Bulletins de sécurité

Lorsque vous créez ou mettez à jour des connexions de dépôt, Cloud Build utilise des secrets Secret Manager pour s'authentifier auprès de fournisseurs Git tiers. Pour les connexions GitLab Enterprise (GLE) et Bitbucket Data Center (BBDC), ces secrets référencés étaient auparavant récupérés en votre nom par l'agent de service Cloud Build (P4SA). Cela signifiait que les vérifications des autorisations étaient effectuées par rapport aux identifiants du P4SA plutôt qu'à ceux du principal appelant. Cela pouvait permettre à un principal disposant d'autorisations limitées de lire les secrets Secret Manager référencés en pointant l'URI de l'hôte de connexion du dépôt vers un point de terminaison contrôlé par un pirate informatique.

Pour atténuer cette faille et respecter le principe de sécurité du moindre privilège, Cloud Build vérifie désormais les autorisations par rapport aux identifiants du principal appelant (à l'aide des identifiants de l'utilisateur final) et au P4SA lors de l'appel des API de connexion de dépôt pour les connexions GitLab Enterprise (GLE) et Bitbucket Data Center (BBDC). Plus précisément, le serveur vérifie désormais que l'appelant et le P4SA disposent de l'autorisation IAM secretmanager.versions.access sur les secrets Secret Manager référencés.

Que dois-je faire ?

Aucune action n'est requise pour les connexions de dépôt existantes. Si vous rencontrez des erreurs d'autorisation lors de la création ou de la mise à jour de connexions de dépôt GitLab Enterprise (GLE) ou Bitbucket Data Center (BBDC), accordez le rôle Accesseur de secrets Secret Manager (roles/secretmanager.secretAccessor) sur les secrets référencés à l'utilisateur ou au compte de service qui crée ou met à jour les connexions.

Quelles failles ce correctif permet-il de résoudre ?

Cette faille permettait aux utilisateurs disposant d'un accès administrateur à la connexion de dépôt de lire les secrets Secret Manager référencés, car les vérifications des autorisations n'étaient effectuées que par rapport aux identifiants du P4SA. En exigeant des vérifications des autorisations par rapport au principal appelant (à l'aide des identifiants de l'utilisateur final) et au P4SA pour les connexions GitLab Enterprise (GLE) et Bitbucket Data Center (BBDC), seuls les utilisateurs autorisés avec l'autorisation IAM secretmanager.versions.access sur les secrets (en plus du P4SA lui-même) peuvent les utiliser dans les connexions de dépôt.

Lorsque vous activez l'API Cloud Build dans un projet, Cloud Build crée automatiquement un compte de service par défaut pour exécuter des compilations en votre nom. Ce compte de service Cloud Build hérité disposait auparavant de l'autorisation IAM logging.privateLogEntries.list, ce qui permettait à la compilation d'accéder à la liste des journaux privés par défaut. Cette autorisation a maintenant été révoquée du compte de service Cloud Build afin de respecter le principe de sécurité du moindre privilège.

Que dois-je faire ?

Aucune autre action de l'utilisateur n'est requise. L'autorisation IAM logging.privateLogEntries.list a été révoquée du compte de service Cloud Build hérité et le correctif a été déployé.

Quelles failles ce correctif permet-il de résoudre ?

Cette faille accordait aux compilations l'autorisation de lister les journaux privés. Étant donné que l'autorisation IAM logging.privateLogEntries.list a maintenant été révoquée du compte de service Cloud Build hérité, les compilations n'ont plus accès à la liste des journaux privés par défaut.