Im Folgenden werden alle Sicherheitsbulletins im Zusammenhang mit Cloud Build beschrieben.
Sie haben folgende Möglichkeiten, um die neuesten Sicherheitsbulletins zu erhalten:
- Fügen Sie Ihrem Feed-Reader die URL dieser Seite hinzu.
- Fügen Sie die Feed-URL direkt Ihrem Feedreader hinzu.
GCP-2026-042
Veröffentlicht: 24.06.2026
Beschreibung
| Beschreibung | Schweregrad | Hinweise |
|---|---|---|
|
Wenn Sie Repository-Verbindungen erstellen oder aktualisieren, verwendet Cloud Build Secret Manager-Secrets, um sich bei Git-Drittanbietern zu authentifizieren. Bei Verbindungen zu GitLab Enterprise (GLE) und Bitbucket Data Center (BBDC) wurden diese referenzierten Secrets zuvor in Ihrem Namen vom Cloud Build-Dienstkonto (P4SA) abgerufen. Das bedeutet, dass Berechtigungsprüfungen anhand der Anmeldedaten des P4SA und nicht anhand der Anmeldedaten des aufrufenden Principals durchgeführt wurden. So könnte ein Prinzipal mit eingeschränkten Berechtigungen referenzierte Secret Manager-Secrets lesen, indem er die Host-URI der Repository-Verbindung auf einen vom Angreifer kontrollierten Endpunkt verweist. Um diese Sicherheitslücke zu schließen und das Sicherheitsprinzip der geringsten Berechtigung einzuhalten, prüft Cloud Build jetzt Berechtigungen anhand der Anmeldedaten des aufrufenden Principals (mit Endnutzeranmeldedaten) und des P4SA, wenn Repository-Verbindungs-APIs für GitLab Enterprise (GLE) und Bitbucket Data Center (BBDC)-Verbindungen aufgerufen werden. Der Server prüft jetzt, ob sowohl der Aufrufer als auch das P4SA die IAM-Berechtigung Was soll ich tun? Für bestehende Repository-Verbindungen ist keine Aktion erforderlich. Wenn beim Erstellen oder Aktualisieren von Repository-Verbindungen für GitLab Enterprise (GLE) oder Bitbucket Data Center (BBDC) Berechtigungsfehler auftreten, weisen Sie dem Nutzer oder Dienstkonto, der bzw. das die Verbindungen erstellt oder aktualisiert, die Rolle „Secret Manager Secret Accessor“ ( Welche Sicherheitslücken werden mit diesem Patch behoben? Diese Sicherheitslücke ermöglichte es Nutzern mit Administratorzugriff auf die Repository-Verbindung, referenzierte Secret Manager-Secrets zu lesen, da die Berechtigungsprüfungen nur anhand der Anmeldedaten des P4SA durchgeführt wurden. Da Berechtigungsprüfungen sowohl für den aufrufenden Prinzipal (mit Endnutzeranmeldedaten) als auch für das P4SA für GitLab Enterprise (GLE) und Bitbucket Data Center (BBDC) erforderlich sind, können nur Nutzer, die mit der IAM-Berechtigung |
Niedrig |
GCP-2023-013
Veröffentlicht: 08.06.2023
Beschreibung
| Beschreibung | Schweregrad | Hinweise |
|---|---|---|
|
Wenn Sie die Cloud Build API in einem Projekt aktivieren, erstellt Cloud Build automatisch ein Standarddienstkonto, um Builds in Ihrem Namen auszuführen. Dieses alte Cloud Build-Dienstkonto hatte zuvor die IAM-Berechtigung Was soll ich tun? Es sind keine weiteren Maßnahmen erforderlich. Die IAM-Berechtigung Welche Sicherheitslücken werden mit diesem Patch behoben? Durch diese Sicherheitslücke erhielten Builds die Berechtigung, private Logs aufzulisten.
Da die IAM-Berechtigung |
Niedrig |