Boletines de seguridad

20-08-2024: se incluyen parches para las TPUs. Aplica las actualizaciones de las distribuciones de Linux a medida que estén disponibles. Consulta las directrices de las distribuciones de Linux. Si usas TPUs, actualiza a una de las siguientes versiones corregidas:

• tpu-ubuntu2204-base
• v2-alpha-tpuv5
• v2-alpha-tpuv5-lite

Se ha descubierto una vulnerabilidad (CVE-2024-6387) en OpenSSH. Si se aprovecha esta vulnerabilidad, un atacante remoto no autenticado puede ejecutar código arbitrario como root en el equipo de destino.

Se recomienda analizar todas las VMs de Compute Engine que usen una distribución de Linux basada en glibc y que tengan OpenSSH expuesto para detectar las versiones vulnerables.

¿Qué debo hacer?

1. Aplica las actualizaciones de las distribuciones de Linux a medida que estén disponibles. Consulta las directrices de las distribuciones de Linux. En el caso de Container-Optimized OS de Google, actualiza a una de las siguientes versiones con parche:
   • cos-113-18244-85-49
   • cos-109-17800-218-69
   • cos-105-17412-370-67
   • cos-101-17162-463-55
   Si usas Container-Optimized OS a través de un servicio gestionado de Google (por ejemplo, GKE), consulta el boletín de seguridad de ese servicio para saber si hay parches disponibles.
2. Si no es posible actualizarlo, considera la posibilidad de desactivar OpenSSH hasta que se pueda aplicar el parche. La red predeterminada tiene una regla de cortafuegos default-allow-ssh predefinida para permitir el acceso SSH desde Internet público. Para quitar este acceso, los clientes pueden hacer lo siguiente:
   1. Si quieres, crea reglas para permitir el acceso SSH que necesites desde redes de confianza a los nodos de GKE u otras VMs de Compute Engine del proyecto. A continuación,
   2. Inhabilita la regla de cortafuegos predeterminada con el siguiente comando:

      gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT
            

   Si has creado otras reglas de cortafuegos que puedan permitir SSH a través de TCP en el puerto 22, inhabilítalas o limita las IPs de origen a redes de confianza.
   
   Verifica que ya no puedes conectarte a tus VMs mediante SSH desde Internet. Esta configuración del cortafuegos mitiga la vulnerabilidad.
3. Si OpenSSH debe permanecer activado, también puedes ejecutar una actualización de configuración que elimine la condición de carrera de la vulnerabilidad. Se trata de una medida de mitigación en tiempo de ejecución. Para aplicar los cambios en la configuración de sshd, esta secuencia de comandos reiniciará el servicio sshd.

   #!/bin/bash
   set -e
   
   SSHD_CONFIG_FILE=/etc/ssh/sshd_config
   # -c: count the matches
   # -q: don't print to console
   # -i: sshd_config keywords are case insensitive.
   if [[ "$(grep -ci '^LoginGraceTime' $SSHD_CONFIG_FILE)" -eq 0 ]]; then
       echo "LoginGraceTime 0" >> "$SSHD_CONFIG_FILE"
       echo "Set the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   else
       sed -i 's/^LoginGraceTime.*$/LoginGraceTime 0/' /etc/ssh/sshd_config
       echo "Changed the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   fi
   # Restart the sshd service to apply the new config.
   systemctl restart sshd
       

4. Por último, monitoriza si se produce alguna actividad de red inusual que implique servidores SSH.

Compute Engine no se ve afectado por CVE-2024-3094, que afecta a las versiones 5.6.0 y 5.6.1 del paquete xz-utils de la biblioteca liblzma y podría provocar que se viera comprometida la utilidad OpenSSH.

¿Qué debo hacer?

Esta CVE no afecta a las imágenes públicas admitidas y ofrecidas por Compute Engine. Si usas imágenes públicas de Compute Engine para tus VMs, no tienes que hacer nada.

Podría estar en riesgo si ha creado una imagen personalizada que usaba las versiones 5.6.0 y 5.6.1 del paquete xz-utils, como los siguientes sistemas operativos:

• Fedora 41 y Fedora Rawhide
• Pruebas o versión inestable de Debian
• openSUSE Tumbleweed

Para mitigar este riesgo, detén las VMs que usen estos sistemas operativos u otros que puedan haber usado sistemas operativos afectados. Si tienes VMs creadas a partir de imágenes personalizadas de otros sistemas operativos, ponte en contacto con el proveedor de tu SO para comprobar si tus VMs se ven afectadas.

¿Qué vulnerabilidades se están tratando?

CVE-2024-3094

Se han descubierto varias vulnerabilidades en el firmware UEFI de TianoCore EDK II. Este firmware se usa en las VMs de Google Compute Engine. Si se explotan, las vulnerabilidades podrían permitir eludir el arranque seguro, lo que proporcionaría mediciones falsas en el proceso de arranque seguro, incluso cuando se usen en máquinas virtuales blindadas.

¿Qué debo hacer?

No tienes que hacer nada. Google ha aplicado un parche a esta vulnerabilidad en Compute Engine y todas las máquinas virtuales están protegidas frente a ella.

¿Qué vulnerabilidades trata este parche?

El parche mitiga las siguientes vulnerabilidades:

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

El 14 de noviembre, AMD reveló varias vulnerabilidades que afectan a diferentes CPUs de servidor de AMD. En concreto, las vulnerabilidades afectan a las CPUs de servidor EPYC que utilizan la generación 2 "Roma", la generación 3 "Milán" y la generación 4 "Génova" del núcleo Zen.

Google ha aplicado correcciones a los recursos afectados, incluido Google Cloud, para asegurarse de que los clientes estén protegidos. Por el momento, no se han encontrado ni se han comunicado a Google pruebas de que se haya explotado la vulnerabilidad.

¿Qué debo hacer?

No hace falta que el cliente realice ninguna acción.

Ya se han aplicado correcciones a la flota de servidores de Google para Google Cloud, incluido Google Compute Engine.

¿Qué vulnerabilidades trata este parche?

El parche mitiga las siguientes vulnerabilidades:

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2023-20521
• CVE-2021-46766
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

Para obtener más información, consulta el aviso de seguridad de AMD AMD-SN-3005: "AMD INVD Instruction Security Notice", también publicado como CacheWarp, y AMD-SN-3002: "AMD Server Vulnerabilities – November 2023".

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

Se han descubierto dos vulnerabilidades (CVE-2023-1017 y CVE-2023-1018) en el módulo de plataforma de confianza (TPM) 2.0.

Las vulnerabilidades podrían haber permitido que un atacante sofisticado aprovechara una lectura o escritura fuera de límites de 2 bytes en determinadas máquinas virtuales de Compute Engine.

¿Qué debo hacer?

Se ha aplicado un parche automáticamente a todas las máquinas virtuales vulnerables. No hace falta que el cliente realice ninguna acción.

¿Qué vulnerabilidades trata este parche?

El parche mitiga las siguientes vulnerabilidades:

CVE-2023-1017

Con CVE-2023-2017, se podría activar un desbordamiento de búfer en la rutina de descifrado de parámetros de vTPM. Un atacante local que se ejecute en una VM vulnerable podría usarlo para activar una denegación de servicio o, posiblemente, ejecutar código arbitrario en el contexto de vTPM.

CVE-2023-1018

Con CVE-2023-2018, se produjo una lectura fuera de los límites en la rutina de descifrado del parámetro vTPM. Un atacante local que se ejecute en una máquina virtual vulnerable podría usar esta vulnerabilidad para filtrar indirectamente datos limitados del contexto de vTPM.

• CVE-2023-1017
• CVE-2023-1018

La utilidad Apache Log4j es un componente habitual para registrar solicitudes. El 9 de diciembre del 2021 se detectó una vulnerabilidad que podría poner en riesgo a los sistemas que tengan la versión 2.14.1 de Apache Log4j o una anterior, y permitir que un atacante ejecute código arbitrario.

El 10 de diciembre del 2021, NIST publicó una alerta crítica de Vulnerabilidades y exposiciones comunes, CVE-2021-44228. En concreto, las funciones de la Interfaz de Nombre y Directorio Java (JNDI) que se utilizan en la configuración, los mensajes de registro y los parámetros no protegen frente a LDAPs controlados por atacantes y otros puntos finales relacionados con JNDI. Un atacante capaz de controlar los mensajes de registro o los parámetros de esos mensajes puede ejecutar código arbitrario desde servidores remotos si se habilita la sustitución de búsqueda de mensajes.

¿Qué debo hacer?

• M4CE v4.x: el equipo de Migrate for Compute Engine (M4CE) lanzó una nueva versión el 13 de diciembre del 2021. Los gestores de proyectos deben sustituir la implementación actual por la nueva versión, que incluye el gestor de M4CE en la nube y el backend de M4CE local. Consulta la guía de procedimientos para obtener información detallada sobre la implementación de la versión 4.11.
• M2VMs v5.x: se ha corregido M2VMs v5.0 y versiones posteriores, por lo que no es necesario hacer nada.

• CVE-2021-44228

Hace poco se ha descubierto una vulnerabilidad en la utilidad de Linux sudo, descrita en la CVE-2021-3156, que podría permitir que un atacante con acceso a shell local sin privilegios en un sistema con sudo instalado eleve sus privilegios a raíz en el sistema.

Impacto en Compute Engine

La infraestructura subyacente que ejecuta Compute Engine no se ve afectada por esta vulnerabilidad. Las máquinas virtuales de Compute Engine que ejecutan Linux deben plantearse actualizar su sistema operativo invitado. Por ejemplo, si usas Container-Optimized OS, te recomendamos que actualices a una de las siguientes imágenes: cos-85-13310-1209-7, cos-81-12871-1245-6, cos-dev-89-16091-0-0 o una versión posterior.

• CVE-2021-3156

Eclypsium ha divulgado la siguiente CVE: CVE-2020-10713.

Vulnerabilidades

En respuesta al informe inicial sobre la vulnerabilidad, se aplicó un análisis adicional al código de GRUB2 y Canonical descubrió las siguientes vulnerabilidades adicionales:

• CVE-2020-14308
• CVE-2020-14309
• CVE-2020-14310
• CVE-2020-14311
• CVE-2020-15705
• CVE-2020-15706
• CVE-2020-15707

Estas vulnerabilidades, denominadas en conjunto BootHole, permiten que los atacantes con privilegios de administrador carguen archivos binarios sin firmar, lo que inhabilita la aplicación del arranque seguro.

Impacto en Compute Engine

La infraestructura del host que ejecuta Compute Engine está protegida frente a ataques conocidos.

Aconsejamos a los clientes de Compute Engine que usen el arranque seguro que actualicen los sistemas operativos invitados de sus instancias para evitar que se pueda hacer un uso malintencionado de ellos en sus entornos de invitado. Para obtener más información, consulta la mitigación recomendada por el proveedor de tu SO invitado.

Imágenes con parche y recursos de proveedores

En esta página, incluiremos enlaces a información sobre los parches de cada uno de los proveedores de sistemas operativos. Añadiremos esta información cuando los parches estén disponibles. Las versiones anteriores de estas imágenes públicas no cuentan con estos parches y, por tanto, no sirven para reducir el riesgo de sufrir ataques:

• Proyecto centos-cloud: información sobre los parches de CentOS
  • centos-7-v20200811
  • centos-8-v20200811
• Proyecto cos-cloud:
  • cos-77-12371-1072-0
  • cos-81-12871-1185-0
  • cos-rc-85-13310-1028-0
  • cos-dev-86-15103-0-0

  Si usas COS a través de un servicio gestionado (por ejemplo, GKE), sigue las instrucciones de ese servicio para aplicar las actualizaciones.

• Proyecto debian-cloud: DSA-4753
  • debian-10-buster-v20200805
• Proyecto coreos-cloud:
  • coreos-alpha-2163-2-1-v20190617
  • coreos-beta-2135-3-1-v20190617
  • coreos-stable-2079-6-0-v20190617
• Proyecto rhel-cloud/rhel-sap-cloud: Respuesta de Red Hat ante vulnerabilidades
  • rhel-7-v20200811
  • rhel-7-4-sap-v20200811
  • rhel-7-6-sap-v20200811
  • rhel-7-7-sap-v20200811
  • rhel-8-v20200811
• Proyecto suse-cloud/suse-sap-cloud:: artículo de la base de conocimientos de SUSE
  • sles-12-sp5-v20200813
  • sles-15-sp2-v20200804
  • sles-12-sp4-sap-v20200804
  • sles-12-sp5-sap-v20200813
  • sles-15-sap-v20200803
  • sles-15-sp1-sap-v20200803
  • Sles-15-sp2-sap-v20200804
• Proyecto ubuntu-os-cloud: Wiki de Ubuntu
  • ubuntu-1604-xenial-v20200729
  • ubuntu-1804-bionic-v20200729
  • ubuntu-2004-focal-v20200729

• CVE-2020-10713
• CVE-2020-14308
• CVE-2020-14309
• CVE-2020-14310
• CVE-2020-14311
• CVE-2020-15705
• CVE-2020-15706
• CVE-2020-15707

Las VMs que tengan habilitado OS Login pueden ser susceptibles a vulnerabilidades de apropiación de privilegios. Estas vulnerabilidades permiten a los usuarios a los que se les han concedido permisos de inicio de sesión del SO (pero no acceso de administrador) obtener acceso root en la VM.

Vulnerabilidades

Se han identificado las tres vulnerabilidades siguientes en las imágenes de Compute Engine, que se deben a que los miembros de los grupos predeterminados tienen demasiados permisos:

• CVE-2020-8903 al usar el usuario adm, puedes aprovechar el XID de DHCP para obtener privilegios de administrador.
• CVE-2020-8907 al usar el usuario docker, puedes montar y modificar el sistema de archivos del SO host para obtener privilegios de administrador.
• CVE-2020-8933 Al usar el usuario lxd, puedes adjuntar sistemas de archivos del SO host y obtener privilegios de administrador.

Imágenes con parches y correcciones

Todas las imágenes públicas de Compute Engine creadas después del v20200506 tienen los parches aplicados.

Si necesitas solucionar este problema sin actualizar a una versión posterior de tu imagen, puedes editar el archivo /etc/security/group.conf y quitar los usuarios adm, lxd y docker de la entrada predeterminada de inicio de sesión en el SO.

• CVE-2020-8903
• CVE-2020-8907
• CVE-2020-8933

Microsoft ha divulgado la siguiente vulnerabilidad:

• CVE-2020-0601 esta vulnerabilidad también se conoce como vulnerabilidad de suplantación de identidad de la API Crypto de Windows y se podría aprovechar para que los ejecutables maliciosos parezcan fiables o para permitir que el atacante lleve a cabo ataques de intermediario y descifre información confidencial en las conexiones de los usuarios al software afectado.

Impacto en Compute Engine

La infraestructura subyacente que ejecuta Compute Engine no se ve afectada por esta vulnerabilidad. No es necesario que tomes ninguna medida, salvo si ejecutas Windows Server en tu máquina virtual de Compute Engine. Los clientes que usen VMs de Compute Engine con Windows Server deben asegurarse de que sus instancias tengan el parche de Windows más reciente.

Imágenes con parche y recursos de proveedores

Las versiones anteriores de las imágenes públicas de Windows no contienen los siguientes parches y, por tanto, no sirven para reducir el riesgo de sufrir ataques:

• Proyectos windows-cloud y windows-sql-cloud
  • Todas las imágenes públicas de Windows Server y SQL Server a partir de la versión v20200114

• CVE-2020-0601

Intel ha divulgado las siguientes CVE:

• CVE-2019-11135: esta CVE también se denomina TSX Async Abort (TAA). TAA proporciona otra vía para la filtración externa de datos usando las mismas estructuras de datos de microarquitectura que fueron vulnerables ante el muestreo de datos de microarquitectura (MDS).
• CVE-2018-12207 Esta CVE también se conoce como "Error de comprobación de máquina al cambiar el tamaño de página". Se trata de una vulnerabilidad de denegación de servicio (DoS) que afecta a los hosts de máquinas virtuales y hace que un invitado malicioso provoque un fallo en un host que no está protegido.

Impacto en Compute Engine

CVE-2019-11135

La infraestructura del host que ejecuta Compute Engine aísla las cargas de trabajo de los clientes. No es necesario que tomes ninguna medida, salvo si ejecutas código no fiable en máquinas virtuales N2, C2 o M2.

En el caso de los clientes que usen máquinas virtuales N2, C2 o M2 de Compute Engine y ejecuten código no fiable en sus propios servicios de varios propietarios dentro de ellas, deben detenerlas e iniciarlas para asegurarse de que tengan aplicadas las medidas de seguridad más recientes. Un reinicio sin detener ni iniciar no es suficiente. En estas directrices se da por hecho que ya has aplicado las actualizaciones publicadas anteriormente que cubren la vulnerabilidad de MDS. Si no es así, sigue las instrucciones para aplicar las actualizaciones correspondientes.

Los clientes que usen tipos de máquina N1 no tienen que hacer nada, ya que esta vulnerabilidad no supone una nueva exposición más allá de las vulnerabilidades de MDS que ya se habían comunicado.

CVE-2018-12207

La infraestructura del host que ejecuta Compute Engine está protegida frente a esta vulnerabilidad. No hace falta que hagas nada más.

• CVE-2019-11135
• CVE-2018-12207

Netflix ha divulgado hace poco tres vulnerabilidades de TCP en los kernels de Linux:

• CVE‑2019‑11477
• CVE‑2019‑11478
• CVE‑2019‑11479

A estas CVE se las conoce conjuntamente como NFLX‑2019‑001.

Impacto en Compute Engine

La infraestructura que aloja Compute Engine está protegida frente a esta vulnerabilidad.

Las máquinas virtuales de Compute Engine que ejecutan sistemas operativos Linux sin parches y que envían o reciben tráfico de red no fiable son vulnerables ante este tipo de ataques de denegación de servicio. Te recomendamos que actualices estas instancias de máquina virtual en cuanto estén disponibles los parches para sus sistemas operativos.

Se han aplicado parches contra esta vulnerabilidad en los balanceadores de carga que cierran las conexiones TCP. Las instancias de Compute Engine que solo reciben tráfico que no es fiable mediante estos balanceadores de carga no son vulnerables. Aquí se incluyen los balanceadores de carga HTTP, del proxy SSL y del proxy TCP.

Los balanceadores de carga internos y de red no cierran las conexiones TCP. Las instancias de Compute Engine sin parches que reciben tráfico que no es fiable mediante estos balanceadores de carga sí son vulnerables.

Imágenes con parche y recursos de proveedores

En esta página, incluiremos enlaces a información sobre los parches de cada uno de los proveedores de sistemas operativos. Añadiremos esta información cuando los parches estén disponibles, incluido el estado de todas las CVE implicadas. Las versiones anteriores de estas imágenes públicas no cuentan con dichos parches y, por tanto, no sirven para reducir el riesgo de sufrir ataques:

• Proyecto debian-cloud:
  • debian-9-stretch-v20190618
• Proyecto centos-cloud:
  • centos-6-v20190619
  • centos-7-v20190619
• Proyecto cos-cloud:
  • cos-dev-77-12293-0-0
  • cos-beta-76-12239-21-0
  • cos-stable-75-12105-77-0
  • cos-73-11647-217-0
  • cos-69-10895-277-0
• Proyecto coreos-cloud:
  • coreos-alpha-2163-2-1-v20190617
  • coreos-beta-2135-3-1-v20190617
  • coreos-stable-2079-6-0-v20190617
• Proyecto rhel-cloud:
  • rhel-6-v20190618
  • rhel-7-v20190618
  • rhel-8-v20190618
• Proyecto rhel-sap-cloud:
  • rhel-7-4-sap-v20190618
  • rhel-7-6-sap-v20190618
• Proyecto suse-cloud:
  • sles-12-sp4-v20190617
  • sles-15-v20190617
• Proyecto suse-sap-cloud:
  • sles-12-sp1-sap-v20190617
  • sles-12-sp2-sap-v20190617
  • sles-12-sp3-sap-v20190617
  • sles-12-sp4-sap-v20190617
  • sles-15-sap-v20190617
• Proyecto ubuntu-cloud:
  • ubuntu-1604-xenial-v20190617
  • ubuntu-1804-bionic-v20190617
  • ubuntu-1810-cosmic-v20190618
  • ubuntu-1904-disco-v20190619
  • ubuntu-minimal-1604-xenial-v20190618
  • ubuntu-minimal-1804-bionic-v20190617
  • ubuntu-minimal-1810-cosmic-v20190618
  • ubuntu-minimal-1904-disco-v20190618

• CVE‑2019‑11477
• CVE‑2019‑11478
• CVE‑2019‑11479

Intel ha divulgado las siguientes CVE:

• CVE‑2018‑12126
• CVE‑2018‑12127
• CVE‑2018‑12130
• CVE‑2019‑11091

A estas CVE se las conoce conjuntamente como muestreo de datos de microarquitectura (MDS). Estas vulnerabilidades podrían permitir que los datos se expusieran por medio de la interacción de la ejecución especulativa y el estado de microarquitectura.

Impacto en Compute Engine

La infraestructura del host que ejecuta Compute Engine aísla las cargas de trabajo del cliente entre sí. No es necesario que tomes ninguna medida, salvo si ejecutas código no fiable en tus máquinas virtuales.

Los clientes que ejecuten código no fiable en sus servicios de varios propietarios dentro de máquinas virtuales de Compute Engine deben consultar la mitigación recomendada por el proveedor de su SO invitado, que puede implicar el uso de funciones de mitigación de microcódigo de Intel. Hemos desplegado el acceso directo para invitados en la nueva funcionalidad de vaciado. A continuación, incluimos un resumen de los pasos de mitigación para las imágenes de invitado habituales.

Imágenes con parche y recursos de proveedores

En esta página, incluiremos enlaces a información sobre los parches de cada uno de los proveedores de sistemas operativos. Añadiremos esta información cuando los parches estén disponibles, incluido el estado de todas las CVE implicadas. Usa estas imágenes para volver a crear las instancias de máquina virtual. Las versiones anteriores de estas imágenes públicas no cuentan con estos parches y, por tanto, no sirven para reducir el riesgo de sufrir ataques:

• Proyecto centos-cloud: CESA-2019:1169, CESA-2019:1168
• centos-6-v20190515
• centos-7-v20190515
• Proyecto coreos-cloud: mitigaciones de MDS para CoreOS Container Linux
• coreos-stable-2079-4-0-v20190515
• coreos-beta-2107-3-0-v20190515
• coreos-alpha-2135-1-0-v20190515
• Proyecto cos-cloud
• cos-69-10895-242-0
• cos-73-11647-182-0
• Proyecto debian-cloud: DSA-4444
• debian-9-stretch-v20190514
• Proyecto rhel-cloud: artículo sobre el MDS de Red Hat
• rhel-6-v20190515
• rhel-7-v20190517
• rhel-8-v20190515
• Proyecto rhel-sap-cloud: artículo sobre el MDS de Red Hat
• rhel-7-4-sap-v20190515
• rhel-7-6-sap-v20190517
• Proyecto suse-cloud: Artículo sobre el MDS de la base de conocimientos de SUSE
• sles-12-sp4-v20190520
• sles-15-v20190520
• Proyecto suse-sap-cloud
• sles-12-sp4-sap-v20190520
• sles-15-sap-v20190520
• Proyecto ubuntu-os-cloud: entrada de la Wiki de Ubuntu sobre el MDS
• ubuntu-1404-trusty-v20190514
• ubuntu-1604-xenial-v20190514
• ubuntu-1804-bionic-v20190514
• ubuntu-1810-cosmic-v20190514
• ubuntu-1904-disco-v20190514
• ubuntu-minimal-1604-xenial-v20190514
• ubuntu-minimal-1804-bionic-v20190514
• ubuntu-minimal-1810-cosmic-v20190514
• ubuntu-minimal-1904-disco-v20190514
• Proyectos windows-cloud y windows-sql-cloud: Microsoft ADV190013
• Todas las imágenes públicas de Windows Server y SQL Server con el número de versión v20190514.
• Proyecto gce-uefi-images
• centos-7-v20190515
• cos-69-10895-242-0
• cos-73-11647-182-0
• rhel-7-v20190517
• ubuntu-1804-bionic-v20190514
• Todas las imágenes públicas de Windows Server con el número de versión v20190514.

Container-Optimized OS

Si Container‑Optimized OS (COS) es tu sistema operativo invitado y estás ejecutando cargas de trabajo no fiables de varios propietarios en la máquina virtual, te recomendamos que hagas lo siguiente:

1. Inhabilita Hyper-Threading. Para ello, define nosmt en la línea de comandos del kernel.
   

   En las máquinas virtuales de COS, puedes modificar grub.cfg como te indicamos abajo para definir la opción nosmt y, a continuación, reiniciar el sistema:

   # Run as root:
   dir="$(mktemp -d)"
   mount /dev/sda12 "${dir}"
   sed -i -e "s|cros_efi|cros_efi nosmt|g" "${dir}/efi/boot/grub.cfg"
   umount "${dir}"
   rmdir "${dir}"
   
   reboot

   Por comodidad, puedes ejecutar la siguiente secuencia de comandos para obtener el mismo resultado que si ejecutaras los comandos anteriores. Te recomendamos que integres esta secuencia en tus plantillas de cloud‑config, de secuencia de comandos de inicio o de instancia para asegurarte de que las nuevas máquinas virtuales usan este nuevo parámetro. Más abajo encontrarás un ejemplo de cloud‑config que ejecuta esta secuencia.

   Advertencia: Este comando reinicia inmediatamente la instancia cuando se ejecuta por primera vez. El resto de veces que se ejecute en una instancia con Hyper-Threading inhabilitado no tendrá ningún efecto.

   # Run as root
   /bin/bash <(curl -s https://storage.googleapis.com/cos-tools/scripts/disable_smt.sh)
   

   Para incluir este fragmento en tu cloud‑config, añade lo siguiente:

   #cloud-config
   
   bootcmd:
   - /bin/bash -c "/bin/bash <(curl -s https://storage.googleapis.com/cos-tools/scripts/disable_smt.sh)"
   

   Para confirmar si Hyper-Threading está inhabilitado en tu instancia, observa el resultado de los archivos /sys/devices/system/cpu/smt/active y /sys/devices/system/cpu/smt/control. Si devuelve 0 en active y off en control, se habrá inhabilitado Hyper-Threading:

   cat /sys/devices/system/cpu/smt/active
   cat /sys/devices/system/cpu/smt/control
   

   Nota: Si tienes habilitado el arranque seguro UEFI en tu instancia, deberás volver a crearla con este arranque inhabilitado, ejecutar el comando de más arriba sin habilitar el arranque y, por último, habilitarlo en la nueva instancia.

2. Usa la nueva versión de la imagen de COS.
   

   Para protegerte totalmente frente a la vulnerabilidad, además de inhabilitar Hyper-Threading como se describe anteriormente, debes volver a crear las instancias con las imágenes actualizadas que se enumeran más arriba o con versiones nuevas de las imágenes de Container‑Optimized OS (cuando estén disponibles).

• CVE‑2018‑12126
• CVE‑2018‑12127
• CVE‑2018‑12130
• CVE‑2019‑11091

Descripción

Intel ha divulgado las siguientes CVE:

• CVE-2018-3615 (para SGX)
• CVE‑2018‑3620 (para sistemas operativos y SMT)
• CVE‑2018‑3646 (para virtualización)

A estas CVE se las conoce conjuntamente como "L1 Terminal Fault (L1TF)".

Las vulnerabilidades de L1TF llevan a cabo la ejecución especulativa por medio de ataques a la configuración de las estructuras de datos en el procesador. "L1" hace referencia a la caché Level‑1 Data (L1D), un pequeño recurso del núcleo que se utiliza para acelerar el acceso a la memoria.

Consulta esta Google Cloud entrada del blog para obtener más información sobre estas vulnerabilidades y las medidas de mitigación de Compute Engine.

Impacto en Compute Engine

La infraestructura del host que ejecuta Compute Engine y aísla las cargas de trabajo del cliente entre sí está protegida frente a ataques conocidos.

Aconsejamos a los clientes de Compute Engine que actualicen sus imágenes para evitar que se pueda hacer un uso malintencionado de ellas de forma indirecta en sus entornos de invitado. Esto es especialmente fundamental para los clientes que ejecutan sus propios servicios de varios propietarios en máquinas virtuales de Compute Engine.

Los clientes de Compute Engine disponen de las siguientes opciones para actualizar los sistemas operativos invitados de sus instancias:

• Usar imágenes públicas con parche para volver a crear las instancias de máquina virtual de las que dispongan.
• En las instancias que ya se han creado, instalar parches que proporcione el proveedor del sistema operativo y reiniciar las instancias con parche.

Imágenes con parche y recursos de proveedores

En esta página, incluiremos enlaces a información sobre los parches de cada uno de los proveedores de sistemas operativos. Añadiremos esta información cuando los parches estén disponibles, incluido el estado correspondiente a los CVE implicados. Usa estas imágenes para volver a crear las instancias de máquina virtual. Las versiones anteriores de estas imágenes públicas no cuentan con estos parches y, por tanto, no sirven para reducir el riesgo de sufrir ataques:

• Proyecto centos-cloud:
  • centos-7-v20180815
  • centos-6-v20180815
• Proyecto coreos-cloud:
  • coreos-stable-1800-7-0-v20180816
  • coreos-beta-1855-2-0-v20180816
  • coreos-alpha-1871-0-0-v20180816
• Proyecto cos-cloud:
  • cos-stable-66-10452-110-0
  • cos-stable-67-10575-66-0
  • cos-beta-68-10718-81-0
  • cos-dev-69-10895-23-0
• Proyecto debian-cloud:
  • debian-9-stretch-v20180820
• Proyecto rhel-cloud:
  • rhel-7-v20180814
  • rhel-6-v20180814
• Proyecto rhel-sap-cloud:
  • rhel-7-sap-apps-v20180814
  • rhel-7-sap-hana-v20180814
• Proyecto suse-cloud:
  • sles-15-v20180816
  • sles-12-sp3-v20180814
  • sles-11-sp4-v20180816
• Proyecto suse-sap-cloud:
  • sles-15-sap-v20180816
  • sles-12-sp3-sap-v20180814
  • sles-12-sp2-sap-v20180816
• Proyecto ubuntu-os-cloud:
  • ubuntu-1804-bionic-v20180814
  • ubuntu-1604-xenial-v20180814
  • ubuntu-1404-trusty-v20180814
  • ubuntu-minimal-1804-bionic-v20180814
  • ubuntu-minimal-1604-xenial-v20180814
• Proyectos windows-cloud gce-uefi-images y windows-sql-cloud:
  • Todas las imágenes públicas de Windows Server y SQL Server con el número de versión -v201800814 o uno posterior incluyen parches.

• CVE‑2018‑3615
• CVE‑2018‑3620
• CVE‑2018‑3646

Actualización del 05/09/2018

El US-CERT (el equipo de respuesta ante emergencias informáticas de Estados Unidos) divulgó la CVE-2018-5391 el 14 de agosto del 2018. Al igual que la CVE‑2018‑5390, se trata de una vulnerabilidad de la red a nivel del kernel que aumenta la efectividad de los ataques de denegación de servicio (DoS) contra sistemas vulnerables. La principal diferencia de la CVE‑2018‑5391 es que puede aprovecharse a través de conexiones IP. Actualizamos este boletín para que abarque ambas vulnerabilidades.

Descripción

La CVE‑2018‑5390 ("SegmentSmack") describe una vulnerabilidad de la red a nivel del kernel que aumenta la efectividad de los ataques de denegación de servicio (DoS) contra sistemas vulnerables a través de conexiones TCP.

La CVE‑2018‑5391 ("FragmentSmack") describe una vulnerabilidad de la red a nivel del kernel que aumenta la efectividad de los ataques de denegación de servicio contra sistemas vulnerables a través de conexiones IP.

Impacto en Compute Engine

Esta vulnerabilidad no afecta a la infraestructura del host que ejecuta las máquinas virtuales de Compute Engine. La infraestructura de red que gestiona el tráfico hacia y desde máquinas virtuales de Compute Engine se encuentra protegida frente a esta vulnerabilidad. Las máquinas virtuales de Compute Engine que solo envían o reciben tráfico de red no fiable mediante HTTP(S), SSL o balanceadores de carga TCP están protegidas frente a esta vulnerabilidad.

Las máquinas virtuales de Compute Engine que ejecutan sistemas operativos sin parches que envían y reciben tráfico no fiable (ya sea de forma directa o mediante balanceadores de carga de red) sí son vulnerables ante este tipo de ataques de denegación de servicio.

Te recomendamos que actualices tus instancias de máquina virtual en cuanto estén disponibles los parches para sus sistemas operativos.

Los clientes de Compute Engine disponen de las siguientes opciones para actualizar los sistemas operativos invitados de sus instancias:

• Usar imágenes públicas con parche para volver a crear las instancias de máquina virtual de las que dispongan. Puedes consultar la lista de imágenes públicas con parche un poco más abajo.
• En las instancias que ya se han creado, instalar parches que proporcione el proveedor del sistema operativo y reiniciar las instancias con parche.

Imágenes con parche y recursos de proveedores

En esta página, incluiremos enlaces a información sobre los parches de cada uno de los proveedores de sistemas operativos. Añadiremos esta información cuando los parches estén disponibles.

• Proyecto centos-cloud (solo CVE-2018-5390):
  • centos-7-v20180815
  • centos-6-v20180815
• Proyecto coreos-cloud (CVE-2018-5390 y CVE-2018-5391):
  • coreos-stable-1800-7-0-v20180816
  • coreos-beta-1855-2-0-v20180816
  • coreos-alpha-1871-0-0-v20180816
• Proyecto cos-cloud (CVE-2018-5390 y CVE-2018-5391):
  • cos-stable-65-10323-98-0
  • cos-stable-66-10452-109-0
  • cos-stable-67-10575-65-0
  • cos-beta-68-10718-76-0
  • cos-dev-69-10895-16-0
• Proyecto debian-cloud (CVE-2018-5390 y CVE-2018-5391):
  • debian-9-stretch-v20180814
• Proyecto rhel-cloud (solo CVE-2018-5390):
  • rhel-7-v20180814
  • rhel-6-v20180814
• Proyecto suse-cloud (CVE-2018-5390 y CVE-2018-5391):
  • sles-15-v20180816
  • sles-12-sp3-v20180814
• Proyecto suse-sap-cloud (CVE-2018-5390 y CVE-2018-5391):
  • sles-15-sap-v20180816
  • sles-12-sp3-sap-v20180814
  • sles-12-sp2-sap-v20180816
• Proyecto ubuntu-os-cloud (CVE-2018-5390 y CVE-2018-5391):
  • ubuntu-1804-bionic-v20180814
  • ubuntu-1604-xenial-v20180814
  • ubuntu-1404-trusty-v20180814
  • ubuntu-minimal-1804-bionic-v20180814
  • ubuntu-minimal-1604-xenial-v20180814

• CVE‑2018‑5390
• CVE‑2018‑5391

Actualización del 21/05/2018

CVE-2018-3640 y CVE-2018-3639 (variantes 3a y 4, respectivamente). Al igual que sucedía con las primeras tres variantes de Spectre y Meltdown, la infraestructura que ejecuta las instancias de máquina virtual de Compute Engine se encuentra protegida, y las instancias de máquina virtual de los clientes están protegidas y aisladas entre sí. Además, queremos que Compute Engine despliegue parches de microcódigo de Intel en nuestra infraestructura. De esta forma, los clientes que ejecuten con una sola instancia de máquina virtual cargas de trabajo que no son fiables o que tienen varios propietarios podrán habilitar más medidas de mitigación en su máquina virtual, siempre que los proveedores de sus sistemas operativos les faciliten dichas medidas de mitigación. Desplegaremos los parches de microcódigo en Computer Engine cuando Intel los certifique y hayamos comprobado que cumplen los requisitos de nuestro entorno de producción. Cuando estos parches estén disponibles, publicaremos más novedades al respecto y detalles sobre las fechas en esta página.

Descripción

Estas CVE son variantes de una nueva clase de ataque que aprovecha la tecnología de ejecución especulativa que utilizan muchos procesadores. Este tipo de ataque permite el acceso sin autorización de solo lectura a los datos en memoria cuando se dan determinadas circunstancias.

Compute Engine se sirvió de la tecnología de migración activa de las máquinas virtuales para llevar a cabo actualizaciones en los sistemas host y los hipervisores. Dichas actualizaciones no afectaron a la experiencia de los usuarios ni provocaron ventanas de mantenimiento ni la necesidad de realizar reinicios masivos. No obstante, deben aplicarse parches en todos los sistemas operativos invitados y versiones para protegerlos frente a esta nueva clase de ataque, independientemente del sistema en que se ejecuten.

Consulta esta entrada del blog de Project Zero para obtener más información sobre los detalles técnicos de este método de ataque. Consulta esta entrada del blog sobre seguridad de Google para obtener más información sobre las medidas de mitigación de Google, incluida la información específica de cada producto.

Impacto en Compute Engine

La infraestructura que ejecuta Compute Engine y aísla las instancias de máquina virtual del cliente entre sí está protegida frente a ataques conocidos. Nuestras medidas de mitigación evitan que las aplicaciones que se ejecutan en instancias de máquina virtual puedan acceder sin autorización a nuestros sistemas host. Además, estas medidas evitan el acceso sin autorización entre las instancias de máquina virtual que se ejecutan en un mismo sistema host

Para evitar que se produzcan accesos sin autorización en tus instancias de máquina virtual, debes actualizar sus sistemas operativos invitados mediante alguna de las siguientes opciones:

• Usar imágenes públicas con parche para volver a crear las instancias de máquina virtual de las que dispongas. A continuación, puedes consultar la lista de imágenes públicas con parche.
• En las instancias que ya hayas creado, instala los parches que proporcione el proveedor del sistema operativo correspondientes a tu distribución y reinicia las instancias con parche. Más abajo puedes consultar la información sobre los parches de cada uno de los proveedores de sistemas operativos.

Imágenes con parche y recursos de proveedores

Nota: Es posible que las imágenes con parche no incluyan soluciones para todas las CVE que aparecen en este boletín de seguridad. Además, las distintas imágenes podrían incluir métodos diferentes para evitar este tipo de ataques. Ponte en contacto con el proveedor de tu sistema operativo para obtener más información sobre las CVE a las que hacen frente sus parches y acerca de las medidas de prevención que utilizan.

• Proyecto cos-cloud: incluye parches que evitan ataques de las variantes 2 (CVE-2017-5715) y 3 (CVE-2017-5754). Google usó Retpoline para mitigar los ataques de la variante 2.
  • cos-stable-63-10032-71-0 o familia de imágenes cos-stable
• Proyecto centos-cloud: Información sobre los parches de CentOS
  • centos-7-v20180104 o familia de imágenes centos-7
  • centos-6-v20180104 o familia de imágenes centos-6
• Proyecto coreos-cloud: Información sobre los parches de CoreOS
  • coreos-stable-1576-5-0-v20180105 o familia de imágenes coreos-stable
  • coreos-beta-1632-1-0-v20180105 o familia de imágenes coreos-beta
  • coreos-alpha-1649-0-0-v20180105 o familia de imágenes coreos-alpha
• Proyecto debian-cloud: Información sobre los parches de Debian
  • debian-9-stretch-v20180105 o familia de imágenes debian-9
  • debian-8-jessie-v20180109 o familia de imágenes debian-8
• Proyecto rhel-cloud: Información sobre los parches de RHEL
  • rhel-7-v20180104 o familia de imágenes rhel-7
  • rhel-6-v20180104 o familia de imágenes rhel-6
• Proyecto suse-cloud: Información sobre los parches de SUSE
  • sles-12-sp3-v20180104 o familia de imágenes sles-12
  • sles-11-sp4-v20180104 o familia de imágenes sles-11
• Proyecto suse-sap-cloud: Información sobre los parches de SUSE
  • sles-12-sp3-sap-v20180104 o familia de imágenes sles-12-sp3-sap
  • sles-12-sp2-sap-v20180104 o familia de imágenes sles-12-sp2-sap
• Proyecto ubuntu-os-cloud: Información sobre los parches de Ubuntu
  • ubuntu-1710-artful-v20180109 o familia de imágenes ubuntu-1710
  • ubuntu-1604-xenial-v20180109 o familia de imágenes ubuntu-1604-lts
  • ubuntu-1404-trusty-v20180110 o familia de imágenes ubuntu-1404-lts
• Proyectos windows-cloud y windows-sql-cloud:
  • Todas las imágenes públicas de Windows Server y SQL Server con el número de versión -v20180109 o uno posterior incluyen parches. No obstante, a la hora de habilitar y verificar las medidas de mitigación en tus instancias (tanto las ya creadas como las creadas recientemente), debes seguir las acciones recomendadas que indica Microsoft en su boletín de asistencia de Windows Server.

Usa estas imágenes para volver a crear las instancias de máquina virtual. Las versiones anteriores de estas imágenes públicas no cuentan con dichos parches y, por tanto, no sirven para reducir el riesgo de sufrir ataques.

Parches de los proveedores de hardware

NVIDIA proporciona controladores con parche para mitigar posibles ataques contra sistemas en los que se haya instalado software de controladores de NVIDIA®. Si quieres obtener más información sobre qué versión de los controladores incluye el parche, consulta el boletín de seguridad de NVIDIA: NVIDIA GPU Display Driver Security Updates

Historial de revisiones:

• 21/05/2018, 14:00 (PST): se añadió información sobre las 2 nuevas variantes que se divulgaron el 21 de mayo del 2018.
• 10/01/2018, 15:00 (PST): se añadió información sobre las imágenes públicas con parche de Windows Server y SQL Server.
• 10/01/2018, 10:15 (PST): se añadieron varias imágenes de Ubuntu a la lista de imágenes públicas con parche.
• 10/01/2018, 09:50 (PST): se añadió información instructiva sobre los parches de proveedores de hardware.
• 03/01/2018-09/01/2018: se añadieron varias revisiones a la lista de imágenes públicas con parche.

• CVE-2017-5753
• CVE-2017-5715
• CVE-2017-5754
• CVE-2018-3640
• CVE-2018-3639

Dnsmasq proporciona funciones de servicio de DNS, DHCP, anuncios de router y arranques de red. Normalmente, este software se instala en sistemas tan variados como las distribuciones de escritorio de Linux (por ejemplo, Ubuntu), los routers domésticos y los dispositivos del Internet de las cosas. El uso de Dnsmasq está muy extendido en el Internet público e, internamente, en las redes privadas.

En el transcurso de nuestras evaluaciones periódicas internas de seguridad, detectamos siete errores diferentes. Tras determinar su gravedad, nos pusimos manos a la obra para estudiar su impacto y las posibilidades de aprovecharse de estos errores. A continuación, desarrollamos pruebas de concepto internas para cada uno de ellos. También colaboramos con el encargado del mantenimiento de Dnsmasq, Simon Kelly, para producir los parches adecuados y mitigar los problemas.

Durante la revisión, el equipo encontró tres posibles ejecuciones remotas del código, una filtración de información y tres vulnerabilidades de denegación de servicio que afectaban a la versión más reciente en el servidor Git del proyecto el 5 de septiembre del 2017.

Estos parches se suben y se confirman en el repositorio Git del proyecto.

Impacto en Compute Engine

De forma predeterminada, Dnsmasq solo se instala en imágenes que usen NetworkManager (inactivo por defecto). Las siguientes imágenes públicas de Compute Engine tienen Dnsmasq instalado:

• Ubuntu 16.04, 16.10 y 17.04
• CentOS 7
• RHEL 7

Sin embargo, es posible que otras imágenes tengan Dnsmasq instalado como una dependencia de otros paquetes. Te recomendamos que actualices tus instancias de Debian, Ubuntu, CentOS, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise Server (SLES) y OpenSUSE para emplear la imagen más reciente de los sistemas operativos. Esta vulnerabilidad no afecta a CoreOS, Container-Optimized OS ni tampoco a las imágenes de Windows.

Para actualizar las instancias que ejecutan Debian y Ubuntu, ejecuta los siguientes comandos en tu instancia:

sudo apt-get -y update

sudo apt-get -y dist-upgrade

En las instancias de RHEL y CentOS, ejecuta:

sudo yum -y upgrade

En las imágenes de SLES y OpenSUSE, ejecuta:

sudo zypper up

Como alternativa a ejecutar los comandos de la actualización manual, puedes volver a crear instancias de máquina virtual con las familias de imágenes del SO correspondiente.

• CVE-2017-14491
• CVE-2017-14492
• CVE-2017-14493
• CVE-2017-14494
• CVE-2017-14495
• CVE-2017-14496
• CVE-2017-13704

CVE-2016-5195 es una condición de carrera en la forma en que el subsistema de memoria del kernel de Linux gestionaba la ruptura de la situación de COW de las asignaciones privadas de solo lectura al acceder a la escritura.

Un usuario local sin privilegios podría usar este fallo para obtener acceso de escritura a asignaciones de memoria de solo lectura y, de este modo, aumentar sus privilegios en el sistema.

Para obtener más información, consulta las preguntas frecuentes sobre Dirty COW (en inglés).

Impacto en Compute Engine

Todas las distribuciones y versiones de Linux en Compute Engine se ven afectadas. En la mayoría de las instancias se descargará e instalará automáticamente un kernel más reciente. Sin embargo, tienes que reiniciar el sistema en ejecución para aplicarle un parche.

Las instancias que se hayan creado por primera vez o que se hayan vuelto a crear según las siguientes imágenes de Compute Engine ya tienen instalados los kernels con los parches.

• centos-6-v20161026
• centos-7-v20161025
• coreos-alpha-1192-2-0-v20161021
• coreos-beta-1185-2-0-v20161021
• coreos-stable-1122-3-0-v20161021
• debian-8-jessie-v20161020
• rhel-6-v20161026
• rhel-7-v20161024
• sles-11-sp4-v20161021
• sles-12-sp1-v20161021
• ubuntu-1204-precise-v20161020
• ubuntu-1404-trusty-v20161020
• ubuntu-1604-xenial-v20161020
• ubuntu-1610-yakkety-v20161020

CVE-2015-7547 es una vulnerabilidad en la que el resolver del lado del cliente DNS de glibc hace que el software sea vulnerable a un desbordamiento de búfer basado en pila al usar la función de biblioteca getaddrinfo(). Un atacante puede sacar provecho del software que está usando la función para explotar esta vulnerabilidad con nombres de dominio o servidores DNS controlados por el atacante, o bien mediante un ataque de interceptación.

Para obtener más información, consulta la entrada del blog de seguridad de Google o la base de datos de vulnerabilidades y exposiciones comunes (CVE).

Impacto en Compute Engine

Actualización (22/02/2016):

Ahora puedes volver a crear tus instancias con las siguientes imágenes de CoreOS, SLES y OpenSUSE:

• coreos-alpha-962-0-0-v20160218
• coreos-beta-899-7-0-v20160218
• coreos-stable-835-13-0-v20160218
• opensuse-13-2-v20160222
• opensuse-leap-42-1-v20160222
• sles-11-sp4-v20160222
• sles-12-sp1-v20160222

Actualización (17/02/2016):

Ahora puedes actualizar las instancias de Ubuntu 12.04 LTS, Ubuntu 14.04 LTS y Ubuntu 15.10, si ejecutas los siguientes comandos:

1. user@my-instance:~$ sudo apt-get -y update
2. user@my-instance:~$ sudo apt-get -y dist-upgrade
3. user@my-instance:~$ sudo reboot

Como alternativa a ejecutar los comandos de actualización manual, ahora puedes volver a crear tus instancias con las siguientes imágenes nuevas:

• backports-debian-7-wheezy-v20160216
• centos-6-v20160216
• centos-7-v20160216
• debian-7-wheezy-v20160216
• debian-8-jessie-v20160216
• rhel-6-v20160216
• rhel-7-v20160216
• ubuntu-1204-precise-v20160217a
• ubuntu-1404-trusty-v20160217a
• ubuntu-1510-wily-v20160217

No conocemos ningún método que pueda explotar esta vulnerabilidad a través de las herramientas de resolución de DNS de Compute Engine con la configuración predeterminada de glibc. Te recomendamos que apliques parches a tus instancias de máquina virtual lo antes posible, ya que, como ocurre con cualquier vulnerabilidad nueva, es posible que se descubran nuevos métodos de explotación con el tiempo. Si has habilitado los EDNS0 (inhabilitados de forma predeterminada), debes inhabilitarlos hasta que se hayan aplicado los parches a las instancias.

Boletín original:

Tu distribución de Linux podría ser vulnerable. Para eliminar esta vulnerabilidad, los clientes de Compute Engine que ejecuten un SO Linux tienen que actualizar las imágenes de SO de sus instancias.

Para actualizar las instancias que ejecutan Debian, ejecuta los siguientes comandos en tu instancia:

1. user@my-instance:~$ sudo apt-get -y update
2. user@my-instance:~$ sudo apt-get -y dist-upgrade
3. user@my-instance:~$ sudo reboot

También te recomendamos instalar UnattendedUpgrades para tus instancias de Debian.

En las instancias de RHEL, ejecuta:

• user@my-instance:~$ sudo yum -y upgrade
• user@my-instance:~$ sudo reboot

Continuaremos actualizando este boletín a medida que otros encargados del mantenimiento del sistema operativo publiquen parches para esta vulnerabilidad y conforme Compute Engine publique imágenes de sistema operativo actualizadas.

CVE-2015-1427 es una vulnerabilidad en la que el motor de secuencias de comandos Groovy en Elasticsearch previo a la versión 1.3.8 y a cualquiera de las versiones 1.4.x anteriores a la 1.4.3 permite que los atacantes remotos eludan el mecanismo de protección de la zona de pruebas y ejecuten comandos shell arbitrarios.

Para obtener más información, consulta la base de datos de vulnerabilidades nacional (NVD) o la de vulnerabilidades y exposiciones comunes (CVE).

Impacto en Compute Engine

Si ejecutas Elasticsearch en tus instancias de Compute Engine, debes actualizarlo a la versión 1.4.3 (o una posterior). Si ya lo has hecho, esta vulnerabilidad no te afectará.

Si no has actualizado a Elasticsearch 1.4.3 (o a una versión posterior), puedes realizar una actualización gradual.

Si has desplegado Elasticsearch con la opción de clic para desplegar en la Google Cloud console, puedes eliminar el despliegue para retirar las instancias que ejecutan Elasticsearch.

El equipo de Google Cloud está trabajando en una solución para implementar una versión actualizada de Elasticsearch. Sin embargo, la corrección aún no está disponible para la función de implementación con un clic en la Google Cloud console.

CVE-2015-0235 (Ghost) es una vulnerabilidad de la biblioteca glibc.

Los clientes de App Engine, Cloud Storage, BigQuery y Cloud SQL no tienen que hacer nada. Los servidores de Google se han actualizado y están protegidos frente a esta vulnerabilidad.

Es posible que los clientes de Compute Engine tengan que actualizar sus imágenes de sistema operativo.

Impacto en Compute Engine

Tu distribución de Linux puede ser vulnerable. Los clientes de Compute Engine tendrán que actualizar las imágenes del sistema operativo de sus instancias para eliminar esta vulnerabilidad si ejecutan Debian 7, los backports de Debian 7, Ubuntu 12.04 LTS, RHEL, CentOS o SLES 11 SP3.

Esta vulnerabilidad no afecta a Ubuntu 14.04 LTS, Ubuntu 14.10 ni SLES 12.

Te recomendamos que actualices tus distribuciones de Linux. Para actualizar las instancias que ejecutan Debian 7, los backports de Debian 7 o Ubuntu 12.04 LTS, ejecuta los siguientes comandos en tu instancia:

1. user@my-instance:~$ sudo apt-get update
2. user@my-instance:~$ sudo apt-get -y upgrade
3. user@my-instance:~$ sudo reboot

En las instancias de RHEL o CentOS, ejecuta:

1. user@my-instance:~$ sudo yum -y upgrade
2. user@my-instance:~$ sudo reboot

En las instancias de SLES 11 SP3, ejecuta:

1. user@my-instance:~$ sudo zypper --non-interactive up
2. user@my-instance:~$ sudo reboot

Como alternativa a ejecutar los comandos de actualización manual de arriba, ahora los usuarios pueden volver a crear sus instancias con las siguientes imágenes nuevas:

• debian-7-wheezy-v20150127
• backports-debian-7-wheezy-v20150127
• centos-6-v20150127
• centos-7-v20150127
• rhel-6-v20150127
• rhel-7-v20150127
• sles-11-sp3-v20150127
• ubuntu-1204-precise-v20150127

Impacto en las máquinas virtuales gestionadas por Google

Los usuarios de máquinas virtuales gestionadas que utilizan gcloud preview app deploy deben actualizar sus contenedores base de Docker con gcloud preview app setup-managed-vms y volver a desplegar cada una de sus aplicaciones en ejecución con gcloud preview app deploy. Los usuarios que realizan despliegues con appcfg no tienen que hacer nada, ya que la actualización se hará automáticamente.

CVE-2014-3566 (también conocido como POODLE) es una vulnerabilidad del diseño de la versión 3.0 de SSL. Esta vulnerabilidad permite que un atacante de red calcule el texto sin formato de las conexiones seguras. Para obtener más información, consulta la entrada de nuestro blog sobre la vulnerabilidad (en inglés).

Los clientes de App Engine, Cloud Storage, BigQuery y Cloud SQL no tienen que hacer nada. Los servidores de Google se han actualizado y están protegidos frente a esta vulnerabilidad. Los clientes de Compute Engine deben actualizar sus imágenes de sistema operativo.

Impacto en Compute Engine

Actualización (17/10/2014):

Puedes ser vulnerable si usas SSLv3. Los clientes de Compute Engine tendrán que actualizar las imágenes de sistema operativo de sus instancias para eliminar esta vulnerabilidad.

Te recomendamos que actualices tus distribuciones de Linux. Para actualizar las instancias que ejecutan Debian, ejecuta los siguientes comandos en tu instancia:

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade
user@my-instance:~$ sudo reboot

En las instancias de CentOS, ejecuta:

user@my-instance:~$ sudo yum -y upgrade
user@my-instance:~$ sudo reboot

Como alternativa a ejecutar los comandos de actualización manual de arriba, ahora los usuarios pueden volver a crear sus instancias con las siguientes imágenes nuevas:

• centos-6-v20141016
• centos-7-v20141016
• debian-7-wheezy-v20141017
• backports-debian-7-wheezy-v20141017

Actualizaremos el boletín de las imágenes de RHEL y SLES cuando las tengamos. Mientras tanto, los usuarios de RHEL pueden consultar este artículo de Red Hat directamente para obtener más información.

Boletín original:

Los clientes de Compute Engine tendrán que actualizar las imágenes del sistema operativo de sus instancias para eliminar esta vulnerabilidad. Actualizaremos este boletín de seguridad con más instrucciones cuando dispongamos de las nuevas imágenes del sistema operativo.

Hay un error en Bash (CVE-2014-6271) que permite la ejecución remota de código basada en análisis de cualquier variable de entorno que un atacante controle. El vector de explotación más probable es el uso de solicitudes HTTP maliciosas realizadas a secuencias de comandos CGI expuestas en un servidor web. Para obtener más información, consulta la descripción del error (en inglés).

Los errores de Bash se han mitigado en los Google Cloud productos, excepto en las imágenes del sistema operativo invitado de Compute Engine que tengan una fecha anterior al 26/09/2014. Consulta los pasos detallados a continuación para mitigar los errores de tus imágenes de Compute Engine.

Impacto en Compute Engine

Este error puede afectar a casi todos los sitios web que usen secuencias de comandos de CGI. Además, es probable que afecte a los sitios web que dependan de PHP, Perl, Python, SSI, Java, C++ y servlets similares que invoquen comandos de shell mediante llamadas como popen, system, shell_exec o APIs similares. También puede afectar a los sistemas que intentan permitir el acceso de inicio de sesión controlado a usuarios restringidos mediante mecanismos como la limitación de comandos SSH o el shell restringido de Bash.

Actualización (29-09-2014):

Como alternativa a la ejecución de los comandos de actualización manual que se indican a continuación, los usuarios ahora pueden volver a crear sus instancias con imágenes que mitiguen vulnerabilidades adicionales relacionadas con el error de seguridad de Bash, incluidas CVE-2014-7169, CVE-2014-6277, CVE-2014-6278, CVE-2014-7186 y CVE-2014-7187. Usa las siguientes imágenes nuevas para volver a crear tus instancias:

• centos-6-v20140926
• centos-7-v20140926
• debian-7-wheezy-v20140926
• backports-debian-7-wheezy-v20140926
• rhel-6-v20140926

Actualización (25-09-2014):

Ahora los usuarios pueden volver a crear sus instancias en lugar de realizar una actualización manual. Para hacerlo, usa las siguientes imágenes nuevas que contienen correcciones del error de seguridad:

• backports-debian-7-wheezy-v20140924
• debian-7-wheezy-v20140924
• rhel-6-v20140924
• centos-6-v20140924
• centos-7-v20140924

Para las imágenes de RHEL y SUSE, también puedes realizar actualizaciones manualmente si ejecutas los siguientes comandos en tus instancias:

# RHEL instances
user@my-instance:~$ sudo yum -y upgrade

# SUSE instances
user@my-instance:~$ sudo zypper --non-interactive up

Boletín original:

Te recomendamos que actualices tus distribuciones de Linux. Para actualizar las instancias que ejecutan Debian, ejecuta los siguientes comandos en tu instancia:

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade

En las instancias de CentOS, ejecuta:

user@my-instance:~$ sudo yum -y upgrade

Para obtener más información, revisa el anuncio de la distribución de Linux correspondiente:

• Parches originales: http://ftp.gnu.org/gnu/bash/ (consulta la última entrada en *-patches para saber cuál es la versión apropiada)
• Debian: [SECURITY] [DSA 3032-1] bash security update
• RHEL:
  • RHSA-2014:1293-01
  • RHSA-2014:1294-01
• CentOS 5: [CentOS-announce] CESA-2014:1293
• CentOS 6: [CentOS-announce] CESA-2014:1293
• CentOS 7: [CentOS-announce] CESA-2014:1293

Elasticsearch Logstash es vulnerable a la inyección de comandos de sistema operativo, que permite la modificación y la divulgación de datos sin autorización. Los atacantes pueden enviar eventos elaborados a cualquiera de las fuentes de datos de Logstash, lo que les permite ejecutar comandos con los permisos del proceso de Logstash.

Impacto en Compute Engine

Esta vulnerabilidad afecta a todas las instancias de Compute Engine que ejecutan versiones de Elasticsearch Logstash anteriores a la 1.4.2 con los complementos de salida zabbix o nagios_nsca habilitados. Para evitar un ataque, puedes realizar alguna de las siguientes acciones:

• Actualizar a Logstash 1.4.2.
• Aplicar el parche para las versiones 1.3.x.
• Inhabilita las salidas zabbix y nagios_nsca.

Obtén más información en el blog de Logstash (en inglés).

Elasticsearch también recomienda usar un cortafuegos para evitar el acceso remoto de direcciones IP que no sean de confianza.

Nos gustaría dedicar un momento a responder a las posibles dudas de los clientes sobre la seguridad de los contenedores Docker cuando se ejecutan en Google Cloud. Entre los clientes se incluyen los que usan nuestras extensiones de App Engine compatibles con los contenedores Docker, las máquinas virtuales optimizadas para contenedores o el programador de Kubernetes de código abierto.

Docker ha respondido al problema de manera fantástica. Puedes ver la respuesta en su blog (en inglés). Como se indica en esa publicación, el problema descubierto solo se aplica a Docker 0.11, una versión anterior de preproducción.

Mientras los usuarios piensan en la seguridad de los contenedores, nos gustaría señalar que en Google Cloudlas soluciones basadas en contenedores de aplicaciones Linux (en concreto, contenedores Docker) se ejecutan en máquinas virtuales completas (Compute Engine). Aunque apoyamos los esfuerzos que ha hecho la comunidad de Docker para proteger la pila de contenedores de aplicaciones Linux, somos conscientes de que la tecnología es nueva y que el área expuesta es grande. Creemos que, por ahora, los hipervisores completos (máquinas virtuales) ofrecen un área expuesta más compacta y defendible. Desde el principio, las máquinas virtuales se diseñaron para aislar las cargas de trabajo maliciosas y reducir la probabilidad de que se produzca un error de código y su impacto consiguiente.

Nuestros clientes pueden tener la tranquilidad de que hay un límite de hipervisor completo entre ellos y cualquier código de terceros que pueda ser malicioso. Si llegamos a un punto en el que consideramos que la pila de contenedores de aplicaciones Linux es lo suficientemente robusta como para admitir cargas de trabajo multicliente, se lo comunicaremos a la comunidad. Por ahora, el contenedor de aplicaciones Linux no reemplaza a la máquina virtual, si no que es una manera de sacarle más partido.

OpenSSL tiene un problema que provoca que los mensajes ChangeCipherSpec no se vinculen correctamente a la máquina de estados de handshake. Por este motivo, se insertan en el handshake de forma anticipada. Los atacantes que usen un handshake bien elaborado pueden forzar el uso de material con claves débiles en los clientes y los servidores SSL o TLS de OpenSSL. Un atacante puede aprovechar esta vulnerabilidad para llevar a cabo un ataque de intermediario, en el que puede descifrar y modificar el tráfico del cliente y el servidor atacados.

Este problema se identifica como CVE-2014-0224. El equipo de OpenSSL ha corregido el error y ha avisado a su comunidad de que debe actualizar OpenSSL.

Impacto en Compute Engine

Esta vulnerabilidad afecta a todas las instancias de Compute Engine que usan OpenSSL, incluidas Debian, CentOS, RHEL y SLES. Para actualizar tus instancias, puedes volver a crearlas con imágenes nuevas o actualizar manualmente los paquetes en las instancias.

Actualización (09/06/2014): Para actualizar las instancias que ejecutan SLES con imágenes nuevas, vuelve a crear tus instancias con las siguientes versiones de imagen (o con versiones posteriores):

• sles-11-sp3-v20140609

Publicación original:

Para actualizar las instancias de Debian y CentOS con imágenes nuevas, vuelve a crear tus instancias con cualquiera de las siguientes versiones de imagen (o con versiones posteriores):

• debian-7-wheezy-v20140605
• backports-debian-7-wheezy-v20140605
• centos-6-v20140605
• rhel-6-v20140605

Para actualizar OpenSSL en tus instancias de forma manual, ejecuta los siguientes comandos para actualizar los paquetes apropiados. En el caso de las instancias que ejecutan CentOS y RHEL, puedes actualizar OpenSSL si ejecutas estos comandos en la instancia:

user@my-instance:~$ sudo yum -y update
user@my-instance:~$ sudo reboot

Para actualizar OpenSSL en las instancias que ejecutan Debian, ejecuta los siguientes comandos en tu instancia:

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade
user@my-instance:~$ sudo reboot

En el caso de las instancias que ejecutan SLES, puedes comprobar si OpenSSL está actualizado ejecutando estos comandos en la instancia:

user@my-instance:~$ sudo zypper --non-interactive up
user@my-instance:~$ sudo reboot

Las implementaciones de (1) TLS y (2) DTLS en OpenSSL 1.0.1 antes de 1.0.1g no gestionan correctamente los paquetes de extensión Heartbeat, lo que permite a atacantes remotos obtener información sensible de la memoria de procesos mediante paquetes manipulados que activan una lectura excesiva del búfer, como se ha demostrado al leer claves privadas, relacionadas con d1_both.c y t1_lib.c, también conocido como el error Heartbleed.

Impacto en Compute Engine

Esta vulnerabilidad afecta a todas las instancias de Debian, RHEL y CentOS de Compute Engine que no tengan la versión más actualizada de OpenSSL. Puedes actualizar tus instancias recreándolas con imágenes nuevas o actualizando manualmente los paquetes en tus instancias.

Para actualizar tus instancias con imágenes nuevas, vuelve a crear las instancias con cualquiera de las siguientes versiones de imagen (o con versiones posteriores):

• debian-7-wheezy-v20140408
• backports-debian-7-wheezy-v20140408
• centos-6-v20140408
• rhel-6-v20140408

Para actualizar OpenSSL en tus instancias de forma manual, ejecuta los siguientes comandos para actualizar los paquetes apropiados. Si quieres comprobar que OpenSSL está actualizado en las instancias que ejecutan CentOS y RHEL, ejecuta estos comandos en la instancia:

user@my-instance:~$ sudo yum update
user@my-instance:~$ sudo reboot

Para actualizar OpenSSL en las instancias que ejecutan Debian, ejecuta los siguientes comandos en tu instancia:

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get upgrade
user@my-instance:~$ sudo reboot

Las instancias que ejecutan SUSE Linux no se ven afectadas.

Actualización 14/04/2014: Debido a recientes investigaciones sobre la extracción de claves aprovechando el error Heartbleed, se recomienda a los clientes de Compute Engine que creen claves nuevas para los servicios SSL afectados.

Nota: Esta vulnerabilidad solo se aplica a los kernels, que ya no están disponibles y se retiraron a partir de la versión 1 de la API.

Vulnerabilidad de cadena de formato en la función b43_request_firmware de drivers/net/wireless/b43/main.c en el controlador inalámbrico Broadcom B43 del kernel de Linux hasta la versión 3.9.4 permite que los usuarios locales obtengan privilegios aprovechando el acceso de superusuario e incluyendo especificadores de cadena de formato en un parámetro fwpostfix modprobe, lo que provoca una construcción incorrecta de un mensaje de error.

Impacto en Compute Engine

Esta vulnerabilidad afecta a todos los kernels de Compute Engine anteriores a gcg-3.3.8-201305291443. En respuesta, Compute Engine ha retirado todos los kernels anteriores y recomienda que los usuarios actualicen sus instancias e imágenes para usar el kernel gce-v20130603 de Compute Engine. gce-v20130603 contiene el kernel gcg-3.3.8-201305291443, que tiene el parche para esta vulnerabilidad.

Para saber qué versión de kernel usa tu instancia, sigue estos pasos:

1. Conectarse a la instancia mediante SSH
2. Ejecutar uname -r

Nota: Esta vulnerabilidad solo se aplica a los kernels, que ya no están disponibles y se retiraron desde la versión 1 de la API.

Vulnerabilidad de cadena de formato en la función register_disk de block/genhd.c en el kernel de Linux hasta la versión 3.9.4 permite que los usuarios locales obtengan privilegios aprovechando el acceso de root y escribiendo especificadores de cadena de formato en /sys/module/md_mod/parameters/new_array para crear un nombre de dispositivo /dev/md manipulado.

Impacto en Compute Engine

Esta vulnerabilidad afecta a todos los kernels de Compute Engine anteriores a gcg-3.3.8-201305291443. En respuesta, Compute Engine ha retirado todos los kernels anteriores y recomienda a los usuarios que actualicen sus instancias e imágenes para usar el kernel de Compute Engine gce-v20130603. gce-v20130603 contiene el kernel gcg-3.3.8-201305291443, que tiene el parche para esta vulnerabilidad.

Para saber qué versión de kernel usa tu instancia, sigue estos pasos:

1. Conectarse a la instancia mediante SSH
2. Ejecutar uname -r

Nota: Esta vulnerabilidad solo se aplica a los kernels, que ya no están disponibles y se retiraron a partir de la versión 1 de la API.

La función perf_swevent_init de kernel/events/core.c en el kernel de Linux anterior a la versión 3.8.9 utiliza un tipo de datos integer incorrecto, lo que permite que los usuarios locales obtengan privilegios mediante una llamada de sistema perf_event_open elaborada.

Impacto en Compute Engine

Esta vulnerabilidad afecta a todos los kernels de Compute Engine anteriores a gcg-3.3.8-201305211623. En respuesta, Compute Engine ha retirado todos los kernels anteriores y recomienda que los usuarios actualicen sus instancias e imágenes para usar el kernel gce-v20130521 de Compute Engine. gce-v20130521 contiene el kernel gcg-3.3.8-201305211623, que tiene el parche para esta vulnerabilidad.

Para saber qué versión de kernel usa tu instancia, sigue estos pasos:

1. Conectarse a la instancia mediante SSH
2. Ejecutar uname -r

Nota: Esta vulnerabilidad solo se aplica a los kernels, que ya no están disponibles y se retiraron a partir de la versión 1 de la API.

La condición de carrera de la función ptrace en el kernel de Linux anterior a la versión 3.7.5 permite que los usuarios locales obtengan privilegios mediante una llamada de sistema PTRACE_SETREGS ptrace en una aplicación elaborada.

Impacto en Compute Engine

Esta vulnerabilidad afecta a los kernels 2.6.x-gcg-<date> de Compute Engine. En respuesta, Compute Engine ha retirado los kernels 2.6.x y recomienda que los usuarios actualicen sus instancias e imágenes para usar el kernel gce-v20130225 de Compute Engine. gce-v20130225 contiene el kernel 3.3.8-gcg-201302081521, que tiene el parche para esta vulnerabilidad.

Para saber qué versión de kernel usa tu instancia, sigue estos pasos:

1. Conectarse a la instancia mediante SSH
2. Ejecutar uname -r