Bollettini sulla sicurezza

Di seguito vengono descritti tutti i bollettini di sicurezza relativi a Cloud Build.

Per ricevere gli ultimi bollettini di sicurezza, esegui una delle seguenti operazioni:

GCP-2026-042

Pubblicato il: 24/06/2026

Descrizione

Descrizione Gravità Note

Quando crei o aggiorni le connessioni ai repository, Cloud Build utilizza i secret di Secret Manager per l'autenticazione presso i provider Git di terze parti. Per le connessioni GitLab Enterprise (GLE) e Bitbucket Data Center (BBDC), questi secret a cui viene fatto riferimento sono stati recuperati in precedenza dal service agent Cloud Build (P4SA) per tuo conto. Ciò significava che i controlli delle autorizzazioni venivano eseguiti in base alle credenziali del P4SA anziché a quelle del principal chiamante. Ciò potrebbe consentire a un principal con autorizzazioni limitate di leggere i secret di Secret Manager a cui viene fatto riferimento puntando l'URI host della connessione al repository a un endpoint controllato da un malintenzionato.

Per mitigare questa vulnerabilità e rispettare il principio di sicurezza del minimo privilegio, Cloud Build ora controlla le autorizzazioni in base alle credenziali del principal chiamante (utilizzando le credenziali dell'utente finale) e al P4SA quando chiama le API di connessione al repository per le connessioni GitLab Enterprise (GLE) e Bitbucket Data Center (BBDC). In particolare, il server ora verifica che sia il chiamante sia il P4SA dispongano dell'autorizzazione IAM secretmanager.versions.access per i secret di Secret Manager a cui viene fatto riferimento.

Che cosa devo fare?

Non è richiesto alcun intervento per le connessioni ai repository esistenti. Se si verificano errori di autorizzazione durante la creazione o l'aggiornamento delle connessioni ai repository GitLab Enterprise (GLE) o Bitbucket Data Center (BBDC), concedi il ruolo Accessore secret Secret Manager (roles/secretmanager.secretAccessor) per i secret a cui viene fatto riferimento all'utente o al account di servizio che crea o aggiorna le connessioni.

Quali vulnerabilità vengono affrontate da questa patch?

Questa vulnerabilità consentiva agli utenti con accesso amministrativo alla connessione al repository di leggere i secret di Secret Manager a cui viene fatto riferimento perché i controlli delle autorizzazioni venivano eseguiti solo in base alle credenziali del P4SA. Richiedendo controlli delle autorizzazioni sia per l'entità chiamante (utilizzando le credenziali dell'utente finale) sia per P4SA per le connessioni GitLab Enterprise (GLE) e Bitbucket Data Center (BBDC), solo gli utenti autorizzati con l'autorizzazione IAM secretmanager.versions.access sui segreti (oltre a P4SA) possono utilizzarli nelle connessioni ai repository.

Bassa

GCP-2023-013

Pubblicato il: 08/06/2023

Descrizione

Descrizione Gravità Note

Quando attivi l'API Cloud Build in un progetto, Cloud Build crea automaticamente un service account predefinito per eseguire le build per tuo conto. Questo account di servizio Cloud Build legacy aveva in precedenza l'autorizzazione IAM logging.privateLogEntries.list, che consentiva alla build di accedere per impostazione predefinita all'elenco dei log privati. Questa autorizzazione è stata revocata dall'account di servizio Cloud Build per rispettare il principio di sicurezza del privilegio minimo.

Che cosa devo fare?

Non sono necessarie ulteriori azioni da parte dell'utente. L'autorizzazione IAM logging.privateLogEntries.list è stata revocata dal account di servizio Cloud Build legacy e la correzione è stata implementata.

Quali vulnerabilità vengono affrontate da questa patch?

Questa vulnerabilità concede l'autorizzazione per elencare i log privati. Poiché l'autorizzazione IAM logging.privateLogEntries.list è stata revocata dal account di servizio Cloud Build legacy, le build non hanno più accesso all'elenco dei log privati per impostazione predefinita.

Bassa