Buletin keamanan

Saat Anda membuat atau memperbarui koneksi repositori, Cloud Build menggunakan secret Secret Manager untuk melakukan autentikasi ke penyedia Git pihak ketiga. Untuk koneksi GitLab Enterprise (GLE) dan Bitbucket Data Center (BBDC), secret yang direferensikan ini sebelumnya diambil oleh agen layanan Cloud Build (P4SA) atas nama Anda. Artinya, pemeriksaan izin dilakukan terhadap kredensial P4SA, bukan kredensial utama panggilan. Hal ini dapat memungkinkan akun utama dengan izin terbatas untuk membaca secret Secret Manager yang direferensikan dengan mengarahkan URI host koneksi repositori ke endpoint yang dikontrol oleh penyerang.

Untuk mengurangi kerentanan ini dan mematuhi prinsip keamanan hak istimewa terendah, Cloud Build kini memeriksa izin terhadap kredensial utama panggilan (menggunakan kredensial pengguna akhir) dan P4SA saat memanggil API koneksi repositori untuk koneksi GitLab Enterprise (GLE) dan Bitbucket Data Center (BBDC). Secara khusus, server kini memverifikasi bahwa pemanggil dan P4SA memiliki izin IAM secretmanager.versions.access pada secret Secret Manager yang direferensikan.

Apa yang sebaiknya saya lakukan?

Tidak ada tindakan yang diperlukan untuk koneksi repositori yang ada. Jika Anda mengalami error izin saat membuat atau memperbarui koneksi repositori GitLab Enterprise (GLE) atau Bitbucket Data Center (BBDC), berikan peran Secret Manager Secret Accessor (roles/secretmanager.secretAccessor) pada secret yang direferensikan kepada pengguna atau akun layanan yang membuat atau memperbarui koneksi.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan ini memungkinkan pengguna dengan akses administrator koneksi repositori untuk membaca secret Secret Manager yang direferensikan karena pemeriksaan izin hanya dilakukan terhadap kredensial P4SA. Dengan mewajibkan pemeriksaan izin terhadap akun utama panggilan (menggunakan kredensial pengguna akhir) dan P4SA untuk koneksi GitLab Enterprise (GLE) dan Bitbucket Data Center (BBDC), hanya pengguna yang diotorisasi dengan izin IAM secretmanager.versions.access pada secret (selain P4SA itu sendiri) yang dapat menggunakannya dalam koneksi repositori.

Saat Anda mengaktifkan Cloud Build API dalam project, Cloud Build akan otomatis membuat akun layanan default untuk menjalankan build atas nama Anda. Akun layanan lama Cloud Build ini sebelumnya memiliki izin IAM logging.privateLogEntries.list, yang memungkinkan build memiliki akses untuk mencantumkan log pribadi secara default. Izin ini kini telah dicabut dari akun layanan Cloud Build untuk mematuhi prinsip keamanan hak istimewa terendah.

Apa yang sebaiknya saya lakukan?

Tidak ada tindakan lebih lanjut yang diperlukan oleh pengguna. Izin IAM logging.privateLogEntries.list telah dicabut dari akun layanan lama Cloud Build dan perbaikannya telah diluncurkan.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan ini memberikan izin kepada build untuk mencantumkan log pribadi. Karena izin IAM logging.privateLogEntries.list kini telah dicabut dari akun layanan lama Cloud Build, build tidak lagi memiliki akses untuk mencantumkan log pribadi secara default.