Di seguito vengono descritti tutti i bollettini di sicurezza relativi a Cloud Build.
Per ricevere gli ultimi bollettini di sicurezza, esegui una delle seguenti operazioni:
- Aggiungi l'URL di questa pagina al tuo aggregatore di feed.
- Aggiungi l'URL del feed direttamente al tuo lettore di feed.
GCP-2026-042
Pubblicato il: 24/06/2026
Descrizione
| Descrizione | Gravità | Note |
|---|---|---|
|
Quando crei o aggiorni le connessioni ai repository, Cloud Build utilizza i secret di Secret Manager per l'autenticazione presso i provider Git di terze parti. Per le connessioni GitLab Enterprise (GLE) e Bitbucket Data Center (BBDC), questi secret a cui viene fatto riferimento sono stati recuperati in precedenza dal service agent Cloud Build (P4SA) per tuo conto. Ciò significava che i controlli delle autorizzazioni venivano eseguiti in base alle credenziali del P4SA anziché a quelle del principal chiamante. Ciò potrebbe consentire a un principal con autorizzazioni limitate di leggere i secret di Secret Manager a cui viene fatto riferimento puntando l'URI host della connessione al repository a un endpoint controllato da un malintenzionato. Per mitigare questa vulnerabilità e rispettare il principio di sicurezza del minimo
privilegio, Cloud Build ora controlla le autorizzazioni in base alle credenziali del
principal chiamante (utilizzando le credenziali dell'utente finale) e al P4SA quando
chiama le API di connessione al repository per le connessioni GitLab Enterprise (GLE) e Bitbucket Data
Center (BBDC). In particolare, il server ora verifica che sia il chiamante sia il P4SA dispongano dell'autorizzazione IAM Che cosa devo fare? Non è richiesto alcun intervento per le connessioni ai repository esistenti. Se si verificano errori di autorizzazione durante la creazione o l'aggiornamento delle connessioni ai repository GitLab Enterprise (GLE) o Bitbucket Data Center (BBDC), concedi il ruolo Accessore secret Secret Manager ( Quali vulnerabilità vengono affrontate da questa patch? Questa vulnerabilità consentiva agli utenti con accesso amministrativo alla connessione al repository di leggere i secret di Secret Manager a cui viene fatto riferimento perché i controlli delle autorizzazioni venivano eseguiti solo in base alle credenziali del P4SA. Richiedendo
controlli delle autorizzazioni sia per l'entità chiamante (utilizzando le credenziali dell'utente finale) sia per P4SA per le connessioni GitLab Enterprise (GLE) e Bitbucket Data Center (BBDC), solo gli utenti autorizzati con l'autorizzazione IAM |
Bassa |
GCP-2023-013
Pubblicato il: 08/06/2023
Descrizione
| Descrizione | Gravità | Note |
|---|---|---|
|
Quando attivi l'API Cloud Build in un progetto, Cloud Build crea automaticamente un service account predefinito per eseguire le build per tuo conto. Questo account di servizio Cloud Build legacy
aveva in precedenza l'autorizzazione IAM Che cosa devo fare? Non sono necessarie ulteriori azioni da parte dell'utente. L'autorizzazione IAM Quali vulnerabilità vengono affrontate da questa patch? Questa vulnerabilità concede l'autorizzazione per elencare i log privati.
Poiché l'autorizzazione IAM |
Bassa |