בהמשך מפורטים כל עדכוני האבטחה שקשורים ל-Cloud Build.
כדי לקבל את עדכוני האבטחה האחרונים, אפשר לבצע אחת מהפעולות הבאות:
- מוסיפים את כתובת ה-URL של הדף הזה לקורא הפידים.
- מוסיפים את כתובת ה-URL של הפיד ישירות לקורא הפידים.
GCP-2026-042
תאריך פרסום: 24 ביוני 2026
תיאור
| תיאור | רמת סיכון | הערות |
|---|---|---|
|
כשיוצרים או מעדכנים חיבורים למאגרים, Cloud Build משתמש בסודות של Secret Manager כדי לבצע אימות מול ספקי Git של צד שלישי. בחיבורים ל-GitLab Enterprise (GLE) ול-Bitbucket Data Center (BBDC), סודות שמוזכרים בהם אוחזרו בעבר על ידי סוכן השירות (P4SA) של Cloud Build בשמכם. המשמעות היא שבוצעו בדיקות הרשאות מול פרטי הכניסה של P4SA ולא מול פרטי הכניסה של הגורם המבצע את הקריאה. התוקף יכול להשתמש בזה כדי להפנות את מארח החיבור של המאגר לנקודת קצה שנשלטת על ידו, וכך לאפשר לגורם עם הרשאות מוגבלות לקרוא סודות שמופנים אליהם ב-Secret Manager. כדי לצמצם את הסיכון לניצול לרעה של נקודת החולשה הזו ולפעול בהתאם לעקרון האבטחה של מתן ההרשאות המינימליות, Cloud Build בודק עכשיו את ההרשאות גם מול פרטי הכניסה של הגורם המבצע (באמצעות פרטי כניסה של משתמש קצה) וגם מול P4SA כשמתבצעת קריאה ל-APIs של חיבורי מאגרי GitLab Enterprise (GLE) ו-Bitbucket Data Center (BBDC). השרת בודק עכשיו שלשירות המפעיל ול-P4SA יש את הרשאת ה-IAM פעולות מומלצות לא נדרשת כל פעולה לגבי חיבורים קיימים למאגרי מידע. אם נתקלתם בשגיאות הרשאה כשאתם יוצרים או מעדכנים חיבורים למאגר GitLab Enterprise (GLE) או Bitbucket Data Center (BBDC), צריך להעניק למשתמש או לחשבון השירות שיוצרים או מעדכנים את החיבורים את התפקיד Secret Manager Secret Accessor ( אילו נקודות חולשה טופלו במסגרת התיקון הזה? הפגיעות הזו אפשרה למשתמשים עם גישת אדמין לחיבור למאגר לקרוא סודות של Secret Manager שהייתה אליהם הפניה, כי בדיקות ההרשאות בוצעו רק מול פרטי הכניסה של P4SA. כדי להשתמש בחיבורים למאגרי GitLab Enterprise (GLE) ו-Bitbucket Data Center (BBDC), צריך לבצע בדיקות הרשאות גם מול הגורם הקורא (באמצעות פרטי הכניסה של משתמש הקצה) וגם מול P4SA. כך, רק משתמשים שמורשים עם הרשאת IAM |
נמוכה |
GCP-2023-013
תאריך פרסום:8 ביוני 2023
תיאור
| תיאור | רמת סיכון | הערות |
|---|---|---|
|
כשמפעילים את Cloud Build API בפרויקט, מערכת Cloud Build יוצרת באופן אוטומטי חשבון שירות שמוגדר כברירת מחדל כדי להפעיל בשמכם את גרסאות ה-build. לחשבון השירות הזה מדור קודם של Cloud Build הייתה בעבר הרשאת IAM מסוג פעולות מומלצות לא נדרשת פעולה נוספת מצד המשתמש. ההרשאה אילו נקודות חולשה טופלו במסגרת התיקון הזה? נקודת החולשה הזו העניקה לגרסאות build את ההרשאה להציג רשימה של יומנים פרטיים.
מאחר שהרשאת ה-IAM |
נמוכה |