安全性公告

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-37752

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

AMD 揭露了兩個影響 AMD EPYC 第 2 代 (Rome)、第 3 代 (Milan) 和第 4 代 (Genoa) CPU 的安全漏洞。攻擊者可利用這些安全漏洞，從先前的儲存空間或 L1D 快取推斷資料，可能導致機密資訊外洩。

Google 已推出防護措施，可防止 VM 之間發生資訊洩漏。

單一 VM 中的程序仍有可能利用這些安全漏洞。

該怎麼辦？

2025 年 7 月 8 日後，下列 VM 將提供客層級的防護措施，可防範客層內攻擊：

• 首次啟動的 VM。
• 完全停止並重新啟動的 VM。重新啟動作業系統不會啟用緩解措施，您必須完整重新啟動 VM，緩解措施才會生效。訪客作業系統核心必須支援這項緩解措施，才能發揮效用。

詳情請參閱 AMD 安全性公告 AMD-SB-7029。

• CVE-2024-36350
• CVE-2024-36357

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-38001

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-37997

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-38000

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

我們發現一項安全性問題，攻擊者可能可以規避 GKE 叢集的工作負載隔離限制。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-37798

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-37797

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

根據 VMware 安全性諮詢 VMSA-2024-0017，VMware Aria Automation 中存在 SQL 注入弱點，已私下向 VMware 回報。VMware 已針對受影響的產品提供修補程式，可修正這項安全漏洞。

該怎麼辦？

建議您升級至 VMware Aria Automation KB325790。

• VMSA-2024-0017
• CVE-2024-22280

根據 VMware 安全性諮詢 VMSA-2025-0006，VMware Aria Operations 中的本機權限提升漏洞已向 VMware 負責地回報。VMware 已針對受影響的產品提供修補程式，可修正這項安全漏洞。

該怎麼辦？

建議升級至 VMware Aria Operations 8.18 HF5。

• VMSA-2025-0006
• CVE-2025-22231

根據 VMware 安全性諮詢 VMSA-2025-0003，VMware Aria Operations for Logs 和 VMware Aria Operations 中有多項安全漏洞已私下回報給 VMware。VMware 已針對受影響的產品提供修補程式，可修正這項安全漏洞。

該怎麼辦？

建議您將 VMware Aria Operations for Logs 升級至 8.18.3，並將 VMware Aria Operations 升級至 8.18.3。

• VMSA-2025-0003
• CVE-2025-22218
• CVE-2025-22219
• CVE-2025-22220
• CVE-2025-22221
• CVE-2025-22222

2025 年 4 月 26 日前，系統在傳統 Application Load Balancer 服務中偵測到安全性漏洞。

該怎麼辦？

顧客無須採取任何行動。這項問題已於 2025 年 4 月 26 日在傳統應用程式負載平衡器服務中解決。

這個修補程式修正了哪些安全漏洞？

CVE-2025-4600 ：由於系統錯誤剖析過大的區塊主體，攻擊者可將要求夾帶至傳統版應用程式負載平衡器。使用分塊傳輸編碼剖析 HTTP 要求的請求主體時，傳統版應用程式負載平衡器允許過大的分塊主體。因此，可以將位元組隱藏在忽略的尾端資料中，而上游 HTTP 伺服器可能會誤解為行終止符。我們已在 2025 年 4 月 26 日，透過改良輸入驗證和剖析邏輯，解決傳統版應用程式負載平衡器服務中的這項安全漏洞。

我們很樂意提供協助

如有任何疑問或需要協助，請與 Cloud Customer Care 團隊聯絡。

根據 VMware 安全性諮詢 VMSA-2025-0008，VMware Aria Automation 中基於 DOM 的跨網站指令碼 (XSS) 安全漏洞已私下回報給 VMware。VMware 已針對受影響的產品提供修補程式，可修正這項安全漏洞。

該怎麼辦？

建議您升級至 VMware Aria Automation 8.18.1 修補程式 2。

• VMSA-2025-0008
• CVE-2025-22249

Intel 已通知 Google，新的側通道安全漏洞會影響下列 Intel 處理器：CascadeLake、Ice Lake XeonSP、Ice Lake XeonD、Sapphire Rapids 和 Emerald Rapids。

Google 已對受影響的資產套用修正程式，包括 Google Cloud，確保客戶受到保護。目前沒有任何證據或報告顯示有人利用這項漏洞。

該怎麼辦？

顧客無須採取任何行動。我們已在 Google 伺服器群組套用修正程式，保護客戶安全。

這個修補程式修正了哪些安全漏洞？

CVE-2024-45332。 詳情請參閱 Intel 諮詢 INTEL-SA-01247。

我們很樂意提供協助

如有任何疑問或需要協助，請與 Cloud 客戶服務聯絡，並註明問題編號 417536835。

2025 年 5 月 13 日更新：如有任何疑問或需要協助，請與 Cloud Customer Care 團隊聯絡，並註明問題編號 417458390。

Intel 已通知 Google，Intel Cascade Lake 和 Intel Ice Lake 處理器受到新的推測執行安全漏洞影響。

Google 已對受影響的資產套用修正程式，包括 Google Cloud，確保客戶受到保護。目前沒有任何證據顯示有人利用這項漏洞，也沒有人向 Google 回報這類事件。

該怎麼辦？

顧客無須採取任何行動。Google 伺服器機群已套用緩解措施。

Intel 原始設備製造商 (OEM) 和其他作業系統合作夥伴將盡快部署進一步的緩解措施，以減輕同模式間接目標選取 (ITS) 漏洞的影響。

套用作業系統的緩解措施後，如果客戶的第 3 代或更新的 VM 持續執行時間較長，可能會發生非預期的效能降低情形

這個修補程式修正了哪些安全漏洞？

CVE-2024-28956。詳情請參閱 Intel 安全性公告 INTEL-SA-01153。

我們發現並修正了 JavaCallout 和 PythonScript 政策中可能出現的安全性缺口，這些缺口可能會遭到有心人士利用。

如需操作說明和更多詳細資料，請參閱 Apigee 安全性公告。

2025 年 5 月 22 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-21702

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2025 年 6 月 2 日更新：新增 GKE Ubuntu 節點集區的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-21971

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

Looker 的一項安全漏洞，導致擁有管理員權限 (具體來說是 manage_project_connections_restricted) 的使用者，可以從基礎主機檔案系統讀取檔案，並查詢內部網路端點。目前問題已解決，使用 Looker (Google Cloud Core) 和 Looker (原始版本) 的 Looker 代管客戶無需採取任何行動。建議自行代管的 Looker 執行個體更新至最新支援版本。

我們已在所有支援的客戶代管 Looker 版本中修復這項安全漏洞，這些版本可從 Looker 下載頁面取得。

該怎麼辦？

• 對於所有 Looker 代管的執行個體 (包括 Looker (Google Cloud Core) 和 Looker (原始版本) 執行個體)，您都不需要採取任何行動。
• 如果是 Looker 客戶代管的執行個體，請盡快更新至最新支援的 Looker 版本。以下版本均已更新，可防範這個安全漏洞。您可以在 Looker 下載頁面下載這些版本：
  • 25.4 -> 25.4.29 以上版本
  • 25.2 -> 25.2.34 以上版本
  • 25.0 -> 25.0.55 以上版本
  • 24.18 -> 24.18.185 以上版本
  • 24.12 -> 24.12.95 以上版本
  • 24.6 -> 24.6.107 以上版本

2025 年 6 月 26 日更新：新增 VMware 適用的 GDC 軟體修補程式版本。

2025 年 5 月 22 日更新：新增 GKE 上 Ubuntu 節點集區的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2025-21701

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2025-40364

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2025 年 5 月 22 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本。

2025 年 5 月 5 日更新：新增 VMware 適用的 GDC 軟體修補程式版本。將 VMware 適用的 GDC 軟體嚴重程度更新為「高」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-21756

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2025 年 5 月 22 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本。

2025 年 4 月 29 日更新： 新增適用於 VMware 的 GDC 軟體修補程式版本。將 VMware 適用的 GDC 軟體嚴重程度更新為「高」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2023-52927

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2025 年 5 月 22 日更新： 新增 GKE Ubuntu 節點集區的修補程式版本。

2025 年 4 月 17 日更新：新增 GDC (VMware) 的修補程式版本。將 GDC (VMware) 的嚴重程度從「待處理」更新為「高」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-21700

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2025 年 5 月 22 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本。

2025 年 5 月 5 日更新：新增 VMware 適用的 GDC 軟體修補程式版本。將 VMware 適用的 GDC 軟體嚴重程度更新為「高」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-21703

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

NGINX Ingress 控制器 (ingress-nginx) 發現多項安全性問題。這個開放原始碼軟體元件會在 Kubernetes 叢集內執行，協助管理進入叢集的網路流量。其中最嚴重的漏洞是 CVE-2025-1974。如需完整詳細資料和完整清單，請參閱 Kubernetes CVE 動態饋給。

這些問題會影響 ingress-nginx。如果叢集未安裝 ingress-nginx，就不會受到影響。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2025 年 4 月 10 日更新： 新增 Ubuntu GKE 節點和 VMware 適用的 GDC 軟體修補程式版本。將 VMware 適用的 GDC 軟體嚴重程度更新為「高」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-53164

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

VMware 在 VMSA-2025-0004 中揭露多項安全漏洞，這些漏洞會影響部署在客戶環境中的 ESXi 元件。

對 VMware Engine 的影響

您的私有雲已修補或正在更新，以解決安全性漏洞。所有客戶都會獲得專屬裸機主機，以及與其他硬體實體隔離的本機附加磁碟，這是 VMware Engine 服務的一部分。也就是說，這項安全漏洞只會影響特定私有雲中的客體 VM。

您的私有雲將更新至 7.0u3s，建構版本號碼為 24534642。這相當於 7.0U3s：版本號碼 24585291。

該怎麼辦？

請按照 Broadcom 和安全廠商提供的說明，處理這項安全漏洞。

• VMSA-2025-0004
• CVE-2025-22224
• CVE-2025-22225
• CVE-2025-22226

2025 年 6 月 2 日更新： 新增 GKE Ubuntu 節點集區的修補程式版本。

2025 年 4 月 10 日更新： 新增適用於 VMware 的 GDC 軟體修補程式版本。將 VMware 適用的 GDC 軟體嚴重程度更新為「高」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-56770

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

Envoy 專案最近發布了幾項新的安全漏洞 (CVE-2024-53269、CVE-2024-53270 和 CVE-2024-53271)，攻擊者可藉此導致 Envoy 停止運作。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

• CVE-2024-53269
• CVE-2024-53270
• CVE-2024-53271

2025 年 4 月 10 日更新： 新增適用於 VMware 的 GDC 軟體修補程式版本。將 VMware 適用的 GDC 軟體嚴重程度更新為「高」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-53141

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

Google 在 AMD Zen 架構的 CPU 中發現一項安全漏洞，會影響啟用 AMD SEV-SNP 的機密 VM 執行個體。攻擊者可利用這項漏洞，在實體機器的根層級存取權限，進而破壞機密 VM 執行個體的機密性和完整性。

Google 已對受影響的資產套用修正程式，包括 Google Cloud，確保客戶受到保護。目前沒有任何證據顯示有人利用這項漏洞，也沒有人向 Google 回報這類事件。

我該怎麼做？

顧客無須採取任何行動。如要驗證修正內容，客戶可以透過 AMD SEV-SNP，在機密 VM 執行個體的認證報告中查看可信賴運算基礎 (TCB) 版本。可有效降低此安全漏洞風險的最低版本如下：

SNP TCB SVN: 0x18 0d24
tcb_version {
  psp_bootloader_version: 4
  snp_firmware_version: 24 (0x18)
  microcode_version: 219
}

詳情請參閱 AMD 安全性公告 AMD-SB-3019。

CVE-2024-56161

Google Secret Manager Provider for Secret Store CSI Driver 存在安全漏洞，攻擊者只要在命名空間中擁有 Pod 和密鑰建立權限，就能在 Pod 上掛接惡意磁碟區，藉此竊取 CSI 驅動程式的 Kubernetes 服務帳戶權杖。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

如果伺服器使用 Google 驗證程式庫和 Cloud 用戶端程式庫，透過攻擊者控管的憑證設定進行驗證，就可能遭受伺服器端要求偽造攻擊，並遭到任意檔案讀取。 Google Cloud

該怎麼辦？

如果您接受來自外部來源的憑證設定 (憑證 JSON、檔案或串流)，以便向 Google Cloud進行驗證，請務必先驗證憑證，再提供給 Google 驗證程式庫或 Cloud 用戶端程式庫。如果提供未經驗證的憑證設定給 Google 程式庫，系統和資料的安全性可能會受到影響。詳情請參閱「 從外部來源驗證憑證設定」。

這個修補程式修正了哪些安全漏洞？

部分類型的憑證設定包含端點和檔案路徑，驗證程式庫會使用這些資訊取得權杖。如果服務或應用程式接受外部來源的憑證設定，並搭配 Google 驗證程式庫或 Cloud 用戶端程式庫使用，但未經過驗證，攻擊者就能提供含有惡意端點或路徑的憑證設定。攻擊者可藉此從服務或服務執行的機器中竊取資料或權杖。為避免發生這種情況，請按照「 驗證外部來源的憑證設定」一文所述，驗證外部來源的憑證設定。

為通知應用程式開發人員，我們已更新文件，說明接受從外部來源取得的憑證設定時，應執行的驗證。

根據 VMware 安全性諮詢 VMSA-2025-0001，VMware Aria Automation 中的伺服器端偽造要求 (SSRF) 安全漏洞已向 VMware 負責回報。VMware 已針對受影響的產品提供修補程式，可修正這項安全漏洞。

該怎麼辦？

建議您升級至 VMware Aria Automation 8.18.2 HF。

• VMSA-2025-0001
• CVE-2025-22215

2025 年 1 月 23 日更新：新增 GKE 上 Ubuntu 節點集區的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-50264

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2025 年 1 月 23 日更新：新增 GKE 上 Ubuntu 節點集區的修補程式版本。

2025 年 1 月 22 日更新：新增 GDC (VMware) 的修補程式版本。將 GDC (VMware) 的嚴重程度更新為「中」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-53057

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2025 年 1 月 23 日更新：更新 GKE 分頁中的「受影響的資源」部分。

2025 年 1 月 8 日更新：修正問題開始日期和時間。

安全問題影響了已設定 GKE 多叢集閘道 (MCG) 的虛擬私有雲資源。MCG 是選用功能，只有少數 GKE 客戶會使用。我們已個別通知在該期間啟用這項功能的客戶。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

下列 CVE 會使 Cloud Service Mesh 暴露於可遭利用的安全漏洞：

• CVE-2024-53269：Happy Eyeballs：驗證 additional_address 是否為 IP 位址，而非在排序時當機。
• CVE-2024-53270：HTTP/1：如果事先重設要求，傳送過多資料會導致當機。
• CVE-2024-53271：envoy.reloadable_features.http1_balsa_delay_reset 的 HTTP/1.1 多項問題。

如需操作說明和更多詳細資料，請參閱 Cloud Service Mesh 安全性公告。

• CVE-2024-53269
  
• CVE-2024-53270
  
• CVE-2024-53271
  

根據 VMware 安全性諮詢 VMSA-2024-0022，VMware Aria Operations 中有多個安全漏洞已向 VMware 負責地回報。VMware 已推出更新，可修復受影響產品中的這些安全漏洞。

該怎麼辦？

建議您升級至 VMware Aria Operations 8.18.2。

• VMSA-2024-0022
• CVE-2024-38830
• CVE-2024-38831
• CVE-2024-38832
• CVE-2024-38833
• CVE-2024-38834

我們在 Vertex AI API 服務中發現一項安全漏洞，該服務可處理 Gemini 多模態要求，導致 VPC Service Controls 遭到規避。攻擊者可能會濫用 API 的 fileURI 參數，竊取資料。

我該怎麼做？

不需要採取任何行動。我們已修正問題，當 fileUri 參數中指定媒體檔案網址，且啟用 VPC 服務控制項時，系統會傳回錯誤訊息。其他用途不受影響。

這次修正了哪些安全漏洞？

Cloud Support API 可處理 Gemini 多模態要求，您可以在 fileUri 參數中指定媒體檔案的網址，這項功能可用於略過 VPC Service Controls 範圍。服務範圍內的攻擊者可能會在 fileURI 參數中編碼機密資料，藉此規避服務範圍。

2025 年 1 月 22 日更新：新增 GDC (VMware) 的修補程式版本。將 GDC (VMware) 的嚴重程度從「待處理」更新為「高」。

2024 年 12 月 12 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-46800

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

Kubernetes 叢集中發現的安全問題可能會導致使用 gitRepo 磁碟區執行遠端程式碼。如果 Git 存放區遭到惡意建構，有權建立 Pod 並關聯 gitRepo 磁碟區的使用者，就能在容器邊界外執行任意指令。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

根據 VMware 安全性公告 VMSA-2024-0020，VMware NSX 中有多個安全漏洞已向 VMware 負責地回報。

VMware Engine 環境執行的 NSX-T 版本不會受到 CVE-2024-38815、CVE-2024-38818 或 CVE-2024-38817 影響。

該怎麼辦？

由於 VMware Engine 叢集不會受到這項安全漏洞影響，因此您不必採取進一步行動。

• VMSA-2024-0020
• CVE-2024-38815
• CVE-2024-38817
• CVE-2024-38818

根據 VMware 安全性諮詢 VMSA-2024-0021，VMware HCX 中經過驗證的 SQL 植入安全漏洞已私下回報給 VMware。

我們已套用 VMware 核准的緩解措施，以解決這項安全漏洞。這項修正解決了 CVE-2024-38814 所述的安全漏洞。目前 VMware Engine 私有雲中執行的映像檔版本不會反映任何變更，以指出已套用的變更。已安裝適當的緩解措施，您的環境不會受到這個安全漏洞影響。

該怎麼辦？

建議您升級至 VMware HCX 4.9.2 版。

• VMSA-2024-0021
• CVE-2024-38814

如要遷移至 Containers for Windows，您必須使用具備管理員權限的本機 m2cuser，如果使用者中斷 analyze 或 generate 指令，或因內部錯誤導致系統略過刪除本機使用者的動作 m2cuser，就會造成安全風險。

該怎麼辦？

下列 Windows 版 Migrate to Containers CLI 版本已更新程式碼，可修正這個安全漏洞。建議您手動將 Migrate to Containers CLI 升級至下列版本或更新版本：

• Migrate to Containers CLI for Windows 1.2.3 版於 2024 年 10 月 8 日發布 - Migrate to Containers CLI 版本說明 | Google Cloud

這個修補程式修正了哪些安全漏洞？

CVE-2024-9858 安全漏洞會讓攻擊者透過 Migrate to Containers 軟體建立的本機系統管理員使用者，取得受影響 Windows 電腦的系統管理員存取權。

2024 年 11 月 19 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本。

2024 年 10 月 15 日更新：新增 GDC (VMware) 的修補程式版本。更新 GKE 和 GDC (VMware) 嚴重程度。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-45016

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

在某些 Linux 發行版使用的 CUPS 列印系統中，我們發現一連串漏洞 (CVE-2024-47076、CVE-2024-47175、CVE-2024-47176、CVE-2024-47177)，可能導致遠端程式碼執行。如果 CUPS 服務監聽 UDP 連接埠 631，且攻擊者可以連線至該服務，就能利用這個漏洞。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

• CVE-2024-47076
• CVE-2024-47175
• CVE-2024-47176
• CVE-2024-47177

Looker 的 HTTP 要求走私漏洞，導致未經授權的攻擊者可擷取傳送給合法使用者的 HTTP 回應。

Looker 託管了兩個版本的 Looker：

• 發現 Looker (Google Cloud Core) 存在安全漏洞。這個問題已獲得緩解，調查結果顯示沒有遭到濫用。
• Looker (原始版本) 不受這個問題影響。

我們發現客戶代管的 Looker 執行個體有安全漏洞，因此必須升級至下列其中一個版本。

我們已在所有支援的客戶代管 Looker 版本中修復這項安全漏洞，這些版本可從 Looker 下載頁面取得。

該怎麼辦？

• 對於所有 Looker 代管執行個體 (包括 Looker (Google Cloud Core) 執行個體)，您都不必採取任何行動。
• 如果是 Looker 客戶代管的執行個體，請盡快更新至最新支援的 Looker 版本。以下版本均已更新，可防範這個安全漏洞。您可以在 Looker 下載頁面下載這些版本：
  • 23.12 -> 23.12.123+
  • 23.18 -> 23.18.117 以上版本
  • 24.0 -> 24.0.92 以上版本
  • 24.6 -> 24.6.77 以上版本
  • 24.8 -> 24.8.66 以上版本
  • 24.10 -> 24.10.78 以上版本
  • 24.12 -> 24.12.56 以上版本
  • 24.14 -> 24.14.37 以上版本

這個修補程式修正了哪些安全漏洞？

這項安全漏洞 (CVE-2024-8912) 讓攻擊者可以將精心設計的 HTTP 要求標頭傳送至 Looker，可能導致系統攔截傳送給其他使用者的 HTTP 回應。

這些回覆可能含有私密資訊。

只有在特定設定下，這項安全漏洞才會遭到利用。

我們發現 Kubernetes 叢集 (含 Windows 節點) 有安全問題，BUILTIN\Users 可能可以讀取容器記錄，NT AUTHORITY\Authenticated 使用者則可能修改容器記錄。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

在 Protobuf Java Full 和 Lite 程式庫中剖析不明欄位時，惡意製作的訊息可能會導致 StackOverflow 錯誤，進而造成程式當機。

我該怎麼做？

我們一直努力解決這個問題，目前已發布可用的解決方案。建議您使用下列軟體套件的最新版本：

• protobuf-java (3.25.5、4.27.5、4.28.2)
• protobuf-javalite (3.25.5、4.27.5、4.28.2)
• protobuf-kotlin (3.25.5、4.27.5、4.28.2)
• protobuf-kotlin-lite (3.25.5、4.27.5、4.28.2)
• com-protobuf [僅限 JRuby gem] (3.25.5、4.27.5、4.28.2)

這個修補程式修正了哪些安全漏洞？

這項安全漏洞可能會導致阻斷服務。

使用 DiscardUnknownFieldsParser 或 Java Protobuf Lite 剖析器，將巢狀群組剖析為不明欄位，或是針對 Protobuf 對應欄位剖析，會產生無界限的遞迴，攻擊者可能會濫用這類遞迴。

CVSS4.0 分數 8.7

高

下列 CVE 會使 Cloud Service Mesh 暴露於可遭利用的安全漏洞：

• CVE-2024-45807：oghttp2 在 OnBeginHeadersForStream 上當機
• CVE-2024-45808：透過存取記錄檔注入惡意記錄
• CVE-2024-45806：可能從外部來源操控 `x-envoy` 標頭
• CVE-2024-45809：使用遠端 JWK 時，JWT 篩選器會在清除路徑快取時當機
• CVE-2024-45810：http 非同步用戶端中的 LocalReply 導致 Envoy 損毀

如需操作說明和詳細資訊，請參閱 Cloud Service Mesh 安全性公告。

• CVE-2024-45807
  
• CVE-2024-45808
  
• CVE-2024-45806
  
• CVE-2024-45809
  
• CVE-2024-45810
  

VMware 在 VMSA-2024-0019 中揭露多項安全漏洞，這些漏洞會影響部署在客戶環境中的 vCenter 元件。

對 VMware Engine 的影響

• Google 已停用任何可能利用這個安全漏洞的行為。舉例來說，Google 已封鎖可能遭人利用這個安全漏洞的通訊埠。
• 此外，Google 也會確保日後部署的所有 vCenter 都不會受到這個安全漏洞影響。

該怎麼辦？

目前你無須採取進一步行動。

• CVE-2024-38812
• CVE-2024-38813

Windows 中發現新的遠端程式碼執行安全漏洞 (CVE-2024-38063)。攻擊者可以傳送特製的 IPv6 封包給主機，從遠端利用這個漏洞。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2024 年 11 月 1 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本。

2024 年 10 月 21 日更新：新增修補程式版本，並更新 GDC (VMware) 的嚴重程度。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-36978

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2024 年 10 月 30 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本。

2024 年 10 月 25 日更新：新增修補程式版本，並更新 GDC (VMware) 的嚴重程度。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-41009

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2024 年 10 月 30 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本。

2024 年 10 月 21 日更新：新增修補程式版本，並更新 GDC (VMware) 的嚴重程度。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-39503

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

AMD 已通知 Google，有 3 個新的韌體安全漏洞 (2 個中等風險、1 個高風險) 會影響 AMD EPYC 第 3 代 (Milan) 和第 4 代 (Genoa) CPU 中的 SEV-SNP。

Google 已對受影響的資產套用修正程式，包括 Google Cloud，確保客戶受到保護。目前，Google 並未發現或接獲任何有關遭濫用的證據。

我該怎麼做？

顧客無須採取任何行動。修正程式已套用至 Google 伺服器機群。

詳情請參閱 AMD 安全性公告「AMD-SN-3011」。

CVE-2023-31355

CVE-2024-21978

CVE-2024-21980

2024 年 9 月 19 日更新： 新增 VMware 適用的 GDC 軟體修補程式版本。

2024 年 8 月 21 日更新：新增 GKE 上 Ubuntu 節點集區的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26925

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2024 年 10 月 30 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本。

2024 年 10 月 21 日更新：新增修補程式版本，並更新 GDC (VMware) 的嚴重程度。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-36972

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2024 年 10 月 2 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本。

2024 年 9 月 20 日更新： 新增 VMware 適用的 GDC 軟體修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26921

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2024 年 7 月 18 日更新：釐清預設設定的 Autopilot 叢集不受影響。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26809

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2024 年 9 月 16 日更新： 新增 VMware 適用的 GDC 軟體修補程式版本。

2024 年 7 月 19 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-52654
• CVE-2023-52656

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

• CVE-2023-52654
• CVE-2023-52656

2024 年 7 月 16 日更新：

部分無伺服器虛擬私有雲存取客戶可能受到 OpenSSH 安全漏洞 (CVE-2024-6387) 影響。如果攻擊得逞，遠端未經驗證的攻擊者就能在目標虛擬機器上以根層級身分執行任意程式碼。據信難以遭到濫用。舉例來說，客戶無法存取 VM，且 VM 沒有公開 IP。我們並未發現任何利用此漏洞的嘗試。

我該怎麼做？

Google 已盡可能自動更新無伺服器 VPC 存取部署作業。不過，您應確認Google 管理的服務代理程式是否具備必要角色。 如果不是，您的無伺服器虛擬私有雲存取連接器可能仍有安全漏洞。建議您遷移至直接虛擬私有雲 egress，或部署新的連接器並刪除舊連接器，確保您已取得修正程式的必要更新。

2024 年 7 月 11 日更新：新增適用於 VMware 的 GDC 軟體、GKE on AWS 和 GKE on Azure 的修補程式版本。詳情請參閱 GKE 說明文件中的下列公告：

• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告

2024 年 7 月 10 日更新：

• 新增 Migrate to Virtual Machines 的安全性公告。

2024 年 7 月 9 日更新：

部分 App Engine 彈性環境客戶可能受到 OpenSSH 安全漏洞 (CVE-2024-6387) 影響。如果攻擊得逞，遠端未經驗證的攻擊者就能在目標虛擬機器上以根層級身分執行任意程式碼。

我該怎麼做？

Google 已盡可能自動更新彈性環境部署作業。不過，如果客戶停用了 Google 管理的服務代理程式，或是變更了 Google Cloud API 或其他預設設定，就無法更新，可能仍有安全漏洞。您應部署新版應用程式，以取得修正程式的更新。

請注意，更新後的部署作業會回報 SSH 版本 OpenSSH_9.6p1。這個版本已修補 CVE-2024-6387。

修正了哪些安全漏洞？

安全漏洞 CVE-2024-6387 可讓未經身分驗證的遠端攻擊者，在目標電腦上以根層級執行任意程式碼。

2024 年 7 月 8 日更新：

如果 Google Compute Engine 上的 Dataproc 叢集執行的是映像檔 2.2 版 (所有作業系統) 和 2.1 版 (僅限 Debian)，就會受到 OpenSSH 安全漏洞 (CVE-2024-6387) 影響。如果攻擊者成功利用這個漏洞，就能以未經驗證的遠端身分，在目標電腦上以根使用者身分執行任意程式碼。

Google Compute Engine 映像檔 2.0 和 1.5 版的 Dataproc，以及未在 Debian 上執行的 Dataproc 映像檔 2.1 版，都不會受到影響。已啟用個人驗證的 Dataproc 叢集不受影響。Dataproc Serverless 也不會受到影響。

我該怎麼做？

請將 Google Compute Engine 上的 Dataproc 叢集更新至下列其中一個版本：

• 2.2.24 以上版本
• 2.1.58 以上版本

如果無法將 Dataproc 叢集更新至上述任一版本，建議使用下列位置提供的初始化動作： gs://dataproc-initialization-actions/hotfixes/openssh-CVE-2024-6387-mitigation.sh

請按照這些操作說明為 Dataproc 指定初始化動作。請注意，對於現有叢集，初始化動作必須在每個節點 (主要節點和工作站節點) 上執行。

2024 年 7 月 3 日更新：

• 新增 GKE 的修補程式版本。
• 新增 GDC 連線的安全性公告。

2024 年 7 月 2 日更新：

• 明確指出 Autopilot 叢集會受到影響，且需要使用者採取行動。
• 針對 VMware 適用的 GDC 軟體、AWS 上的 GKE 和 Azure 上的 GKE，新增影響評估和緩解步驟。
• 修正裸機適用的 GDC 軟體安全公告，明確指出裸機適用的 GDC 軟體不會直接受到影響，且客戶應向 OS 供應商索取修補程式。

最近在 OpenSSH 中發現遠端程式碼執行安全漏洞 CVE-2024-6387。這個安全漏洞會利用競爭條件取得遠端殼層的存取權，讓攻擊者取得根存取權。發布時，我們認為利用這項弱點並不容易，而且每部受攻擊的電腦都需要數小時。我們並未發現任何濫用行為。

如需操作說明和更多詳細資訊，請參閱下列公告：

• Compute Engine 安全性公告
• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告
• Google Cloud VMware Engine 安全性公告
• Apigee 安全性公告
• Dataflow 安全性公告
• GDC connected 安全性公告
• Migrate to Virtual Machines 安全性公告

2024 年 9 月 25 日更新： 新增 VMware 適用的 GDC 軟體修補程式版本。

2024 年 8 月 20 日更新：新增 GKE Ubuntu 節點集區的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26923

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2024 年 9 月 17 日更新： 新增 VMware 適用的 GDC 軟體修補程式版本。

2024 年 8 月 6 日更新：新增 GKE 上 Ubuntu 節點集區的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26924

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

VMware 在 VMSA-2024-0012 中揭露多項安全漏洞，這些漏洞會影響部署在客戶環境中的 vCenter 元件。

對 Google Cloud VMware Engine 的影響

• 只要存取 vCenter Server 中的特定連接埠，即可利用這項漏洞。Google 已封鎖 vCenter 伺服器上的易受攻擊通訊埠，防止有人惡意探索這項安全漏洞。
• 此外，Google 也會確保日後部署的所有 vCenter 都不會受到這個安全漏洞影響。

該怎麼辦？

目前你無須採取進一步行動。

• CVE-2024-37079
• CVE-2024-37080
• CVE-2024-37081

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-26584

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

2024 年 7 月 18 日更新： 新增 GKE Ubuntu 節點集區的修補程式版本，並新增 Container-Optimized OS 節點集區 1.27 版的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26584

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

2024 年 7 月 10 日更新：新增執行次要版本 1.26 和 1.27 的 Container-Optimized OS 節點修補程式版本，以及 Ubuntu 節點的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-26583

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

2024 年 9 月 26 日更新： 新增 VMware 適用的 GDC 軟體修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2022-23222

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

下列 CVE 會使 Cloud Service Mesh 暴露於可遭利用的安全漏洞：

• CVE-2024-23326：Envoy 錯誤地接受 HTTP 200 回應，進入升級模式。
• CVE-2024-32974：EnvoyQuicServerStream::OnInitialHeadersComplete() 發生當機。
• CVE-2024-32975：QuicheDataReader::PeekVarInt62Length() 發生當機。
• CVE-2024-32976：使用額外輸入內容解壓縮 Brotli 資料時發生無窮迴圈。
• CVE-2024-34362：EnvoyQuicServerStream 發生當機 (use-after-free)。
• CVE-2024-34363：因未擷取的 nlohmann JSON 例外狀況而導致當機。
• CVE-2024-34364：來自 HTTP 非同步用戶端的 Envoy OOM 向量，具有無界限的鏡像回應回應緩衝區。

如需操作說明和詳細資訊，請參閱 Cloud Service Mesh 安全性公告。

• CVE-2024-23326
  
• CVE-2024-32974
  
• CVE-2024-32975
  
• CVE-2024-32976
  
• CVE-2024-34362
  
• CVE-2024-34363
  
• CVE-2024-34364
  

我們在 Fluent Bit 中發現一個新的安全漏洞 (CVE-2024-4323)，可能導致遠端程式碼執行。Fluent Bit 2.0.7 至 3.0.3 版都會受到影響。

GKE、GKE on VMware、GKE on AWS、GKE on Azure 和 GKE on Bare Metal 並未使用有安全漏洞的 Fluent Bit 版本，因此不受影響。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

2024 年 7 月 18 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-52620

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

2024 年 8 月 19 日更新：新增 GKE 上 Ubuntu 節點集區的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26642

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

2024 年 5 月 22 日更新：新增 Ubuntu 的修補程式版本

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26581

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

2024 年 9 月 25 日更新： 新增 VMware 適用的 GDC 軟體修補程式版本。

2024 年 5 月 15 日更新：新增 GKE Ubuntu 節點集區的修補程式版本。

2024 年 5 月 9 日更新：將嚴重程度從「中」修正為「高」，並說明預設設定的 GKE Autopilot 叢集不受影響。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26808

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

2024 年 8 月 6 日更新：新增 GKE 上 Ubuntu 節點集區的修補程式版本。

2024 年 5 月 9 日更新：已將嚴重程度從「中」修正為「高」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26643

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

Looker 已修正外部研究人員透過 Google 和 Alphabet 安全漏洞獎勵計畫 (VRP) 回報的安全漏洞，但未發現任何遭濫用的證據。這些問題現已解決，Looker (Google Cloud Core) 和 Looker (原始版本) 的 Looker 代管客戶無須採取任何行動。建議自行代管的 Looker 執行個體更新至最新支援版本。

我該怎麼做？

Looker 代管的執行個體：Looker (Google Cloud Core) 和 Looker (原始版本) 執行個體

顧客不必採取任何行動。

僅限自行代管的 Looker 執行個體

如果 Looker 執行個體是自行代管，建議將 Looker 執行個體升級至下列版本：

• 24.6.12+
• 24.4.27+
• 24.2.58+
• 24.0.65+
• 23.18.100+
• 23.12.105+
• 23.6.163+

如何修正這個問題？

Google 已停用從 Looker 應用程式直接管理內部資料庫的權限，移除可跨租戶存取的進階權限，並輪替公開的密碼。此外，我們也修補了可能洩漏服務帳戶憑證的路徑遍歷安全漏洞。我們也正在徹底檢查程式碼和系統，找出並解決任何類似的潛在安全漏洞。

2024 年 7 月 18 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26585

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

下列 CVE 會使 Cloud Service Mesh 暴露於可遭利用的安全漏洞：

• CVE-2024-27919：HTTP/2：因 CONTINUATION 框架氾濫而導致記憶體耗盡。
• CVE-2024-30255：HTTP/2：因 CONTINUATION 框架氾濫而導致 CPU 耗盡
• CVE-2024-32475：使用「auto_sni」時，「:authority」標頭長度超過 255 個字元會導致異常終止。
• CVE-2023-45288：HTTP/2 CONTINUATION 框架可用於發動 DoS 攻擊。

如需操作說明和更多詳細資料，請參閱 Cloud Service Mesh 安全性公告。

• CVE-2024-27919
  
• CVE-2024-30255
  
• CVE-2024-32475
  
• CVE-2023-45288
  

2024 年 7 月 17 日更新：新增 GKE on VMware 的修補程式版本

2024 年 7 月 9 日更新：新增 GKE on Bare Metal 的修補程式版本

2024 年 4 月 24 日更新：新增 GKE 的修補程式版本。

最近在多個 HTTP/2 通訊協定實作中發現阻斷服務 (DoS) 安全漏洞 (CVE-2023-45288)，包括 Kubernetes 使用的 golang HTTP 伺服器。這個安全漏洞可能會導致 Google Kubernetes Engine (GKE) 控制層發生 DoS 攻擊。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

Compute Engine 不受 CVE-2024-3094 影響，這個漏洞會影響 liblzma 程式庫中 xz-utils 封裝的 5.6.0 和 5.6.1 版，可能導致 OpenSSH 公用程式遭到入侵。

詳情請參閱 Compute Engine 安全性公告。

研究人員在 Ray 中發現安全漏洞 (CVE-2023-48022)。Ray 是第三方開放原始碼工具，適用於 AI 工作負載。由於 Ray 不需要驗證，威脅行為者可以透過將作業提交至公開顯示的執行個體，達成遠端程式碼執行。Ray 開發人員 Anyscale 已對這項安全漏洞提出爭議。Ray 認為這些函式是預期的核心產品功能，安全性應在 Ray 叢集外部實作，因為 Ray 叢集若意外暴露於網路，可能會導致遭到入侵。

根據回覆，這項 CVE 存在爭議，可能不會顯示在安全漏洞掃描器中。無論如何，這項漏洞已在野外遭到積極利用，使用者應按照下方的建議設定使用方式。

我該怎麼做？

請遵循 Ray 最佳做法和指南，包括在受信任的網路中執行受信任的程式碼，確保 Ray 工作負載安全無虞。在客戶雲端執行個體中部署 ray.io 屬於共同責任模式。

Google Kubernetes Engine (GKE) 安全性團隊已發布網誌，說明如何強化 GKE 上的 Ray。

如要進一步瞭解如何為 Ray 服務新增驗證和授權，請參閱 Identity-Aware Proxy (IAP) 說明文件。GKE 使用者可以按照這份指南導入 IAP，也可以重新利用這篇網誌中連結的 Terraform 模組。

2024 年 5 月 6 日更新：新增 GKE Ubuntu 節點集區的修補程式版本。

2024 年 4 月 4 日更新：修正 GKE Container-Optimized OS 節點集區的最低版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-1085

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-3611

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

VMware 在 VMSA-2024-0006 中揭露多項安全漏洞，這些漏洞會影響部署在客戶環境中的 ESXi 元件。

對 Google Cloud VMware Engine 的影響

您的私有雲已更新，以解決安全性漏洞。

該怎麼辦？

您無須採取任何行動。

• VMSA-2024-0006
• CVE-2024-22252
• CVE-2024-22253
• CVE-2024-22254
• CVE-2024-22255

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-3776

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-3610

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-0193

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-6932

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

2024 年 4 月 17 日更新：新增 GKE on VMware 的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-6931

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

2024 年 2 月 13 日，AMD 揭露了兩個安全漏洞，會影響以第三代「Milan」和第四代「Genoa」Zen 核心為基礎的 EPYC CPU 上的 SEV-SNP。攻擊者可利用這些漏洞，從訪客存取過時資料，或導致訪客完整性喪失。

Google 已對受影響的資產套用修正程式，包括 Google Cloud，確保客戶受到保護。目前沒有任何證據顯示或報告指出，有人利用這項弱點進行攻擊。

我該怎麼做？

顧客無須採取任何行動。Google 伺服器機群 (包括 Compute Engine) 已套用 Google Cloud的修正程式。

詳情請參閱 AMD 安全性公告 AMD-SN-3007。

• CVE-2023-31346
• CVE-2023-31347

攻擊者可利用 CVE-2023-5528 在 Windows 節點上建立 Pod 和 PersistentVolume，進而提升這些節點的管理員權限。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

下列 CVE 會使 Cloud Service Mesh 暴露於可遭利用的安全漏洞：

• CVE-2024-23322：如果 Envoy 處於閒置狀態，且輪詢間隔內發生每次嘗試逾時的要求，就會當機。
• CVE-2024-23323：使用 regex 設定 URI 範本比對器時，CPU 使用率過高。
• CVE-2024-23324：當 Proxy 通訊協定篩選器設定無效的 UTF-8 中繼資料時，外部授權可能會遭到規避。
• 使用作業系統不支援的位址類型時，Envoy 會當機。
• CVE-2024-23327：當指令類型為 LOCAL 時，Proxy 通訊協定會當機。

如需操作說明和詳細資料，請參閱 Cloud Service Mesh 安全性公告。

• CVE-2024-23322
  
• CVE-2024-23323
  
• CVE-2024-23324
  
• CVE-2024-23325
  
• CVE-2024-23327
  

Apigee API 管理 Proxy 連線至目標端點或 目標伺服器時，預設不會對目標端點或目標伺器提供的憑證執行主機名稱驗證。如果未使用下列任一選項啟用主機名稱驗證，連線至目標端點或目標伺服器的 Apigee Proxy 可能會遭到授權使用者發動的攔截式攻擊。詳情請參閱「從 Edge 到後端 (Cloud 和 Private Cloud) 設定 TLS」。

下列 Apigee 平台上的 Apigee Proxy 部署作業會受到影響：

• Apigee Edge Public Cloud
• Apigee Edge Private Cloud

如需操作說明和更多詳細資料，請參閱 Apigee 安全性公告。

2024 年 5 月 6 日更新：新增 GKE on AWS 和 GKE on Azure 的修補程式版本。

2024 年 4 月 2 日更新：新增 GKE on Bare Metal 的修補程式版本

2024 年 3 月 6 日更新：新增 VMware 上的 GKE 修補程式版本

2024 年 2 月 28 日更新：新增 Ubuntu 的修補程式版本

2024 年 2 月 15 日更新：釐清 2024 年 2 月 14 日更新中的 1.25 和 1.26 Ubuntu 修補程式版本，可能會導致節點狀況不佳。

2024 年 2 月 14 日更新：新增 Ubuntu 的修補程式版本

2024 年 2 月 6 日更新： 新增 Container-Optimized OS 的修補程式版本。

我們在 runc 中發現 CVE-2024-21626 安全漏洞，如果使用者有權在 Container-Optimized OS 和 Ubuntu 節點上建立 Pod，可能就能完全存取節點檔案系統。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

2024 年 2 月 7 日更新： 新增 Ubuntu 的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-6817

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

2024 年 1 月 26 日更新：釐清受影響的叢集數量，以及我們為減輕影響而採取的行動。詳情請參閱 GCP-2024-003 安全性公告。

我們發現有幾個叢集的使用者已將 Kubernetes 權限授予 system:authenticated 群組，這個群組包含所有 Google 帳戶使用者。這類繫結不建議使用，因為這會違反最低權限原則，並授予大量使用者存取權。請參閱「該怎麼辦」下方的指引，瞭解如何找出這類繫結。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告

2024 年 2 月 20 日更新：新增 GKE on VMware 的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限遭到提升。

• CVE-2023-6111

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

我們在 TianoCore EDK II UEFI 韌體中發現多項安全漏洞。這個韌體用於 Google Compute Engine VM。如果遭到濫用，這些安全漏洞可能會規避安全啟動，進而在安全啟動程序中提供錯誤的測量結果，包括在受防護的 VM 中使用時。

該怎麼辦？

您無須採取任何行動，Google 已修補 Compute Engine 的這個安全漏洞，所有 VM 都不會受到影響。

這個修補程式修正了哪些安全漏洞？

這個修補程式可有效降低下列安全漏洞的風險：

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-3609

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-3389

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-3090

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

2023 年 12 月 21 日更新：釐清預設設定的 GKE Autopilot 叢集不受影響。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-3390

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

如果攻擊者入侵 Fluent Bit 記錄容器，就能結合該存取權和 Cloud Service Mesh (在已啟用該服務的叢集上) 所需的高權限，進而提升叢集中的權限。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

2024 年 3 月 4 日更新： 新增 VMware 中 GKE 的 GKE 版本。

2024 年 1 月 22 日更新：新增 Ubuntu 修補程式版本

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-5717

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

2023 年 12 月 21 日更新：釐清預設設定的 GKE Autopilot 叢集不受影響。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-5197

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

11 月 14 日，AMD 揭露多項安全漏洞，這些漏洞會影響各種 AMD 伺服器 CPU。具體來說，這些安全漏洞會影響採用 Zen 核心第 2 代「Rome」、第 3 代「Milan」和第 4 代「Genoa」的 EPYC 伺服器 CPU。

Google 已對受影響的資產 (包括 Google Cloud) 進行修正，確保客戶受到保護。目前沒有任何證據顯示有人利用這項漏洞，也沒有人向 Google 回報這類事件。

我該怎麼做？

顧客不必採取任何行動。

Google 伺服器機群 (包括 Google Compute Engine) 已套用修正程式。

修正了哪些安全漏洞？

這個修補程式可有效降低下列安全漏洞的風險：

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2023-20521
• CVE-2021-46766
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

詳情請參閱 AMD 安全性諮詢 AMD-SN-3005：「AMD INVD 指令安全性通知」(也稱為 CacheWarp)，以及 AMD-SN-3002：「AMD 伺服器安全漏洞 - 2023 年 11 月」。

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

Intel 揭露了特定處理器中的 CPU 安全漏洞。Google 已採取措施，降低伺服器機群 (包括 Google Compute Engine for Google Cloud) 和 ChromeOS 裝置的風險，確保客戶受到保護。

安全漏洞詳情：

• CVE-2023-23583

我該怎麼做？

顧客不必採取任何行動。

Intel 為受影響的處理器提供的緩解措施已套用至 Google 伺服器機群，包括 Google Compute Engine for Google Cloud。

目前，Google Distributed Cloud Edge 需要 OEM 更新。更新推出後，Google 就會修復這項產品，並更新這則公告。

搭載受影響處理器的 ChromeOS 裝置已自動收到修正程式，這是 119、118 和 114 (LTS) 版的一部分。

修正了哪些安全漏洞？

CVE-2023-23583。詳情請參閱 Intel 安全性諮詢 INTEL-SA-00950。

2023 年 11 月 15 日更新：明確指出只有列出的子版本需要升級至對應的 GKE 修補版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-4147

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

2023 年 12 月 21 日更新：釐清預設設定的 GKE Autopilot 叢集不受影響。

2023 年 12 月 5 日更新：新增 Container-Optimized OS 節點集區的 GKE 版本。

2023 年 11 月 21 日更新：明確指出只有列出的子版本需要升級至對應的 GKE 修補版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-4004

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

2023 年 12 月 21 日更新：釐清預設設定的 GKE Autopilot 叢集不受影響。

2023 年 11 月 21 日更新：明確指出只有列出的子版本需要升級至對應的 GKE 修補版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-4921

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

2023 年 11 月 21 日更新：明確指出只有列出的子版本需要升級至對應的 GKE 修補版本。

2023 年 11 月 16 日更新：與本安全公告相關的安全漏洞為 CVE-2023-4622。在舊版安全公告中，CVE-2023-4623 誤列為安全漏洞。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-4623

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

2023 年 12 月 21 日更新：釐清預設設定的 GKE Autopilot 叢集不受影響。

2023 年 11 月 21 日更新：明確指出只有列出的子版本需要升級至對應的 GKE 修補版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-4623

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

2023 年 12 月 21 日更新：釐清預設設定的 GKE Autopilot 叢集不受影響。

2023 年 11 月 21 日更新：明確指出只有列出的子版本需要升級至對應的 GKE 修補版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-4015

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

深度學習 VM 映像檔是一系列預先封裝的虛擬機器映像檔，具備隨時可執行的深度學習架構。最近，我們在 `libwebp` 程式庫的 `ReadHuffmanCodes()` 函式中發現了超出範圍的寫入安全漏洞。這可能會影響使用這個程式庫的圖片。

Google Cloud 會持續掃描公開發布的映像檔，並更新套件，確保客戶可採用最新版本，其中包含已修補的發行版本。我們已更新深度學習 VM 映像檔，確保最新版 VM 映像檔包含已修補的發行版本。採用最新 VM 映像檔的客戶不會受到這個安全漏洞影響。

我該怎麼做？

Google Cloud 使用已發布 VM 映像檔的客戶應確保採用最新映像檔，並根據共同責任模式更新環境。

攻擊者可能會利用 CVE-2023-4863 執行任意程式碼。這項安全漏洞是在 116.0.5845.187 之前的 Google Chrome 版本，以及 1.3.2 之前的 `libwebp` 版本中發現，並列於 CVE-2023-4863 下。

2023 年 12 月 21 日更新：釐清預設設定的 GKE Autopilot 叢集不受影響。

2023 年 11 月 21 日更新：明確指出只有列出的子版本需要升級至對應的 GKE 修補版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

VMware 在 VMSA-2023-0023 中揭露多項漏洞，這些漏洞會影響部署在客戶環境中的 vCenter 元件。

Cloud Customer Care 的影響

• 只要存取 vCenter Server 中的特定連接埠，即可利用這項漏洞。這些通訊埠不會暴露於公開網際網路。
• 如果不受信任的系統無法存取 vCenter 的 2012/tcp、2014/tcp 和 2020/tcp 連接埠，您就不會受到這項安全漏洞影響。
• Google 已封鎖 vCenter 伺服器上的易受攻擊通訊埠，防止有人利用這個安全漏洞。
• 此外，Google 會確保日後部署的所有 vCenter 伺服器都不會受到這個安全漏洞影響。
• 在公告發布時，VMware 並未發現任何「實際」遭濫用的情況。 詳情請參閱 VMware 說明文件。

該怎麼辦？

目前不需要採取其他行動

2023 年 12 月 21 日更新：釐清預設設定中的 GKE Autopilot 叢集不受影響，GKE Sandbox 工作負載也不受影響。

2023 年 11 月 21 日更新：明確指出只有列出的子版本需要升級至對應的 GKE 修補版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-3777

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

2023 年 11 月 3 日更新：新增 Apigee Edge Private Cloud 的 已知問題。

最近在 HTTP/2 通訊協定的多種實作方式中，發現阻斷服務 (DoS) 安全漏洞 (CVE-2023-44487)，包括 Apigee X 和 Apigee Hybrid 使用的 Apigee Ingress (Cloud Service Mesh) 服務。這項漏洞可能會導致 Apigee API 管理功能發生 DoS 攻擊。

如需操作說明和更多詳細資料，請參閱 Apigee 安全性公告。

使用 HTTP/2 通訊協定時，阻斷服務攻擊可能會影響資料層。如需操作說明和詳細資訊，請參閱 Cloud Service Mesh 安全性公告。

2024 年 3 月 20 日更新：新增 GKE on AWS 和 GKE on Azure 的修補程式版本，其中包含 CVE-2023-44487 的最新修補程式。

2024 年 2 月 14 日更新：新增 GKE on VMware 的修補程式版本。

2023 年 11 月 9 日更新：新增 CVE-2023-39325。更新 GKE 版本，並提供 CVE-2023-44487 和 CVE-2023-39325 的最新修補程式。

最近在 HTTP/2 通訊協定的多個實作項目中發現阻斷服務 (DoS) 安全漏洞 (CVE-2023-44487)，包括 Kubernetes 使用的 golang HTTP 伺服器。這個安全漏洞可能會導致 Google Kubernetes Engine (GKE) 控制層發生 DoS 攻擊。設定授權網路的 GKE 叢集會受到保護，網路存取權會受到限制，但其他所有叢集都會受到影響。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

TorchServe 用於託管 PyTorch 機器學習模型，以進行線上預測。Vertex AI 提供預建的 PyTorch 模型服務容器，這些容器依附於 TorchServe。我們最近在 TorchServe 中發現安全漏洞，如果模型管理 API 遭到公開，攻擊者就能掌控 TorchServe 部署作業。由於 Vertex AI 不會公開 TorchServe 的模型管理 API，因此部署至 Vertex AI 線上預測的 PyTorch 模型不會受到這些安全漏洞影響。如果客戶在 Vertex AI 以外使用 TorchServe，應採取預防措施，確保部署作業安全無虞。

我該怎麼做？

如果 Vertex AI 客戶使用 Vertex AI 的預建 PyTorch 服務容器部署模型，則無須採取任何行動來解決這些安全漏洞，因為 Vertex AI 部署作業不會將 TorchServe 的管理伺服器公開至網際網路。

如果客戶在其他環境中使用預建的 PyTorch 容器，或是使用自建或第三方發布的 TorchServe，請採取下列做法：

• 請確保 TorchServe 的模型管理 API 未對網際網路公開。只要確保 management_address 繫結至 127.0.0.1，即可將模型管理 API 限制為僅限本機存取。
• 使用 allowed_urls 設定，確保模型只能從預期來源載入。
• 請盡快將 TorchServe 升級至 0.8.2 版，該版本已包含此問題的因應措施。為防範這類問題，Vertex AI 將於 2023 年 10 月 13 日前發布修正後的預建容器。

修正了哪些安全漏洞？

在大多數 TorchServe Docker 映像檔 (包括 Vertex AI 發布的映像檔) 中，TorchServe 的管理 API 預設會繫結至 0.0.0.0，因此可供外部要求存取。在 TorchServe 0.8.2 中，管理 API 的預設 IP 位址已變更為 127.0.0.1，可減輕這個問題。

CVE-2023-43654 和 CVE-2022-1471 允許有權存取管理 API 的使用者從任意來源載入模型，並遠端執行程式碼。TorchServe 0.8.2 包含這兩項問題的解決方法：移除遠端程式碼執行路徑，並在採用 allowed_urls 的預設值時發出警告。

客戶可以設定 Google Security Operations，透過擷取動態饋給從客戶擁有的 Cloud Storage bucket 擷取資料。在最近之前，Google Security Operations 提供共用的服務帳戶，供客戶授予 bucket 權限。我們發現有機會將某位客戶的 Google Security Operations 執行個體設定為從另一位客戶的 Cloud Storage bucket 擷取資料。執行影響分析後，我們發現目前或先前並無濫用此安全漏洞的情況。2023 年 9 月 19 日前，所有版本的 Google Security Operations 都存在這個安全漏洞。

我該怎麼做？

自 2023 年 9 月 19 日起，Google Security Operations 已更新，可解決這項安全漏洞。顧客不必採取任何行動。

修正了哪些安全漏洞？

Google Security Operations 過去提供共用服務帳戶，供客戶授予 bucket 權限。由於不同客戶都將相同 Google Security Operations 服務帳戶的權限授予自己的儲存空間，因此存在可供利用的向量，讓某位客戶的資訊提供存取另一位客戶的儲存空間 (建立或修改資訊提供時)。這個攻擊媒介需要知道 bucket URI。現在，在建立或修改動態饋給時，Google Security Operations 會為每位客戶使用專屬的服務帳戶。

VMware vCenter Server 更新解決多個記憶體損毀漏洞 (CVE-2023-20892、CVE-2023-20893、CVE-2023-20894、CVE-2023-20895、CVE-2023-20896)

對客戶服務的影響

VMware vCenter Server (vCenter Server) 和 VMware Cloud Foundation (Cloud Foundation)。

該怎麼辦？

這項異動不會對客戶造成影響，因此無須採取任何行動。

• CVE-2023-20893

我們在 Kubernetes 中發現三個安全漏洞 (CVE-2023-3676、CVE-2023-3955、CVE-2023-3893)，如果使用者可以在 Windows 節點上建立 Pod，就可能在這些節點上取得管理員權限。這些安全漏洞會影響 Kubelet 和 Kubernetes CSI Proxy 的 Windows 版本。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

Intel 最近發布了 Intel 安全性諮詢 INTEL-SA-00828，指出部分處理器系列受到影響。建議您根據這項建議評估風險。

對 Google Cloud VMware Engine 的影響

我們的車隊使用受影響的處理器系列。在我們的部署作業中，整個伺服器專供一位客戶使用。因此，我們的部署模型不會為這項安全漏洞的評估作業增加任何額外風險。

我們正與合作夥伴合作取得必要修補程式，並會在接下來幾週內，使用標準升級程序，優先在整個機群中部署這些修補程式。

該怎麼辦？

您無須採取任何行動，我們會升級所有受影響的系統。

• CVE-2022-40982

2024 年 6 月 4 日更新：下列缺少的產品現已更新，可修正這項安全漏洞：

• Google Distributed Cloud Hosted
• Google Distributed Cloud Edge

2023 年 8 月 10 日更新：新增 ChromeOS LTS 版本號碼。

Intel 揭露了特定處理器中的安全漏洞 (CVE-2022-40982)。 Google 已採取措施，減輕伺服器機群 (包括 Google Cloud) 的影響，確保客戶受到保護。

安全漏洞詳情：

• CVE-2022-40982 (Intel IPU 2023.3，「GDS」又稱「Downfall」)

我該怎麼做？

顧客不必採取任何行動。

Google Cloud (包括 Google Compute Engine) 的 Google 伺服器機群已套用所有可用的修補程式。

目前，下列產品需要合作夥伴和供應商進行額外更新。

• Google Cloud VMware Engine
• Google Distributed Cloud Hosted
• Google Distributed Cloud Edge
• Google Cloud Bare Metal Solution
• Evolved Packet Core

Google 會在這些修補程式推出後修正這些產品，並據此更新本公告。

Google Chromebook 和 ChromeOS Flex 客戶已在穩定版 (115)、長期支援版 (108)、Beta 版 (116) 和 LTC 版 (114) 中，自動收到 Intel 提供的緩解措施。如果 Chromebook 和 ChromeOS Flex 客戶固定使用舊版，請考慮取消固定，改用穩定版或長期支援版，確保裝置能收到這項和其他安全漏洞修正。

修正了哪些安全漏洞？

CVE-2022-40982 - 詳情請參閱 Intel 安全性諮詢 INTEL-SA-00828。

AMD 揭露了特定處理器中的安全漏洞 (CVE-2023-20569)。 Google 已採取措施，減輕伺服器機群 (包括 Google Cloud) 的影響，確保客戶受到保護。

安全漏洞詳情：

• CVE-2023-20569 (AMD SB-7005，又稱「Inception」)

我該怎麼做？

如果使用者在 Compute Engine VM 中執行不受信任的程式碼，請考慮使用 OS 提供的緩解措施。建議客戶向作業系統供應商尋求更具體的指引。

Google Cloud (包括 Google Compute Engine) 的 Google 伺服器機群已套用修正程式。

修正了哪些安全漏洞？

CVE-2023-20569 - 詳情請參閱 AMD SB-7005。

Google 在 1.57 版發布前，發現 gRPC C++ 實作項目存在安全漏洞。這是 gRPC C++ 實作中的阻斷服務安全漏洞。這些問題已在 1.53.2、1.54.3、1.55.2、1.56.2 和 1.57 版中修正。

我該怎麼做？

請確認您使用的是下列軟體套件的最新版本：

• gRPC (C++、Python、Ruby) 1.53、1.54、1.55 和 1.56 版需要升級至下列修補程式版本：
• 1.53.2
• 1.54.3
• 1.55.2
• 1.56.2
• gRPC (C++、Python、Ruby) 1.52 版和更早版本必須升級至核准的修補程式版本。例如 1.53.2、1.54.3、1.53.4 等。

修正了哪些安全漏洞？

這些修補程式可有效降低下列安全漏洞的風險：

• gRPC C++ 實作中的阻斷服務安全漏洞：特製要求可能會導致 Proxy 與後端之間的連線終止。

下列 CVE 會使 Cloud Service Mesh 暴露於可遭利用的安全漏洞：

• CVE-2023-35941：在某些特定情況下，惡意用戶端可以建構永久有效的憑證。舉例來說，HMAC 酬載中的主機和到期時間組合，在 OAuth2 篩選器的 HMAC 檢查中一律有效。
• CVE-2023-35942：使用接聽程式全域範圍的 gRPC 存取記錄器，可能會在接聽程式排空時導致使用後釋放的當機。如果 LDS 更新的 gRPC 存取記錄檔設定相同，就會觸發這項作業。
• CVE-2023-35943：如果 origin 標頭設定為使用 request_headers_to_remove: origin 移除，CORS 篩選器會 segfault 並導致 Envoy 損毀。
• CVE-2023-35944：攻擊者可以傳送混合配置要求，略過 Envoy 中的配置檢查。舉例來說，如果含有混合配置 HTTP 的要求傳送至 OAuth2 篩選器，系統會因 HTTP 的完全相符檢查失敗，通知遠端端點配置為 HTTPS，因此可能會略過 HTTP 要求專用的 OAuth2 檢查。

如需操作說明和詳細資訊，請參閱 Cloud Service Mesh 安全性公告。

• CVE-2023-35941
  
• CVE-2023-35942
  
• CVE-2023-35943
  
• CVE-2023-35944
  

AMD 已發布微碼更新，解決硬體安全漏洞 (CVE-2023-20593)。Google 已為伺服器機群 (包括 Google Cloud Platform 的伺服器) 進行必要的修正，以解決這項安全漏洞。測試結果顯示，系統效能不會受到影響。

我該怎麼做？

Google Cloud Platform 的 Google 伺服器機群已套用修正程式，因此客戶不必採取任何行動。

修正了哪些安全漏洞？

CVE-2023-20593 解決了部分 AMD CPU 的安全漏洞。詳情請參閱這篇文章。

我們在 Envoy 中發現一個新漏洞 (CVE-2023-35945)，如果來自不受信任上游服務的回應經過特製，可能會導致記憶體耗盡，進而造成阻斷服務。這是因為 Envoy 的 HTTP/2 編解碼器可能會在收到 RST_STREAM 後，立即從上游伺服器接收 GOAWAY 框架，導致標頭對映和記帳結構外洩。

如需操作說明和詳細資訊，請參閱 Cloud Service Mesh 安全性公告。

Linux 核心最近發現一個新安全漏洞 (CVE-2023-2235)，可能導致節點權限提升。GKE Autopilot 節點一律使用 Container-Optimized OS 節點映像檔，因此 GKE Autopilot 叢集會受到影響。執行 Container-Optimized OS 節點映像檔的 GKE Standard 叢集 (版本 1.25 以上) 會受到影響。

如果 GKE 叢集只執行 Ubuntu 節點映像檔、執行 1.25 之前的版本，或使用 GKE Sandbox，就不會受到影響。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

2023 年 7 月 11 日更新：新版 GKE 已更新，內含最新版 Ubuntu，可修補 CVE-2023-31436。

Linux 核心最近發現一項新安全漏洞 (CVE-2023-31436)，可能導致節點權限提升。包括 Autopilot 叢集在內的 GKE 叢集都會受到影響。使用 GKE Sandbox 的 GKE 叢集不受影響。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

我們在 Cloud Service Mesh 使用的 Envoy 中發現多個安全漏洞，惡意攻擊者可利用這些漏洞造成阻斷服務或 Envoy 當機。這些問題已在 GCP-2023-002 中分別回報。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

Linux 核心最近發現一個新安全漏洞 (CVE-2023-0468)。如果 io_poll_get_ownership 會在每次 io_poll_wake 時持續增加 req->poll_refs，然後溢位至 0，這項漏洞可能會允許未經授權的使用者將權限升級為 root，進而導致 struct file refcount 問題。使用 Linux 核心 5.15 版的 Container-Optimized OS，包括 Autopilot 叢集在內的 GKE 叢集都會受到影響。使用 Ubuntu 映像檔或 GKE Sandbox 的 GKE 叢集不受影響。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

2023 年 8 月 11 日更新： 新增 GKE on VMware、GKE on AWS、GKE on Azure 和 Google Distributed Cloud Virtual for Bare Metal 的修補程式版本。

我們在 Kubernetes 中發現兩個新的安全性問題，使用者可能可以啟動容器，在使用暫時性容器和 ImagePolicyWebhook (CVE-2023-2727) 或 ServiceAccount 許可外掛程式 (CVE-2023-2728) 時，略過政策限制。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

在專案中啟用 Cloud Build API 時，Cloud Build 會自動建立預設服務帳戶，代表您執行建構作業。這個 Cloud Build 服務帳戶先前擁有 logging.privateLogEntries.list IAM 權限，因此建構作業預設可存取私人記錄。為遵守最低權限安全原則，我們已撤銷 Cloud Build 服務帳戶的這項權限。

如需操作說明和詳細資訊，請參閱 Cloud Build 安全性公告。

Google 在 gRPC C++ 實作中發現了三項新安全漏洞。這些漏洞很快就會公開發布，分別為 CVE-2023-1428、CVE-2023-32731 和 CVE-2023-32732。

我們在 4 月發現 1.53 和 1.54 版本有兩個安全漏洞，其中一個是 gRPC C++ 實作中的阻斷服務安全漏洞，另一個則是遠端資料外洩安全漏洞。這些問題已在 1.53.1、1.54.2 和後續版本中修正。

今年 3 月，內部團隊在執行例行模糊測試活動時，發現 gRPC 的 C++ 實作中存在阻斷服務安全漏洞。這個問題出現在 gRPC 1.52 版，並已在 1.52.2 和 1.53 版中修正。

該怎麼辦？

請確認您使用的是下列軟體套件的最新版本：

• grpc (C++、Python、Ruby) 1.52、1.53 和 1.54 版需要升級至下列修補程式版本：
• 1.52.2
• 1.53.1
• 1.54.2
• grpc (C++、Python、Ruby) 1.51 以下版本不受影響，因此使用這些版本的使用者不必採取任何行動

這些修補程式修正了哪些安全漏洞？

這些修補程式可有效降低下列安全漏洞的風險：

• 1.53.1、1.54.2 和後續版本修正了 gRPC C++ 實作中的阻斷服務安全漏洞。精心設計的要求可能會導致 Proxy 與後端之間的連線終止。遠端資料外洩漏洞：由於標頭大小限制，HPACK 資料表中的不同步問題可能會導致 Proxy 後端洩漏標頭資料，這些資料來自連線至 Proxy 的其他用戶端。
• 1.52.2、1.53 和後續版本修正了 gRPC C++ 實作中的阻斷服務安全漏洞。剖析特定格式的要求可能會導致伺服器當機。

建議您升級至上述軟體套件的最新版本。

我們在 secrets-store-csi-driver 中發現新的安全漏洞 (CVE-2023-2878)，如果攻擊者有權存取驅動程式記錄，就能觀察服務帳戶權杖。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

Linux 核心中發現新的安全漏洞 (CVE-2023-1872)，可能導致節點上的權限升級為 Root。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

我們最近在 SQL Server 適用的 Cloud SQL 中發現一項安全性弱點，導致客戶管理員帳戶可以在 tempdb 資料庫中建立觸發程序，並藉此取得執行個體中的 sysadmin 權限。sysadmin 權限會讓攻擊者存取系統資料庫，以及執行該 SQL Server 執行個體的機器。

Google Cloud 在 2023 年 3 月 1 日前修補安全漏洞，解決問題。 Google Cloud 未發現任何遭入侵的客戶執行個體。

如需操作說明和詳細資訊，請參閱 Cloud SQL 安全性公告。

2023 年 6 月 6 日更新：新版 GKE 已更新，內含最新版 Ubuntu，可修補 CVE-2023-1281 和 CVE-2023-1829。

Linux 核心最近發現兩個新安全漏洞 (CVE-2023-1281、CVE-2023-1829)，可能導致節點上的權限提升為 Root。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

可信任平台模組 (TPM) 2.0 發現了兩個安全漏洞 (CVE-2023-1017 和 CVE-2023-1018)。

這些安全漏洞可能導致有心人士在特定 Compute Engine VM 上，利用 2 位元組的超出範圍讀取/寫入作業。

如需操作說明和更多詳細資料，請參閱 Compute Engine 安全性公告。

• CVE-2023-1017
• CVE-2023-1018

2023 年 12 月 21 日更新：釐清預設設定的 GKE Autopilot 叢集不受影響。

Linux 核心最近發現兩個新安全漏洞 (CVE-2023-0240 和 CVE-2023-23586)，未經授權的使用者可能會藉此升級權限。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

下列 CVE 會使 Cloud Service Mesh 暴露於可遭利用的安全漏洞：

• CVE-2023-27496：如果 Envoy 啟用 OAuth 篩選器並公開執行，惡意行為人可能會建構要求，導致 Envoy 崩潰，造成阻斷服務。
• CVE-2023-27488：如果使用 ext_authz，攻擊者可利用這項弱點略過驗證檢查。
• CVE-2023-27493：Envoy 設定也必須包含選項，可新增使用要求輸入內容 (例如對等互連憑證 SAN) 產生的要求標頭。
• CVE-2023-27492：攻擊者可以針對啟用 Lua 篩選器的路徑傳送大型要求主體，並觸發當機。
• CVE-2023-27491：攻擊者可以傳送特別製作的 HTTP/2 或 HTTP/3 要求，在 HTTP/1 上游服務中觸發剖析錯誤。
• CVE-2023-27487：標頭 `x-envoy-original-path` 應為內部標頭，但 Envoy 不會從要求中移除這個標頭，因為要求是從不受信任的用戶端傳送，且要求處理程序才剛開始。

如需操作說明和更多詳細資料，請參閱 Cloud Service Mesh 安全性公告：

• CVE-2023-27496
  
• CVE-2023-27488
  
• CVE-2023-27493
  
• CVE-2023-27492
  
• CVE-2023-27491
  
• CVE-2023-27487
  

2023 年 12 月 21 日更新：釐清預設設定的 GKE Autopilot 叢集不受影響。

Linux 核心最近發現一項新安全漏洞 (CVE-2022-4696)，可能導致節點權限提升。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

OpenSSL v3.0.6 最近發現兩個新安全漏洞 (CVE-2022-3786 和 CVE-2022-3602)，可能會導致當機。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

• CVE-2022-3786
• CVE-2022-3602

2023 年 12 月 21 日更新：釐清預設設定的 GKE Autopilot 叢集不受影響。

2023 年 1 月 19 日更新：新增 GKE 1.21.14-gke.14100 版的相關資訊。

OpenSSL v3.0.6 最近發現兩個新安全漏洞 (CVE-2022-3786 和 CVE-2022-3602)，可能會導致當機。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

• CVE-2022-3786
• CVE-2022-3602

2023 年 1 月 19 日更新：新增 GKE 1.21.14-gke.14100 版的相關資訊。

2022 年 12 月 16 日更新：新增 GKE 和 GKE on VMware 的修補程式版本。

Linux 核心最近發現兩個新漏洞 (CVE-2022-2585 和 CVE-2022-2588)，可能導致容器完全突破限制，在節點上取得 Root 權限。

如需操作說明和更多詳細資料，請參閱：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

• CVE-2022-2585
• CVE-2022-2588

我們在 Cloud Service Mesh 使用的 Istio 中發現安全漏洞 CVE-2022-39278，惡意攻擊者可藉此讓控制層當機。

如需操作說明和更多詳細資料，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

2022 年 12 月 14 日更新：新增 GKE 和 GKE on VMware 的修補程式版本。

我們在 Linux 核心中發現一個新的安全漏洞 (CVE-2022-20409)，未經授權的使用者可能會利用這個漏洞，將權限提升至系統執行權限。

如需操作說明和更多詳細資料，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

2023 年 12 月 21 日更新：釐清預設設定的 GKE Autopilot 叢集不受影響。

2023 年 1 月 19 日更新：新增 GKE 1.21.14-gke.14100 版的相關資訊。

2022 年 12 月 15 日更新：更新資訊，指出 Google Kubernetes Engine 1.21.14-gke.9400 版即將推出，且可能會被更高版本取代。

2022 年 11 月 22 日更新：新增 GKE on VMware、GKE on AWS 和 GKE on Azure 的修補程式版本。

我們在 Linux 核心中發現新的安全漏洞 CVE-2022-3176，這項漏洞可能會導致本機權限提升。沒有權限的使用者可利用這個安全漏洞，在節點上完全突破容器限制，取得 Root 權限。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

Istio 控制層 istiod容易發生要求處理錯誤，如果叢集的驗證 Webhook 公開，惡意攻擊者就能傳送特製訊息，導致控制層當機。這個端點是透過 TLS 埠 15017 提供服務，但不需要攻擊者進行任何驗證。

如需操作說明和更多詳細資料，請參閱 Cloud Service Mesh 安全性公告。

ProtocolBuffer 的 C++ 和 Python 實作項目存在訊息剖析和記憶體管理漏洞，處理特製訊息時可能會觸發記憶體不足 (OOM) 失敗。這可能會導致使用程式庫的服務發生阻斷服務 (DoS) 攻擊。

該怎麼辦？

請確認您使用的是下列軟體套件的最新版本：

• protobuf-cpp (3.18.3、3.19.5、3.20.2、3.21.6)
• protobuf-python (3.18.3、3.19.5、3.20.2、4.21.6)

這個修補程式修正了哪些安全漏洞？

這個修補程式可有效降低下列安全漏洞的風險：

這種小型訊息經過特別建構，會導致執行中的服務分配大量 RAM。要求大小較小，表示可輕易利用這項安全漏洞，耗盡資源。如果 C++ 和 Python 系統使用不受信任的 Protobuf，且 RPC 要求中含有 MessageSet 物件，就會容易遭受 DoS 攻擊。

2023 年 12 月 21 日更新：釐清預設設定的 GKE Autopilot 叢集不受影響。

2022 年 9 月 14 日更新：新增 GKE on VMware、GKE on AWS 和 GKE on Azure 的修補程式版本。

我們在 Linux 核心中發現新的安全漏洞 (CVE-2022-2327)，可能導致本機權限提升。沒有權限的使用者可利用這項安全漏洞，在節點上完全突破容器限制，取得 Root 權限。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

2022 年 11 月 22 日更新：使用 GKE Sandbox 的工作負載不會受到這些安全漏洞影響。

2022 年 7 月 21 日更新：新增 VMware 中 GKE 的相關資訊。

Linux 核心 5.10 和 5.11 版最近發現新的安全漏洞 (CVE-2022-1786)。這個漏洞會讓沒有權限的使用者在本機存取叢集，進而完全突破容器限制，取得節點的根層級存取權。只有執行 Container-Optimized OS 的叢集會受到影響。GKE Ubuntu 版本使用核心 5.4 或 5.15 版，因此不受影響。

如需操作說明和更多詳細資料，請參閱：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

2022 年 11 月 22 日更新：Autopilot 叢集不會受到 CVE-2022-29581 影響，但容易受到 CVE-2022-29582 和 CVE-2022-1116 影響。

Linux 核心中發現了三個新的記憶體損毀安全漏洞 (CVE-2022-29581、CVE-2022-29582、CVE-2022-1116)。這些漏洞會讓沒有權限的使用者在本機存取叢集時，完全突破容器限制，取得節點的根層級存取權。所有 Linux 叢集 (Container-Optimized OS 和 Ubuntu) 都會受到影響。

如需操作說明和更多詳細資料，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

• CVE-2022-29581
• CVE-2022-29582
• CVE-2022-1116

2022 年 6 月 10 日更新：Cloud Service Mesh 版本已更新。如需操作說明和詳細資訊，請參閱 Cloud Service Mesh 安全性公告。

下列 Envoy 和 Istio CVE 會將 Cloud Service Mesh 和 GKE 上的 Istio 暴露於可從遠端利用的安全性漏洞：

• CVE-2022-31045：啟用中繼資料交換和統計資料擴充功能時，Istio 資料平面可能會以不安全的方式存取記憶體。
• CVE-2022-29225：如果惡意攻擊者傳遞小型高壓縮比的酬載 (zip bomb 攻擊)，資料可能會超過中繼緩衝區限制。
• CVE-2021-29224：GrpcHealthCheckerImpl 中可能出現空指標取消參照。
• CVE-2021-29226：OAuth 篩選器允許輕易繞過。
• CVE-2022-29228：OAuth 篩選器可能會損毀記憶體 (舊版) 或觸發 ASSERT() (新版)。
• CVE-2022-29227：如果要求包含主體或尾部，內部重新導向會導致當機。

如需操作說明和詳細資訊，請參閱 Cloud Service Mesh 安全性公告。

• CVE-2022-31045
  
• CVE-2022-29225
  
• CVE-2021-29224
  
• CVE-2021-29226
  
• CVE-2022-29228
  
• CVE-2022-29227
  

2022 年 11 月 22 日更新：GKE Autopilot 叢集和在 GKE Sandbox 中執行的工作負載不受影響。

2022 年 5 月 12 日更新：GKE on AWS 和 GKE on Azure 版本已更新。如需操作說明和更多詳細資料，請參閱：

• GKE on AWS 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

---

Linux 核心中發現兩個安全漏洞：CVE-2022-1055 和 CVE-2022-27666。這兩種情況都可能導致本機攻擊者能夠執行容器突破、提升主機權限，或同時執行這兩項操作。所有 GKE 節點作業系統 (Container-Optimized OS 和 Ubuntu) 都會受到這些安全漏洞影響。如需操作說明和更多詳細資料，請參閱下列安全性公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

我們在 containerd 處理 OCI 映像檔磁碟區規格中的路徑遍歷時，發現安全漏洞 CVE-2022-23648。透過 containerd 的 CRI 實作項目啟動容器時，如果使用特製的映像檔設定，容器可能會取得主機上任意檔案和目錄的完整讀取權。這項安全漏洞可能會略過容器設定中任何以政策為準的強制執行措施 (包括 Kubernetes Pod 安全性政策)。

如需操作說明和更多詳細資料，請參閱下列安全性公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

2022 年 11 月 22 日更新：無論是 Standard 模式或 Autopilot 模式，使用 GKE Sandbox 的工作負載都不會受到影響。

Linux 核心 5.8 以上版本最近發現安全漏洞 CVE-2022-0847，可能會將容器權限提升為 Root。這項安全漏洞會影響下列產品：

• 使用 Container-Optimized OS 映像檔 (Container-Optimized OS 93 以上版本) 的 GKE 節點集區 1.22 以上版本
• 適用於 Container-Optimized OS 映像檔的 VMware 專用 GKE v1.10
• GKE on AWS v1.21 和 GKE on AWS (舊版) v1.19、v1.20、v1.21，使用 Ubuntu
• 使用 Ubuntu 的 Azure 中 GKE v1.21 受管理叢集

如需操作說明和更多詳細資料，請參閱下列安全性公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

2022 年 8 月 11 日更新：新增多執行緒並行 (SMT) 設定的相關資訊。SMT 原本應停用，但已在列出的版本中啟用。

如果您手動為沙箱化節點集區啟用 SMT，即使發生這個問題，SMT 仍會保持手動啟用狀態。

GKE Sandbox 映像檔的同時多執行緒 (SMT) (又稱超執行緒) 設定有誤。設定錯誤可能會導致節點暴露於側通道攻擊，例如微架構資料取樣 (MDS) (如需更多背景資訊，請參閱 GKE Sandbox 說明文件)。我們不建議使用下列受影響的版本：

• 1.22.4-gke.1501
• 1.22.6-gke.300
• 1.23.2-gke.300
• 1.23.3-gke.600

如需操作說明和詳細資訊，請參閱 GKE 安全性公告。

下列 Istio CVE 會讓 Cloud Service Mesh 暴露於可從遠端發動攻擊的安全漏洞：

• CVE-2022-24726：Istio 控制層 `istiod` 容易發生要求處理錯誤，因此當叢集的驗證 Webhook 公開時，惡意攻擊者只要傳送特製訊息，就會導致控制層當機。這個端點是透過 TLS 連接埠 15017 提供服務，但不需要攻擊者進行任何驗證。

如需操作說明和更多詳細資料，請參閱下列安全性公告：

• Cloud Service Mesh 安全性公告。

• CVE-2022-24726

在 GKE Autopilot 叢集上，部分非預期的節點 VM 存取路徑可能用於提升叢集權限。這些問題已修正，你無須採取任何行動。這些修正項目可解決透過安全漏洞獎勵計畫回報的問題。

如需操作說明和詳細資訊，請參閱 GKE 安全性公告。

2022 年 4 月 28 日更新： 新增可修正這些安全漏洞的 GKE on VMware 版本。詳情請參閱 GKE on VMware 安全性公告。

• CVE-2022-23606： 透過叢集探索服務 (CDS) 刪除叢集時，系統會中斷與該叢集端點建立的所有閒置連線。在 Envoy 1.19 版中，錯誤地將遞迴導入閒置連線的程序，導致叢集有大量閒置連線時，堆疊耗盡並異常終止程序。
• CVE-2022-21655： Envoy 的內部重新導向程式碼會假設有路由項目。如果對具有直接回應項目但沒有路徑項目的路徑執行內部重新導向，就會導致取消參照空指標並當機。
• CVE-2021-43826： 如果 Envoy 設定為使用 tcp_proxy，而 tcp_proxy 使用上游通道 (透過 HTTP) 和下游 TLS 終止，當下游用戶端在 TLS 交握期間中斷連線，而上游 HTTP 串流仍在建立中時，Envoy 就會當機。下游中斷連線可能是由用戶端或伺服器發起。用戶端可因任何原因中斷連線。舉例來說，如果伺服器沒有與用戶端相容的 TLS 加密方式或 TLS 通訊協定版本，就可能會中斷連線。在其他下游設定中，可能也會觸發這項當機問題。
• CVE-2021-43825： 傳送本機產生的回應後，必須停止進一步處理要求或回應資料。Envoy 會追蹤緩衝要求和回應資料量，如果緩衝資料量超過限制，就會傳送 413 或 500 回應，中止要求。不過，如果因為內部緩衝區溢位，導致在篩選器鏈處理回應時傳送本機產生的回應，作業可能無法正確中止，並導致存取已釋放的記憶體區塊。
• CVE-2021-43824： 使用 JWT 篩選器和「safe_regex」比對規則，以及「CONNECT host:port HTTP/1.1」等特製要求時，Envoy 會當機。抵達 JWT 篩選器時，「safe_regex」規則應評估網址路徑，但這裡沒有任何規則，因此 Envoy 會因區段錯誤而當機。
• CVE-2022-21654： 重新設定 mTLS 驗證設定後，Envoy 會錯誤地允許 TLS 會期續傳。如果舊設定允許使用用戶端憑證，但新設定不允許，即使目前的設定應禁止使用，用戶端仍可繼續先前的 TLS 工作階段。下列設定的變更會受到影響：
  • match_subject_alt_names
  • CRL 變更
  • allow_expired_certificate
  • Trust_chain_verification
  • only_verify_leaf_cert_crl
• CVE-2022-21657： 無論是 TLS 用戶端或 TLS 伺服器，Envoy 都不會限制從對等互連接受的憑證集，只接受包含必要 extendedKeyUsage (分別為 id-kp-serverAuth 和 id-kp-clientAuth) 的憑證。這表示對等互連裝置可以提供電子郵件憑證 (例如 id-kp-emailProtection)，無論是做為葉節點憑證或鏈結中的 CA，都會被 TLS 接受。如果與 CVE-2022-21656 搭配使用，情況會特別糟糕，因為這樣一來，原本只打算用於 S/MIME，因此免於稽核或監督的 Web PKI CA，就能核發 Envoy 會接受的 TLS 憑證。
• CVE-2022-21656： 用於實作預設憑證驗證常式的驗證器實作項目，在處理 subjectAltNames 時有「型別混淆」錯誤。舉例來說，這項處理程序可將 rfc822Name 或 uniformResourceIndicator 驗證為網域名稱。這種混淆行為會導致系統略過名稱限制，因為基礎的 OpenSSL/BoringSSL 實作項目會處理名稱限制，因此可能導致任意伺服器遭到冒用。

• Cloud Service Mesh 安全性公告

• Istio on GKE 安全性公告

• GKE
• VMware 中的 GKE
• 適用於 Bare Metal 的 Google Distributed Cloud Virtual

下列 Envoy 和 Istio CVE 會將 Cloud Service Mesh 和 GKE 上的 Istio 暴露於可從遠端利用的安全性漏洞：

• CVE-2022-23635：Istiod 收到含有特別設計 authorization 標頭的要求時會當機。
• CVE-2021-43824：使用 JWT 篩選器 safe_regex 比對時，可能出現空指標取消參照
• CVE-2021-43825：當回應篩選器增加回應資料，且增加的資料超出下游緩衝區限制時，會發生釋放後使用 (use-after-free) 的情況。
• CVE-2021-43826：透過 HTTP 進行 TCP 通道傳輸時，如果下游在建立上游連線期間中斷連線，就會發生釋放後使用 (use-after-free) 的情況。
• CVE-2022-21654：設定處理方式有誤，導致驗證設定變更後，系統仍允許重複使用 mTLS 工作階段，而不會重新驗證。
• CVE-2022-21655：內部重新導向至具有直接回應項目的路徑時，處理方式有誤。
• CVE-2022-23606：透過叢集探索服務刪除叢集時，發生堆疊耗盡問題。

如需操作說明和更多詳細資料，請參閱下列安全性公告：

• Cloud Service Mesh 安全性公告。
• Istio on GKE 安全性公告。

• CVE-2022-23635
  
• CVE-2021-43824
  
• CVE-2021-43825
  
• CVE-2021-43826
  
• CVE-2022-21654
  
• CVE-2022-21655
  
• CVE-2022-23606
  

2022 年 5 月 16 日更新：已將 GKE 1.19.16-gke.7800 以上版本新增至清單，這些版本包含修正這個安全漏洞的程式碼。詳情請參閱 GKE 安全性公告。

2022 年 5 月 12 日更新：GKE、GKE on VMware、GKE on AWS 和 GKE on Azure 版本已更新。如需操作說明和更多詳細資料，請參閱：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告

Linux 核心的 cgroup_release_agent_write 函式中發現安全漏洞 CVE-2022-0492。這項攻擊會使用未獲授權的使用者命名空間，在特定情況下，這項安全漏洞可用於容器突破。

如需操作說明和更多詳細資料，請參閱：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告

凡是連結至 NSS (網路安全服務) 3.73 或 3.68.1 之前的版本，都可能含有 libnss3 的安全漏洞 (CVE-2021-43527)。如果應用程式使用 NSS 進行憑證驗證，或使用其他 TLS、X.509、OCSP 或 CRL 功能，可能會受到影響，具體情況取決於 NSS 的使用/設定方式。

如需操作說明和更多詳細資料，請參閱：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on Azure 安全性公告

我們在 Linux 政策套件 (polkit) 的 pkexec 中發現安全性漏洞 CVE-2021-4034，驗證過的使用者可藉此發動權限提升攻擊。一般來說，PolicyKit 只會用於 Linux 電腦系統，允許非根使用者執行系統重新啟動、安裝套件、重新啟動服務等動作，但須遵守政策規定。

如需操作說明和更多詳細資料，請參閱：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on Azure 安全性公告

2022 年 2 月 25 日更新：GKE 版本已更新。如需操作說明和更多詳細資料，請參閱：

• GKE 安全性公告

2022 年 2 月 23 日更新： GKE 和 GKE on VMware 版本已更新。如需操作說明和更多詳細資料，請參閱：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告

2022 年 2 月 4 日更新：GKE 修補程式版本已於 2 月 2 日開始推出。

Linux 核心中發現了三個安全漏洞：CVE-2021-4154、CVE-2021-22600 和 CVE-2022-0185。這些漏洞可能會導致容器突破限制、主機權限提升，或兩者皆是。這些安全漏洞會影響 GKE、GKE on VMware、GKE on AWS (目前和前幾代) 和 GKE on Azure 上的所有節點作業系統 (COS 和 Ubuntu)。使用 GKE Sandbox 的 Pod 不會受到這些安全漏洞影響。詳情請參閱 COS 版本資訊。

如需操作說明和更多詳細資料，請參閱：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告

• CVE-2021-4154
• CVE-2021-22600
• CVE-2022-0185

在二進位資料的剖析程序中，發現 protobuf-java 有潛在的阻斷服務問題。

我該怎麼做？

請確認您使用的是下列軟體套件的最新版本：

• protobuf-java (3.16.1、3.18.2、3.19.2)
• protobuf-kotlin (3.18.2、3.19.2)
• google-protobuf [JRuby gem] (3.19.2)

Protobuf「javalite」使用者 (通常是 Android) 不會受到影響。

這個修補程式修正了哪些安全漏洞？

這個修補程式可有效降低下列安全漏洞的風險：

Java 中剖析不明欄位的方式存在實作弱點。惡意酬載 (約 800 KB) 會建立大量短期物件，導致頻繁重複的垃圾收集暫停，進而佔用剖析器數分鐘。

Kubernetes ingress-nginx 控制器中發現安全性問題 (CVE-2021-25742)。Ingress-nginx 自訂程式碼片段可讓您在所有命名空間中擷取 ingress-nginx 服務帳戶權杖和密鑰。

如需操作說明和更多詳細資料，請參閱：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

已知問題：使用 v1beta1 API 更新 BackendConfig 資源時，系統會從服務中移除有效的 Google Cloud Armor 安全性政策。

如需操作說明和詳細資訊，請參閱 GKE 安全性公告。

我們發現 GKE Enterprise Identity Service (AIS) LDAP 模組存在安全漏洞，在 GKE on VMware 1.8 和 1.8.1 版中，用於產生金鑰的種子金鑰可預測。有了這項漏洞，通過驗證的使用者就能新增任意聲明，並無限期提升權限。

如需操作說明和詳細資訊，請參閱 GKE on VMware 安全性公告。

Kubernetes 中發現安全漏洞 CVE-2020-8561，某些 Webhook 會將 kube-apiserver 要求重新導向至該 API 伺服器的私人網路。

如需操作說明和更多詳細資料，請參閱：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

根據 VMware 安全性諮詢 VMSA-2021-0020，VMware 收到 vCenter 中多個安全漏洞的報告。VMware 已發布更新，可修復受影響 VMware 產品中的這些安全漏洞。

我們已根據 VMware 安全性建議，將 VMware 提供的 vSphere 堆疊修補程式套用至 Google Cloud VMware Engine。本次更新修正了 CVE-2021-22005、CVE-2021-22006、CVE-2021-22007、CVE-2021-22008 和 CVE-2021-22010 中所述的安全漏洞。其他非重大安全性問題將在即將進行的 VMware 堆疊升級中解決 (如 7 月發出的預先通知所述，我們將盡快提供升級的具體時間表)。

對 VMware Engine 的影響

根據我們的調查結果，沒有任何客戶受到影響。

該怎麼辦？

由於 VMware Engine 叢集不會受到這項安全漏洞影響，因此您不必採取進一步行動。

• VMSA-2021-0020
• CVE-2021-22005
• CVE-2021-22006
• CVE-2021-22007
• CVE-2021-22008
• CVE-2021-22010

在特定情況下，如果某些 Google Cloud 負載平衡器將流量路由至已啟用 Identity-Aware Proxy (IAP) 的後端服務，可能會遭到不受信任的第三方攻擊。這項更新修正了透過安全漏洞獎勵計畫回報的問題。

• HTTP(S) 負載平衡器和
• 使用預設後端或具有萬用字元主機對應規則的後端 (即 host="*")

此外，貴機構的使用者必須點選不受信任方傳送的特製連結。

這項問題現已解決。自 2021 年 9 月 17 日起，IAP 只會向授權主機發放 Cookie。如果主機符合負載平衡器上安裝的其中一個憑證中，至少一個主體別名 (SAN)，系統就會將該主機視為已授權。

建議行動

部分使用者嘗試存取應用程式或服務時，可能會收到 HTTP 401 Unauthorized 回應，並顯示 IAP 錯誤代碼 52。這個錯誤代碼表示用戶端傳送的 Host 標頭與負載平衡器 SSL 憑證相關聯的任何主體別名都不相符。負載平衡器管理員必須更新 SSL 憑證，確保主體別名 (SAN) 清單包含使用者存取 IAP 保護應用程式或服務的所有主機名稱。進一步瞭解 IAP 錯誤代碼。

我們在 Kubernetes 中發現安全問題 CVE-2021-25741，使用者可能可以建立含有子路徑磁碟區掛接項目的容器，存取磁碟區以外的檔案和目錄，包括主機檔案系統中的檔案和目錄。

如需操作說明和更多詳細資料，請參閱：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

2021 年 9 月 23 日更新： 在 GKE Sandbox 中執行的容器不會受到這個安全漏洞影響，因為攻擊是從容器內部發起。

我們在 Linux 核心中發現兩個安全漏洞 (CVE-2021-33909 和 CVE-2021-33910)，可能導致 OS 當機，或讓未獲授權的使用者升級為 Root 權限。這個安全漏洞會影響所有 GKE 節點作業系統 (COS 和 Ubuntu)。

如需操作說明和更多詳細資料，請參閱下列安全性公告：

• GKE 安全性公告。
• GKE on AWS 安全性公告。

下列 Envoy 和 Istio CVE 會將 Cloud Service Mesh 和 GKE 上的 Istio 暴露於可從遠端利用的安全性漏洞：

• CVE-2021-39156：URI 路徑中含有片段 (URI 結尾以 # 字元開頭的部分) 的 HTTP 要求，可能會略過 Istio 的 URI 路徑授權政策。
• CVE-2021-39155：使用以 hosts 或 notHosts 為依據的規則時，HTTP 要求可能會略過 Istio 授權政策。
• CVE-2021-32781：影響 Envoy 的 decompressor、json-transcoder 或 grpc-web 擴充功能，或是修改及增加要求或回應主體大小的專有擴充功能。如果 Envoy 擴充功能的內建緩衝區大小不足，修改並增加主體大小可能會導致 Envoy 存取已解除分配的記憶體，並異常終止。
• CVE-2021-32780：不受信任的上游服務可能會傳送 GOAWAY 框架，然後傳送 SETTINGS 框架，並將 SETTINGS_MAX_CONCURRENT_STREAMS 參數設為 0，導致 Envoy 異常終止。(不適用於 Istio on GKE)
• CVE-2021-32778：如果 Envoy 用戶端開啟大量 HTTP/2 要求，然後重設這些要求，可能會導致 CPU 使用量過高。(不適用於 Istio on GKE)
• CVE-2021-32777：使用 ext_authz 擴充功能時，含有多個值標頭的 HTTP 要求可能無法完成授權政策檢查。

如需操作說明和更多詳細資料，請參閱下列安全性公告：

• Cloud Service Mesh 安全性公告。
• Istio on GKE 安全性公告。

• CVE-2021-39156
• CVE-2021-39155
• CVE-2021-32781
• CVE-2021-32780
• CVE-2021-32778
• CVE-2021-32777

我們最近發現新的安全漏洞 CVE-2021-22555，如果惡意行為人擁有 CAP_NET_ADMIN 權限，可能會導致容器突破防線，取得主機的 Root 權限。這個安全漏洞會影響執行 Linux 2.6.19 以上版本的所有 GKE 叢集和 GKE on VMware。

如需操作說明和更多詳細資料，請參閱下列安全性公告：

• GKE 安全性公告。
• VMware 中 GKE 的安全性公告。

Microsoft 發布了安全公告，說明影響 Windows 伺服器列印多工緩衝區的遠端程式碼執行 (RCE) 安全漏洞 CVE-2021-34527。CERT 協調中心 (CERT/CC) 發布了相關安全漏洞的更新說明，該漏洞稱為「PrintNightmare」，也會影響 Windows 列印多工緩衝區 - PrintNightmare，Windows 列印多工緩衝區重大安全漏洞

如需操作說明和詳細資訊，請參閱 GKE 安全性公告。

Istio 專案最近宣布一項安全漏洞，指出可從不同命名空間存取 Gateway 和 DestinationRule credentialName 欄位中指定的憑證。

如需產品專屬的操作說明和詳細資料，請參閱：

• Cloud Service Mesh 安全性公告。
• GKE Enterprise 安全性公告 GCP-2021-012，瞭解 Google Kubernetes Engine、Google Distributed Cloud Virtual for Bare Metal 和 GKE on VMware 的相關資訊。

2021 年 10 月 19 日更新：

如需操作說明和更多詳細資料，請參閱下列安全性公告：

• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

安全社群最近揭露了 runc 中發現的新安全漏洞 (CVE-2021-30465)，這個漏洞可能會讓使用者完全存取節點檔案系統。

在 GKE 中，由於要利用這個安全漏洞必須能夠建立 Pod，因此我們將這個安全漏洞的嚴重程度評定為「中」。

如需操作說明和詳細資訊，請參閱 GKE 安全性公告。

根據 VMware 安全性諮詢 VMSA-2021-0010，vSphere Client (HTML5) 中的遠端程式碼執行和驗證繞過漏洞已私下回報給 VMware。VMware 已發布更新，可修復受影響 VMware 產品中的這些安全漏洞。

我們已根據 VMware 安全性諮詢，為 vSphere 堆疊套用 VMware 提供的修補程式。這項更新可解決 CVE-2021-21985 和 CVE-2021-21986 中所述的安全漏洞。目前，VMware Engine 私有雲中執行的映像檔版本不會反映任何變更，以指出已套用的修補程式。請放心，我們已安裝適當的修補程式，您的環境不會受到這些安全漏洞影響。

對 VMware Engine 的影響

根據我們的調查結果，沒有任何客戶受到影響。

該怎麼辦？

由於 VMware Engine 叢集不會受到這項安全漏洞影響，因此您不必採取進一步行動。

• VMSA-2021-0010
• CVE-2021-21985
• CVE-2021-21986

Istio 含有可從遠端發動攻擊的漏洞。如果閘道設定了 AUTO_PASSTHROUGH 路由設定，外部用戶端就能存取叢集中非預期的服務，並略過授權檢查。

如需操作說明和更多詳細資料，請參閱 Cloud Service Mesh 安全性公告。

高

Istio 含有可從遠端發動攻擊的安全性漏洞，如果 HTTP 要求路徑含有多個斜線或逸出斜線字元 (%2F 或 %5C)，則在使用路徑式授權規則時，可能會規避 Istio 授權政策。

如需操作說明和更多詳細資料，請參閱 Cloud Service Mesh 安全性公告。

高

Istio 專案最近揭露了會影響 Istio 的新安全漏洞 (CVE-2021-31920)。

Istio 含有可從遠端發動攻擊的安全性漏洞，當使用以路徑為準的授權規則時，只要 HTTP 要求含有多個斜線或逸出斜線字元，即可規避 Istio 授權政策。

如需操作說明和更多詳細資料，請參閱：

• GKE 安全性公告

高

根據回報的安全性弱點，在 1.18.2 和更早的 Envoy 版本中，Envoy 不會解碼 HTTP 網址路徑中的逸出斜線序列 %2F 和 %5C。此外，部分以 Envoy 為基礎的產品不會啟用路徑正規化控制項。遠端攻擊者可能會使用逸出斜線 (例如 /something%2F..%2Fadmin,) 製作路徑，藉此規避存取控制 (例如封鎖 /admin)。後端伺服器隨後可能會解碼斜線序列並將路徑正規化，讓攻擊者取得超出存取控制政策範圍的存取權。

該怎麼辦？

如果後端伺服器會將 / 和 %2F 或 \ 和 %5C 視為可互換，且已設定以網址路徑為準的比對，建議您重新設定後端伺服器，不要將 \ 和 %2F 或 \ 和 %5C 視為可互換 (如可行)。

導入了哪些行為變更？

已啟用 Envoy 的 normalize_path 和合併相鄰斜線選項，以解決 Envoy 產品中其他常見的路徑混淆安全漏洞。

高

Envoy 和 Istio 專案最近宣布了幾項新的安全漏洞 (CVE-2021-28683、CVE-2021-28682 和 CVE-2021-29258)，攻擊者可能會利用這些漏洞導致 Envoy 停止運作。

Google Kubernetes Engine 叢集預設不會執行 Istio，因此不會受到影響。 如果叢集已安裝 Istio，並設定為向網際網路公開服務，這些服務可能會受到阻斷服務攻擊。

Google Distributed Cloud Virtual for Bare Metal 和 GKE on VMware 預設會使用 Envoy 做為 Ingress，因此 Ingress 服務可能會受到阻斷服務攻擊。

如需操作說明和更多詳細資料，請參閱下列安全性公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

中

• CVE-2021-28683
• CVE-2021-28682
• CVE-2021-29258

Kubernetes 專案最近發布了一項新的安全漏洞，標記為 CVE-2021-25735。這個漏洞可能會導致節點更新繞過驗證 Admission Webhook。

如果攻擊者擁有足夠的權限，且實作的驗證許可控制器 Webhook 使用舊版 Node 物件屬性 (例如 Node.NodeSpec 中的欄位)，攻擊者就能更新節點的屬性，進而導致叢集遭到入侵。GKE 和 Kubernetes 內建 Admission 控制器強制執行的政策都不會受到影響，但建議客戶檢查已安裝的任何其他 Admission Webhook。

如需操作說明和更多詳細資料，請參閱下列安全性公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

中

CVE-2021-25735

根據 VMware 安全性諮詢 VMSA-2021-0002，VMware 接獲多項報告，指出 VMware ESXi 和 vSphere Client (HTML5) 存在多項安全漏洞。VMware 已發布更新，可修復受影響 VMware 產品中的這些安全漏洞。

我們已根據 VMware 安全性諮詢，為 vSphere 堆疊套用正式記錄的解決方法。本次更新修正了 CVE-2021-21972、CVE-2021-21973 和 CVE-2021-21974 中所述的安全漏洞。

對 VMware Engine 的影響

根據我們的調查結果，沒有任何客戶受到影響。

該怎麼辦？

由於 VMware Engine 叢集不會受到這項安全漏洞影響，因此您不必採取進一步行動。

• VMSA-2021-0002
• CVE-2021-21972
• CVE-2021-21973
• CVE-2021-21974

我們最近在 Linux 公用程式 sudo 中發現一個安全漏洞 (請參考 CVE-2021-3156 中的說明)。如果系統已安裝 sudo，攻擊者可能會利用這個安全漏洞，在未經授權的情況下取得本機殼層存取權，並將系統權限提升為 Root。

執行 Compute Engine 的基礎架構不受這個安全漏洞影響。

所有 Google Kubernetes Engine (GKE)、GKE on VMware、GKE on AWS 和 Google Distributed Cloud Virtual for Bare Metal 叢集都不會受到這個安全漏洞的影響。

如需操作說明和更多詳細資料，請參閱下列安全性公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告
• Compute Engine 安全性公告

更新日期：2021 年 12 月 22 日。下列章節中的 GKE 指令應使用 gcloud beta，而非 gcloud 指令。

gcloud container clusters update –no-enable-service-externalips

1. 從 GKE 1.21 版開始，系統會為新叢集預設啟用 DenyServiceExternalIPs 許可控制器，禁止服務使用 ExternalIP。
2. 升級至 GKE 1.21 版的客戶可以使用下列指令，封鎖具有 ExternalIP 的服務：

   gcloud container clusters update –no-enable-service-externalips
   

詳情請參閱 強化叢集安全性。

Kubernetes 專案最近發現一個新的安全漏洞 CVE-2020-8554，如果攻擊者取得權限，建立類型為 LoadBalancer 或 ClusterIP 的 Kubernetes 服務，就可能攔截叢集中其他 Pod 傳送的網路流量。單獨利用這項安全漏洞，攻擊者無法取得建立 Kubernetes 服務的權限。

所有 Google Kubernetes Engine (GKE)、GKE on VMware 和 GKE on AWS 叢集都會受到這個安全漏洞的影響。

該怎麼辦？

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告

中

Kubernetes 專案最近發現數個問題，如果啟用詳細記錄選項，機密資料可能會外洩。問題如下：

• CVE-2020-8563：vSphere Provider kube-controller-manager 的記錄檔中出現機密資訊外洩問題
• CVE-2020-8564：檔案格式錯誤且記錄層級 >= 4 時，Docker 設定 Secret 會外洩
• CVE-2020-8565：Kubernetes 中針對 CVE-2019-11250 的修正不完整，當 logLevel >= 9 時，記錄中會出現權杖外洩問題。由 GKE Security 發現。
• CVE-2020-8566：當 loglevel >= 4 時，記錄檔中會公開 Ceph RBD adminSecrets

該怎麼辦？

由於 GKE 的預設詳細程度記錄層級，因此不需要採取進一步行動。

無

• CVE-2020-8563
• CVE-2020-8564
• CVE-2020-8565
• CVE-2020-8566

Google Kubernetes Engine (GKE)

Google Kubernetes Engine (GKE) 不受影響。

GKE On-Prem

GKE On-Prem 不受影響。

GKE on AWS

GKE on AWS 不受影響。

CVE-2020-1472 - Windows Server 中的安全漏洞，可讓攻擊者使用 Netlogon 遠端通訊協定，在網路上的裝置執行特製應用程式。

NVD 基礎分數：10 (重大)

CVE-2020-1472

Compute Engine

CVE-2020-1472

大多數的客戶無須採取進一步行動。

使用執行 Windows Server 的 Compute Engine 虛擬機器時，請務必更新執行個體，安裝最新的 Windows 修補程式， 或使用 2020 年 8 月 17 日後發布的 Windows Server 映像檔 (v20200813 以上版本)。

Google Kubernetes Engine

CVE-2020-1472

大多數的客戶無須採取進一步行動。

在 GKE Windows Server 節點中代管網域控制站的客戶，應確保節點和節點上執行的容器化工作負載，在最新 Windows 節點映像檔推出後，都已更新至該版本。我們將在 10 月的 GKE 版本資訊中，公布新的節點映像檔版本。

Managed Service for Microsoft Active Directory

CVE-2020-1472

大多數的客戶無須採取進一步行動。

Microsoft 發布的 8 月修補程式已套用至所有 Managed Microsoft AD 網域控制站，其中包含 NetLogon 通訊協定的修正程式。這個修補程式提供防範潛在濫用行為的功能。及時套用修補程式是使用 Managed Service for Microsoft Active Directory 的主要優點之一。如果客戶手動執行 Microsoft Active Directory (而非使用 Google Cloud 的受管理服務)，請確保執行個體已安裝最新的 Windows 修補程式，或使用 Windows Server 映像檔。

Google Workspace

顧客無須採取任何行動。

這項服務不會受到這個安全漏洞影響。

App Engine 標準環境

顧客無須採取任何行動。

這項服務不會受到這個安全漏洞影響。

App Engine 彈性環境

顧客無須採取任何行動。

這項服務不會受到這個安全漏洞影響。

Cloud Run

顧客無須採取任何行動。

這項服務不會受到這個安全漏洞影響。

Cloud Run functions

顧客無須採取任何行動。

這項服務不會受到這個安全漏洞影響。

Cloud Composer

顧客無須採取任何行動。

這項服務不會受到這個安全漏洞影響。

Dataflow

顧客無須採取任何行動。

這項服務不會受到這個安全漏洞影響。

Dataproc

顧客無須採取任何行動。

這項服務不會受到這個安全漏洞影響。

Cloud SQL

顧客無須採取任何行動。

這項服務不會受到這個安全漏洞影響。

最近在 Linux 核心發現一個安全漏洞 (請參考 CVE-2020-14386 中的說明)。這項漏洞可能會允許濫用容器逃逸，並獲得主機節點上的 Root 權限。

所有 GKE 節點都會受到影響。在 GKE Sandbox 中執行的 Pod 無法利用這項安全漏洞。

如需操作說明和更多詳細資料，請參閱：

• GKE 安全性公告。
• VMware 中 GKE 的安全性公告。
• GKE on AWS 安全性公告。

高

CVE-2020-14386

最近在 Kubernetes 中發現網路安全漏洞 CVE-2020-8558。有時，服務會使用本機迴路介面 (127.0.0.1)，與在同一 Pod 中執行的其他應用程式通訊。攻擊者只要能存取叢集網路，就能利用這個漏洞將流量傳送至相鄰 Pod 和節點的回送介面。如果服務依賴迴路介面，且無法從 Pod 外部存取，就可能遭到濫用。

如需操作說明和更多詳細資料，請參閱：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告

低 (GKE 和 GKE on AWS)、
中 (GKE on VMware)

CVE-2020-8558

CVE-2020-1350： 如果 Windows Server 擔任 DNS 伺服器，攻擊者就能利用本機系統帳戶執行不受信任的程式碼。

NVD 基礎分數：10.0 (重大)

CVE-2020-1350

Compute Engine

CVE-2020-1350

大多數客戶無須採取進一步行動。

如果客戶使用 Compute Engine 虛擬機器，以 DNS 伺服器容量執行 Windows Server，請確保執行個體已安裝最新的 Windows 修補程式，或使用 2020 年 7 月 14 日後提供的 Windows Server 映像檔。

Google Kubernetes Engine

CVE-2020-1350

大多數客戶無須採取進一步行動。

如果客戶在 DNS 伺服器容量中使用 GKE 和 Windows Server 節點，則必須手動更新節點，以及在這些節點上執行的容器化工作負載，才能使用包含修正程式的 Windows Server 版本。

Managed Service for Microsoft Active Directory

CVE-2020-1350

大多數客戶無須採取進一步行動。

所有 Managed Microsoft AD 網域都已自動更新為修補後的映像檔。如果客戶手動執行 Microsoft Active Directory (而非使用 Managed Microsoft AD)，請確保執行個體已安裝最新的 Windows 修補程式，或使用 2020 年 7 月 14 日之後提供的 Windows Server 映像檔。

Google Workspace

顧客無須採取任何行動。

這項服務不會受到這個安全漏洞影響。

App Engine 標準環境

顧客無須採取任何行動。

這項服務不會受到這個安全漏洞影響。

App Engine 彈性環境

顧客無須採取任何行動。

這項服務不會受到這個安全漏洞影響。

Cloud Run

顧客無須採取任何行動。

這項服務不會受到這個安全漏洞影響。

Cloud Run functions

顧客無須採取任何行動。

這項服務不會受到這個安全漏洞影響。

Cloud Composer

顧客無須採取任何行動。

這項服務不會受到這個安全漏洞影響。

Dataflow

顧客無須採取任何行動。

這項服務不會受到這個安全漏洞影響。

Dataproc

顧客無須採取任何行動。

這項服務不會受到這個安全漏洞影響。

Cloud SQL

顧客無須採取任何行動。

這項服務不會受到這個安全漏洞影響。

最近在 Kubernetes 中發現權限提升漏洞 CVE-2020-8559。攻擊者只要入侵節點，就能利用這項安全漏洞在叢集中的任何 Pod 執行指令。攻擊者因此可利用已遭入侵的節點，入侵其他節點，並可能讀取資訊或造成破壞性行為。

請注意，攻擊者必須先入侵叢集中的節點，才能利用這個安全漏洞。這個安全漏洞本身不會危害叢集中的任何節點。

如需操作說明和更多詳細資料，請參閱：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告

中

CVE-2020-8559

說明

啟用 OS 登入功能的 VM 可能會受到權限提升安全漏洞影響。如果使用者獲得 OS 登入權限 (但未獲得管理員存取權)，就能利用這些安全漏洞將權限提升至 VM 的根存取權。

如需操作說明和更多詳細資料，請參閱 Compute Engine 安全性公告。

• CVE-2020-8903
• CVE-2020-8907
• CVE-2020-8933

最近在 Kubernetes 中發現伺服器端偽造要求 (SSRF) 安全漏洞 CVE-2020-8555。這項漏洞會讓某些授權使用者將機密資訊 (最多 500 個位元組) 從控制層主機網路外流出去。由於 Google Kubernetes Engine (GKE) 控制層使用 Kubernetes 中的控制器，因此會受到這個安全漏洞影響。建議您將控制層升級至最新修補程式版本。節點則無須升級。

如需操作說明和更多詳細資料，請參閱：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告

中

CVE-2020-8555

Kubernetes 已揭露一項安全漏洞。這項漏洞會讓有權限的容器將節點流量重新導向至另一個容器。這類攻擊無法讀取或修改雙向 TLS/SSH 流量 (例如在 kubelet 和 API 伺服器之間) 或來自採用 mTLS 的應用程式的流量。所有 Google Kubernetes Engine (GKE) 節點都會受到這個安全漏洞的影響，建議您升級至最新修補程式版本。

如需操作說明和更多詳細資料，請參閱：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告

中

Kubernetes 問題 91507

最近在 Linux 核心發現一個安全漏洞 (請參考 CVE-2020-8835 中的說明)。這項漏洞會允許濫用容器逃逸，並獲得主機節點上的 Root 權限。

執行 GKE 1.16 或 1.17 的 Google Kubernetes Engine (GKE) Ubuntu 節點會受到這個安全漏洞的影響，建議您盡快升級至最新的修補程式版本。

如需操作說明和詳細資訊，請參閱 GKE 安全性公告。

高

CVE-2020-8835

CVE-2019-11254：此為阻斷服務 (DoS) 安全漏洞，會影響 API 伺服器。

中

CVE-2019-11254

CVE-2019-11254：此為阻斷服務 (DoS) 安全漏洞，會影響 API 伺服器。

中

CVE-2019-11254

CVE-2020-8551：此為阻斷服務 (DoS) 安全漏洞，會影響 kubelet。

中

CVE-2020-8551

CVE-2020-8552：此為阻斷服務 (DoS) 安全漏洞，會影響 API 伺服器。

中

CVE-2020-8552

CVE-2020-0601 - 這項安全漏洞又稱為「Windows Crypto API Spoofing Vulnerability」(Windows Crypto API 詐騙安全漏洞)。駭客可能會利用這項漏洞，讓惡意可執行檔顯示為可信任，或發動中間人攻擊，解密使用者連線至受影響軟體的機密資訊。

NVD 基礎分數：8.1 (高)

CVE-2020-0601

Compute Engine

CVE-2020-0601

大多數的客戶無須採取進一步行動。

使用執行 Windows Server 的 Compute Engine 虛擬機器的客戶，應確保執行個體已安裝最新的 Windows 修補程式，或使用 2020 年 1 月 15 日後提供的 Windows Server 映像檔。詳情請參閱 Compute Engine 安全性公告。

Google Kubernetes Engine

CVE-2020-0601

大多數的客戶無須採取進一步行動。

使用 GKE 和 Windows Server 節點的客戶，不論是節點本身，或是這些節點所處理的容器化工作負載，都必須更新到已修補的版本，才能降低這項安全漏洞的風險。 如需操作說明和詳細資訊，請參閱 GKE 安全性公告。

Managed Service for Microsoft Active Directory

CVE-2020-0601

大多數的客戶無須採取進一步行動。

所有 Managed Microsoft AD 網域都已自動更新為修補後的映像檔。如果客戶手動執行 Microsoft Active Directory (而非使用 Managed Microsoft AD)，請確保執行個體已安裝最新的 Windows 修補程式，或使用 2020 年 1 月 15 日起提供的 Windows Server 映像檔。

Google Workspace

顧客無須採取任何行動。

這項服務不會受到這個安全漏洞影響。

App Engine 標準環境

顧客無須採取任何行動。

這項服務不會受到這個安全漏洞影響。

App Engine 彈性環境

顧客無須採取任何行動。

這項服務不會受到這個安全漏洞影響。

Cloud Run

顧客無須採取任何行動。

這項服務不會受到這個安全漏洞影響。

Cloud Run functions

顧客無須採取任何行動。

這項服務不會受到這個安全漏洞影響。

Cloud Composer

顧客無須採取任何行動。

這項服務不會受到這個安全漏洞影響。

Dataflow

顧客無須採取任何行動。

這項服務不會受到這個安全漏洞影響。

Dataproc

顧客無須採取任何行動。

這項服務不會受到這個安全漏洞影響。

Cloud SQL

顧客無須採取任何行動。

這項服務不會受到這個安全漏洞影響。

CVE-2019-11135：此安全漏洞稱為 TSX 非同步取消 (TAA)，可用於在 TSX 交易中濫用推測性執行功能。此安全漏洞可能會透過微架構資料取樣 (MDS) 曝露的相同微架構資料結構，使資料曝光。

中

CVE-2019-11135

CVE-2018-12207：此屬阻斷服務 (DoS) 安全漏洞，影響對象為虛擬機器主機 (不是客體)。此問題稱為「變更頁面大小時發生機器檢查錯誤」(Machine Check Error on Page Size Change)。

中

CVE-2018-12207

Compute Engine

CVE-2019-11135

大部分的客戶無須採取其他動作。

在 Compute Engine 虛擬機器中，於自己的多用戶群服務內執行不受信任程式碼的 N2、C2 或 M2 客戶應先停止再啟動 VM，以確保 VM 具有最新的安全性緩解措施。

CVE-2018-12207

所有客戶均無須採取其他動作。

Google Kubernetes Engine

CVE-2019-11135

大部分的客戶無須採取其他動作。

如果您使用具有 N2、M2 或 C2 節點的節點集區，且這些節點在您自己的多用戶群 GKE 叢集中執行不受信任的程式碼，則應重新啟動節點。如要重新啟動節點集區中的所有節點，請升級受影響的集區。

CVE-2018-12207

所有客戶均無須採取其他動作。

App Engine 標準環境

無須採取其他動作。

App Engine 彈性環境

CVE-2019-11135

無須採取其他動作。

客戶應檢閱 Intel 最佳做法中對應用程式層級分享的說明，因為 Flex VM 中的超執行緒之間可能會發生此類分享。

CVE-2018-12207

無須採取其他動作。

Cloud Run

無須採取其他動作。

Cloud Run functions

無須採取其他動作。

Cloud Composer

無須採取其他動作。

Dataflow

CVE-2019-11135

大部分的客戶無須採取其他動作。

Dataflow 客戶如在 Dataflow 代管之 N2、C2 或 M2 Compute Engine VM 上執行多個不受信任的工作負載，且擔心發生客體內攻擊，則應考慮重新啟動任何目前正在執行的串流管道。您也可以取消並重新執行批次管道。如果是今天之後啟動的管道，則無須採取任何動作。

CVE-2018-12207

所有客戶均無須採取其他動作。

Dataproc

CVE-2019-11135

大部分的客戶無須採取其他動作。

Cloud Dataproc 客戶如在 Compute Engine N2、C2 或 M2 VM 上的同一個 Cloud Dataproc 叢集執行多個不受信任的工作負載，且擔心發生客體內攻擊，則應重新部署叢集。

CVE-2018-12207

所有客戶均無須採取其他動作。

Cloud SQL

無須採取其他動作。