Sicherheitsbulletins

Im Folgenden werden alle Sicherheitsbulletins im Zusammenhang mit Cloud Build beschrieben.

Sie haben folgende Möglichkeiten, um die neuesten Sicherheitsbulletins zu erhalten:

  • Fügen Sie Ihrem Feed-Reader die URL dieser Seite hinzu.
  • Fügen Sie die Feed-URL direkt Ihrem Feedreader hinzu.

GCP-2026-042

Veröffentlicht: 24.06.2026

Beschreibung

Beschreibung Schweregrad Hinweise

Wenn Sie Repository-Verbindungen erstellen oder aktualisieren, verwendet Cloud Build Secret Manager-Secrets, um sich bei Git-Drittanbietern zu authentifizieren. Bei Verbindungen zu GitLab Enterprise (GLE) und Bitbucket Data Center (BBDC) wurden diese referenzierten Secrets zuvor in Ihrem Namen vom Cloud Build-Dienstkonto (P4SA) abgerufen. Das bedeutet, dass Berechtigungsprüfungen anhand der Anmeldedaten des P4SA und nicht anhand der Anmeldedaten des aufrufenden Principals durchgeführt wurden. So könnte ein Prinzipal mit eingeschränkten Berechtigungen referenzierte Secret Manager-Secrets lesen, indem er die Host-URI der Repository-Verbindung auf einen vom Angreifer kontrollierten Endpunkt verweist.

Um diese Sicherheitslücke zu schließen und das Sicherheitsprinzip der geringsten Berechtigung einzuhalten, prüft Cloud Build jetzt Berechtigungen anhand der Anmeldedaten des aufrufenden Principals (mit Endnutzeranmeldedaten) und des P4SA, wenn Repository-Verbindungs-APIs für GitLab Enterprise (GLE) und Bitbucket Data Center (BBDC)-Verbindungen aufgerufen werden. Der Server prüft jetzt, ob sowohl der Aufrufer als auch das P4SA die IAM-Berechtigung secretmanager.versions.access für die referenzierten Secret Manager-Secrets haben.

Was soll ich tun?

Für bestehende Repository-Verbindungen ist keine Aktion erforderlich. Wenn beim Erstellen oder Aktualisieren von Repository-Verbindungen für GitLab Enterprise (GLE) oder Bitbucket Data Center (BBDC) Berechtigungsfehler auftreten, weisen Sie dem Nutzer oder Dienstkonto, der bzw. das die Verbindungen erstellt oder aktualisiert, die Rolle „Secret Manager Secret Accessor“ (roles/secretmanager.secretAccessor) für die referenzierten Secrets zu.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Diese Sicherheitslücke ermöglichte es Nutzern mit Administratorzugriff auf die Repository-Verbindung, referenzierte Secret Manager-Secrets zu lesen, da die Berechtigungsprüfungen nur anhand der Anmeldedaten des P4SA durchgeführt wurden. Da Berechtigungsprüfungen sowohl für den aufrufenden Prinzipal (mit Endnutzeranmeldedaten) als auch für das P4SA für GitLab Enterprise (GLE) und Bitbucket Data Center (BBDC) erforderlich sind, können nur Nutzer, die mit der IAM-Berechtigung secretmanager.versions.access für die Secrets autorisiert sind (zusätzlich zum P4SA selbst), diese in Repository-Verbindungen verwenden.

Niedrig

GCP-2023-013

Veröffentlicht: 08.06.2023

Beschreibung

Beschreibung Schweregrad Hinweise

Wenn Sie die Cloud Build API in einem Projekt aktivieren, erstellt Cloud Build automatisch ein Standarddienstkonto, um Builds in Ihrem Namen auszuführen. Dieses alte Cloud Build-Dienstkonto hatte zuvor die IAM-Berechtigung logging.privateLogEntries.list, die es dem Build ermöglichte, standardmäßig auf private Logs zuzugreifen. Diese Berechtigung wurde dem Cloud Build-Dienstkonto entzogen, um dem Sicherheitsprinzip der geringsten Berechtigung zu entsprechen.

Was soll ich tun?

Es sind keine weiteren Maßnahmen erforderlich. Die IAM-Berechtigung logging.privateLogEntries.list wurde für das Cloud Build-Legacy-Dienstkonto widerrufen und die Korrektur wurde eingeführt.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Durch diese Sicherheitslücke erhielten Builds die Berechtigung, private Logs aufzulisten. Da die IAM-Berechtigung logging.privateLogEntries.list jetzt für das Cloud Build-Legacy-Dienstkonto widerrufen wurde, haben Builds nicht mehr standardmäßig Zugriff auf private Logs.

Niedrig