Boletins de segurança

Ao criar ou atualizar conexões de repositório, o Cloud Build usa secrets do Secret Manager para autenticar provedores Git de terceiros. Para conexões do GitLab Enterprise (GLE) e do Bitbucket Data Center (BBDC), esses segredos referenciados eram recuperados pelo agente de serviço do Cloud Build (P4SA) em seu nome. Isso significava que as verificações de permissão eram realizadas com base nas credenciais da P4SA em vez das do principal de chamada. Isso pode permitir que um principal com permissões limitadas leia os secrets referenciados do Secret Manager apontando o URI do host de conexão do repositório para um endpoint controlado por um invasor.

Para reduzir essa vulnerabilidade e aderir ao princípio de segurança de menor privilégio, o Cloud Build agora verifica as permissões em relação às credenciais do principal de chamada (usando credenciais de usuário final) e à P4SA ao chamar APIs de conexão de repositório para conexões do GitLab Enterprise (GLE) e do Bitbucket Data Center (BBDC). Especificamente, o servidor agora verifica se o chamador e a P4SA têm a permissão secretmanager.versions.access do IAM nos segredos referenciados do Secret Manager.

O que devo fazer?

Nenhuma ação é necessária para conexões de repositório atuais. Se você encontrar erros de permissão ao criar ou atualizar conexões de repositório do GitLab Enterprise (GLE) ou do Bitbucket Data Center (BBDC), conceda a função de Leitor de secrets do Secret Manager (roles/secretmanager.secretAccessor) nos secrets referenciados ao usuário ou à conta de serviço que está criando ou atualizando as conexões.

Quais vulnerabilidades são corrigidas por esse patch?

Essa vulnerabilidade permitia que usuários com acesso de administrador à conexão do repositório lessem secrets referenciados do Secret Manager porque as verificações de permissão eram realizadas apenas nas credenciais da P4SA. Ao exigir verificações de permissão no principal de chamada (usando credenciais do usuário final) e na P4SA para conexões do GitLab Enterprise (GLE) e do Bitbucket Data Center (BBDC), somente os usuários autorizados com a permissão secretmanager.versions.access do IAM nos segredos (além da própria P4SA) podem usá-los em conexões de repositório.

Quando você ativa a API Cloud Build em um projeto, o Cloud Build cria automaticamente uma conta de serviço padrão para executar builds em seu nome. Essa conta de serviço legada do Cloud Build tinha a permissão do IAM logging.privateLogEntries.list, que permitia que o build tivesse acesso à lista de registros particulares por padrão. Essa permissão foi revogada da conta de serviço do Cloud Build para aderir ao princípio de segurança de privilégio mínimo.

O que devo fazer?

O usuário não precisa fazer mais nada. A permissão do IAM logging.privateLogEntries.list foi revogada da conta de serviço legada do Cloud Build, e a correção foi lançada.

Quais vulnerabilidades são corrigidas por esse patch?

Essa vulnerabilidade concedeu aos builds a permissão para listar registros particulares. Como a permissão logging.privateLogEntries.list do IAM foi revogada da conta de serviço legada do Cloud Build, os builds não têm mais acesso à lista de registros particulares por padrão.