עדכוני אבטחה דחופים

בהמשך מפורטים כל עדכוני האבטחה שקשורים ל-Cloud Build.

כדי לקבל את עדכוני האבטחה האחרונים, אפשר לבצע אחת מהפעולות הבאות:

GCP-2026-042

תאריך פרסום: 24 ביוני 2026

תיאור

תיאור רמת סיכון הערות

כשיוצרים או מעדכנים חיבורים למאגרים, Cloud Build משתמש בסודות של Secret Manager כדי לבצע אימות מול ספקי Git של צד שלישי. בחיבורים ל-GitLab Enterprise ‏ (GLE) ול-Bitbucket Data Center ‏ (BBDC), סודות שמוזכרים בהם אוחזרו בעבר על ידי סוכן השירות (P4SA) של Cloud Build בשמכם. המשמעות היא שבוצעו בדיקות הרשאות מול פרטי הכניסה של P4SA ולא מול פרטי הכניסה של הגורם המבצע את הקריאה. התוקף יכול להשתמש בזה כדי להפנות את מארח החיבור של המאגר לנקודת קצה שנשלטת על ידו, וכך לאפשר לגורם עם הרשאות מוגבלות לקרוא סודות שמופנים אליהם ב-Secret Manager.

כדי לצמצם את הסיכון לניצול לרעה של נקודת החולשה הזו ולפעול בהתאם לעקרון האבטחה של מתן ההרשאות המינימליות, Cloud Build בודק עכשיו את ההרשאות גם מול פרטי הכניסה של הגורם המבצע (באמצעות פרטי כניסה של משתמש קצה) וגם מול P4SA כשמתבצעת קריאה ל-APIs של חיבורי מאגרי GitLab Enterprise ‏ (GLE) ו-Bitbucket Data Center ‏ (BBDC). השרת בודק עכשיו שלשירות המפעיל ול-P4SA יש את הרשאת ה-IAM‏ secretmanager.versions.access בסודות של Secret Manager שאליהם יש הפניה.

פעולות מומלצות

לא נדרשת כל פעולה לגבי חיבורים קיימים למאגרי מידע. אם נתקלתם בשגיאות הרשאה כשאתם יוצרים או מעדכנים חיבורים למאגר GitLab Enterprise ‏ (GLE) או Bitbucket Data Center ‏ (BBDC), צריך להעניק למשתמש או לחשבון השירות שיוצרים או מעדכנים את החיבורים את התפקיד Secret Manager Secret Accessor ‏ (roles/secretmanager.secretAccessor) בסודות שאליהם יש הפניה.

אילו נקודות חולשה טופלו במסגרת התיקון הזה?

הפגיעות הזו אפשרה למשתמשים עם גישת אדמין לחיבור למאגר לקרוא סודות של Secret Manager שהייתה אליהם הפניה, כי בדיקות ההרשאות בוצעו רק מול פרטי הכניסה של P4SA. כדי להשתמש בחיבורים למאגרי GitLab Enterprise‏ (GLE) ו-Bitbucket Data Center‏ (BBDC), צריך לבצע בדיקות הרשאות גם מול הגורם הקורא (באמצעות פרטי הכניסה של משתמש הקצה) וגם מול P4SA. כך, רק משתמשים שמורשים עם הרשאת IAM‏ secretmanager.versions.access בסודות (בנוסף ל-P4SA עצמו) יכולים להשתמש בהם בחיבורים למאגרים.

נמוכה

GCP-2023-013

תאריך פרסום:8 ביוני 2023

תיאור

תיאור רמת סיכון הערות

כשמפעילים את Cloud Build API בפרויקט, מערכת Cloud Build יוצרת באופן אוטומטי חשבון שירות שמוגדר כברירת מחדל כדי להפעיל בשמכם את גרסאות ה-build. לחשבון השירות הזה מדור קודם של Cloud Build הייתה בעבר הרשאת IAM מסוג logging.privateLogEntries.list, שאפשרה לגרסת ה-build לקבל גישה לרשימה של יומנים פרטיים כברירת מחדל. ההרשאה הזו בוטלה עכשיו מחשבון השירות של Cloud Build כדי לעמוד בדרישות של עקרון האבטחה של הרשאות מינימליות.

פעולות מומלצות

לא נדרשת פעולה נוספת מצד המשתמש. ההרשאה logging.privateLogEntries.list ב-IAM בוטלה מחשבון השירות מדור קודם של Cloud Build, והתיקון הופעל.

אילו נקודות חולשה טופלו במסגרת התיקון הזה?

נקודת החולשה הזו העניקה לגרסאות build את ההרשאה להציג רשימה של יומנים פרטיים. מאחר שהרשאת ה-IAM‏ logging.privateLogEntries.list בוטלה עכשיו מחשבון השירות מדור קודם של Cloud Build, לגרסאות ה-build אין יותר גישה לרשימה של יומנים פרטיים כברירת מחדל.

נמוכה