Boletines de seguridad

A continuación, se describen todos los boletines de seguridad relacionados con Cloud Build.

Para recibir los boletines de seguridad más recientes, realiza una de las siguientes acciones:

GCP-2026-042

Fecha de publicación: 24 de junio de 2026

Descripción

Descripción Gravedad Notas

Cuando creas o actualizas conexiones de repositorios, Cloud Build usa secretos de Secret Manager para autenticarse en proveedores de Git externos. En el caso de las conexiones de GitLab Enterprise (GLE) y Bitbucket Data Center (BBDC), el agente de servicio de Cloud Build (P4SA) recuperaba estos secretos a los que se hacía referencia en tu nombre. Esto significaba que las verificaciones de permisos se realizaban con las credenciales de la P4SA en lugar de las de la entidad principal que llamaba. Esto podría permitir que un principal con permisos limitados lea los secretos a los que se hace referencia en Secret Manager si apunta el URI del host de conexión del repositorio a un extremo controlado por un atacante.

Para mitigar esta vulnerabilidad y cumplir con el principio de seguridad de privilegio mínimo, Cloud Build ahora verifica los permisos en función de las credenciales de la entidad principal que realiza la llamada (con credenciales de usuario final) y la P4SA cuando se llama a las APIs de conexión del repositorio para las conexiones de GitLab Enterprise (GLE) y Bitbucket Data Center (BBDC). Específicamente, el servidor ahora verifica que tanto la entidad llamadora como la P4SA posean el permiso secretmanager.versions.access de IAM en los secretos de Secret Manager a los que se hace referencia.

¿Qué debo hacer?

No se requiere ninguna acción para las conexiones de repositorios existentes. Si encuentras errores de permisos cuando creas o actualizas conexiones de repositorios de GitLab Enterprise (GLE) o Bitbucket Data Center (BBDC), otorga el rol de Secret Manager Secret Accessor (roles/secretmanager.secretAccessor) en los secretos a los que se hace referencia al usuario o la cuenta de servicio que crea o actualiza las conexiones.

¿Qué vulnerabilidades corrige este parche?

Esta vulnerabilidad permitía que los usuarios con acceso de administrador de conexión de repositorio leyeran los secretos a los que se hacía referencia en Secret Manager, ya que las verificaciones de permisos solo se realizaban en función de las credenciales del P4SA. Al requerir verificaciones de permisos en la entidad principal que llama (con credenciales de usuario final) y en la P4SA para las conexiones de GitLab Enterprise (GLE) y Bitbucket Data Center (BBDC), solo los usuarios autorizados con el permiso de IAM secretmanager.versions.access en los secretos (además de la propia P4SA) pueden usarlos en las conexiones de repositorios.

Bajo

GCP-2023-013

Fecha de publicación: 2023-06-08

Descripción

Descripción Gravedad Notas

Cuando habilitas la API de Cloud Build en un proyecto, Cloud Build crea automáticamente una cuenta de servicio predeterminada para ejecutar compilaciones en tu nombre. Anteriormente, esta cuenta de servicio heredada de Cloud Build tenía el permiso de IAM logging.privateLogEntries.list, que permitía que la compilación tuviera acceso para enumerar los registros privados de forma predeterminada. Este permiso ahora se revocó de la cuenta de servicio de Cloud Build para cumplir con el principio de seguridad de privilegio mínimo.

¿Qué debo hacer?

No es necesario que el usuario realice ninguna otra acción. Se revocó el permiso de IAM logging.privateLogEntries.list de la cuenta de servicio heredada de Cloud Build y se lanzó la corrección.

¿Qué vulnerabilidades corrige este parche?

Esta vulnerabilidad otorgaba a las compilaciones el permiso para enumerar registros privados. Dado que el permiso de IAM logging.privateLogEntries.list ahora se revocó de la cuenta de servicio heredada de Cloud Build, las compilaciones ya no tienen acceso para enumerar los registros privados de forma predeterminada.

Bajo