인되어 아래 버전 중 하나로 업그레이드해야 합니다. 이 취약점은 Looker 다운로드 페이지에서 다운로드할 수 있는 모든 지원되는 고객 호스팅 Looker 버전에서 패치되었습니다. 어떻게 해야 하나요?
해결되는 취약점은 무엇인가요?이 취약점(CVE-2024-8912)을 통해 공격자가 조작된 HTTP 요청 헤더를 Looker에 전송할 수 있으며, 이로 인해 다른 사용자를 대상으로 한 HTTP 응답의 가로채기가 발생할 수 있습니다. 이러한 응답에는 민감한 정보가 포함될 수 있습니다. 이 취약점은 특정 구성에서만 악용될 수 있습니다. |
보통 | CVE-2024-8912 |
GCP-2024-054
게시: 2024-09-23
설명
설명 | 심각도 | 참고 |
---|---|---|
Windows 노드가 있는 Kubernetes 클러스터에서 자세한 내용 및 안내는 다음 게시판을 참조하세요. |
보통 | CVE-2024-5321 |
GCP-2024-053
게시: 2024-09-19
설명
설명 | 심각도 | 참고 |
---|---|---|
Protobuf Java Full 및 Lite 라이브러리에서 알 수 없는 필드를 파싱할 때 악의적으로 조작된 메시지로 인해 StackOverflow 오류가 발생하고 프로그램이 비정상 종료될 수 있습니다. 어떻게 해야 하나요? Google은 이 이슈를 해결하기 위해 최선을 다했으며 현재 사용 가능한 완화 조치를 출시했습니다. 다음 소프트웨어 패키지의 최신 버전을 사용하는 것이 좋습니다.
이 패치로 어떤 취약점이 해결되나요? 이 취약점은 잠재적인 서비스 거부입니다. DiscardUnknownFieldsParser 또는 Java Protobuf Lite 파서를 사용하여 중첩된 그룹을 알 수 없는 필드로 파싱하거나 Protobuf 맵 필드에 대해 파싱하면 공격자가 악용할 수 있는 제한되지 않은 재귀가 발생합니다. |
CVSS4.0 점수 8.7 높음 |
CVE-2024-7254 |
GCP-2024-052
설명
설명 | 심각도 | 참고 |
---|---|---|
다음 CVE는 Cloud Service Mesh를 악용 가능한 취약점에 노출합니다.
자세한 내용 및 안내는 Cloud Service Mesh 보안 게시판을 참조하세요. |
중간~높음 |
GCP-2024-051
게시: 2024년 9월 18일
설명 | 심각도 | 참고 |
---|---|---|
VMware에서 고객 환경에 배포된 vCenter 구성요소에 영향을 주는 VMSA-2024-0019의 여러 취약점이 공개되었습니다. VMware Engine의 영향
어떻게 해야 하나요?현재 추가 조치는 필요 없습니다. |
심각 |
GCP-2024-050
게시: 2024-09-04
설명
설명 | 심각도 | 참고 |
---|---|---|
Windows에서 새로운 원격 코드 실행 취약점(CVE-2024-38063)이 발견되었습니다. 공격자는 특수하게 만들어진 IPv6 패킷을 호스트로 전송하여 이 취약점을 원격으로 악용할 수 있습니다. 자세한 내용 및 안내는 다음 게시판을 참조하세요. |
없음 | CVE-2024-38063 |
GCP-2024-049
게시: 2024년 8월 21일
업데이트: 2024년 11월 1일
설명
설명 | 심각도 | 참고 |
---|---|---|
2024년 11월 1일 업데이트: GKE용 Ubuntu 노드 풀의 패치 버전이 추가되었습니다. 2024년 10월 21일 업데이트: GDC(VMware)의 패치 버전이 추가되고 심각도가 업데이트되었습니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2024-36978 |
GCP-2024-048
게시: 2024-08-20
업데이트: 2024-10-30
설명
설명 | 심각도 | 참고 |
---|---|---|
2024-10-30 업데이트 : GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다. 2024-10-25 업데이트: GDC(VMware)의 패치 버전이 추가되고 심각도가 업데이트되었습니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2024-41009 |
GCP-2024-047
게시: 2024-08-19
업데이트: 2024-10-30
설명
설명 | 심각도 | 참고 |
---|---|---|
2024-10-30 업데이트 : GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다. 2024-10-21 업데이트: GDC(VMware)의 패치 버전이 추가되고 심각도가 업데이트되었습니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2024-39503 |
GCP-2024-046
게시: 2024년 8월 5일
설명
설명 | 심각도 | 참고 |
---|---|---|
AMD는 AMD EPYC 3세대(Milan) 및 4세대(Genoa) CPU의 SEV-SNP에 영향을 미치는 3가지 새로운 펌웨어 취약점(위험도 중간 2개, 위험도 높음 1개)에 대해 Google에 알렸습니다. Google은 고객 보호를 위해 Google Cloud를 포함하여 영향을 받는 애셋에 수정 사항을 적용했습니다. 현재까지 이에 대한 악용 증거는 Google에서 발견되거나 보고되지 않았습니다. 어떻게 해야 하나요? 고객이 별도의 조치를 취하지 않아도 됩니다. 수정 사항은 이미 Google 서버 제품군에 적용되었습니다. 자세한 내용은 AMD 보안 권고 AMD-SN-3011을 참조하세요. |
중간-높음 |
GCP-2024-045
게시: 2024년 7월 17일
업데이트: 2024-09-19
설명
설명 | 심각도 | 참고 |
---|---|---|
2024-09-19 업데이트: VMware용 GDC 소프트웨어의 패치 버전이 추가되었습니다. 2024년 8월 21일 업데이트: GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2024-26925 |
GCP-2024-044
게시: 2024년 7월 16일
업데이트: 2024-10-30
설명
설명 | 심각도 | 참고 |
---|---|---|
2024-10-30 업데이트 : GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다. 2024-10-21 업데이트: GDC(VMware)의 패치 버전이 추가되고 심각도가 업데이트되었습니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2024-36972 |
GCP-2024-043
게시: 2024년 7월 16일
업데이트: 2024-10-02
설명
설명 | 심각도 | 참고 |
---|---|---|
2024-10-02 업데이트:: GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다. 2024-09-20 업데이트: VMware용 GDC 소프트웨어의 패치 버전이 추가되었습니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2024-26921 |
GCP-2024-042
게시: 2024년 7월 15일
업데이트: 2024년 7월 18일
설명
설명 | 심각도 | 참고 |
---|---|---|
2024년 7월 18일 업데이트: 기본 구성의 Autopilot 클러스터는 영향을 받지 않는다는 점을 명확히 했습니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2024-26809 |
GCP-2024-041
게시: 2024년 7월 8일
업데이트: 2024-09-16
설명
설명 | 심각도 | 참고 |
---|---|---|
2024-09-16 업데이트: VMware용 GDC 소프트웨어의 패치 버전이 추가되었습니다. 2024년 7월 19일 업데이트 : GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 |
GCP-2024-040
게시: 2024년 7월 1일
업데이트: 2024년 7월 16일
설명
설명 | 심각도 | 참고 |
---|---|---|
2024-07-16 업데이트: 일부 서버리스 VPC 액세스 고객은 OpenSSH의 취약점(CVE-2024-6387)에 영향을 받을 수 있습니다. 취약점 공격이 성공하면 인증되지 않은 원격 공격자가 대상 머신에서 임의의 코드를 루트로 실행할 수 있습니다. 익스플로잇은 어려운 것으로 간주됩니다. 예를 들어 고객이 VM에 액세스할 수 없고 VM에 공개 IP가 없는 경우 익스플로잇 시도는 확인되지 않았습니다. 어떻게 해야 하나요? Google에서 가능한 경우 서버리스 VPC 액세스 배포를 자동으로 업데이트했습니다. 하지만 Google 관리형 서비스 에이전트에 필요한 역할이 있는지 확인해야 합니다. 그러지 않으면 서버리스 VPC 액세스 커넥터가 여전히 취약할 수 있습니다. 직접 VPC 이그레스로 마이그레이션하거나 새 커넥터를 배포하고 이전 커넥터를 삭제하여 수정사항이 포함된 필수 업데이트가 있는지 확인하는 것이 좋습니다. 2024년 7월 11일 업데이트: VMware용 GDC 소프트웨어, AWS용 GKE, Azure용 GKE의 패치 버전이 추가되었습니다. 자세한 내용은 GKE 문서의 다음 게시판을 참조하세요. 2024-07-10 업데이트:
2024-07-09 업데이트: 일부 App Engine 가변형 환경 고객은 OpenSSH의 취약점(CVE-2024-6387)에 영향을 받을 수 있습니다. 취약점 공격이 성공하면 인증되지 않은 원격 공격자가 대상 머신에서 임의의 코드를 루트로 실행할 수 있습니다. 어떻게 해야 하나요? Google에서는 가능한 경우 가변형 환경 배포를 이미 자동으로 업데이트하고 있습니다. 하지만 Google 관리형 서비스 에이전트를 사용 중지했거나 Google Cloud API 또는 기타 기본 구성을 변경한 일부 고객은 업데이트되지 않았으며 여전히 취약할 수 있습니다. 새 버전의 앱을 배포하여 수정사항이 포함된 업데이트를 적용해야 합니다. 업데이트된 배포에서는 SSH 버전 해결되는 취약점은 무엇인가요? 인증되지 않은 원격 공격자가 대상 머신에서 임의의 코드를 루트로 실행할 수 있는 취약점 CVE-2024-6387입니다. 2024-07-08 업데이트: 이미지 버전 2.2(모든 운영체제) 및 2.1(Debian만 해당)에서 실행되는 Google Compute Engine의 Dataproc 클러스터는 OpenSSH의 취약점(CVE-2024-6387)으로 인한 영향을 받습니다. 이 취약점으로 인해 인증되지 않은 원격 공격자가 대상 머신에서 임의의 코드를 루트로 실행할 수 있습니다. Google Compute Engine의 Dataproc 이미지 버전 2.0 및 1.5와 Debian에서 실행되지 않는 Dataproc 이미지 버전 2.1은 영향을 받지 않습니다. 개인 인증이 사용 설정된 Dataproc 클러스터는 영향을 받지 않습니다. Dataproc 서버리스도 영향을 받지 않습니다. 어떻게 해야 하나요? Google Compute Engine의 Dataproc 클러스터를 다음 버전 중 하나로 업데이트하세요.
Dataproc 클러스터를 위 버전 중 하나로 업데이트할 수 없는 경우 다음 위치에서 사용 가능한 초기화 작업을 사용하는 것이 좋습니다.
Dataproc의 초기화 작업을 지정하는 방법에 관한 안내를 따르세요. 기존 클러스터의 경우 모든 노드(마스터 및 워커)에서 초기화 작업을 실행해야 합니다. 2024-07-03 업데이트:
2024-07-02 업데이트:
최근 OpenSSH에서 원격 코드 실행 취약점 CVE-2024-6387이 발견되었습니다. 이 취약점은 원격 셸에 대한 액세스 권한을 얻는 경합 상태를 악용하여 공격자가 루트 액세스 권한을 얻을 수 있게 합니다. 현재 발표 시점 기준으로, 익스플로잇이 어렵고 공격이 이루어지는 데 머신당 몇 시간이 걸리는 것으로 판단됩니다. 익스플로잇 시도는 확인되지 않았습니다. 자세한 내용 및 안내는 다음 게시판을 참조하세요. |
심각 | CVE-2024-6387 |
GCP-2024-039
게시: 2024년 6월 28일
업데이트: 2024-09-25
설명
설명 | 심각도 | 참고 |
---|---|---|
2024-09-25 업데이트: VMware용 GDC 소프트웨어의 패치 버전이 추가되었습니다. 2024년 8월 20일 업데이트: GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2024-26923 |
GCP-2024-038
게시: 2024년 6월 26일
업데이트: 2024-09-17
설명
설명 | 심각도 | 참고 |
---|---|---|
2024-09-17 업데이트: VMware용 GDC 소프트웨어의 패치 버전이 추가되었습니다. 2024년 8월 6일 업데이트: GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2024-26924 |
GCP-2024-037
게시: 2024년 6월 18일
설명 | 심각도 | 참고 |
---|---|---|
VMware에서 고객 환경에 배포된 vCenter 구성요소에 영향을 주는 VMSA-2024-0012의 여러 취약점이 공개되었습니다. Google Cloud VMware Engine 영향
어떻게 해야 하나요?현재 추가 조치는 필요 없습니다. |
심각 |
GCP-2024-036
게시: 2024년 6월 18일
설명
설명 | 심각도 | 참고 |
---|---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2024-26584 |
GCP-2024-035
게시: 2024년 6월 12일
업데이트: 2024년 7월 18일
설명
설명 | 심각도 | 참고 |
---|---|---|
2024년 7월 18일 업데이트: GKE용 Ubuntu 노드 풀의 패치 버전이 추가되었고 Container-Optimized OS 노드 풀용 버전 1.27의 패치 버전이 추가되었습니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2024-26584 |
GCP-2024-034
게시: 2024년 6월 11일
업데이트: 2024년 7월 10일
설명
설명 | 심각도 | 참고 |
---|---|---|
2024년 7월 10일 업데이트: 부 버전 1.26 및 1.27을 실행하는 Container-Optimized OS 노드의 패치 버전과 Ubuntu 노드 패치 버전이 추가되었습니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2024-26583 |
GCP-2024-033
게시: 2024년 6월 10일
업데이트: 2024-09-26
설명
설명 | 심각도 | 참고 |
---|---|---|
2024-09-26 업데이트: VMware용 GDC 소프트웨어의 패치 버전이 추가되었습니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2022-23222 |
GCP-2024-032
게시: 2024년 6월 4일
설명
설명 | 심각도 | 참고 |
---|---|---|
다음 CVE는 Cloud Service Mesh를 악용 가능한 취약점에 노출합니다.
자세한 내용 및 안내는 Cloud Service Mesh 보안 게시판을 참조하세요. |
높음 |
GCP-2024-031
게시: 2024년 5월 24일
설명
설명 | 심각도 | 참고 |
---|---|---|
Fluent Bit에서 원격 코드 실행이 발생할 수 있는 새로운 취약점(CVE-2024-4323)이 발견되었습니다. Fluent Bit 버전 2.0.7부터 3.0.3까지 영향을 받습니다. GKE, VMware용 GKE, AWS용 GKE, Azure용 GKE, 베어메탈용 GKE는 취약한 버전의 Fluent Bit를 사용하지 않으며 영향을 받지 않습니다. 자세한 내용 및 안내는 다음 게시판을 참조하세요. |
없음 | CVE-2024-4323 |
GCP-2024-030
게시: 2024년 5월 15일
업데이트: 2024년 7월 18일
설명
설명 | 심각도 | 참고 |
---|---|---|
2024년 7월 18일 업데이트 : GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2023-52620 |
GCP-2024-029
게시: 2024년 5일 14일
업데이트: 2024-08-19
설명
설명 | 심각도 | 참고 |
---|---|---|
2024년 8월 19일 업데이트: GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2024-26642 |
GCP-2024-028
게시: 2024년 5월 13일
업데이트: 2024년 5월 22일
설명
설명 | 심각도 | 참고 |
---|---|---|
2024년 5월 22일 업데이트: Ubuntu 패치 버전이 추가되었습니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2024-26581 |
GCP-2024-027
게시: 2024년 5월 8일
업데이트: 2024-09-25
설명
설명 | 심각도 | 참고 |
---|---|---|
2024-09-25 업데이트: VMware용 GDC 소프트웨어의 패치 버전이 추가되었습니다. 2024년 5월 15일 업데이트: GKE Ubuntu 노드 풀의 패치 버전이 추가되었습니다. 2024년 5월 9일 업데이트: 심각도가 중간에서 높음으로 수정되었으며 기본 구성의 GKE Autopilot 클러스터가 영향을 받지 않음을 명확하게 확인했습니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2024-26808 |
GCP-2024-026
게시: 2024년 5월 7일
업데이트: 2024년 8월 6일
설명
설명 | 심각도 | 참고 |
---|---|---|
2024년 8월 6일 업데이트: GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다. 2024년 5월 9일 업데이트: 심각도가 중간에서 높음으로 수정되었습니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2024-26643 |
GCP-2024-025
게시: 2024년 4월 26일
설명
설명 | 심각도 | 참고 |
---|---|---|
Looker는 Google 및 Alphabet 취약점 발견 보상 프로그램(VRP)을 통해 외부 연구원이 보고한 취약점을 수정했지만 악용의 증거는 발견되지 않았습니다. 이 문제는 현재 해결되었으며, Looker(Google Cloud 핵심 서비스) 및 Looker(원본)에서 Looker가 호스팅하는 고객의 경우 별도의 조치가 필요하지 않습니다. 자체 호스팅하는 Looker 인스턴스는 지원되는 최신 버전으로 업데이트하는 것이 좋습니다. 어떻게 해야 하나요? Looker 호스팅 인스턴스: Looker(Google Cloud 핵심 서비스) 및 Looker(원본) 인스턴스 고객이 별도의 조치를 취하지 않아도 됩니다. 자체 호스팅 Looker 인스턴스만 해당 Looker 인스턴스가 자체 호스팅된 경우 Looker 인스턴스를 다음 버전 중 하나로 업그레이드하는 것이 좋습니다.
어떻게 해결되었나요? Google은 Looker 애플리케이션의 내부 데이터베이스에 대한 직접 관리 액세스를 사용 중지했고 교차 테넌트 액세스를 가능하게 하는 승격된 권한을 삭제했으며 노출된 보안 비밀을 순환시켰습니다. 또한 서비스 계정 사용자 인증 정보를 노출했을 수 있는 경로 순회 취약점에도 패치를 적용했습니다. 또한 코드와 시스템을 철저히 검토하여 유사한 잠재적 취약점을 식별 및 해결했습니다. |
매우 심각 |
GCP-2024-024
게시: 2024년 4월 25일
업데이트: 2024년 7월 18일
설명
설명 | 심각도 | 참고 |
---|---|---|
2024년 7월 18일 업데이트 : GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2024-26585 |
GCP-2024-023
게시: 2024년 4월 24일
설명
설명 | 심각도 | 참고 |
---|---|---|
다음 CVE는 Cloud Service Mesh를 악용 가능한 취약점에 노출합니다.
자세한 내용 및 안내는 Cloud Service Mesh 보안 게시판을 참조하세요. |
높음 |
GCP-2024-022
게시: 2024년 4월 3일
업데이트: 2024년 7월 17일
설명
설명 | 심각도 | 참고 |
---|---|---|
2024년 7월 17일 업데이트: VMware용 GKE의 패치 버전이 추가되었습니다. 2024년 7월 9일 업데이트: 베어메탈용 GKE의 패치 버전이 추가되었습니다. 2024년 4월 24일 업데이트: GKE의 패치 버전이 추가되었습니다. 최근 서비스 거부(DoS) 취약점(CVE-2023-45288)이 Kubernetes에서 사용하는 golang HTTP 서버를 포함하여 HTTP/2 프로토콜의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Google Kubernetes Engine(GKE) 컨트롤 플레인에 대한 DoS가 발생할 수 있습니다. 자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2023-45288 |
GCP-2024-021
게시: 2024년 4월 3일
설명
설명 | 심각도 | 참고 |
---|---|---|
Compute Engine은 liblzma 라이브러리에서 xz-utils 패키지의 5.6.0 및 5.6.1 버전에 영향을 주고 OpenSSH 유틸리티 손상으로 이어질 수 있는 CVE-2024-3094의 영향을 받지 않습니다. 자세한 내용은 Compute Engine 보안 게시판을 참조하세요. |
중간 | CVE-2024-3094 |
GCP-2024-020
게시: 2024년 4월 2일
설명
설명 | 심각도 | 참고 |
---|---|---|
연구원들이 Ray에서 취약점(CVE-2023-48022)을 발견했습니다. Ray는 AI 워크로드를 위한 서드 파티 오픈소스 도구입니다. Ray는 인증이 필요하지 않기 때문에 위협 행위자가 공개적으로 노출된 인스턴스에 작업을 제출하여 원격 코드 실행을 달성할 수 있습니다. 이 취약점은 Ray 개발사인 Anyscale에서 제기되었습니다. Ray에서 이 기능은 핵심 제품 기능의 중요한 부분이며 보안 조치는 Ray 클러스터 외부에서 별개로 적용되어야 합니다. Ray 클러스터에 대한 의도치 않은 네트워크 노출은 보안 위험으로 이어질 수 있습니다. 응답에 따라 이 CVE는 유효성에 대한 의견이 일치하지 않은 상태이며 취약점 스캐너에 표시되지 않을 수 있습니다. 그럼에도 불구하고 이 문제는 실제 상황에서 악용되고 있으므로 사용자는 아래 제안에 따라 사용을 구성해야 합니다. 어떻게 해야 하나요? Ray 권장사항과 가이드라인을 준수하세요. 여기에는 Ray 워크로드 보안을 위해 신뢰할 수 있는 네트워크에서 신뢰할 수 있는 코드를 실행하는 것도 포함됩니다. 고객 클라우드 인스턴스에 ray.io를 배포하는 것은 공유 책임 모델에 포함됩니다. Google Kubernetes Engine(GKE) 보안팀은 GKE에서 Ray 지원에 대한 블로그를 게시했습니다. Ray 서비스에 인증 및 승인을 추가하는 방법에 대한 자세한 내용은 IAP(Identity-Aware Proxy) 문서를 참조하세요. GKE 사용자는 이 안내에 따라 또는 블로그에 링크된 Terraform 모듈을 활용해서 IAP를 구현할 수 있습니다. |
높음 | CVE-2023-48022 |
GCP-2024-018
게시: 2024년 3월 12일
업데이트: 2024년 4월 4일, 2024년 5월 6일
설명
설명 | 심각도 | 참고 |
---|---|---|
2024년 5월 6일 업데이트: GKE Ubuntu 노드 풀의 패치 버전이 추가되었습니다. 2024년 4월 4일 업데이트: GKE Container-Optimized OS 노드 풀의 최소 버전이 수정되었습니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2024-1085 |
GCP-2024-017
게시: 2024년 3월 6일
설명
설명 | 심각도 | 참고 |
---|---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2023-3611 |
GCP-2024-016
게시: 2024년 3월 5일
설명 | 심각도 | 참고 |
---|---|---|
VMware는 VMSA-2024-0006에서 고객 환경에 배포된 ESXi 구성요소에 영향을 미치는 여러 취약점을 공개했습니다. Google Cloud VMware Engine 영향보안 취약점이 해결되도록 프라이빗 클라우드가 업데이트되었습니다. 어떻게 해야 하나요?개발자가 취해야 할 조치는 없습니다. |
매우 심각 |
GCP-2024-014
게시: 2024년 2월 26일
설명
설명 | 심각도 | 참고 |
---|---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2023-3776 |
GCP-2024-013
게시: 2024년 2월 27일
설명
설명 | 심각도 | 참고 |
---|---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2023-3610 |
GCP-2024-012
게시: 2024년 2월 20일
설명
설명 | 심각도 | 참고 |
---|---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2024-0193 |
GCP-2024-011
게시: 2024년 2월 15일
설명
설명 | 심각도 | 참고 |
---|---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2023-6932 |
GCP-2024-010
게시: 2024년 2월 14일
업데이트: 2024년 4월 17일
설명
설명 | 심각도 | 참고 |
---|---|---|
2024년 4월 17일 업데이트: VMware용 GKE의 패치 버전이 추가되었습니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2023-6931 |
GCP-2024-009
게시: 2024년 2월 13일
설명
설명 | 심각도 | 참고 |
---|---|---|
2024년 2월 13일 AMD는 3세대 "Milan"과 4세대 "Genoa" Zen 코어를 기반으로 EPYC CPU에서 SEV-SNP에 영향을 주는 두 가지 취약점을 공개했습니다. 이 취약점으로 인해 권한을 얻은 공격자가 게스트에서 오래된 데이터에 액세스하거나 게스트 무결성 손실을 일으킬 수 있습니다. Google은 고객 보호를 위해 Google Cloud를 포함하여 영향을 받는 애셋에 수정 사항을 적용했습니다. 현재까지 이에 대한 악용 증거는 Google에서 발견되거나 보고되지 않았습니다. 어떻게 해야 하나요? 고객이 별도의 조치를 취하지 않아도 됩니다. Compute Engine을 포함하여 Google Cloud의 Google 서버 Fleet에 수정 사항이 이미 적용되었습니다. 자세한 내용은 AMD 보안 권고 AMD-SN-3007을 참조하세요. |
보통 |
GCP-2024-008
게시: 2024년 2월 12일
설명
설명 | 심각도 | 참고 |
---|---|---|
CVE-2023-5528을 사용하면 공격자가 이러한 노드에서 관리자 권한 에스컬레이션을 사용 설정하는 방식으로 Windows 노드에 포드 및 영구 볼륨을 만들 수 있습니다. 자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2023-5528 |
GCP-2024-007
게시: 2024년 2월 8일
설명
설명 | 심각도 | 참고 |
---|---|---|
다음 CVE는 Cloud Service Mesh를 악용 가능한 취약점에 노출합니다.
자세한 내용 및 안내는 Cloud Service Mesh 보안 게시판을 참조하세요. |
높음 |
GCP-2024-006
게시: 2024년 2월 5일
설명
설명 | 심각도 | 참고 |
---|---|---|
Apigee API 관리 프록시가 대상 엔드포인트 또는 대상 서버에 연결되면 프록시는 기본적으로 대상 엔드포인트 또는 대상 서버에서 제공한 인증서에 대해 호스트 이름 검증을 수행하지 않습니다. 다음 옵션 중 하나를 사용하여 호스트 이름 검증을 사용 설정하지 않으면 대상 엔드포인트 또는 대상 서버에 연결하는 Apigee 프록시가 승인된 사용자의 중간자 공격 위험에 노출될 수 있습니다. 자세한 내용은 Edge에서 백엔드로 TLS 구성(Cloud 및 프라이빗 클라우드)을 참조하세요. 다음 Apigee 플랫폼의 Apigee 프록시 배포가 영향을 받습니다.
자세한 안내 및 정보는 Apigee 보안 게시판을 참조하세요. |
높음 |
GCP-2024-005
게시: 2024년 1월 31일
업데이트: 2024년 4월 2일, 2024년 5월 6일
설명
설명 | 심각도 | 참고 |
---|---|---|
2024년 5월 6일 업데이트: AWS용 GKE 및 Azure용 GKE의 패치 버전이 추가되었습니다. 2024년 4월 2일 업데이트: 베어메탈용 GKE의 패치 버전이 추가되었습니다. 2024년 3월 6일 업데이트: VMware용 GKE의 패치 버전이 추가되었습니다. 2024년 2월 28일 업데이트: Ubuntu 패치 버전이 추가되었습니다. 2024년 2월 15일 업데이트: 2024년 2월 14일 업데이트의 1.25 및 1.26 Ubuntu 패치 버전으로 인해 비정상 노드가 발생할 수 있음을 명확히 했습니다. 2024년 2월 14일 업데이트: Ubuntu 패치 버전이 추가되었습니다. 2024년 2월 6일 업데이트: Container-Optimized OS의 패치 버전이 추가되었습니다. Container-Optimized OS 및 Ubuntu 노드에서 포드를 만들 수 있는 권한이 있는 사용자가 노드 파일 시스템에 대한 전체 액세스 권한을 얻을 수 있는 자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2024-21626 |
GCP-2024-004
게시: 2024년 1월 24일
업데이트: 2024년 2월 7일
설명
설명 | 심각도 | 참고 |
---|---|---|
2024년 2월 7일 업데이트: Ubuntu 패치 버전이 추가되었습니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2023-6817 |
GCP-2024-003
게시: 2024년 1월 19일
업데이트: 2024년 1월 26일
설명
설명 | 심각도 | 참고 |
---|---|---|
2024년 1월 26일 업데이트: 영향을 받은 클러스터의 개수와 영향을 완화하기 위해 Google이 수행한 조치를 명확하게 설명했습니다. 자세한 내용은 GCP-2024-003 보안 게시판을 참조하세요. Google 계정을 가진 모든 사용자를 포함하는 자세한 내용 및 안내는 다음 게시판을 참조하세요. |
중간 |
GCP-2024-002
게시: 2024년 1월 17일
업데이트: 2024년 2월 20일
설명
설명 | 심각도 | 참고 |
---|---|---|
2024년 2월 20일 업데이트: VMware용 GKE의 패치 버전이 추가되었습니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2023-6111 |
GCP-2024-001
게시: 2024년 1월 9일설명
설명 | 심각도 | 참고 |
---|---|---|
TianoCore EDK II UEFI 펌웨어에서 몇 가지 취약점이 발견되었습니다. 이 펌웨어는 Google Compute Engine VM에서 사용됩니다. 악용될 경우 취약점에서 보안 부팅의 우회를 허용하여 보안 VM에서 사용되는 경우를 포함해 보안 부팅 프로세스에서 잘못된 측정을 제공할 수 있습니다. 어떻게 해야 하나요?별도의 조치가 필요하지 않습니다. Google은 Compute Engine 전반에서 이 취약점에 패치를 적용했으며 모든 VM은 이 취약점으로부터 보호됩니다. 이 패치로 어떤 취약점이 해결되나요?이 패치로 다음의 취약점이 완화되었습니다.
|
중간 |
GCP-2023-051
게시: 2023년 12월 28일
설명
설명 | 심각도 | 참고 |
---|---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2023-3609 |
GCP-2023-050
게시: 2023년 12월 27일
설명
설명 | 심각도 | 참고 |
---|---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2023-3389 |
GCP-2023-049
게시: 2023년 12월 20일
설명
설명 | 심각도 | 참고 |
---|---|---|
다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2023-3090 |
GCP-2023-048
게시: 2023년 12월 15일
업데이트: 2023년 12월 21일
설명
설명 | 심각도 | 참고 |
---|---|---|
2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2023-3390 |
GCP-2023-047
게시: 2023년 12월 14일
설명
설명 | 심각도 | 참고 |
---|---|---|
Fluent Bit 로깅 컨테이너를 손상시킨 공격자가 Cloud Service Mesh(사용 설정된 클러스터에서)에서 클러스터에 권한을 에스컬레이션하기 위해 필요한 고급 권한과 해당 액세스 권한을 결합할 수 있습니다. 자세한 내용 및 안내는 다음 게시판을 참조하세요. |
중간 |
GCP-2023-046
게시: 2023년 11월 22일
업데이트: 2024년 3월 4일
설명
설명 | 심각도 | 참고 |
---|---|---|
2024년 3월 4일 업데이트: VMware용 GKE의 GKE 버전이 추가되었습니다. 2024년 1월 22일 업데이트: Ubuntu 패치 버전 추가 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2023-5717 |
GCP-2023-045
게시: 2023년 11월 20일
업데이트: 2023년 12월 21일
설명
설명 | 심각도 | 참고 |
---|---|---|
2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2023-5197 |
GCP-2023-044
게시: 2023년 11월 15일
설명
설명 | 심각도 | 참고 |
---|---|---|
AMD는 11월 14일에 다양한 AMD 서버 CPU에 영향을 미치는 여러 취약점을 공개했습니다. 특히 이 취약점은 Zencore 2세대 'Rome', 3세대 'Milan', 4세대 'Genoa'를 활용하는 EPYC 서버 CPU에 영향을 미칩니다. Google은 고객 보호를 위해 Google Cloud를 포함하여 영향을 받는 애셋에 수정 사항을 적용했습니다. 현재까지 이에 대한 악용 증거는 Google에서 발견되거나 보고되지 않았습니다. 어떻게 해야 하나요? 고객이 별도의 조치를 취하지 않아도 됩니다. 수정 사항은 이미 Google Compute Engine을 포함한 Google Cloud 서버 Fleet에 적용되었습니다. 해결되는 취약점은 무엇인가요? 이 패치로 다음의 취약점이 완화되었습니다.
자세한 내용은 AMD 보안 권고 AMD-SN-3005: 'AMD INVD 안내 보안 알림'(CacheWarp로도 게시됨) 및 AMD-SN-3002: 'AMD 서버 취약점' - 2023년 11월'을 참조하세요. |
보통 |
GCP-2023-043
게시: 2023년 11월 14일
설명
설명 | 심각도 | 참고 |
---|---|---|
Intel은 일부 프로세서의 CPU 취약점을 공개했습니다. Google은 고객 보호를 위해 Google Cloud용 Google Compute Engine과 Chrome OS 기기를 포함한 서버 제품군을 완화하는 조치를 취했습니다. 취약점 세부정보:
어떻게 해야 하나요? 고객이 별도의 조치를 취하지 않아도 됩니다. 영향을 받는 프로세서에 대해 Intel에서 제공하는 완화 조치가 Google Cloud용 Google Compute Engine을 포함한 Google 서버 제품군에 적용되었습니다. 현재 Google Distributed Cloud Edge에는 OEM의 업데이트가 필요합니다. 업데이트가 제공되면 Google에서 이 제품에 조치를 취하고 그에 따라 이 게시판이 업데이트됩니다. 프로세서에 영향을 받은 Chrome OS 기기는 출시 버전 119, 118, 114(LTS)의 일부로 자동 수정이 제공됩니다. 해결되는 취약점은 무엇인가요? CVE-2023-23583. 자세한 내용은 Intel 보안 권고 INTEL-SA-00950을 참조하세요. |
높음 | CVE-2023-23583 |
GCP-2023-042
게시: 2023년 11월 13일
업데이트: 2023년 11월 15일
설명
설명 | 심각도 | 참고 |
---|---|---|
2023년 11월 15일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2023-4147 |
GCP-2023-041
게시: 2023년 11월 8일
업데이트: 2023년 11월 21일, 2023년 12월 5일, 2023년 12월 21일
설명
설명 | 심각도 | 참고 |
---|---|---|
2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다. 2023년 12월 5일 업데이트: Container-Optimized OS 노드 풀용 GKE 버전이 추가되었습니다. 2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2023-4004 |
GCP-2023-040
게시: 2023년 11월 6일
업데이트: 2023년 11월 21일, 2023년 12월 21일
설명
설명 | 심각도 | 참고 |
---|---|---|
2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다. 2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2023-4921 |
GCP-2023-039
게시: 2023년 11월 6일
업데이트: 2023년 11월 21일, 2023년 11월 16일
설명
설명 | 심각도 | 참고 |
---|---|---|
2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다. 2023년 11월 16일 업데이트: 이 보안 게시판과 관련된 취약점은 CVE-2023-4622입니다. 이전 버전의 보안 게시판에 CVE-2023-4623이 취약점으로 잘못 표시되었습니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2023-4622 |
GCP-2023-038
게시: 2023년 11월 6일
업데이트: 2023년 11월 21일, 2023년 12월 21일
설명
설명 | 심각도 | 참고 |
---|---|---|
2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다. 2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2023-4623 |
GCP-2023-037
게시: 2023년 11월 6일
업데이트: 2023년 11월 21일, 2023년 12월 21일
설명
설명 | 심각도 | 참고 |
---|---|---|
2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다. 2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2023-4015 |
GCP-2023-036
게시: 2023년 10월 30일
설명
설명 | 심각도 | 참고 |
---|---|---|
Deep Learning VM Image는 즉시 실행할 수 있는 딥 러닝 프레임워크가 포함되어 사전 패키징된 가상 머신 이미지 세트입니다. 최근에 `libwebp` 라이브러리의 `ReadHuffmanCodes()` 함수에서 범위를 벗어나는 쓰기 취약점이 발견되었습니다. 이로 인해 이 라이브러리를 사용하는 이미지에 영향을 줄 수 있습니다. Google Cloud는 공개적으로 게시된 이미지를 계속 스캔하고 패치 적용된 배포판이 고객이 채택할 수 있는 최신 출시 버전에 포함되도록 보장하기 위해 패키지를 업데이트하고 있습니다. 최신 VM 이미지에 패치 적용된 배포판이 포함될 수 있도록 Deep Learning VM Image가 업데이트되었습니다. 최신 VM 이미지를 채택한 고객은 이 취약점에 노출되지 않습니다. 어떻게 해야 하나요? 게시된 VM 이미지를 사용하는 Google Cloud 고객은 최신 이미지를 채택하고 해당 환경이 공유 책임 모델에 따라 최신 상태로 유지되는지 확인해야 합니다. 공격자가 CVE-2023-4863을 악용해서 임의 코드를 실행할 수 있습니다. 이 취약점은 116.0.5845.187 이전의 Google Chrome 및 1.3.2 이전의 `libwebp`에서 식별되었으며 CVE-2023-4863으로 등록되었습니다. |
높음 | CVE-2023-4863 |
GCP-2023-035
게시: 2023년 10월 26일
업데이트: 2023년 11월 21일, 2023년 12월 21일
설명
설명 | 심각도 | 참고 |
---|---|---|
2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다. 2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2023-4206CVE-2023-4207, CVE-2023-4208, CVE-2023-4128 |
GCP-2023-034
게시: 2023년 10월 25일
업데이트: 2023년 10월 27일
설명
설명 | 심각도 | 참고 |
---|---|---|
VMware에서 고객 환경에 배포된 vCenter 구성요소에 영향을 주는 VMSA-2023-0023의 여러 취약점이 공개되었습니다. Cloud Customer Care 영향
어떻게 해야 하나요?현재로서는 별도의 조치를 취하지 않으셔도 됩니다. |
매우 심각 | CVE-2023-34048,CVE-2023-34056 |
GCP-2023-033
게시: 2023년 10월 24일
업데이트: 2023년 11월 21일, 2023년 12월 21일
설명
설명 | 심각도 | 참고 |
---|---|---|
2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터 및 GKE Sandbox 워크로드에 영향이 없음을 명시합니다. 2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다. 다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.
자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2023-3777 |
GCP-2023-032
게시: 2023년 10월 13일
업데이트: 2023년 11월 3일
설명
설명 | 심각도 | 참고 |
---|---|---|
2023년 11월 3일 업데이트: 프라이빗 클라우드용 Apigee Edge에 대한 알려진 문제가 추가되었습니다. 최근 서비스 거부(DoS) 취약점이 Apigee X 및 Apigee Hybrid에서 사용하는 Apigee 인그레스(Cloud Service Mesh) 서비스를 포함하여 HTTP/2 프로토콜(CVE-2023-44487)의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Apigee API 관리 기능에 대한 DoS가 발생할 수 있습니다. 자세한 내용과 안내는 Apigee 보안 게시판을 참조하세요. |
높음 | CVE-2023-44487 |
GCP-2023-031
게시: 2023년 10월 10일
설명
설명 | 심각도 | 참고 |
---|---|---|
DoS 공격이 HTTP/2 프로토콜을 사용할 때 데이터 영역에 영향을 줄 수 있습니다. 자세한 내용 및 안내는 Cloud Service Mesh 보안 게시판을 참조하세요. |
높음 | CVE-2023-44487 |
GCP-2023-030
게시: 2023년 10월 10일
업데이트: 2024년 3월 20일
설명
설명 | 심각도 | 참고 |
---|---|---|
2024년 3월 20일 업데이트: CVE-2023-44487의 최신 패치가 포함된 AWS용 GKE 및 Azure용 GKE의 패치 버전이 추가되었습니다. 2024년 2월 14일 업데이트: VMware용 GKE의 패치 버전이 추가되었습니다. 2023년 11월 9일 업데이트: CVE-2023-39325가 추가되었습니다. CVE-2023-44487 및 CVE-2023-39325의 최신 패치로 GKE 버전이 업데이트되었습니다. 최근 서비스 거부(DoS) 취약점이 Kubernetes에서 사용하는 golang HTTP 서버를 포함하여 HTTP/2 프로토콜(CVE-2023-44487)의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Google Kubernetes Engine(GKE) 컨트롤 플레인에 대한 DoS가 발생할 수 있습니다. 승인된 네트워크가 구성된 GKE 클러스터는 네트워크 액세스 제한을 통해 보호되지만 다른 모든 클러스터는 영향을 받습니다. 자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2023-44487, CVE-2023-39325 |
GCP-2023-029
게시: 2023년 10월 3일
설명
설명 | 심각도 | 참고 |
---|---|---|
TorchServe는 온라인 예측을 위해 PyTorch 머신러닝 모델을 호스팅하는 데 사용됩니다. Vertex AI는 TorchServe에 의존하는 컨테이너를 제공하는 사전 빌드된 PyTorch 모델을 제공합니다. 모델 관리 API가 노출된 경우 공격자가 TorchServe 배포를 제어할 수 있는 취약점이 최근 TorchServe에서 발견되었습니다. Vertex AI는 TorchServe의 모델 관리 API를 노출하지 않기 때문에 Vertex AI 온라인 예측에 PyTorch 모델이 배포된 고객은 이러한 취약점의 영향을 받지 않습니다. Vertex AI 외부에서 TorchServe를 사용하는 고객은 해당 배포가 올바르게 설정되었는지 주의해야 합니다. 어떻게 해야 하나요? Vertex AI의 배포는 인터넷에 TorchServe의 관리 서버를 노출하지 않기 때문에 Vertex AI의 사전 빌드된 PyTorch 제공 컨테이너를 사용하여 모델을 배포한 Vertex AI 고객은 취약점 해결을 위한 조치를 취할 필요가 없습니다. 다른 컨텍스트에서 사전 빌드된 PyTorch 컨테이너를 사용 중이거나 커스텀 빌드된 또는 타사에서 배포된 TorchServe를 사용 중인 고객은 다음을 수행해야 합니다.
해결되는 취약점은 무엇인가요? TorchServe의 관리 API는 Vertex AI에서 릴리스되는 항목을 포함하여 기본적으로 대부분의 TorchServe Docker 이미지에서 CVE-2023-43654 및 CVE-2022-1471는 사용자가 관리 API에 액세스하여 임의 소스에서 모델을 로드하고 원격으로 코드를 실행할 수 있게 해줍니다. 이러한 두 문제 모두에 대한 해결이 TorchServe 0.8.2에 포함되어, 원격 코드 실행 경로가 삭제되었고 |
높음 | CVE-2023-43654, CVE-2022-1471 |
GCP-2023-028
게시: 2023년 9월 19일
업데이트: 2024년 5월 29일
설명
설명 | 심각도 | 참고 |
---|---|---|
2024년 5월 29일 업데이트: 새 피드는 더 이상 공유 서비스 계정을 사용하지 않지만 서비스 중단이 방지되도록 기존 피드에 활성 상태로 유지됩니다. 공유 서비스 계정의 오용이 방지되도록 이전 피드의 소스 변경사항은 차단됩니다. 고객은 소스를 변경하지 않는 한 이전 피드를 정상적으로 계속 사용할 수 있습니다.
고객이 수집 피드를 사용하여 고객 소유의 Cloud Storage 버킷에서 데이터를 수집하도록 Google Security Operations를 구성할 수 있습니다. 최근까지 Google Security Operations는 고객이 버킷에 대한 권한을 부여하는 데 사용한 공유 서비스 계정을 제공했습니다. 이로 인해 한 고객의 Google Security Operations 인스턴스가 다른 고객의 Cloud Storage 버킷에서 데이터를 수집하도록 구성될 수 있었습니다. 영향 분석을 수행한 결과 이러한 취약점에 대한 현재 또는 이전의 악용 사례는 발견되지 않았습니다. 이 취약점은 2023년 9월 19일 이전의 모든 Google Security Operations 버전에서 발생했습니다. 어떻게 해야 하나요? 2023년 9월 19일부터 이 취약점이 해결되도록 Google Security Operations가 업데이트되었습니다. 고객이 별도의 조치를 취하지 않아도 됩니다. 해결되는 취약점은 무엇인가요? 이전에 Google Security Operations는 고객이 버킷에 대한 권한을 부여하는 데 사용한 공유 서비스 계정을 제공했습니다. 여러 고객이 자신의 버킷에 동일한 Google Security Operations 서비스 계정 권한을 부여했으므로 피드가 생성되거나 수정될 때 한 고객의 피드가 다른 고객의 버킷에 액세스하도록 허용하는 악용 벡터가 존재했습니다. 이러한 악용 벡터에는 버킷 URI에 대한 지식이 필요했습니다. 이제는 피드 생성 또는 수정 중에 Google Security Operations에서 고객마다 고유한 서비스 계정을 사용합니다. |
높음 |
GCP-2023-027
게시: 2023년 9월 11일설명 | 심각도 | 참고 |
---|---|---|
VMware vCenter Server 업데이트는 여러 메모리 손상 취약점(CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896)을 해결합니다. 고객 지원 영향VMware vCenter Server(vCenter Server) 및 VMware Cloud Foundation(Cloud Foundation) 어떻게 해야 하나요?고객은 영향을 받지 않으며 별도의 조치를 취할 필요가 없습니다. |
중간 |
GCP-2023-026
게시: 2023년 9월 6일
설명
설명 | 심각도 | 참고 |
---|---|---|
Windows 노드에 포드를 만들 수 있는 사용자가 해당 노드의 관리자 권한으로 에스컬레이션할 수 있는 3가지 취약점(CVE-2023-3676, CVE-2023-3955, CVE-2023-3893)이 Kubernetes에서 발견되었습니다. 이러한 취약점은 Kubelet 및 Kubernetes CSI 프록시의 Windows 버전에 영향을 줍니다. 자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2023-3676, CVE-2023-3955, CVE-2023-3893 |
GCP-2023-025
게시: 2023년 8월 8일설명 | 심각도 | 참고 |
---|---|---|
Intel은 최근 일부 프로세서 제품군에 영향을 미치는 Intel 보안 권고 INTEL-SA-00828을 발표했습니다. 권고에 따라 위험을 평가하는 것이 좋습니다. Google Cloud VMware Engine 영향Google Fleet은 영향을 받는 프로세서 제품군을 활용합니다. 배포에서는 전체 서버가 한 명의 고객 전용입니다. 따라서 Google의 배포 모델은 이 취약점의 평가에 추가적인 위험을 더하지 않습니다. Google은 파트너와 협력하여 필요한 패치를 획득하고 있으며 앞으로 몇 주 내에 표준 업그레이드 프로세스를 사용하여 이러한 패치를 Fleet 전체에 우선 배포할 예정입니다. 어떻게 해야 하나요?별도의 조치를 취하지 않아도 모든 영향을 받는 시스템을 업그레이드하기 위해 작업하고 있습니다. |
높음 |
GCP-2023-024
게시: 2023년 8월 8일
업데이트: 2023년 8월 10일, 2024년 6월 4일
설명
설명 | 심각도 | 참고 |
---|---|---|
2024년 6월 4일 업데이트: 이 취약점을 수정하기 위해 누락된 다음 제품이 업데이트되었습니다.
2023년 8월 10일 업데이트: ChromeOS LTS 버전 번호가 추가되었습니다. Intel은 일부 프로세서의 취약점(CVE-2022-40982)을 공개했습니다. Google은 고객 보호를 위해 Google Cloud를 포함한 서버 제품군을 완화하는 조치를 취했습니다. 취약점 세부정보:
어떻게 해야 하나요?
고객이 별도의 조치를 취하지 않아도 됩니다. 사용 가능한 모든 패치가 Google Compute Engine을 포함한 Google Cloud 서버 Fleet에 이미 적용되었습니다. 현재 다음 제품은 파트너 및 공급업체의 추가 업데이트가 필요합니다.
이러한 패치를 사용할 수 있게 되면 Google은 해당 제품에 조치를 취하고 그에 따라 이 게시판이 업데이트됩니다. Google Chromebook 및 ChromeOS Flex 고객은 Stable(115), LTS(108), Beta(116), LTC(114)에서 Intel이 제공한 완화 기능을 자동으로 받았습니다. 이전 출시 버전에 고정된 Chromebook 및 ChromeOS Flex 고객은 이 버전 및 기타 취약점 수정 사항을 받을 수 있도록 고정 해제하고 Stable 또는 LTS 출시 버전으로 이동하는 것을 고려해야 합니다. 해결되는 취약점은 무엇인가요? CVE-2022-40982 - 자세한 내용은 Intel 보안 권고 INTEL-SA-00828을 참조하세요. |
높음 | CVE-2022-40982 |
GCP-2023-023
게시: 2023년 8월 8일
설명
설명 | 심각도 | 참고 |
---|---|---|
AMD는 일부 프로세서(CVE-2023-20569)의 취약점을 공개했습니다. Google은 고객 보호를 위해 Google Cloud를 포함한 서버 제품군을 완화하는 조치를 취했습니다. 취약점 세부정보:
어떻게 해야 하나요?
Compute Engine VM 사용자가 인스턴스 내 신뢰할 수 없는 코드 실행을 사용하는 경우 OS 제공 완화를 고려해야 합니다. 자세한 내용은 고객이 OS 공급업체에 문의하는 것이 좋습니다. 수정 사항은 이미 Google Compute Engine을 포함한 Google Cloud 서버 Fleet에 적용되었습니다. 해결되는 취약점은 무엇인가요? CVE-2023-20569 - 자세한 내용은 AMD SB-7005를 참조하세요. |
보통 | CVE-2023-20569 |
GCP-2023-022
게시: 2023년 8월 3일
설명
설명 | 심각도 | 참고 |
---|---|---|
1.57 버전 이전의 gRPC C++ 구현에서 취약점이 발견되었습니다. gRPC의 C++ 구현 내 서비스 거부 취약점입니다. 1.53.2, 1.54.3, 1.55.2, 1.56.2, 1.57 버전에서 수정되었습니다. 어떻게 해야 하나요? 다음 소프트웨어 패키지의 최신 버전을 사용하고 있는지 확인합니다.
해결되는 취약점은 무엇인가요? 이러한 패치로 완화되는 취약점은 다음과 같습니다.
| 높음 | CVE-2023-33953 |
GCP-2023-021
업데이트: 2023년 7월 26일
게시: 2023년 7월 25일
설명
설명 | 심각도 | 참고 |
---|---|---|
다음 CVE는 Cloud Service Mesh를 악용 가능한 취약점에 노출합니다.
자세한 내용 및 안내는 Cloud Service Mesh 보안 게시판을 참조하세요. |
높음 |
GCP-2023-020
업데이트: 2023년 7월 26일
게시: 2023년 7월 24일
설명
설명 | 심각도 | 참고 |
---|---|---|
AMD에서 하드웨어 보안 취약점(CVE-2023-20593)을 해결하는 마이크로코드 업데이트를 출시했습니다. Google은 Google Cloud Platform용 서버를 포함하여 이 취약점에 필요한 수정사항을 서버 Fleet에 적용했습니다. 테스트에서는 시스템 성능에 영향을 미치지 않는 것으로 나타납니다. 어떻게 해야 하나요? Google Cloud Platform용 Google 서버 Fleet에 수정사항이 이미 적용되어 있으므로 고객이 별도로 취해야 할 조치는 없습니다. 해결되는 취약점은 무엇인가요? CVE-2023-20593은 일부 AMD CPU의 취약점을 해결합니다. 자세한 내용은 여기에서 확인할 수 있습니다. | 높음 | CVE-2023-20593 |
GCP-2023-019
게시: 2023년 7월 18일
설명
설명 | 심각도 | 참고 |
---|---|---|
신뢰할 수 없는 업스트림 서비스에서 특별히 제작된 응답으로 인해 메모리 소진을 통한 서비스 거부가 발생할 수 있는 새로운 취약점(CVE-2023-35945)이 Envoy에서 발견되었습니다. 이 문제는 업스트림 서버에서 자세한 내용 및 안내는 Cloud Service Mesh 보안 게시판을 참조하세요. | 높음 | CVE-2023-35945 |
GCP-2023-018
게시: 2023년 6월 27일
설명
설명 | 심각도 | 참고 |
---|---|---|
Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-2235)이 발견되었습니다. GKE Autopilot 노드에서 항상 Container-Optimized OS 노드 이미지를 사용하므로 GKE Autopilot 클러스터가 영향을 받습니다. Container-Optimized OS 노드 이미지를 실행하는 버전 1.25 이상의 GKE Standard 클러스터가 영향을 받습니다. GKE 클러스터는 Ubuntu 노드 이미지만 실행하거나 1.25 이전 버전을 실행하거나 GKE Sandbox를 사용하는 경우에는 영향을 받지 않습니다. 자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2023-2235 |
GCP-2023-017
게시: 2023년 6월 26일
업데이트: 2023년 7월 11일
설명
설명 | 심각도 | 참고 |
---|---|---|
2023년 7월 11일 업데이트: CVE-2023-31436 패치를 적용하는 최신 Ubuntu 버전을 포함하도록 새 GKE 버전이 업데이트되었습니다. Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-31436)이 발견되었습니다. Autopilot 클러스터를 포함한 GKE 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 GKE 클러스터는 영향을 받지 않습니다. 자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2023-31436 |
GCP-2023-016
게시: 2023년 6월 26일
설명
설명 | 심각도 | 참고 |
---|---|---|
Cloud Service Mesh에서 사용되는 Envoy에서 악의적인 공격자가 서비스 거부를 일으키거나 Envoy를 비정상 종료할 수 있는 여러 취약점이 발견되었습니다. 각각 GCP-2023-002로 보고되었습니다. 자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487 |
GCP-2023-015
게시: 2023년 6월 20일
설명
설명 | 심각도 | 참고 |
---|---|---|
Linux 커널에서 새로운 취약점인 CVE-2023-0468이 발견되었습니다. io_poll_get_ownership이 모든 io_poll_wake에서 req->poll_refs를 계속 증가시킨 다음 0에 오버플로되어 fput req->file을 두 번 입력하면 구조체 파일 refcount 문제를 일으킬 때 권한이 없는 사용자가 권한을 루트로 에스컬레이션할 수 있습니다. Linux 커널 버전 5.15를 사용하는 Container-Optimized OS를 포함한 Autopilot 클러스터 등의 GKE 클러스터가 영향을 받습니다. Ubuntu 이미지를 사용하거나 GKE Sandbox를 사용하는 GKE 클러스터는 영향을 받지 않습니다. 자세한 내용 및 안내는 다음 게시판을 참조하세요. |
중간 | CVE-CVE-2023-0468 |
GCP-2023-014
업데이트: 2023년 8월 11일
게시: 2023년 6월 15일
설명
설명 | 심각도 | 참고 |
---|---|---|
2023년 8월 11일 업데이트: VMware용 GKE, AWS용 GKE, Azure용 GKE, 베어메탈용 Google Distributed Cloud Virtual의 패치 버전이 추가되었습니다. Kubernetes에서 사용자가 임시 컨테이너와 ImagePolicyWebhook(CVE-2023-2727) 또는 ServiceAccount 허용 플러그인(CVE-2023-2728)을 사용할 때 정책 제한을 우회하는 컨테이너를 실행할 수 있는 두 가지 새로운 보안 문제가 발견되었습니다. 자세한 내용 및 안내는 다음 게시판을 참조하세요. |
중간 | CVE-2023-2727, CVE-2023-2728 |
GCP-2023-013
게시: 2023년 6월 8일
설명
설명 | 심각도 | 참고 |
---|---|---|
프로젝트에서 Cloud Build API를 사용 설정하면 Cloud Build가 사용자 대신 빌드를 실행할 기본 서비스 계정을 자동으로 생성합니다. 이전에는 이 Cloud Build 서비스 계정에 자세한 안내 및 세부정보는 Cloud Build 보안 게시판을 참조하세요. |
낮음 |
GCP-2023-010
게시: 2023년 6월 7일
설명
설명 | 심각도 | 참고 |
---|---|---|
Google은 gRPC C ++ 구현에서 새로운 3가지 취약점을 발견했습니다. 이들은 곧 CVE-2023-1428, CVE-2023-32731, CVE-2023-32732로 공개적으로 게시됩니다. 지난 4월에 1.53 및 1.54 버전에서 두 가지 취약점이 발견되었습니다. 각각 gRPC C++ 구현 내 서비스 거부 취약점과 원격 데이터 무단 반출 취약점입니다. 이러한 취약점은 1.53.1, 1.54.2 및 이후 버전에서 수정되었습니다. 이전 3월에는 사내 팀이 정기적인 퍼징 테스트를 수행하던 중 gRPC의 C++ 구현 내부에서 서비스 거부 취약점을 발견했습니다. 이 취약점은 gRPC 1.52 버전에서 발견되었으며 1.52.2 및 1.53 버전에서 수정되었습니다. 어떻게 해야 하나요?다음 소프트웨어 패키지의 최신 버전을 사용하고 있는지 확인합니다.
이러한 패치로 해결되는 취약점이러한 패치로 완화되는 취약점은 다음과 같습니다.
위에 나열된 다음 소프트웨어 패키지의 최신 버전으로 업그레이드하는 것이 좋습니다. |
높음(CVE-2023-1428, CVE-2023-32731). 중간(CVE-2023-32732) | CVE-2023-1428, CVE-2023-32731, CVE-023-32732 |
GCP-2023-009
게시: 2023년 6월 6일
설명
설명 | 심각도 | 참고 |
---|---|---|
드라이버 로그에 액세스할 수 있는 행위자가 서비스 계정 토큰을 관찰할 수 있는 secret-store-csi-driver에서 새 취약점(CVE-2023-2878)이 발견되었습니다. 자세한 내용 및 안내는 다음 게시판을 참조하세요. |
없음 | CVE-2023-2878 |
GCP-2023-008
게시: 2023년 6월 5일
설명
설명 | 심각도 | 참고 |
---|---|---|
Linux 커널에서 노드 루트로 권한 에스컬레이션을 일으킬 수 있는 새로운 취약점(CVE-2023-1872)이 발견되었습니다. 자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2023-1872 |
GCP-2023-007
게시: 2023년 6월 2일
설명
설명 | 심각도 | 참고 |
---|---|---|
SQL 서버용 Cloud SQL에서 고객 관리자 계정이 Google Cloud는 2023년 3월 1일 보안 취약점 패치를 통해 이 문제를 해결했습니다. Google Cloud에서는 고객 인스턴스가 손상된 것을 발견하지 못했습니다. 자세한 안내 및 세부정보는 Cloud SQL 보안 게시판을 참조하세요. |
높음 |
GCP-2023-005
게시: 2023년 5월 18일
업데이트: 2023년 6월 6일
설명
설명 | 심각도 | 참고 |
---|---|---|
2023년 6월 6일 업데이트: CVE-2023-1281 및 CVE-2023-1829에 패치를 적용하는 최신 Ubuntu 버전이 포함되도록 새 GKE 버전이 업데이트되었습니다. Linux 커널에서 노드의 루트에 권한 에스컬레이션이 발생할 수 있는 두 가지 새로운 취약점(CVE-2023-1281 및 CVE-2023-1829)이 발견되었습니다. 자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2023-1281 CVE-2023-1829 |
GCP-2023-004
게시: 2023년 4월 26일
설명
설명 | 심각도 | 참고 |
---|---|---|
신뢰 플랫폼 모듈(TPM) 2.0에서 두 가지 취약점(CVE-2023-1017 및 CVE-2023-1018)이 발견되었습니다. 이 취약점으로 인해 정교한 공격자가 특정 Compute Engine VM에서 범위를 벗어난 2바이트의 읽기/쓰기를 악용할 수 있습니다. 자세한 내용 및 안내는 Compute Engine 보안 게시판을 참조하세요. |
중간 |
GCP-2023-003
게시: 2023년 4월 11일
업데이트: 2023년 12월 21일
설명
설명 | 심각도 | 참고 |
---|---|---|
2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다. Linux 커널에서 권한이 없는 사용자가 권한을 에스컬레이션할 수 있는 두 가지 새로운 취약점 CVE-2023-0240 및 CVE-2023-23586이 발견되었습니다. 자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2023-0240, CVE-2023-23586 |
GCP-2023-002
설명
설명 | 심각도 | 참고 |
---|---|---|
다음 CVE는 Cloud Service Mesh를 악용 가능한 취약점에 노출합니다.
자세한 내용 및 안내는 Cloud Service Mesh 보안 게시판을 참조하세요. |
높음 |
GCP-2023-001
게시: 2023년 3월 1일, 2023년 12월 21일
설명
설명 | 심각도 | 참고 |
---|---|---|
2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다. Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-4696)이 발견되었습니다. 자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2022-4696 |
GCP-2022-026
게시: 2023년 1월 11일
설명
설명 | 심각도 | 참고 |
---|---|---|
OpenSSL v3.0.6에서 충돌을 일으킬 수 있는 두 가지 새로운 취약점(CVE-2022-3786 및 CVE-2022-3602)이 발견되었습니다. 자세한 내용 및 안내는 다음 게시판을 참조하세요. |
중간 |
GCP-2022-025
게시: 2022년 12월 21일
업데이트: 2023년 1월 19일, 2023년 12월 21일
설명
설명 | 심각도 | 참고 |
---|---|---|
2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다. 2023년 1월 19일 업데이트: GKE 버전 1.21.14-gke.14100을 사용할 수 있다는 정보가 추가되었습니다. OpenSSL v3.0.6에서 충돌을 일으킬 수 있는 두 가지 새로운 취약점(CVE-2022-3786 및 CVE-2022-3602)이 발견되었습니다. 자세한 내용 및 안내는 다음 게시판을 참조하세요. |
중간 |
GCP-2022-024
게시: 2022년 11월 9일
업데이트: 2023년 1월 19일
설명
설명 | 심각도 | 참고 |
---|---|---|
2023년 1월 19일 업데이트: GKE 버전 1.21.14-gke.14100을 사용할 수 있다는 정보가 추가되었습니다. 2022년 12월 16일 업데이트: GKE 및 VMware용 GKE의 패치 버전이 추가되었습니다. Linux 커널에서 전체 컨테이너가 노드의 루트로 침입할 수 있는 두 가지 새로운 취약점(CVE-2022-2585 및 CVE-2022-2588)이 발견되었습니다. 자세한 내용 및 안내는 다음을 참조하세요. |
높음 |
GCP-2022-023
게시: 2022년 11월 4일
설명
설명 | 심각도 | 참고 |
---|---|---|
Cloud Service Mesh에서 사용되는 Istio에서 악의적인 공격자가 컨트롤 플레인을 비정상 종료할 수 있는 보안 취약점 CVE-2022-39278이 발견되었습니다. 자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2022-39278 |
GCP-2022-022
게시: 2022년 10월 28일
업데이트: 2022년 12월 14일
설명
설명 | 심각도 | 참고 |
---|---|---|
2022년 12월 14일 업데이트: GKE 및 VMware용 GKE의 패치 버전이 추가되었습니다. Linux 커널에서 권한 없는 사용자가 시스템 실행 권한으로 에스컬레이션할 수 있는 새로운 취약점(CVE-2022-20409)이 발견되었습니다. 자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2022-20409 |
GCP-2022-021
게시: 2022년 10월 27일
업데이트: 2023년 1월 19일, 2023년 12월 21일
설명
설명 | 심각도 | 참고 |
---|---|---|
2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다. 2023년 1월 19일 업데이트: GKE 버전 1.21.14-gke.14100을 사용할 수 있다는 정보가 추가되었습니다. 2022년 12월 15일 업데이트: Google Kubernetes Engine 버전 1.21.14-gke.9400은 출시 대기 중이며 더 높은 버전 번호로 대체될 수 있다는 정보가 업데이트되었습니다. 2022년 11월 22일 업데이트: VMware용 GKE, AWS용 GKE, Azure용 GKE에 대한 패치 버전이 추가되었습니다. Linux 커널에서 로컬 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-3176)이 발견되었습니다. 이 취약점으로 인해 권한이 없는 사용자가 노드에서 루트로 가는 전체 컨테이너에 침입할 수 있습니다. 자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 | CVE-2022-3176 |
GCP-2022-020
게시: 2022년 10월 5일
업데이트: 2022년 10월 12일
설명
설명 | 심각도 | 참고 |
---|---|---|
Istio 컨트롤 플레인 자세한 내용 및 안내는 Cloud Service Mesh 보안 게시판을 참조하세요. |
높음 | CVE-2022-39278 |
GCP-2022-019
게시: 2022년 9월 22일
설명
설명 | 심각도 | 참고 |
---|---|---|
ProtocolBuffer의 C++ 및 Python 구현의 메시지 파싱 및 메모리 관리 취약점으로 인해 특별히 작성된 메시지를 처리할 때 메모리 부족(OOM) 오류가 트리거될 수 있습니다. 이로 인해 라이브러리를 사용하는 서비스에 대한 서비스 거부(DoS)가 발생할 수 있습니다. 어떻게 해야 하나요?다음 소프트웨어 패키지의 최신 버전을 사용하고 있는지 확인합니다.
이 패치로 어떤 취약점이 해결되나요?이 패치로 다음의 취약점이 완화됩니다.
실행 중인 서비스가 대량의 RAM을 할당하도록 하는 특별히 구성된 작은 크기의 메시지 메시지입니다. 요청의 크기가 작으면 쉽게 취약점을 활용하고 리소스를 소진할 수 있습니다. 신뢰할 수 없는 protobuf를 소비하는 C++ 및 Python 시스템은 RPC 요청에 |
중간 | CVE-2022-1941 |
GCP-2022-018
게시: 2022년 8월 1일
업데이트: 2022년 9월 14일, 2023년 12월 21일
설명
설명 | 심각도 | 참고 |
---|---|---|
2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다. 2022년 9월 14일 업데이트: VMware용 GKE, AWS용 GKE, Azure용 GKE의 패치 버전이 추가되었습니다. Linux 커널에서 로컬 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-2327)이 발견되었습니다. 이 취약점으로 인해 권한이 없는 사용자가 노드에서 루트로 가는 전체 컨테이너에 침입할 수 있습니다. 자세한 내용 및 안내는 다음 게시판을 참조하세요. | 높음 | CVE-2022-2327 |
GCP-2022-017
게시: 2022년 6월 29일
업데이트: 2022년 11월 22일
설명
설명 | 심각도 | 참고 |
---|---|---|
2022년 11월 22일 업데이트: GKE Sandbox를 사용하는 워크로드는 이러한 취약점의 영향을 받지 않습니다. 2022년 7월 21일 업데이트: VMware용 GKE에 관한 추가 정보 Linux 커널 버전 5.10 및 5.11에서 새로운 취약점(CVE-2022-1786)이 발견되었습니다. 이 취약점으로 인해 클러스터에 대한 로컬 액세스 권한이 있는 권한이 없는 사용자가 노드의 루트에 대한 전체 컨테이너에 침입할 수 있습니다. Container-Optimized OS를 실행하는 클러스터만 영향을 받습니다. GKE Ubuntu 버전은 커널 5.4 또는 5.15 버전을 사용하며 영향을 받지 않습니다. 자세한 내용 및 안내는 다음을 참조하세요. |
높음 | CVE-2022-1786 |
GCP-2022-016
게시: 2022년 6월 23일
업데이트: 2022년 11월 22일
설명
설명 | 심각도 | 참고 |
---|---|---|
2022년 11월 22일 업데이트: Autopilot 클러스터는 CVE-2022-29581의 영향을 받지 않지만 CVE-2022-29582 및 CVE-2022-1116에 취약합니다. Linux 커널에서 3개의 새로운 메모리 손상 취약점(CVE-2022-29581, CVE-2022-29582, CVE-2022-1116)이 발견되었습니다. 이 취약점으로 인해 클러스터에 대한 로컬 액세스 권한이 없는 사용자가 노드의 루트에 대한 전체 컨테이너에 침입할 수 있습니다. 모든 Linux 클러스터(Container-Optimized OS 및 Ubuntu)가 영향을 받습니다. 자세한 내용 및 안내는 다음 게시판을 참조하세요. |
높음 |
GCP-2022-015
게시: 2022년 6월 9일
업데이트: 2022년 6월 10일
설명
설명 | 심각도 | 참고 |
---|---|---|
2022년 6월 10일 업데이트: Cloud Service Mesh 버전이 업데이트되었습니다. 자세한 내용 및 안내는 Cloud Service Mesh 보안 게시판을 참조하세요. 다음 Envoy 및 Istio CVE는 Cloud Service Mesh와 Istio on GKE를 원격으로 악용 가능한 취약점에 노출합니다.
자세한 내용 및 안내는 Cloud Service Mesh 보안 게시판을 참조하세요. |
매우 심각 |
GCP-2022-014
게시: 2022년 4월 26일
업데이트: 2022년 11월 22일
설명
설명 | 심각도 | 참고 |
---|---|---|
2022년 11월 22일 업데이트: GKE Sandbox에서 실행되는 GKE Autopilot 클러스터 및 워크로드는 영향을 받지 않습니다. 2022년 5월 12일 업데이트: AWS용 GKE 및 Azure용 GKE 버전이 업데이트되었습니다. 자세한 내용 및 안내는 다음을 참조하세요. Linux 커널에서 두 가지 보안 취약점 CVE-2022-1055 및 CVE-2022-27666이 발견되었습니다. 이로 인해 로컬 공격자가 컨테이너 침입, 호스트에서 권한 에스컬레이션을 수행하거나 둘 다 수행할 수 있습니다. 이러한 취약점은 모든 GKE 노드 운영체제(Container-Optimized OS 및 Ubuntu)에 영향을 줍니다. 자세한 내용 및 안내는 다음 보안 게시판을 참조하세요. |
높음 |
CVE-2022-1055 CVE-2022-27666 |
GCP-2022-013
게시: 2022년 4월 11일
업데이트: 2022년 4월 22일
설명
설명 | 심각도 | 참고 |
---|---|---|
보안 취약점 CVE-2022-23648은 OCI 이미지 볼륨 사양의 containerd 경로 순회 처리에서 발견되었습니다. 특별히 제작된 이미지 구성으로 containerd의 CRI 구현을 통해 시작된 컨테이너는 호스트의 임의 파일 및 디렉터리에 대한 전체 읽기 액세스 권한을 얻을 수 있습니다. 이 취약점은 컨테이너 설정에 대한 정책 기반 시행(Kubernetes 포드 보안 정책 포함)을 우회할 수 있습니다. 자세한 내용 및 안내는 다음 보안 게시판을 참조하세요. |
중간 | CVE-2022-23648 |
GCP-2022-012
게시: 2022년 4월 7일
업데이트: 2022년 11월 22일
설명
설명 | 심각도 | 참고 |
---|---|---|
2022년 11월 22일 업데이트: Standard 및 Autopilot 모드의 GKE 클러스터의 경우 GKE Sandbox를 사용하는 워크로드는 영향을 받지 않습니다. Linux 커널 버전 5.8 이상에서 보안 취약점 CVE-2022-0847이 발견되었으며 컨테이너 권한이 루트로 에스컬레이션될 수 있습니다. 이 취약점은 다음 제품에 영향을 미칩니다.
자세한 내용 및 안내는 다음 보안 게시판을 참조하세요. |
높음 | CVE-2022-0847 |
GCP-2022-011
게시: 2022년 3월 22일
업데이트: 2022년 8월 11일
설명
설명 | 심각도 |
---|---|
2022년 8월 11일 업데이트: 동시 멀티 스레딩(SMT) 구성에 대한 자세한 정보가 추가되었습니다. SMT는 사용 중지되었지만 나열된 버전에서 사용 설정되었습니다. 샌드박스 처리된 노드 풀에 수동으로 SMT를 사용 설정한 경우 이 문제가 발생하더라도 SMT는 수동으로 사용 설정된 상태를 유지합니다. GKE Sandbox 이미지에 하이퍼 스레딩이라고도 하는 동시 멀티 스레딩(SMT)이 잘못 구성되어 있습니다. 잘못된 구성으로 인해 노드가 마이크로아키텍처 데이터 샘플링(MDS)과 같은 부채널 공격에 노출될 수 있습니다. 자세한 내용은 GKE Sandbox 문서를 참조하세요. 영향을 받는 다음 버전을 사용하지 않는 것이 좋습니다.
자세한 안내 및 정보는 GKE 보안 게시판을 참조하세요. |
중간 |
GCP-2022-010
설명
설명 | 심각도 | 참고 |
---|---|---|
다음 Istio CVE는 Cloud Service Mesh를 원격으로 악용 가능한 취약점에 노출합니다.
자세한 내용 및 안내는 다음 보안 게시판을 참조하세요. |
높음 |
GCP-2022-009
게시: 2022년 3월 1일설명
설명 | 심각도 |
---|---|
GKE Autopilot 클러스터에서 노드 VM에 액세스하기 위한 일부 예기치 않은 경로가 클러스터의 권한 승격을 위해 사용되었습니다. 이 문제는 해결되었으며 추가 조치가 필요하지 않습니다. 이 수정사항은 취약성 발견 보상 프로그램을 통해 보고된 문제를 해결합니다. 자세한 내용 및 안내는 GKE 보안 게시판을 참조하세요. |
낮음 |
GCP-2022-008
게시: 2022년 2월 23일
업데이트: 2022년 4월 28일
설명
설명 | 심각도 | 참고 |
---|---|---|
2022년 4월 28일 업데이트: 이러한 취약점을 해결하는 VMware용 GKE 버전이 추가되었습니다. 자세한 내용은 VMware용 GKE 보안 게시판을 참조하세요. Envoy 프로젝트에서 최근에 몇 가지 취약점이 발견되었습니다. 아래에 나열된 모든 문제는 Envoy 출시 버전 1.21.1에서 수정되었습니다.
어떻게 해야 하나요? 자체 Envoy를 관리하는 Envoy 사용자는 Envoy 출시 버전 1.21.1을 사용해야 합니다. 자체 Envoy를 관리하는 Envoy 사용자는 GitHub와 같은 소스에서 바이너리를 빌드하여 배포합니다. Google Cloud 제품이 1.21.1로 전환되는 관리형 Envoy(Google Cloud에서 Envoy 바이너리 제공)를 실행하는 사용자가 취해야 할 조치는 없습니다. |
높음 |
CVE-2022-23606 CVE-2022-21655 CVE-2021-43826 CVE-2021-43825 CVE-2021-43824 CVE-2022-21654 CVE-2022-21657 CVE-2022-21656 |
GCP-2022-007
게시: 2022년 2월 22일설명
설명 | 심각도 | 참고 |
---|---|---|
다음 Envoy 및 Istio CVE는 Cloud Service Mesh와 Istio on GKE를 원격으로 악용 가능한 취약점에 노출합니다.
자세한 내용 및 안내는 다음 보안 게시판을 참조하세요. |
높음 |
GCP-2022-006
게시: 2022년 2월 14일업데이트: 2022년 5월 16일
설명
설명 | 심각도 | 참고 |
---|---|---|
2022년 5월 16일 업데이트: 이 취약점을 해결하기 위한 코드가 있는 버전 목록에 GKE 버전 1.19.16-gke.7800 이상이 추가되었습니다. 자세한 내용은 GKE 보안 게시판을 참조하세요. 2022년 5월 12일 업데이트: GKE, VMware용 GKE, AWS용 GKE, Azure용 GKE 버전이 업데이트되었습니다. 자세한 내용 및 안내는 다음을 참조하세요. Linux 커널의 |
낮음 |
자세한 내용 및 안내는 다음을 참조하세요. |
GCP-2022-005
게시: 2022년 2월 11일업데이트: 2022년 2월 15일
설명
설명 | 심각도 | 참고 |
---|---|---|
보안 취약점 CVE-2021-43527은 3.73 또는 3.68.1 이전 버전의 NSS(네트워크 보안 서비스)에서 발견된 취약한 libnss3 버전에 연결되는 바이너리에서 발견되었습니다. 인증서 유효성 검사나 기타 TLS, X.509, OCSP 또는 CRL 기능에 NSS를 사용하는 애플리케이션은 NSS 사용/구성 방식에 따라 영향을 받을 수 있습니다. 자세한 내용 및 안내는 다음을 참조하세요. |
중간 | CVE-2021-43527 |
GCP-2022-004
게시: 2022년 2월 4일설명
설명 | 심각도 | 참고 |
---|---|---|
Linux 정책 키트 패키지(polkit)의 일부인 pkexec에서 보안 취약점 CVE-2021-4034가 발견되었으며, 이 취약점은 인증된 사용자가 권한 에스컬레이션 공격을 수행할 수 있도록 합니다. PolicyKit는 일반적으로 루트가 아닌 사용자가 정책에 따라 시스템 재부팅, 패키지 설치, 서비스 재시작과 같은 작업을 수행할 수 있도록 하는 Linux 데스크톱 시스템에서만 사용됩니다. 자세한 내용 및 안내는 다음을 참조하세요. |
없음 | CVE-2021-4034 |
GCP-2022-002
게시: 2022년 2월 1일업데이트: 2022년 2월 25일
설명
설명 | 심각도 | 참고 |
---|---|---|
2022년 2월 25일 업데이트: GKE 버전이 업데이트되었습니다. 안내 및 자세한 내용은 다음을 참조하세요. 2022년 2월 23일 업데이트: GKE 및 VMware용 GKE 버전이 업데이트되었습니다. 자세한 내용 및 안내는 다음을 참조하세요. 2022년 2월 4일 업데이트: GKE 패치 버전의 출시 시작일은 2월 2일였습니다. Linux 커널에서 CVE-2021-4154, CVE-2021-22600, CVE-2022-0185의 세 가지 보안 취약점이 발견되었으며, 각각은 컨테이너 침입, 호스트의 권한 에스컬레이션 또는 둘 다로 이어질 수 있습니다. 이러한 취약점은 GKE의 모든 노드 운영체제(COS 및 Ubuntu), VMware용 GKE, AWS용 GKE(현재 및 이전 세대), Azure용 GKE에 영향을 미칩니다. GKE Sandbox를 사용하는 포드는 이 취약점에 취약하지 않습니다. 자세한 내용은 COS 출시 노트를 참조하세요. 자세한 내용 및 안내는 다음을 참조하세요. |
높음 |
GCP-2022-001
게시: 2022년 1월 6일설명
설명 | 심각도 | 참고 |
---|---|---|
어떻게 해야 하나요? 다음 소프트웨어 패키지의 최신 버전을 사용하고 있는지 확인합니다.
Protobuf 'javalite' 사용자(일반적으로 Android)는 영향을 받지 않습니다. 이 패치로 어떤 취약점이 해결되나요? 이 패치로 다음의 취약점이 완화됩니다. Java에서 알 수 없는 필드가 파싱되는 방식의 구현 단점입니다. 소량(800KB 미만)의 악성 페이로드는 반복 가비지 컬렉션 일시중지를 자주 초래하는 단기 객체를 대량으로 만들어 몇 분 동안 파서를 차지할 수 있습니다. |
높음 | CVE-2021-22569 |
GCP-2021-024
게시: 2021년 10월 21일설명
설명 | 심각도 | 참고 |
---|---|---|
Kubernetes ingress-nginx 컨트롤러 CVE-2021-25742에 보안 문제가 검색되었습니다. Ingress-nginx 커스텀 스니펫은 모든 네임스페이스에서 ingress-nginx 서비스 계정 토큰 및 보안 비밀을 검색하도록 허용합니다. 자세한 내용 및 안내는 다음을 참조하세요. | 없음 | CVE-2021-25742 |
GCP-2021-019
게시: 2021년 9월 29일설명
설명 | 심각도 | 참고 |
---|---|---|
해당 서비스에서 활성 Google Cloud Armor 보안 정책을 삭제하는 자세한 내용 및 안내는 GKE 보안 게시판을 참조하세요. |
낮음 |
GCP-2021-022
게시: 2021년 9월 22일설명
설명 | 심각도 | 참고 |
---|---|---|
키 생성에 사용되는 시드 키를 예측할 수 있는 VMware용 GKE 버전 1.8 및 1.8.1의 GKE Enterprise Identity Service(AIS) LDAP 모듈에서 취약점이 발견되었습니다. 이 취약점으로 인해 인증된 사용자는 임의 클레임을 추가하고 권한을 무기한 에스컬레이션할 수 있습니다. 자세한 안내 및 정보는 VMware용 GKE 보안 게시판을 참조하세요. |
높음 |
GCP-2021-021
게시: 2021년 9월 22일설명
설명 | 심각도 | 참고 |
---|---|---|
보안 취약점 CVE-2020-8561이 Kubernetes에서 발견되었으며, 이 API에서 특정 웹훅을 만들면 kube-apiserver 요청을 이 API 서버의 비공개 네트워크로 리디렉션할 수 있습니다. 자세한 내용 및 안내는 다음을 참조하세요. |
중간 | CVE-2020-8561 |
GCP-2021-023
게시: 2021년 9월 21일설명
설명 | 심각도 | 참고 |
---|---|---|
VMware 보안 권고 VMSA-2021-0020에 따라 VMware는 vCenter의 여러 취약점에 대한 보고서를 받았습니다. VMware는 영향을 받은 VMware 제품의 이러한 취약점을 해결하기 위한 업데이트를 만들었습니다. VMware 보안 권장사항에 따라 VMware에서 vSphere 스택에 제공하는 패치를 Google Cloud VMware Engine에 이미 적용했습니다. 이 업데이트는 CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008, CVE-2021-22010에 설명된 보안 취약점을 해결합니다. 기타 심각하지 않은 보안 문제는 예정된 VMware 스택 업그레이드에서 해결될 예정입니다(7월에 전송된 사전 알림에 따라 업그레이드의 특정 일정에서 자세한 내용이 곧 제공될 예정). VMware Engine의 영향조사에 따르면 영향을 받는 고객은 없는 것으로 확인되었습니다. 어떻게 해야 하나요?VMware Engine 클러스터는 이 취약점의 영향을 받지 않으므로 추가 작업이 필요하지 않습니다. |
매우 심각 |
GCP-2021-020
게시: 2021년 9월 17일설명
설명 | 심각도 | 참고 |
---|---|---|
IAP(Identity-Aware Proxy)가 사용 설정된 백엔드 서비스로 라우팅하는 특정 Google Cloud 부하 분산기가 제한된 조건에서 신뢰할 수 없는 당사자에게 취약할 수 있었습니다. 이번 변경은 Google의 취약성 발견 보상 프로그램에서 보고된 문제를 다룹니다. 서버가 다음과 같은 조건이었습니다.
또한 조직의 사용자는 신뢰할 수 없는 사용자가 보낸 특별히 제작된 링크를 클릭하였습니다. 이 조치로 이제 문제가 해결되었습니다. 2021년 9월 17일부터 승인된 호스트에만 쿠키를 발급하도록 IAP가 업데이트되었습니다. 호스트는 부하 분산기에 설치된 인증서 중 하나에서 1개 이상의 주체 대체 이름(SAN)과 일치하는 경우 승인된 호스트로 간주됩니다. 필요한 조치
일부 사용자의 경우 앱이나 서비스에 액세스하려는 동안 IAP 오류 코드 52와 함께 HTTP 401 Unauthorized 응답 오류가 발생할 수 있습니다. 이러한 오류 코드는 클라이언트가 부하 분산기의 SSL 인증서와 연결된 주체 대체 이름과 일치하지 않는 |
높음 |
GCP-2021-018
게시: 2021년 9월 15일업데이트: 2021년 9월 20일
설명
설명 | 심각도 | 참고 |
---|---|---|
Kubernetes, CVE-2021-25741에서 보안 문제가 발견되었으며, 여기에는 사용자가 subpath 볼륨 마운트를 사용하는 컨테이너를 생성해 호스트 파일 시스템을 포함한 볼륨 외부의 파일 및 디렉터리에 액세스할 수 있다는 문제가 있습니다. 자세한 내용 및 안내는 다음을 참조하세요. |
높음 | CVE-2021-25741 |
GCP-2021-017
게시: 2021년 9월 1일업데이트: 2021년 9월 23일
설명
설명 | 심각도 | 참고 |
---|---|---|
2021년 9월 23일 업데이트: GKE Sandbox 내에서 실행되는 컨테이너는 컨테이너 내부에서 발생한 공격에 대한 이 취약점의 영향을 받지 않습니다. Linux 커널에서 2개의 보안 취약점 CVE-2021-33909 및 CVE-2021-33910이 발견되었습니다. OS 비정상 종료 또는 권한이 없는 사용자의 루트 에스컬레이션으로 이어질 수 있습니다. 이 취약점은 모든 GKE 노드 운영체제(COS 및 Ubuntu)에 영향을 미칩니다. 안내 및 자세한 내용은 다음 보안 게시판을 참조하세요. |
높음 | CVE-2021-33909, CVE-2021-33910 |
GCP-2021-016
게시: 2021년 8월 24일설명
설명 | 심각도 | 참고 |
---|---|---|
다음 Envoy 및 Istio CVE는 Cloud Service Mesh와 Istio on GKE를 원격으로 악용 가능한 취약점에 노출합니다.
자세한 내용 및 안내는 다음 보안 게시판을 참조하세요. |
높음 |
GCP-2021-015
게시: 2021년 7월 13일업데이트: 2021년 7월 15일
설명
설명 | 심각도 | 참고 |
---|---|---|
자세한 내용 및 안내는 다음 보안 게시판을 참조하세요. |
높음 | CVE-2021-22555 |
GCP-2021-014
게시: 2021년 7월 5일설명
설명 | 심각도 | 참고 |
---|---|---|
Microsoft는 Windows 서버에서 인쇄 스풀러에 영향을 주는 원격 코드 실행(RCE) 취약점에 대한 보안 게시글 CVE-2021-34527을 게시했습니다. CERT 조정 센터(CERT/CC)는 PrintNightmare, Critical Windows Print Spooler Vulnerability라는 Windows 인쇄 스풀러에도 영향을 주는 'PrintNightmare'라는 표현을 이용해서 관련 취약점에 대한 업데이트 정보를 게시했습니다. 자세한 내용 및 안내는 GKE 보안 게시판을 참조하세요. |
높음 | CVE-2021-34527 |
GCP-2021-012
게시: 2021년 6월 24일업데이트: 2021년 7월 9일
설명
설명 | 심각도 | 참고 |
---|---|---|
Istio 프로젝트는 최근 게이트웨이 및 DestinationRule credentialName 필드에 지정된 사용자 인증 정보에 여러 네임스페이스에서 액세스할 수 있는 보안 취약점을 발표했습니다. 제품별 자세한 내용 및 안내는 다음을 참조하세요.
|
높음 | CVE-2021-34824 |
GCP-2021-011
게시: 2021년 6월 4일업데이트: 2021년 10월 19일
설명
설명 | 심각도 | 참고 |
---|---|---|
2021년 10월 19일 업데이트: 자세한 내용 및 안내는 다음 보안 게시판을 참조하세요.
GKE의 경우 이 취약점을 악용하기 위해서는 포드 만들기 기능이 필요하기 때문에 이 취약점의 심각도가 중간으로 지정되었습니다. 자세한 내용 및 안내는 GKE 보안 게시판을 참조하세요. |
중간 | CVE-2021-30465 |
GCP-2021-010
게시: 2021년 5월 25일설명
설명 | 심각도 | 참고 |
---|---|---|
VMware 보안 권고 VMSA-2021-0010에 따라 vSphere 클라이언트(HTML5)의 원격 코드 실행 및 인증 우회 취약점이 VMware에 비공개로 보고되었습니다. VMware는 영향을 받은 VMware 제품의 이러한 취약점을 해결하기 위한 업데이트를 만들었습니다. VMware 보안 권고에 따라 VMware에서 제공한 패치를 vSphere 스택에 적용했습니다. 이 업데이트는 CVE-2021-21985 및 CVE-2021-21986에 설명된 보안 취약점을 해결합니다. VMware Engine 프라이빗 클라우드에서 실행되는 이미지 버전은 적용된 패치를 나타내는 현재의 변경사항을 반영하지 않습니다. 적절한 패치가 설치되었으며 이러한 취약점으로부터 환경이 보호되고 있으므로 안심하셔도 됩니다. VMware Engine의 영향조사에 따르면 영향을 받는 고객은 없는 것으로 확인되었습니다. 어떻게 해야 하나요?VMware Engine 클러스터는 이 취약점의 영향을 받지 않으므로 추가 작업이 필요하지 않습니다. |
매우 심각 |
GCP-2021-008
게시: 2021년 5월 17일설명
설명 | 심각도 | 참고 |
---|---|---|
Istio에는 게이트웨이가 자세한 내용 및 안내는 Cloud Service Mesh 보안 게시판을 참조하세요. |
높음 |
CVE-2021-31921 |
GCP-2021-007
게시: 2021년 5월 17일설명
설명 | 심각도 | 참고 |
---|---|---|
Istio에는 슬래시 또는 이스케이프된 슬래시 문자( 자세한 내용 및 안내는 Cloud Service Mesh 보안 게시판을 참조하세요. |
높음 |
CVE-2021-31920 |
GCP-2021-006
게시: 2021년 5월 11일설명
설명 | 심각도 | 참고 |
---|---|---|
Istio 프로젝트는 최근 Istio에 영향을 미치는 새로운 보안 취약점(CVE-2021-31920)을 공개했습니다. Istio에는 슬래시 또는 이스케이프된 슬래시 문자가 여러 개 있는 HTTP 요청이 경로 기반 승인 규칙을 사용할 때 Istio 승인 정책을 우회할 수 있는 원격으로 악용 가능한 취약점이 포함되어 있습니다. 자세한 내용 및 안내는 다음을 참조하세요. |
높음 |
CVE-2021-31920 |
GCP-2021-005
게시: 2021년 5월 11일설명
설명 | 심각도 | 참고 |
---|---|---|
보고된 취약점에 따르면 Envoy가 Envoy 버전 1.18.2 이하의 HTTP URL 경로에서 이스케이프된 슬래시 시퀀스 어떻게 해야 하나요?
백엔드 서버가 어떤 동작 변경사항이 도입되었나요?Envoy의 normalize_path 및 인접한 슬래시 병합 옵션이 Envoy 기반 제품의 다른 일반적인 경로 혼동 취약점을 해결하기 위해 사용 설정되었습니다. |
높음 |
CVE-2021-29492 |
GCP-2021-004
게시: 2021년 5월 6일설명
설명 | 심각도 | 참고 |
---|---|---|
Envoy 및 Istio 프로젝트는 최근 공격자가 Envoy를 손상시킬 수 있는 몇 가지 새로운 보안 취약점(CVE-2021-28683, CVE-2021-28682, CVE-2021-29258)을 발표했습니다. Google Kubernetes Engine 클러스터는 기본적으로 Istio를 실행하지 않으므로 취약하지 않습니다. Istio가 클러스터에 설치되고 인터넷에 서비스를 노출하도록 구성된 경우 서비스는 서비스 거부에 취약할 수 있습니다. 베어메탈용 Google Distributed Cloud Virtual 및 VMware용 GKE는 기본적으로 인그레스에 Envoy를 사용하므로 인그레스 서비스는 서비스 거부에 취약할 수 있습니다. 안내 및 자세한 내용은 다음 보안 게시판을 참조하세요. |
중간 |
GCP-2021-003
게시: 2021년 4월 19일설명
설명 | 심각도 | 참고 |
---|---|---|
Kubernetes 프로젝트에서 최근에 발표한 새로운 보안 취약점인 CVE-2021-25735는 노드 업데이트가 검증 허용 웹훅을 우회할 수 있습니다.
공격자가 충분한 권한이 있고 이전 안내 및 자세한 내용은 다음 보안 게시판을 참조하세요. |
중간 |
GCP-2021-002
게시: 2021년 3월 5일설명
설명 | 심각도 | 참고 |
---|---|---|
VMware 보안 권고 VMSA-2021-0002에 따라 VMware는 VMware ESXi 및 vSphere Client(HTML5)의 여러 취약점에 대한 보고를 받았습니다. VMware는 영향을 받은 VMware 제품의 이러한 취약점을 해결하기 위한 업데이트를 만들었습니다. VMware 보안 권고에 따라 vSphere 스택에 대한 공식적으로 작성된 해결 방법을 적용했습니다. 이 업데이트는 CVE-2021-21972, CVE-2021-21973, CVE-2021-21974에 설명된 보안 취약점을 해결합니다. VMware Engine의 영향조사에 따르면 영향을 받는 고객은 없는 것으로 확인되었습니다. 어떻게 해야 하나요?VMware Engine 클러스터는 이 취약점의 영향을 받지 않으므로 추가 작업이 필요하지 않습니다. |
매우 심각 |
GCP-2021-001
게시: 2021년 1월 28일설명
설명 | 심각도 | 참고 |
---|---|---|
CVE-2021-3156의 설명대로 최근 Linux 유틸리티 Compute Engine이 실행되는 기본 인프라는 이 취약점의 영향을 받지 않습니다. 모든 Google Kubernetes Engine(GKE), VMware용 GKE, AWS용 GKE, 베어메탈용 Google Distributed Cloud Virtual 클러스터는 이 취약점의 영향을 받지 않습니다. 안내 및 자세한 내용은 다음 보안 게시판을 참조하세요. |
없음 | CVE-2021-3156 |
GCP-2020-015
게시: 2020년 12월 7일업데이트: 2020년 12월 22일
설명
설명 | 심각도 | 참고 |
---|---|---|
업데이트: 2021년 12월 22일 다음 섹션의 GKE 명령어는 gcloud container clusters update –no-enable-service-externalips 업데이트: 2021-12-15 GKE에서 다음 완화 방법이 제공됩니다.
자세한 내용은 클러스터 보안 강화를 참조하세요. Kubernetes 프로젝트에서 최근에 발견한 새로운 보안 취약점인 CVE-2020-8554은 LoadBalancer 또는 ClusterIP 유형의 Kubernetes 서비스를 생성할 권한을 얻은 공격자가 클러스터의 다른 pod에서 발생하는 네트워크 트래픽을 가로챌 수 있습니다. 이 취약점 자체로 인해 공격자가 Kubernetes 서비스를 만들 수 있는 권한이 부여되지는 않습니다. 모든 Google Kubernetes Engine(GKE), VMware용 GKE, AWS용 GKE 클러스터가 이 취약점의 영향을 받습니다. 어떻게 해야 하나요?자세한 내용 및 안내는 다음을 참조하세요. |
중간 |
CVE-2020-8554 |
GCP-2020-014
게시: 2020년 10월 20일업데이트: 2020년 10월 20일
설명
설명 | 심각도 | 참고 |
---|---|---|
최근 Kubernetes 프로젝트에서는 상세 로깅 옵션이 사용 설정된 경우 보안 비밀 데이터를 노출할 가능성이 있는 여러 문제가 발견되었습니다. 문제는 다음과 같습니다.
어떻게 해야 하나요?GKE의 기본 세부정보 수준 로깅 레벨로 인해 추가 작업이 필요하지 않습니다. |
없음 |
Google Cloud에 미치는 영향
제품별 세부정보는 아래에 나와 있습니다.
제품 |
영향 |
---|---|
Google Kubernetes Engine(GKE)은 영향을 받지 않습니다. |
|
GKE On-Prem은 영향을 받지 않습니다. |
|
AWS용 GKE는 영향을 받지 않습니다. |
GCP-2020-013
게시: 2020년 9월 29일설명
Microsoft에서 다음과 같은 취약점을 발견했습니다.
취약점 |
심각도 |
CVE |
---|---|---|
CVE-2020-1472 - Windows Server의 취약점으로 인해 공격자가 Netlogon 원격 프로토콜을 사용하여 네트워크 기기에서 특별히 제작된 애플리케이션을 실행할 수 있습니다. |
NVD 기본 점수: 10(중요) |
자세한 내용은 Microsoft 공시를 확인하세요.
Google Cloud에 미치는 영향
Google Cloud 및 Google 제품을 호스팅하는 인프라는 이 취약점의 영향을 받지 않습니다. 그 밖의 제품별 세부정보는 아래에 나와 있습니다.
제품 |
영향 |
---|---|
Compute Engine |
CVE-2020-1472 |
Google Kubernetes Engine |
CVE-2020-1472 |
Microsoft Active Directory용 관리형 서비스 |
CVE-2020-1472 |
Google Workspace |
고객이 별도의 조치를 취하지 않아도 됩니다. 이 서비스는 이 취약점의 영향을 받지 않습니다. |
App Engine 표준 환경 |
고객이 별도의 조치를 취하지 않아도 됩니다. 이 서비스는 이 취약점의 영향을 받지 않습니다. |
App Engine 가변형 환경 |
고객이 별도의 조치를 취하지 않아도 됩니다. 이 서비스는 이 취약점의 영향을 받지 않습니다. |
Cloud Run |
고객이 별도의 조치를 취하지 않아도 됩니다. 이 서비스는 이 취약점의 영향을 받지 않습니다. |
Cloud Run 함수 |
고객이 별도의 조치를 취하지 않아도 됩니다. 이 서비스는 이 취약점의 영향을 받지 않습니다. |
Cloud Composer |
고객이 별도의 조치를 취하지 않아도 됩니다. 이 서비스는 이 취약점의 영향을 받지 않습니다. |
Dataflow |
고객이 별도의 조치를 취하지 않아도 됩니다. 이 서비스는 이 취약점의 영향을 받지 않습니다. |
Dataproc |
고객이 별도의 조치를 취하지 않아도 됩니다. 이 서비스는 이 취약점의 영향을 받지 않습니다. |
Cloud SQL |
고객이 별도의 조치를 취하지 않아도 됩니다. 이 서비스는 이 취약점의 영향을 받지 않습니다. |
GCP-2020-012
게시: 2020년 9월 14일업데이트: 2020년 9월 17일
설명
설명 | 심각도 | 참고 |
---|---|---|
CVE-2020-14386에 설명된 바와 같이 최근 Linux 커널에서 취약점이 발견되었으며, 이 취약점은 컨테이너 이스케이프가 호스트 노드의 루트 권한을 확보할 수 있다는 문제를 안고 있습니다. 모든 GKE 노드가 영향을 받습니다. GKE Sandbox에서 실행되는 포드는 이 취약점을 활용할 수 없습니다. 자세한 내용 및 안내는 다음을 참조하세요. 이 패치로 어떤 취약점이 해결되나요? 이 패치로 다음의 취약점이 완화됩니다. 취약점 CVE-2020-14386은 CAP_NET_RAW 가 있는 컨테이너가 커널 메모리 1~10바이트를 쓸 수 있도록 허용하며 컨테이너를 이스케이프하고 호스트 노드에서 루트 권한을 얻을 수도 있습니다. 이 문제는 '높음' 등급의 취약점으로 분류됩니다. |
높음 |
GCP-2020-011
게시: 2020년 7월 24일설명
설명 | 심각도 | 참고 |
---|---|---|
네트워킹 취약점인 CVE-2020-8558이 최근 Kubernetes에서 발견되었습니다. 경우에 따라 서비스는 로컬 루프백 인터페이스(127.0.0.1)를 사용하여 동일한 포드에서 실행되는 다른 애플리케이션과 통신합니다. 이 취약점으로 인해 클러스터의 네트워크에 대한 액세스 권한이 있는 공격자가 인접 포드 및 노드의 루프백 인터페이스로 트래픽을 전송할 수 있습니다. pod 외부에서 액세스할 수 없는 루프백 인터페이스를 사용하는 서비스는 악용될 수 있습니다. 자세한 내용 및 안내는 다음을 참조하세요. |
낮음(GKE 및 AWS용 GKE), |
GCP-2020-010
게시: 2020년 7월 27일설명
Microsoft에서 다음과 같은 취약점을 발견했습니다.
취약점 |
심각도 |
CVE |
---|---|---|
CVE-2020-1350 — 로컬 시스템 계정으로 신뢰할 수 없는 코드를 실행하기 위해 DNS 서버 용량으로 제공되는 Windows Server이 악용될 수 있습니다. |
NVD 기본 점수: 10.0(중요) |
자세한 내용은 Microsoft 공시를 확인하세요.
Google Cloud에 미치는 영향
Google Cloud 및 Google 제품을 호스팅하는 인프라는 이 취약점의 영향을 받지 않습니다. 그 밖의 제품별 세부정보는 아래에 나와 있습니다.
제품 |
영향 |
---|---|
Compute Engine |
CVE-2020-1350 |
Google Kubernetes Engine |
CVE-2020-1350 |
Microsoft Active Directory용 관리형 서비스 |
CVE-2020-1350 |
Google Workspace |
고객이 별도의 조치를 취하지 않아도 됩니다. 이 서비스는 이 취약점의 영향을 받지 않습니다. |
App Engine 표준 환경 |
고객이 별도의 조치를 취하지 않아도 됩니다. 이 서비스는 이 취약점의 영향을 받지 않습니다. |
App Engine 가변형 환경 |
고객이 별도의 조치를 취하지 않아도 됩니다. 이 서비스는 이 취약점의 영향을 받지 않습니다. |
Cloud Run |
고객이 별도의 조치를 취하지 않아도 됩니다. 이 서비스는 이 취약점의 영향을 받지 않습니다. |
Cloud Run 함수 |
고객이 별도의 조치를 취하지 않아도 됩니다. 이 서비스는 이 취약점의 영향을 받지 않습니다. |
Cloud Composer |
고객이 별도의 조치를 취하지 않아도 됩니다. 이 서비스는 이 취약점의 영향을 받지 않습니다. |
Dataflow |
고객이 별도의 조치를 취하지 않아도 됩니다. 이 서비스는 이 취약점의 영향을 받지 않습니다. |
Dataproc |
고객이 별도의 조치를 취하지 않아도 됩니다. 이 서비스는 이 취약점의 영향을 받지 않습니다. |
Cloud SQL |
고객이 별도의 조치를 취하지 않아도 됩니다. 이 서비스는 이 취약점의 영향을 받지 않습니다. |
GCP-2020-009
게시: 2020년 7월 15일설명
설명 | 심각도 | 참고 |
---|---|---|
권한 에스컬레이션 취약점인 CVE-2020-8559가 최근 Kubernetes에서 발견되었습니다. 이 취약점으로 인해 노드를 이미 손상시킨 공격자가 클러스터의 모든 포드에서 명령어를 실행할 수 있습니다. 따라서 공격자는 이미 손상된 노드를 사용하여 다른 노드를 손상시킬 수 있으며 정보를 읽거나 파괴적인 작업을 유발할 수 있습니다. 공격자가 이 취약점을 악용하려는 경우 클러스터의 노드는 이미 손상되었을 것입니다. 이 취약점 자체는 클러스터에 있는 노드를 손상시키지 않습니다. 자세한 내용 및 안내는 다음을 참조하세요. |
중간 |
GCP-2020-008
게시: 2020년 6월 19일설명
설명 | 심각도 | 참고 |
---|---|---|
설명OS 로그인이 사용 설정된 VM은 권한 에스컬레이션 취약점에 취약할 수 있습니다. 이러한 취약성으로 인해 OS 로그인 권한이 부여된 사용자(관리자 액세스 권한은 부여되지 않음)는 VM의 루트 액세스로 에스컬레이션할 수 있습니다. 자세한 내용과 안내는 Compute Engine 보안 게시판을 참조하세요.
|
높음 |
GCP-2020-007
게시: 2020년 6월 1일설명
설명 | 심각도 | 참고 |
---|---|---|
서버 측 요청 위조(SSRF) 취약점인 CVE-2020-8555가 최근 Kubernetes에서 감지되었습니다. 이 취약점은 승인된 특정 사용자가 컨트롤 플레인 호스트 네트워크의 민감한 정보를 500바이트까지 유출할 수 있도록 합니다. Google Kubernetes Engine(GKE) 컨트롤 플레인은 Kubernetes의 컨트롤러를 사용하므로 이 취약점의 영향을 받습니다. 컨트롤 플레인을 최신 패치 버전으로 업그레이드하는 것이 좋습니다. 노드 업그레이드는 필요하지 않습니다. 자세한 내용 및 안내는 다음을 참조하세요. |
중간 |
GCP-2020-006
게시: 2020년 6월 1일설명
설명 | 심각도 | 참고 |
---|---|---|
Kubernetes에서는 권한이 있는 컨테이너가 노드 트래픽을 다른 컨테이너로 리디렉션하도록 허용하는 취약점을 공개했습니다. 이 공격을 받으면 상호 TLS/SSH 트래픽(예: Kubelet과 API 서버 사이 또는 mTLS를 사용하는 애플리케이션의 트래픽)을 읽거나 수정할 수 없습니다. 모든 Google Kubernetes Engine(GKE) 노드가 이 취약점의 영향을 받습니다. 최신 패치 버전으로 업그레이드하는 것이 좋습니다. 자세한 내용 및 안내는 다음을 참조하세요. |
중간 |
GCP-2020-005
게시: 2020년 5월 7일설명
취약점 |
심각도 |
CVE |
---|---|---|
CVE-2020-8835에 설명된 바와 같이 최근 Linux 커널에서 취약점이 발견되었으며, 이 취약점은 컨테이너 이스케이프가 호스트 노드의 루트 권한을 확보할 수 있다는 문제를 안고 있습니다. GKE 1.16 또는 1.17을 실행하는 Google Kubernetes Engine(GKE) Ubuntu 노드는 이 취약점의 영향을 받으며 가능한 한 빨리 최신 패치 버전으로 업그레이드하는 것이 좋습니다. 자세한 내용은 GKE 보안 게시판을 참조하세요. |
높음 |
GCP-2020-004
게시: 2020년 3월 31일업데이트: 2020년 3월 31일
설명
Kubernetes에서 다음 취약점이 공개되었습니다.
취약점 |
심각도 |
CVE |
---|---|---|
CVE-2019-11254 — 이 서비스 거부(DoS) 취약점은 API 서버에 영향을 미칩니다. |
중간 |
자세한 내용은 VMware용 GKE 보안 게시판을 참조하세요.
GCP-2020-003
게시: 2020년 3월 31일업데이트: 2020년 3월 31일
설명
Kubernetes에서 다음 취약점이 공개되었습니다.
취약점 |
심각도 |
CVE |
---|---|---|
CVE-2019-11254 — 이 서비스 거부(DoS) 취약점은 API 서버에 영향을 미칩니다. |
중간 |
자세한 내용은 GKE 보안 게시판을 참조하세요.
GCP-2020-002
게시: 2020년 3월 23일업데이트: 2020년 3월 23일
설명
Kubernetes에서 다음 취약점이 공개되었습니다.
취약점 |
심각도 |
CVE |
---|---|---|
CVE-2020-8551 — 이 서비스 거부(DoS) 취약점은 kubelet에 영향을 미칩니다. |
중간 |
|
CVE-2020-8552 — 이 서비스 거부(DoS) 취약점은 API 서버에 영향을 미칩니다. |
중간 |
자세한 내용은 GKE 보안 게시판을 참조하세요.
GCP-2020-001
게시: 2020년 1월 21일업데이트: 2020년 1일 21일
설명
Microsoft에서 다음과 같은 취약점을 발견했습니다.
취약점 |
심각도 |
CVE |
---|---|---|
CVE-2020-0601 - 이 취약점은 Windows Crypto API 스푸핑 취약점이라고도 하며, 악성 실행 파일을 신뢰할 수 있는 파일인 것처럼 보이게 하거나 공격자가 중간에 데이터를 가로채는 공격을 수행하고 사용자 연결의 기밀 정보를 영향을 받는 소프트웨어에 복호화하는 데 악용될 수 있습니다. |
NVD 기본 점수: 8.1(높음) |
자세한 내용은 Microsoft 공시를 확인하세요.
Google Cloud에 미치는 영향
Google Cloud 및 Google 제품을 호스팅하는 인프라는 이 취약점의 영향을 받지 않습니다. 그 밖의 제품별 세부정보는 아래에 나와 있습니다.
제품 |
영향 |
---|---|
Compute Engine |
CVE-2020-0601 |
Google Kubernetes Engine |
CVE-2020-0601 |
Microsoft Active Directory용 관리형 서비스 |
CVE-2020-0601 |
Google Workspace |
고객이 별도의 조치를 취하지 않아도 됩니다. 이 서비스는 이 취약점의 영향을 받지 않습니다. |
App Engine 표준 환경 |
고객이 별도의 조치를 취하지 않아도 됩니다. 이 서비스는 이 취약점의 영향을 받지 않습니다. |
App Engine 가변형 환경 |
고객이 별도의 조치를 취하지 않아도 됩니다. 이 서비스는 이 취약점의 영향을 받지 않습니다. |
Cloud Run |
고객이 별도의 조치를 취하지 않아도 됩니다. 이 서비스는 이 취약점의 영향을 받지 않습니다. |
Cloud Run 함수 |
고객이 별도의 조치를 취하지 않아도 됩니다. 이 서비스는 이 취약점의 영향을 받지 않습니다. |
Cloud Composer |
고객이 별도의 조치를 취하지 않아도 됩니다. 이 서비스는 이 취약점의 영향을 받지 않습니다. |
Dataflow |
고객이 별도의 조치를 취하지 않아도 됩니다. 이 서비스는 이 취약점의 영향을 받지 않습니다. |
Dataproc |
고객이 별도의 조치를 취하지 않아도 됩니다. 이 서비스는 이 취약점의 영향을 받지 않습니다. |
Cloud SQL |
고객이 별도의 조치를 취하지 않아도 됩니다. 이 서비스는 이 취약점의 영향을 받지 않습니다. |
GCP-2019-001
게시: 2019년 11알 12일업데이트: 2019년 11일 12일
설명
Intel에서 다음과 같은 취약점을 발견했습니다.
취약점 |
심각도 |
CVE |
---|---|---|
CVE-2019-11135 — TSX 비동기 중단(TAA)이라고 부르는 이 취약점은 TSX 트랜잭션의 예측 실행 악용에 이용될 수 있습니다. 이 취약점에는 마이크로아키텍처 데이터 샘플링(MDS)으로 노출되는 동일 마이크로아키텍처 데이터 구조를 통해 데이터가 노출될 가능성이 있습니다. |
중간 |
|
CVE-2018-12207 — (게스트가 아닌) 가상 머신 호스트에 영향을 미치는 서비스 거부(DoS) 취약점입니다. 이 문제를 '페이지 크기 변경에 대한 머신 확인 오류'라고 부릅니다. |
중간 |
자세한 내용은 Intel 공개 자료를 확인하세요.
Google Cloud에 미치는 영향
Google Cloud 및 Google 제품을 호스팅하는 인프라는 이러한 취약점으로부터 보호됩니다. 그 밖의 제품별 세부정보는 아래에 나와 있습니다.
제품 |
영향 |
---|---|
Compute Engine |
CVE-2019-11135 CVE-2018-12207 |
Google Kubernetes Engine |
CVE-2019-11135 CVE-2018-12207 |
App Engine 표준 환경 |
별도의 조치를 취하지 않아도 됩니다. |
App Engine 가변형 환경 |
CVE-2019-11135 CVE-2018-12207 |
Cloud Run |
별도의 조치를 취하지 않아도 됩니다. |
Cloud Run 함수 |
별도의 조치를 취하지 않아도 됩니다. |
Cloud Composer |
별도의 조치를 취하지 않아도 됩니다. |
Dataflow |
CVE-2019-11135 CVE-2018-12207 |
Dataproc |
CVE-2019-11135 CVE-2018-12207 |
Cloud SQL |
별도의 조치를 취하지 않아도 됩니다. |