Boletines de seguridad

Periódicamente, es posible que publiquemos boletines de seguridad relacionados con Compute Engine. Todos los boletines de seguridad de Compute Engine se describen aquí.

Usa este feed XML para suscribirte a los boletines de seguridad de Compute Engine. Suscribirse

GCP-2025-058

Publicado: 2025-10-20

Descripción

Descripción Gravedad Notas

Se descubrió una falla en la instrucción RDSEED en los procesadores AMD Zen 5 (Turin). Esta instrucción se usa para generar números aleatorios criptográficos. En ciertas condiciones de carga del sistema, las versiones de 16 y 32 bits de RDSEED pueden fallar de forma silenciosa, lo que podría comprometer las aplicaciones que dependen de la generación de números aleatorios. Los clientes que usan la versión de 64 bits de RDSEED no se ven afectados.

¿Qué debo hacer?

AMD está investigando la vulnerabilidad.

Es importante tener en cuenta que el kernel de Linux de 64 bits usa la versión segura de 64 bits de la instrucción RDSEED, que alimenta los números aleatorios obtenidos de /dev/[u]random. Esta vulnerabilidad no afecta a esos números aleatorios.

Si tienes código de la aplicación que sintetiza números aleatorios por sí mismo con la instrucción RDSEED, ten en cuenta que las versiones de 16 y 32 bits de la instrucción no son seguras. La versión de 64 bits de la instrucción es segura.

¿Qué vulnerabilidades se abordan?

Esta vulnerabilidad permite que un atacante provoque una falla silenciosa en RDSEED, lo que podría comprometer la generación de números aleatorios en las aplicaciones.

Alta

GCP-2025-044

Published: 2025-08-12

Descripción

Descripción Gravedad Notas

Intel notificó a Google sobre dos nuevas vulnerabilidades de seguridad.

CVE-2025-21090: Esta vulnerabilidad afecta a los siguientes procesadores Intel:

  • Sapphire Rapids: Familias de VMs C3, Z3, H3, A3 y v5p
  • Emerald Rapids: Familias de VMs N4, C4, M4, A3 Ultra y A4
  • Granite Rapids: familia de VMs N4 y C4

CVE-2025-22840: Esta vulnerabilidad afecta al siguiente procesador Intel:

  • Granite Rapids: familia de VMs N4 y C4

¿Qué debo hacer?

No se requiere que el cliente realice ninguna acción para ninguna de las vulnerabilidades. Google actualizará de forma proactiva tus sistemas durante los períodos de mantenimiento estándar y planificados. Por el momento, no se encontró ni se informó a Google evidencia de explotación.

¿Qué vulnerabilidades se abordan?

La vulnerabilidad, CVE-2025-21090, permite que un actor sin privilegios que utiliza la instrucción de CPU AMX, junto con la instrucción de CPU AVX, deje inoperativa la máquina anfitrión.

La vulnerabilidad, CVE-2025-22840, permite que un actor sin privilegios que utiliza la instrucción de CPU prefetchit cargue contenido de la memoria al que, de otro modo, no tendría acceso, lo que podría provocar la ejecución remota de código.

 Medio

GCP-2025-042

Fecha de publicación: 11/08/2025

Descripción

Descripción Gravedad Notas

Investigadores descubrieron una vulnerabilidad de seguridad en CPUs específicas de Intel, incluidas las basadas en las microarquitecturas Skylake, Broadwell y Haswell. Esta vulnerabilidad permite que un atacante lea potencialmente datos sensibles directamente desde la caché de L1 de la CPU a la que no está autorizado a acceder.

Esta vulnerabilidad se divulgó inicialmente en CVE-2018-3646 en 2018. Cuando se descubrió esta vulnerabilidad, Google implementó de inmediato medidas de mitigación que abordaron los riesgos conocidos. En ese momento, se publicó la comunicación sobre la vulnerabilidad y las correcciones iniciales. Desde entonces, hemos estado investigando el riesgo residual y trabajando con la comunidad de Linux upstream para mitigar este riesgo.

Hace poco, trabajamos con investigadores de seguridad de instituciones académicas para evaluar el estado actual de las mitigaciones de seguridad de la CPU y las posibles técnicas de ataque que no se tuvieron en cuenta en 2018.

Google aplicó correcciones a los activos afectados, incluido Google Cloud, para mitigar el problema.

¿Qué debo hacer?

No se requiere que el cliente realice ninguna acción. Ya se aplicaron mitigaciones a la flota de servidores de Google.

¿Qué vulnerabilidades se abordan?

Para obtener más información, consulta el aviso de Intel INTEL-SA-00161 y CVE-2018-3646.

 Alta CVE-2018-3646

GCP-2025-031

Fecha de publicación: 10/06/2025

Descripción

Descripción Gravedad Notas

El Trusted Computing Group (TCG) informó sobre una vulnerabilidad de software del Módulo de plataforma de confianza (TPM), que afecta a las VM protegidas que usan el TPM virtual (vTPM). Esta vulnerabilidad permite que un atacante local autenticado lea datos sensibles del vTPM o afecte su disponibilidad.

Por lo general, el acceso al vTPM es con privilegios. Sin embargo, algunos parámetros de configuración pueden permitir un acceso más amplio al vTPM.

¿Qué debo hacer?

No se requiere que el cliente realice ninguna acción. Google actualizará de forma proactiva tus sistemas durante los períodos de mantenimiento estándar y planificados. Sin embargo, puedes limitar el acceso al vTPM a los usuarios administrativos (raíz). Esta acción ayuda a reducir el riesgo para tus VMs protegidas.

¿Qué vulnerabilidades se abordan?

La vulnerabilidad CVE-2025-2884 permite que un atacante local con acceso a la interfaz de vTPM envíe comandos maliciosos. Estos comandos aprovechan una discrepancia que lee la memoria del vTPM fuera de los límites (OOB). Esta acción puede exponer datos sensibles.

Alta CVE-2025-2884

GCP-2025-025

Fecha de publicación: 13-05-2025

Descripción

Descripción Gravedad Notas

Intel notificó a Google sobre una nueva vulnerabilidad de canal lateral que afecta a los siguientes procesadores de Intel: Cascade Lake, Ice Lake XeonSP, Ice Lake XeonD, Sapphire Rapids y Emerald Rapids.

Google aplicó correcciones a los recursos afectados, incluido Google Cloud, para garantizar la protección de los clientes. Por el momento, no se encontró evidencia de explotación ni se informó a Google sobre ella.

¿Qué debo hacer?

No se requiere que el cliente realice ninguna acción. Ya se aplicaron correcciones a la flota de servidores de Google para proteger a los clientes.

¿Qué vulnerabilidades se abordan?

CVE-2024-45332. Para obtener más información, consulta el aviso de Intel INTEL-SA-01247.

Estamos aquí para ayudarte

Si tienes alguna pregunta o necesitas asistencia, comunícate con Cloud Customer Care y menciona el número de problema 417536835.

 Alta CVE-2024-45332

GCP-2025-024

Publicada: 12-05-2025

Actualizada: 2025-05-13

Descripción

Descripción Gravedad Notas

Actualización del 13/5/2025: Si tienes alguna pregunta o necesitas ayuda, comunícate con la Atención al cliente de Cloud y menciona el número de problema 417458390.

Intel notificó a Google sobre una nueva vulnerabilidad de ejecución especulativa que afecta a los procesadores Intel Cascade Lake y a los procesadores Intel Ice Lake.

Google aplicó correcciones a los recursos afectados, incluido Google Cloud, para garantizar la protección de los clientes. Por el momento, no se encontró ni se informó a Google evidencia de explotación.

¿Qué debo hacer?

No se requiere que el cliente realice ninguna acción. Ya se aplicaron mitigaciones a la flota de servidores de Google.

Se implementarán más mitigaciones de los fabricantes de equipos originales (OEM) de Intel y otros socios de sistemas operativos tan pronto como estén disponibles para mitigar la vulnerabilidad de selección de destino indirecta (ITS) en el mismo modo.

Después de que se apliquen las mitigaciones del sistema operativo, es posible que los clientes con VMs de 3ª generación o posteriores que se ejecutan durante mucho tiempo experimenten cierta degradación no deseada del rendimiento.

¿Qué vulnerabilidades se abordan?

CVE-2024-28956. Para obtener más información, consulta el aviso de seguridad INTEL-SA-01153 de Intel.

 Alta CVE-2024-28956

GCP-2024-040

Fecha de publicación: 2024-07-01
Última actualización: 2024-08-20
Descripción Gravedad Notas
Actualizada: 2024-08-20 Crítica CVE-2024-6387

2024-08-20: Se incluyen parches para las TPU. Aplica las actualizaciones de las distribuciones de Linux a medida que estén disponibles. Consulta la orientación de las distribuciones de Linux. Si usas TPUs, actualiza a una de las siguientes versiones con parches:

  • tpu-ubuntu2204-base
  • v2-alpha-tpuv5
  • v2-alpha-tpuv5-lite

Se descubrió una vulnerabilidad (CVE-2024-6387) en OpenSSH. La explotación correcta de esta vulnerabilidad permite que un atacante remoto no autenticado ejecute código arbitrario como raíz en la máquina de destino.

Se recomienda analizar todas las VMs de Compute Engine que usan una distribución de Linux basada en glibc y que tienen OpenSSH expuesto para detectar las versiones vulnerables.

¿Qué debo hacer?

  1. Aplica las actualizaciones de las distribuciones de Linux a medida que estén disponibles. Consulta la orientación de las distribuciones de Linux. En el caso de Container-Optimized OS de Google, actualiza a una de las siguientes versiones con parches:
    • cos-113-18244-85-49
    • cos-109-17800-218-69
    • cos-105-17412-370-67
    • cos-101-17162-463-55
    Si usas Container-Optimized OS a través de un servicio administrado por Google (p.ej., GKE), consulta el boletín de seguridad de ese servicio para conocer la disponibilidad de parches.
  2. Si no es posible actualizar, considera desactivar OpenSSH hasta que se pueda aplicar el parche. La red predeterminada se propaga previamente con una regla de firewall default-allow-ssh para permitir el acceso SSH desde Internet público. Para quitar este acceso, los clientes pueden hacer lo siguiente:
    1. De manera opcional, crea reglas para permitir el acceso SSH que necesites desde redes de confianza a los nodos de GKE o a otras VMs de Compute Engine en el proyecto. Luego,
    2. Inhabilita la regla de firewall predeterminada con el siguiente comando: 
      gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT
    Si creaste otras reglas de firewall que puedan permitir SSH a través de TCP en el puerto 22, inhabilítalas o limita las IPs de origen a redes de confianza.

    Verifica que ya no puedas acceder a tus VMs a través de SSH desde Internet. Esta configuración del firewall mitiga la vulnerabilidad.
  3. Si OpenSSH debe permanecer activado, también puedes ejecutar una actualización de configuración que elimine la condición de carrera para el exploit. Esta es una mitigación en el tiempo de ejecución. Para aplicar los cambios en la configuración de sshd, este script reiniciará el servicio de sshd. 
    #!/bin/bash
set -e

SSHD_CONFIG_FILE=/etc/ssh/sshd_config
# -c: count the matches
# -q: don't print to console
# -i: sshd_config keywords are case insensitive.
if [[ "$(grep -ci '^LoginGraceTime' $SSHD_CONFIG_FILE)" -eq 0 ]]; then
    echo "LoginGraceTime 0" >> "$SSHD_CONFIG_FILE"
    echo "Set the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
else
    sed -i 's/^LoginGraceTime.*$/LoginGraceTime 0/' /etc/ssh/sshd_config
    echo "Changed the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
fi
# Restart the sshd service to apply the new config.
systemctl restart sshd
  4. Por último, supervisa cualquier actividad de red inusual que involucre servidores SSH.
Crítico CVE-2024-6387

GCP-2024-021

Publicado: 2024-04-03
Descripción Gravedad Notas

Compute Engine no se ve afectado por CVE-2024-3094, que afecta a las versiones 5.6.0 y 5.6.1 del paquete xz-utils en la biblioteca liblzma y podría comprometer la utilidad OpenSSH.

¿Qué debo hacer?

Las imágenes públicas compatibles y ofrecidas por Compute Engine no se ven afectadas por esta CVE. Si usas imágenes públicas de Compute Engine para tus VMs, no es necesario que realices ninguna acción.

Podrías estar en riesgo si creaste una imagen personalizada que usaba las versiones 5.6.0 y 5.6.1 del paquete xz-utils, como los siguientes sistemas operativos:

Para mitigar este riesgo, detén las VMs que usen estos sistemas operativos o cualquier otro que pudiera haber usado sistemas operativos afectados. Si tienes VMs compiladas a partir de imágenes personalizadas de otros sistemas operativos, consulta con tu proveedor de SO para ver si tus VMs se ven afectadas.

¿Qué vulnerabilidades se abordan?

CVE-2024-3094

 Medio CVE-2024-3094

GCP-2024-001

Publicado: 2024-01-09
Descripción Gravedad Notas

Se descubrieron varias vulnerabilidades en el firmware de UEFI de TianoCore EDK II. Este firmware se usa en las VMs de Google Compute Engine. Si se explotan, las vulnerabilidades podrían permitir omitir el inicio seguro, lo que proporcionaría mediciones falsas en el proceso de inicio seguro, incluso cuando se usan en VMs protegidas.

¿Qué debo hacer?

No es necesario que realices ninguna acción. Google aplicó un parche a esta vulnerabilidad en Compute Engine, y todas las VMs están protegidas contra ella.

¿Qué vulnerabilidades trata este parche?

El parche mitigó las siguientes vulnerabilidades:

  • CVE-2022-36763
  • CVE-2022-36764
  • CVE-2022-36765
 Medio

GCP-2023-44

Publicado: 15-11-2023
Descripción Gravedad Notas

El 14 de noviembre, AMD divulgó varias vulnerabilidades que afectan a diversas CPU de servidor de AMD. Específicamente, las vulnerabilidades afectan a las CPU de servidor EPYC que utilizan la generación 2 del núcleo Zen "Rome", la generación 3 "Milan" y la generación 4 "Genoa".

Google aplicó correcciones a los recursos afectados, incluido Google Cloud, para garantizar la protección de los clientes. Por el momento, no se encontró ni se informó a Google evidencia de explotación.

¿Qué debo hacer?

No se requiere que el cliente realice ninguna acción.

Ya se aplicaron correcciones a la flota de servidores de Google para Google Cloud, incluido Google Compute Engine.

¿Qué vulnerabilidades trata este parche?

El parche mitigó las siguientes vulnerabilidades:

  • CVE-2022-23820
  • CVE-2021-46774
  • CVE-2023-20533
  • CVE-2023-20519
  • CVE-2023-20592
  • CVE-2023-20566
  • CVE-2023-20521
  • CVE-2021-46766
  • CVE-2022-23830
  • CVE-2023-20526
  • CVE-2021-26345

Para obtener más información, consulta el aviso de seguridad de AMD AMD-SN-3005: "Aviso de seguridad de la instrucción INVD de AMD", también publicado como CacheWarp, y AMD-SN-3002: "Vulnerabilidades del servidor de AMD – noviembre de 2023".

 Medio

GCP-2023-004

Fecha de publicación: 26-04-2023
Descripción Gravedad Notas

Se descubrieron dos vulnerabilidades (CVE-2023-1017 y CVE-2023-1018) en el Módulo de plataforma segura (TPM) 2.0.

Las vulnerabilidades podrían haber permitido que un atacante sofisticado explotara una lectura o escritura fuera de límites de 2 bytes en ciertas VMs de Compute Engine.

¿Qué debo hacer?

Se aplicó automáticamente un parche a todas las VMs vulnerables. No se requiere que el cliente realice ninguna acción.

¿Qué vulnerabilidades trata este parche?

El parche mitigó las siguientes vulnerabilidades:

CVE-2023-1017

Con CVE-2023-2017, se podría activar un desbordamiento de búfer en la rutina de desencriptación de parámetros de vTPM. Un atacante local que se ejecute en una VM vulnerable podría usar esto para activar una denegación de servicio o, posiblemente, ejecutar código arbitrario en el contexto del vTPM.

CVE-2023-1018

Con CVE-2023-2018, existía una lectura fuera de los límites en la rutina de desencriptación de parámetros del vTPM. Un atacante local que se ejecute en una VM vulnerable podría usar esto para filtrar de forma indirecta datos limitados del contexto del vTPM.

 Medio

GCP-2021-026

Publicado: 2021-12-14
Descripción Gravedad Notas

La utilidad Apache Log4j es un componente de uso general para registrar solicitudes. El 9 de diciembre de 2021, se informó una vulnerabilidad que podría permitir que un sistema que ejecute Apache Log4j versión 2.14.1 o una versión anterior se vea comprometido y permitir que un atacante ejecute código arbitrario.

El 10 de diciembre de 2021, el NIST publicó una alerta crítica de vulnerabilidades y exposiciones comunes, CVE-2021-44228. En particular, las funciones de la interfaz de directorio y nomenclatura de Java (JNDI) que se usan en la configuración, los mensajes de registro y los parámetros no protegen contra LDAP controlado por un atacante ni otros extremos relacionados con la JNDI. Un atacante que puede controlar los mensajes de registro o los parámetros de mensajes de registro puede ejecutar código arbitrario cargado desde servidores remotos cuando la sustitución de búsqueda de mensajes está habilitada.

¿Qué debo hacer?

  • M4CE v4.x: El equipo de Migrate for Compute Engine (M4CE) proporcionó una nueva versión el 13 de diciembre de 2021. Los administradores de proyectos deben reemplazar la implementación existente por la versión nueva, que incluye el administrador de M4CE en la nube y el backend de M4CE "local". Consulta la guía de procedimientos para obtener detalles sobre la implementación de la versión 4.11.
  • M2VMs v5.x: Se corrigieron las M2VMs v5.0 y versiones posteriores, por lo que no es necesario realizar ninguna acción.
 Crítico

GCP-2021-001

Publicada: 2021-01-28
Descripción Gravedad Notas

Recientemente, se descubrió una vulnerabilidad en la utilidad sudo de Linux, descrita en CVE-2021-3156, que podría permitir a un atacante con acceso de shell local sin privilegios en un sistema con sudo instalado escalar sus privilegios a la raíz del sistema.

Impacto en Compute Engine

Esta vulnerabilidad no afecta la infraestructura subyacente que ejecuta Compute Engine. Las VMs de Compute Engine que ejecutan Linux deben considerar la posibilidad de actualizar su sistema operativo invitado. Por ejemplo, si usas Container-Optimized OS, te recomendamos que actualices a una de las siguientes imágenes: cos-85-13310-1209-7, cos-81-12871-1245-6, cos-dev-89-16091-0-0 o una posterior.

 Ninguno

Fecha de publicación: 27-08-2020

Descripción Gravedad Notas

Eclypsium divulgó la siguiente CVE: CVE-2020-10713.

Vulnerabilidades

En respuesta al informe inicial de vulnerabilidad, se aplicó un análisis adicional al código de GRUB2 y Canonical descubrió las siguientes vulnerabilidades adicionales:

Estas vulnerabilidades, denominadas en conjunto BootHole, permiten que los atacantes con privilegios de administrador carguen archivos binarios no firmados, lo que inhabilita la aplicación del inicio seguro.

Impacto en Compute Engine

La infraestructura del host que ejecuta Compute Engine está protegida contra ataques conocidos.

Se recomienda a los clientes de Compute Engine que usan el inicio seguro que actualicen los sistemas operativos invitados en sus instancias para evitar la posibilidad de explotación dentro de sus entornos invitados. Para obtener más información, consulta la mitigación recomendada por el proveedor del SO invitado.

Imágenes con parches y recursos de proveedores

Proporcionamos vínculos a la información sobre los parches de cada proveedor de sistemas operativos a medida que estén disponibles. Las versiones anteriores de estas imágenes públicas no contienen estos parches y no disminuyen la posibilidad de ataques:

  • Proyecto centos-cloud: Información de parches de CentOS
    • centos-7-v20200811
    • centos-8-v20200811
  • Proyecto cos-cloud:
    • cos-77-12371-1072-0
    • cos-81-12871-1185-0
    • cos-rc-85-13310-1028-0
    • cos-dev-86-15103-0-0

    Si usas COS a través de un servicio administrado (p.ej., GKE), sigue las instrucciones de ese servicio para aplicar actualizaciones.

  • Proyecto debian-cloud: DSA-4753
    • debian-10-buster-v20200805
  • Proyecto coreos-cloud:
    • coreos-alpha-2163-2-1-v20190617
    • coreos-beta-2135-3-1-v20190617
    • coreos-stable-2079-6-0-v20190617
  • Proyecto rhel-cloud/rhel-sap-cloud: Red Hat Vulnerability Response
    • rhel-7-v20200811
    • rhel-7-4-sap-v20200811
    • rhel-7-6-sap-v20200811
    • rhel-7-7-sap-v20200811
    • rhel-8-v20200811
  • Proyecto suse-cloud/suse-sap-cloud:: Base de conocimientos de SUSE
    • sles-12-sp5-v20200813
    • sles-15-sp2-v20200804
    • sles-12-sp4-sap-v20200804
    • sles-12-sp5-sap-v20200813
    • sles-15-sap-v20200803
    • sles-15-sp1-sap-v20200803
    • Sles-15-sp2-sap-v20200804
  • Proyecto ubuntu-os-cloud: Wiki de Ubuntu
    • ubuntu-1604-xenial-v20200729
    • ubuntu-1804-bionic-v20200729
    • ubuntu-2004-focal-v20200729
 Alta

Fecha de publicación: 19-06-2020

Descripción Gravedad Notas

Las VM que tienen el Acceso al SO habilitado pueden ser susceptibles a vulnerabilidades de elevación de privilegios. Estas vulnerabilidades les ofrecen a los usuarios a los que se les otorgan permisos de Acceso al SO (pero no acceso de administrador) la capacidad de escalar el acceso raíz en la VM.

Vulnerabilidades

Se identificaron las siguientes tres vulnerabilidades en las imágenes de Compute Engine, que se deben a membresías de grupos predeterminadas demasiado permisivas:

  • CVE-2020-8903: Si usas el usuario adm, puedes aprovechar el XID de DHCP para obtener privilegios administrativos.
  • CVE-2020-8907: Si usas el usuario docker, puedes activar y modificar el sistema de archivos del SO host para obtener privilegios de administrador.
  • CVE-2020-8933: Con el usuario lxd, puedes adjuntar sistemas de archivos del SO host y obtener privilegios administrativos.

Imágenes con parches y correcciones

Todas las imágenes públicas de Compute Engine creadas después del v20200506 se parchean.

Si necesitas solucionar este problema sin actualizar a una versión posterior de tu imagen, puedes editar el archivo /etc/security/group.conf y quitar los usuarios adm, lxd y docker de la entrada predeterminada de Acceso al SO.

Alta

Fecha de publicación: 21-01-2020

Descripción Gravedad Notas

Microsoft divulgó la siguiente vulnerabilidad:

  • CVE-2020-0601: Esta vulnerabilidad también se conoce como la vulnerabilidad de falsificación de identidad de la CryptoAPI de Windows y se podría aprovechar para que archivos ejecutables maliciosos parezcan confiables o para permitir que el atacante realice ataques de intermediario y desencripte información confidencial sobre las conexiones de usuarios al software afectado.

Impacto en Compute Engine

Esta vulnerabilidad no afecta la infraestructura subyacente que ejecuta Compute Engine. Con esto, no se requieren más acciones, a menos que ejecutes Windows Server en tu máquina virtual de Compute Engine. Los clientes que usan VMs de Compute Engine que ejecutan Windows Server deben asegurarse de que sus instancias tengan el parche más reciente de Windows.

Imágenes con parches y recursos de proveedores

Las versiones anteriores de las imágenes públicas de Windows no contienen los siguientes parches y no mitigan posibles ataques:

  • Proyectos windows-cloud y windows-sql-cloud
    • Todas las imágenes públicas de Windows Server y SQL Server a partir de v20200114
 Medio

Fecha de publicación: 12-11-2019

Descripción Gravedad Notas

Intel divulgó las siguientes CVE:

  • CVE-2019-11135: Esta CVE también se conoce como TSX Async Abort (TAA). TAA proporciona otra forma de robo de datos a través de las mismas estructuras de datos de microarquitectura que aprovechó el Muestreo de datos de microarquitectura (MDS).
  • CVE-2018-12207: Esta CVE también se conoce como “Error de verificación de máquina en el cambio de tamaño de página”. Se trata de una vulnerabilidad de denegación del servicio (DoS) que afecta a los hosts de máquinas virtuales, ya que permite que un invitado malicioso haga fallar un host sin protección.

Impacto en Compute Engine

CVE-2019-11135

La infraestructura del host que ejecuta Compute Engine aísla las cargas de trabajo del cliente. A menos que ejecutes código no confiable en VMs de N2, C2 o M2, no es necesario que realices ninguna acción.

Los clientes de N2, C2 o M2 que ejecuten código no confiable en sus servicios multiusuarios alojados en máquinas virtuales de Compute Engine deben detener y, luego, iniciar sus VMs para asegurarse de tener las mitigaciones de seguridad más recientes. Un reinicio, sin detener ni iniciar, no es suficiente. En esta guía, se supone que ya aplicaste las actualizaciones publicadas anteriormente que abarcan la vulnerabilidad de MDS. De lo contrario, sigue las instrucciones para aplicar las actualizaciones correspondientes.

Los clientes que ejecutan tipos de máquinas N1 no deben realizar ninguna acción, ya que esta vulnerabilidad no representa una nueva exposición más allá de las vulnerabilidades de MDS divulgadas anteriormente.

CVE-2018-12207

La infraestructura del host que ejecuta Compute Engine está protegida contra esta vulnerabilidad. No es necesario que realices ninguna otra acción.

 Medio

Fecha de publicación: 18-06-2019

Última actualización: 25-06-2019 H 6:30 a.m. PST

Descripción Gravedad Notas

Netflix divulgó recientemente tres vulnerabilidades de TCP de los kernel de Linux:

Estas CVE se conocen en conjunto como NFLX-2019-001.

Impacto en Compute Engine

La infraestructura que aloja Google Compute Engine está protegida contra esta vulnerabilidad.

Las VM de Compute Engine que ejecutan sistemas operativos de Linux sin parches y que envían o reciben tráfico de red no confiable, son vulnerables a este ataque DoS. Evalúa actualizar estas instancias de VM apenas estén disponibles los parches para sus sistemas operativos.

Los balanceadores de cargas que cierran las conexiones TCP cuentan con parches frente a esta vulnerabilidad. Las instancias de Compute Engine que reciben tráfico no confiable únicamente a través de estos balanceadores de cargas no son vulnerables. Esto incluye balanceadores de cargas de HTTP y de proxies SSL y TCP.

Los balanceadores de cargas de red y los internos no cierran las conexiones TCP. Las instancias de Compute Engine sin parches que reciben tráfico no confiable a través de estos balanceadores de cargas son vulnerables.

Imágenes con parches y recursos de proveedores

Proporcionamos vínculos a la información sobre los parches de cada proveedor de sistemas operativos a medida que estén disponibles, incluido el estado de cada CVE. Las versiones anteriores de estas imágenes públicas no contienen estos parches y no disminuyen la posibilidad de ataques:

  • Proyecto debian-cloud:
    • debian-9-stretch-v20190618
  • Proyecto centos-cloud:
    • centos-6-v20190619
    • centos-7-v20190619
  • Proyecto cos-cloud:
    • cos-dev-77-12293-0-0
    • cos-beta-76-12239-21-0
    • cos-stable-75-12105-77-0
    • cos-73-11647-217-0
    • cos-69-10895-277-0
  • Proyecto coreos-cloud:
    • coreos-alpha-2163-2-1-v20190617
    • coreos-beta-2135-3-1-v20190617
    • coreos-stable-2079-6-0-v20190617
  • Proyecto rhel-cloud:
    • rhel-6-v20190618
    • rhel-7-v20190618
    • rhel-8-v20190618
  • Proyecto rhel-sap-cloud:
    • rhel-7-4-sap-v20190618
    • rhel-7-6-sap-v20190618
  • Proyecto suse-cloud:
    • sles-12-sp4-v20190617
    • sles-15-v20190617
  • Proyecto suse-sap-cloud:
    • sles-12-sp1-sap-v20190617
    • sles-12-sp2-sap-v20190617
    • sles-12-sp3-sap-v20190617
    • sles-12-sp4-sap-v20190617
    • sles-15-sap-v20190617
  • Proyecto ubuntu-cloud:
    • ubuntu-1604-xenial-v20190617
    • ubuntu-1804-bionic-v20190617
    • ubuntu-1810-cosmic-v20190618
    • ubuntu-1904-disco-v20190619
    • ubuntu-minimal-1604-xenial-v20190618
    • ubuntu-minimal-1804-bionic-v20190617
    • ubuntu-minimal-1810-cosmic-v20190618
    • ubuntu-minimal-1904-disco-v20190618
 Medio

Fecha de publicación: 14-05-2019

Última actualización: 20-05-2019 H 17:00 PST

Descripción Gravedad Notas

Intel divulgó las siguientes CVE:

Estas CVE se conocen en conjunto como Muestreo de datos de microarquitectura (MDS). Estas vulnerabilidades pueden hacer que los datos se expongan cuando la ejecución especulativa interactúa con el estado de la microarquitectura.

Impacto en Compute Engine

La infraestructura del host que ejecuta Compute Engine aísla las cargas de trabajo del cliente entre sí. Con esto, no se requieren más acciones, a menos que ejecutes códigos no confiables en tus VMs.

Los clientes que ejecuten códigos no confiables en sus servicios de varias instancias dentro de las máquinas virtuales de Compute Engine deben consultar la mitigación recomendada por el proveedor de su SO invitado, que puede consistir en el uso de las características de mitigación de microcódigo de Intel. Hemos implementado acceso de tránsito para invitados en la funcionalidad nueva de vaciado. A continuación, se muestra un resumen sobre los pasos de mitigación disponibles para imágenes comunes de invitado.

Imágenes con parches y recursos de proveedores

Proporcionamos vínculos a la información sobre los parches de cada proveedor de sistemas operativos a medida que estén disponibles, incluido el estado de cada CVE. Usa estas imágenes para recrear las instancias de VM. Las versiones anteriores de estas imágenes públicas no contienen estos parches y no disminuyen la posibilidad de ataques:

Container-Optimized OS

Te recomendamos hacer lo siguiente si tu SO invitado es Container Optimized OS (COS) y ejecutas cargas de trabajo de varias instancias no confiables en tu máquina virtual:

  1. Ingresa nosmt en la línea de comandos del kernel para inhabilitar el Hyper-Threading.

    Para ingresar la opción de nosmt en las VM con COS y luego reiniciar el sistema, modifica el grub.cfg de la siguiente manera:

    # Run as root:
dir="$(mktemp -d)"
mount /dev/sda12 "${dir}"
sed -i -e "s|cros_efi|cros_efi nosmt|g" "${dir}/efi/boot/grub.cfg"
umount "${dir}"
rmdir "${dir}"

reboot

    Para mayor comodidad, puedes ejecutar la secuencia de comandos que se muestra abajo y obtendrás el mismo resultado que proporciona la ejecución de los comandos anteriores. Te recomendamos incorporar esta secuencia de comandos a tu cloud-config, a tus secuencias de comandos de inicio o a tus plantillas de instancia para asegurarte de que las VM recién creadas usen este parámetro nuevo. A continuación, proporcionamos un ejemplo de un cloud-config que ejecuta esta secuencia de comandos.

    Advertencia: Cuando se ejecuta por primera vez, esta secuencia de comandos reinicia inmediatamente la instancia. Las ejecuciones posteriores de este comando en una instancia donde se ha inhabilitado el Hyper-Threading no tendrán efecto alguno.

    # Run as root
/bin/bash <(curl -s https://storage.googleapis.com/cos-tools/scripts/disable_smt.sh)

    Ingresa lo siguiente para incluirla en tu cloud-config:

    #cloud-config

bootcmd:
- /bin/bash -c "/bin/bash <(curl -s https://storage.googleapis.com/cos-tools/scripts/disable_smt.sh)"

    Mira el output de los archivos en /sys/devices/system/cpu/smt/active y /sys/devices/system/cpu/smt/control para verificar si el Hyper-Threading está inhabilitado en tu instancia. Si muestra 0 en active y off en control, significa que el Hyper-Threading está inhabilitado:

    cat /sys/devices/system/cpu/smt/active
cat /sys/devices/system/cpu/smt/control

    Nota: Si tu instancia tiene inicio seguro de UEFI, tendrás que recrearla sin esa característica, ejecutar el comando mostrado arriba y luego volver a habilitar el inicio seguro de UEFI en tu instancia nueva.

  2. Usa una versión nueva de la imagen de COS.

    Además de inhabilitar el Hyper-Threading con los pasos ya descritos, deberías recrear tus instancias con las imágenes actualizadas de la lista de arriba o versiones más nuevas (si están disponibles) de las imágenes del Container-Optimized OS para obtener protección total contra la vulnerabilidad.

 Medio

Fecha de publicación: 14-08-2018

Última actualización: 20-08-2018, 17:00 horas PST

Descripción Gravedad Notas

Descripción

Intel divulgó las siguientes CVE:

Estas CVE se conocen en conjunto como "Falla de terminal L1 (L1TF)".

Estas vulnerabilidades L1TF explotan la ejecución especulativa, ya que atacan la configuración de estructuras de datos en el procesador. "L1" hace referencia a la caché de datos de nivel 1 (L1D), un recurso pequeño del núcleo que se utiliza para acelerar el acceso a la memoria.

Consulta la entrada de blog deGoogle Cloud para obtener más detalles sobre estas vulnerabilidades y las mitigaciones de Compute Engine.

Impacto en Compute Engine

La infraestructura del host que ejecuta Compute Engine y aísla las cargas de trabajo del cliente entre sí está protegida frente a los ataques conocidos.

Se recomienda a los clientes de Compute Engine que actualicen su imagen para impedir la posible explotación indirecta dentro de los entornos invitados. Esto es importante especialmente para los clientes que ejecutan sus propios servicios de varias instancias en las máquinas virtuales de Compute Engine.

Los clientes de Compute Engine pueden actualizar los sistemas operativos invitados en sus instancias con una de las siguientes opciones:

  • Usa las imágenes públicas con parches para recrear las instancias de VM existentes.
  • En las instancias existentes, instala los parches que suministra el proveedor del sistema operativo y reinicia las instancias con parches.

Imágenes con parches y recursos de proveedores

Proporcionamos vínculos a la información sobre los parches de cada proveedor de sistemas operativos a medida que estén disponibles, incluido el estado de ambas CVE. Usa estas imágenes para recrear las instancias de VM. Las versiones anteriores de estas imágenes públicas no contienen estos parches y no disminuyen la posibilidad de ataques:

  • Proyecto centos-cloud:
    • centos-7-v20180815
    • centos-6-v20180815
  • Proyecto coreos-cloud:
    • coreos-stable-1800-7-0-v20180816
    • coreos-beta-1855-2-0-v20180816
    • coreos-alpha-1871-0-0-v20180816
  • Proyecto cos-cloud:
    • cos-stable-66-10452-110-0
    • cos-stable-67-10575-66-0
    • cos-beta-68-10718-81-0
    • cos-dev-69-10895-23-0
  • Proyecto debian-cloud:
    • debian-9-stretch-v20180820
  • Proyecto rhel-cloud:
    • rhel-7-v20180814
    • rhel-6-v20180814
  • Proyecto rhel-sap-cloud:
    • rhel-7-sap-apps-v20180814
    • rhel-7-sap-hana-v20180814
  • Proyecto suse-cloud:
    • sles-15-v20180816
    • sles-12-sp3-v20180814
    • sles-11-sp4-v20180816
  • Proyecto suse-sap-cloud:
    • sles-15-sap-v20180816
    • sles-12-sp3-sap-v20180814
    • sles-12-sp2-sap-v20180816
  • Proyecto ubuntu-os-cloud:
    • ubuntu-1804-bionic-v20180814
    • ubuntu-1604-xenial-v20180814
    • ubuntu-1404-trusty-v20180814
    • ubuntu-minimal-1804-bionic-v20180814
    • ubuntu-minimal-1604-xenial-v20180814
  • Proyectos windows-cloud gce-uefi-images y windows-sql-cloud:
    • Todas las imágenes públicas de Windows Server y SQL Server con el número de versión -v201800814 y posteriores incluyen parches.
 Alta

Fecha de publicación: 06-08-2018

Última actualización: 05-09-2018, 17:00 horas PST

Descripción Gravedad Notas

Actualización del 05/09/2018

US-CERT divulgó la vulnerabilidad CVE-2018-5391 el 14 de agosto de 2018. Al igual que con CVE-2018-5390, se trata de una vulnerabilidad de la red en el kernel que aumenta la efectividad de los ataques de denegación del servicio (DoS) contra sistemas vulnerables. La diferencia principal es que la CVE-2018-5391 se puede utilizar en conexiones IP. Actualizamos este boletín para que abarque ambas vulnerabilidades.

Descripción

CVE-2018-5390 ("SegmentSmack") describe una vulnerabilidad de la red en el kernel que aumenta la efectividad de los ataques de denegación del servicio (DoS) contra sistemas vulnerables a través de conexiones de TCP.

CVE-2018-5391 ("FragmentSmack") describe una vulnerabilidad de la red en el kernel que aumenta la efectividad de los ataques de denegación del servicio (DoS) contra sistemas vulnerables a través de conexiones IP.

Impacto en Compute Engine

La infraestructura del host que ejecuta las VM de Compute Engine no está en riesgo. La infraestructura de red que controla el tráfico desde y hacia las VM de Compute Engine está protegida frente a esta vulnerabilidad. Las VMs de Compute Engine que solo envían o reciben tráfico de red no confiable a través de balanceadores de cargas HTTP(S), SSL o TCP están protegidas frente a esta vulnerabilidad.

Las VMs de Compute Engine que ejecutan sistemas operativos sin parches que envían o reciben tráfico de red no confiable directamente o a través de balanceadores de cargas de red son vulnerables a este ataque DoS.

Evalúa actualizar tus instancias de VM apenas estén disponibles los parches para sus sistemas operativos.

Los clientes de Compute Engine pueden actualizar los sistemas operativos invitados en sus instancias con una de las siguientes opciones:

  • Usa las imágenes públicas con parches para recrear las instancias de VM existentes. Consulta la lista de imágenes públicas con parches que se muestra a continuación.
  • En las instancias existentes, instala los parches que suministra el proveedor del sistema operativo y reinicia las instancias con parches.

Imágenes con parches y recursos de proveedores

Proporcionamos vínculos a la información sobre los parches de cada proveedor de sistemas operativos a medida que estén disponibles.

  • Proyecto centos-cloud (CVE-2018-5390 únicamente):
    • centos-7-v20180815
    • centos-6-v20180815
  • Proyecto coreos-cloud (CVE-2018-5390 y CVE-2018-5391):
    • coreos-stable-1800-7-0-v20180816
    • coreos-beta-1855-2-0-v20180816
    • coreos-alpha-1871-0-0-v20180816
  • Proyecto cos-cloud (CVE-2018-5390 y CVE-2018-5391):
    • cos-stable-65-10323-98-0
    • cos-stable-66-10452-109-0
    • cos-stable-67-10575-65-0
    • cos-beta-68-10718-76-0
    • cos-dev-69-10895-16-0
  • Proyecto debian-cloud (CVE-2018-5390 y CVE-2018-5391):
    • debian-9-stretch-v20180814
  • Proyecto rhel-cloud (CVE-2018-5390 únicamente):
    • rhel-7-v20180814
    • rhel-6-v20180814
  • Proyecto suse-cloud (CVE-2018-5390 y CVE-2018-5391):
    • sles-15-v20180816
    • sles-12-sp3-v20180814
  • Proyecto suse-sap-cloud (CVE-2018-5390 y CVE-2018-5391):
    • sles-15-sap-v20180816
    • sles-12-sp3-sap-v20180814
    • sles-12-sp2-sap-v20180816
  • Proyecto ubuntu-os-cloud (CVE-2018-5390 y CVE-2018-5391):
    • ubuntu-1804-bionic-v20180814
    • ubuntu-1604-xenial-v20180814
    • ubuntu-1404-trusty-v20180814
    • ubuntu-minimal-1804-bionic-v20180814
    • ubuntu-minimal-1604-xenial-v20180814
 Alta

Fecha de publicación: 03-01-2018

Última actualización: 21-05-2018, 15:00 horas PST

Descripción Gravedad Notas

Actualización del 21-05-2018

CVE-2018-3640 y CVE-2018-3639, variantes 3a y 4, respectivamente. Al igual que con las primeras tres variantes de Spectre y Meltdown, la infraestructura que ejecuta las instancias de VM de Compute Engine está protegida y las instancias de VM de los clientes están aisladas y protegidas entre sí. Además, Compute Engine planea implementar los parches de microcódigo de Intel en su infraestructura, lo que permitirá que los clientes que ejecutan cargas de trabajo no confiables o de varias instancias en una única instancia de VM puedan habilitar mitigaciones adicionales dentro de las VM cuando los proveedores de los sistemas operativos proporcionen esas mitigaciones. Una vez que Intel certifique los parches de microcódigo, Compute Engine los implementará después de probarlos y calificarlos para el entorno de producción. Brindaremos cronogramas detallados y actualizaciones en esta página a medida que estén disponibles.

Descripción

Estas CVE son variantes de una clase nueva de ataque que explota la tecnología de ejecución especulativa disponible en varios procesadores. Esta clase de ataque puede otorgar acceso de solo lectura no autorizado a los datos de la memoria en diversas circunstancias.

Compute Engine usó la tecnología de migración en vivo de VM para llevar a cabo actualizaciones del sistema de host y del hipervisor sin afectar a los usuarios y sin períodos de mantenimiento forzoso ni reinicios masivos. Sin embargo, todos los sistemas operativos invitados y las versiones deben contar con parches que los protejan frente a esta nueva clase de ataque, independientemente de dónde se ejecuten esos sistemas.

Consulta la entrada de blog sobre Project Zero para obtener detalles técnicos completos sobre este método de ataque. Consulta la entrada de blog sobre la seguridad de Google para obtener detalles completos sobre las mitigaciones de Google, incluida información específica de los productos.

Impacto en Compute Engine

La infraestructura que ejecuta Compute Engine y aísla las instancias de VM de los clientes entre sí está protegida frente a ataques conocidos. Nuestras mitigaciones evitan el acceso no autorizado a los sistemas de host desde aplicaciones que se ejecuten dentro de las instancias de VM. Estas mitigaciones también evitan el acceso no autorizado entre las instancias de VM que se ejecuten en el mismo sistema de host.

Para evitar el acceso no autorizado dentro de tus instancias de máquina virtual, debes actualizar los sistemas operativos invitados en esas instancias con una de las siguientes opciones:

  • Usa las imágenes públicas con parches para recrear tus instancias de VM existentes. Consulta la lista de imágenes públicas con parches que se muestra a continuación.
  • En las instancias existentes, instala los parches que suministra el proveedor del sistema operativo para tu distribución y reinicia las instancias con parches. Consulta los vínculos a la información sobre los parches de cada proveedor de sistemas operativos a continuación.

Imágenes con parches y recursos de proveedores

Nota: Las imágenes con parches pueden no incluir correcciones para todas las CVE mencionadas en este aviso del boletín de seguridad. Además, las diferentes imágenes pueden incluir métodos distintos para evitar estos tipos de ataques. Comunícate con el proveedor de tu sistema operativo para confirmar cuáles CVE se abordan en sus parches y qué métodos de prevención usan.

  • Proyecto cos-cloud: Incluye parches que previenen los ataques de las variantes 2 (CVE-2017-5715) y 3 (CVE-2017-5754). Google usó Retpoline en estas imágenes para mitigar los ataques de la variante 2.
    • cos-stable-63-10032-71-0 o familia de imágenes cos-stable
  • Proyecto centos-cloud: Información de parches de CentOS
    • centos-7-v20180104 o familia de imágenes centos-7
    • centos-6-v20180104 o familia de imágenes centos-6
  • Proyecto coreos-cloud: Información de parches de CoreOS
    • coreos-stable-1576-5-0-v20180105 o familia de imágenes coreos-stable
    • coreos-beta-1632-1-0-v20180105 o familia de imágenes coreos-beta
    • coreos-alpha-1649-0-0-v20180105 o familia de imágenes coreos-alpha
  • Proyecto debian-cloud: Información de parches de Debian
    • debian-9-stretch-v20180105 o familia de imágenes debian-9
    • debian-8-jessie-v20180109 o familia de imágenes debian-8
  • Proyecto rhel-cloud: Información de parches de RHEL
    • rhel-7-v20180104 o familia de imágenes rhel-7
    • rhel-6-v20180104 o familia de imágenes rhel-6
  • Proyecto suse-cloud: Información de parches de SUSE
    • sles-12-sp3-v20180104 o familia de imágenes sles-12
    • sles-11-sp4-v20180104 o familia de imágenes sles-11
  • Proyecto suse-sap-cloud: Información de parches de SUSE
    • sles-12-sp3-sap-v20180104 o familia de imágenes sles-12-sp3-sap
    • sles-12-sp2-sap-v20180104 o familia de imágenes sles-12-sp2-sap
  • Proyecto ubuntu-os-cloud: Información de parches de Ubuntu
    • ubuntu-1710-artful-v20180109 o familia de imágenes ubuntu-1710
    • ubuntu-1604-xenial-v20180109 o familia de imágenes ubuntu-1604-lts
    • ubuntu-1404-trusty-v20180110 o familia de imágenes ubuntu-1404-lts
  • Proyectos windows-cloud y windows-sql-cloud:
    • Todas las imágenes públicas de Windows Server y SQL Server con el número de versión -v20180109 y posteriores incluyen parches. Sin embargo, debes seguir las acciones recomendadas que proporciona Microsoft en el boletín de asistencia de la Guía de Windows Server para habilitar y verificar estas mitigaciones en tus instancias existentes y en las instancias creadas recientemente.

Usa estas imágenes para recrear las instancias de VM. Las versiones anteriores de estas imágenes públicas no contienen estos parches y no disminuyen la posibilidad de ataques.

Parches de proveedores de hardware

NVIDIA ofrece controladores con parches para disminuir la posibilidad de ataques contra los sistemas que tienen instalado el software de controlador NVIDIA®. Para conocer qué versiones de los controladores tienen parches, consulta el boletín de seguridad Actualizaciones de seguridad de controladores gráficos de GPU de NVIDIA.

Historial de revisión:

  • 21-05-2018, 14:00 horas PST: Se agregó información sobre 2 variantes nuevas publicadas el 21 de mayo de 2018.
  • 10-01-2018, 15:00 PST: Se agregó información sobre las imágenes públicas de Windows Server y SQL Server con parches.
  • 10-01-2018, 10:15 PST: Se agregaron varias imágenes de Ubuntu a la lista de imágenes públicas con parches.
  • 10-01-2018, 09:50 PST: Se agregaron lineamientos sobre los parches de los proveedores de hardware.
  • Del 03-01-2018 al 09-01-2018: Se realizaron varias revisiones a la lista de imágenes públicas con parches.
 Alta

Fecha de publicación: 02-10-2017

Descripción Gravedad Notas

Dnsmasq proporciona funciones para publicar anuncios de DNS, DHCP y de router, y para iniciar la red. Por lo general, este software está instalado en sistemas tan variados como computadoras de escritorio, distribuciones de Linux (como Ubuntu), routers domésticos y dispositivos de IoT. Dnsmasq es muy usado tanto en Internet abierto como en redes privadas.

Google descubrió siete problemas distintos en el transcurso de nuestras evaluaciones internas y habituales de seguridad. Después de determinar la gravedad de estos problemas, trabajamos para investigar su impacto y riesgo de utilización, y generamos pruebas de concepto internas para cada uno. También trabajamos con Simon Kelly, el encargado de mantenimiento de Dnsmasq, para generar los parches apropiados y mitigar el problema.

Durante nuestra revisión, el equipo descubrió tres ejecuciones de código remotas posibles, una filtración de información y tres vulnerabilidades de denegación del servicio que afectaban la última versión en el servidor Git del proyecto a partir del 5 de septiembre de 2017.

Estos parches se envían de manera ascendente y se confirman en el repositorio de Git del proyecto.

Impacto en Compute Engine

De manera predeterminada, Dnsmasq solo está instalado en imágenes que usan NetworkManager y se encuentra inactivo. Las siguientes imágenes públicas de Compute Engine tienen instalado Dnsmasq:

  • Ubuntu 16.04, 16.10, 17.04
  • CentOS 7
  • RHEL 7

Sin embargo, es posible que otras imágenes tengan instalado Dnsmasq como una dependencia para otros paquetes. Te recomendamos actualizar las instancias de Debian, Ubuntu, CentOS, RHEL, SLES y OpenSuse para usar la imagen de sistema operativo más reciente. CoreOS y Container-Optimized OS no se ven afectados. Las imágenes de Windows tampoco se ven afectadas.

Para las instancias con Debian y Ubuntu, puedes actualizarlas si ejecutas en ellas los siguientes comandos:

sudo apt-get -y update
 
sudo apt-get -y dist-upgrade

En instancias de Red Hat  Enterprise Linux y CentOS, ejecuta lo siguiente:

sudo yum -y upgrade

En imágenes de SLES y OpenSUSE, ejecuta lo siguiente:

sudo zypper up

En lugar de ejecutar los comandos de actualización manual, puedes recrear instancias de VM con las familias de imágenes del sistema operativo correspondiente.

 Alta

Fecha de publicación: 26-10-2016

Descripción Gravedad Notas

CVE-2016-5195 es una condición de carrera debida a la manera en que el subsistema de memoria del kernel de Linux controlaba las fallas de la función COW sobre las asignaciones privadas de solo lectura durante el acceso de escritura.

Un usuario local sin privilegios podría usar esta falla para obtener acceso de escritura a asignaciones de memoria que, de otro modo, serían de solo lectura y, de esta manera, aumentar sus privilegios en el sistema.

Para obtener más información, consulta las Preguntas frecuentes sobre Dirty COW.

Impacto en Compute Engine

Todas las distribuciones y versiones de Linux en Compute Engine se ven afectadas. La mayoría de las instancias se descargarán automáticamente y se instalarán en un kernel más reciente. Sin embargo, debes reiniciar la instancia para aplicar el parche a un sistema en ejecución.

Las instancias nuevas o vueltas a crear basadas en las siguientes imágenes de Compute Engine incluyen kernels con parches instalados.

  • centos-6-v20161026
  • centos-7-v20161025
  • coreos-alpha-1192-2-0-v20161021
  • coreos-beta-1185-2-0-v20161021
  • coreos-stable-1122-3-0-v20161021
  • debian-8-jessie-v20161020
  • rhel-6-v20161026
  • rhel-7-v20161024
  • sles-11-sp4-v20161021
  • sles-12-sp1-v20161021
  • ubuntu-1204-precise-v20161020
  • ubuntu-1404-trusty-v20161020
  • ubuntu-1604-xenial-v20161020
  • ubuntu-1610-yakkety-v20161020
 Alta CVE-2016-5195

Fecha de publicación: 16-02-2016

Última actualización: 22/2/2016

Descripción Gravedad Notas

CVE-2015-7547 es una vulnerabilidad en la que el agente de resolución del lado del cliente DNS glibc hace que el software sea vulnerable a un desbordamiento de búfer basado en la pila cuando se usa la función de biblioteca getaddrinfo(). Si el software usa esta función, un atacante puede aprovecharlo para explotar la vulnerabilidad mediante ataques de intermediarios o nombres de dominios y servidores DNS controlados por el atacante.

Para obtener más detalles, consulta la entrada del blog de Google Security o la base de datos de vulnerabilidades y exposiciones comunes (CVE).

Impacto en Compute Engine

Actualización (22-02-2016):

Ahora puedes recrear tus instancias con las siguientes imágenes de CoreOS, SLES y OpenSUSE:

  • coreos-alpha-962-0-0-v20160218
  • coreos-beta-899-7-0-v20160218
  • coreos-stable-835-13-0-v20160218
  • opensuse-13-2-v20160222
  • opensuse-leap-42-1-v20160222
  • sles-11-sp4-v20160222
  • sles-12-sp1-v20160222

Actualización (17/2/2016):

Ahora puedes aplicar una actualización en las instancias de Ubuntu 12.04 LTS, Ubuntu 14.04 LTS y Ubuntu 15.10 si ejecutas los siguientes comandos:

  1. user@my-instance:~$ sudo apt-get -y update
  2. user@my-instance:~$ sudo apt-get -y dist-upgrade
  3. user@my-instance:~$ sudo reboot

En lugar de ejecutar los comandos de actualización en forma manual, ahora puedes recrear estas instancias con las siguientes imágenes nuevas:

  • backports-debian-7-wheezy-v20160216
  • centos-6-v20160216
  • centos-7-v20160216
  • debian-7-wheezy-v20160216
  • debian-8-jessie-v20160216
  • rhel-6-v20160216
  • rhel-7-v20160216
  • ubuntu-1204-precise-v20160217a
  • ubuntu-1404-trusty-v20160217a
  • ubuntu-1510-wily-v20160217

No conocemos métodos que puedan explotar esta vulnerabilidad a través de los agentes de resolución del DNS de Compute Engine con la configuración predeterminada de glibc. Te recomendamos que apliques parches a tus instancias de máquina virtual lo antes posible, ya que, como con cualquier vulnerabilidad nueva, es posible que se descubran nuevos métodos de explotación con el tiempo. Si habilitaste edns0, que está inhabilitado de manera predeterminada, deberías inhabilitarlo hasta que se aplique un parche a las instancias.

Boletín original:

Es posible que tu distribución de Linux sea vulnerable. Los clientes de Compute Engine deberán actualizar las imágenes de SO de sus instancias para eliminar esta vulnerabilidad si ejecutan un SO de Linux.

Para aplicar una actualización en las instancias que ejecutan Debian, puedes usar los siguientes comandos en tu instancia:

  1. user@my-instance:~$ sudo apt-get -y update
  2. user@my-instance:~$ sudo apt-get -y dist-upgrade
  3. user@my-instance:~$ sudo reboot

También te recomendamos instalar UnattendedUpgrades para tus instancias de Debian.

En instancias de Red Hat Enterprise Linux, ejecuta lo siguiente:

  • user@my-instance:~$ sudo yum -y upgrade
  • user@my-instance:~$ sudo reboot

Seguiremos actualizando este boletín en la medida que otros encargados del mantenimiento de sistemas operativos publiquen parches para esta vulnerabilidad y Compute Engine publique imágenes de SO actualizadas.

 Alta CVE-2015-7547

Fecha de publicación: 19-03-2015

Descripción Gravedad Notas

CVE-2015-1427 es una vulnerabilidad en la que el motor de secuencias de comandos Groovy de Elasticsearch antes de la versión 1.3.8 y en cualquier versión 1.4.x antes de la 1.4.3, permite que los atacantes eludan el mecanismo de protección de la zona de pruebas y ejecuten comandos arbitrarios del shell.

Para ver más detalles, consulta la base de datos nacional de vulnerabilidades (NVD) o la base de datos de riesgos y vulnerabilidades comunes (CVE).

Impacto en Compute Engine

Si ejecutas Elasticsearch en instancias de Compute Engine, deberías actualizar tu versión de Elasticsearch a la 1.4.3 o una más reciente. Si ya actualizaste el software de Elasticsearch, estás protegido contra esta vulnerabilidad.

Si aún no actualizas Elasticsearch a la versión 1.4.3 o una más reciente, puedes ejecutar una actualización progresiva.

Si implementaste Elasticsearch con la implementación en un clic en Google Cloud console, puedes borrar la implementación para quitar las instancias que ejecutan Elasticsearch.

El equipo de Google Cloud está trabajando en una solución para implementar una versión actualizada de Elasticsearch. Sin embargo, la corrección aún no está disponible para la función de hacer clic para implementar en Google Cloud console.

 Alta CVE-2015-1427

Fecha de publicación: 29-01-2015

Descripción Gravedad Notas

CVE-2015-0235 (Ghost) es una vulnerabilidad de la biblioteca glibc.

No es necesario que los clientes de App Engine, Cloud Storage, BigQuery y Cloud SQL realicen ninguna acción. Los servidores de Google se actualizaron y están protegidos contra esta vulnerabilidad.

Es posible que los clientes de Compute Engine deban actualizar sus imágenes de SO.

Impacto en Compute Engine

Es posible que tu distribución de Linux sea vulnerable. Los clientes de Compute Engine deberán actualizar las imágenes de SO de sus instancias para eliminar esta vulnerabilidad si ejecutan Debian 7, backports de Debian 7, Ubuntu 12.04 LTS, Red Hat Enterprise Linux, CentOS o SUSE Linux Enterprise Server 11 SP3.

Esta vulnerabilidad no afecta a Ubuntu 14.04 LTS, Ubuntu 14.10 ni SUSE Linux Enterprise Server 12.

Te recomendamos actualizar tus distribuciones de Linux. Para actualizar las instancias que ejecutan Debian 7, backports de Debian 7 o Ubuntu 12.04 LTS, ejecuta los siguientes comandos en tu instancia:

  1. user@my-instance:~$ sudo apt-get update
  2. user@my-instance:~$ sudo apt-get -y upgrade
  3. user@my-instance:~$ sudo reboot

En instancias de Red Hat Enterprise Linux o CentOS, ejecuta lo siguiente:

  1. user@my-instance:~$ sudo yum -y upgrade
  2. user@my-instance:~$ sudo reboot

En instancias de SUSE Linux Enterprise Server 11 SP3, ejecuta lo siguiente:

  1. user@my-instance:~$ sudo zypper --non-interactive up
  2. user@my-instance:~$ sudo reboot

En lugar de ejecutar en forma manual los comandos de actualización indicados previamente, ahora los usuarios pueden recrear sus instancias con las siguientes imágenes nuevas:

  • debian-7-wheezy-v20150127
  • backports-debian-7-wheezy-v20150127
  • centos-6-v20150127
  • centos-7-v20150127
  • rhel-6-v20150127
  • rhel-7-v20150127
  • sles-11-sp3-v20150127
  • ubuntu-1204-precise-v20150127

Impacto sobre VM administradas por Google

Los usuarios de VM administradas que usan gcloud preview app deploy deben actualizar sus contenedores de Docker base con gcloud preview app setup-managed-vms y volver a implementar cada una de las apps en ejecución con gcloud preview app deploy. Los usuarios que implementan con appcfg no deben realizar ninguna acción ya que se les actualizará automáticamente.

 Alta CVE-2015-0235

Fecha de publicación: 15-10-2014

Última actualización: 17-10-2014

Descripción Gravedad Notas

CVE-2014-3566 (conocida también como POODLE) es una vulnerabilidad en el diseño de SSL versión 3.0. Esta vulnerabilidad permite que un atacante de la red calcule el texto sin formato de las conexiones seguras. Para ver detalles, consulta nuestra publicación en el blog sobre la vulnerabilidad.

No es necesario que los clientes de App Engine, Cloud Storage, BigQuery y Cloud SQL realicen ninguna acción. Los servidores de Google se actualizaron y están protegidos contra esta vulnerabilidad. Los clientes de Compute Engine deben actualizar sus imágenes de SO.

Impacto en Compute Engine

Actualización (17-10-2014):

Si usas SSLv3, es posible que seas vulnerable. Los clientes de Compute Engine deberán actualizar las imágenes de SO de sus instancias para eliminar esta vulnerabilidad.

Te recomendamos actualizar tus distribuciones de Linux. Para aplicar una actualización en las instancias que ejecutan Debian, puedes usar los siguientes comandos en tu instancia:

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade
user@my-instance:~$ sudo reboot

En instancias de CentOS:

user@my-instance:~$ sudo yum -y upgrade
user@my-instance:~$ sudo reboot

En lugar de ejecutar en forma manual los comandos de actualización indicados previamente, ahora los usuarios pueden recrear sus instancias con las siguientes imágenes nuevas:

  • centos-6-v20141016
  • centos-7-v20141016
  • debian-7-wheezy-v20141017
  • backports-debian-7-wheezy-v20141017

Actualizaremos el boletín para las imágenes de RHEL y SLES después de que las tengamos. Por el momento, los usuarios de RHEL pueden consultar directamente con Red Hat para obtener más información.

Boletín original:

Los clientes de Compute Engine deberán actualizar las imágenes de SO de sus instancias para eliminar esta vulnerabilidad. Actualizaremos este boletín de seguridad con instrucciones una vez que haya imágenes de SO nuevas disponibles.

Medio CVE-2014-3566

Fecha de publicación: 24-09-2014

Última actualización: 29-09-2014

Descripción Gravedad Notas

Existe un error en bash (CVE-2014-6271) que permite la ejecución remota de código a partir del análisis de variables de entorno controladas por el atacante. El vector de explotación más probable es el uso de solicitudes HTTP maliciosas realizadas a secuencias de comandos CGI expuestas en un servidor web. Para obtener más información, consulta la descripción del error.

Los errores de bash se mitigaron para los productos de Google Cloud , excepto para las imágenes de SO de invitado de Compute Engine con fecha previa al 26-09-2014. Consulta los siguientes pasos para mitigar los errores en tus imágenes de Compute Engine.

Impacto en Compute Engine

Es posible que este error afecte prácticamente a todos los sitios web que usan secuencias de comandos de CGI. Además, es probable que afecte a sitios web que dependen de PHP, Perl, Python, SSI, Java, C++ y servlets similares que alguna vez invocarán comandos del shell a través de llamadas como popen, system, shell_exec o APIs similares. También puede afectar a los sistemas que intentan permitir el acceso controlado a usuarios restringidos a través de mecanismos como la limitación de comandos SSH o el shell restringido de Bash.

Actualización (29/9/2014):

Como alternativa a la ejecución de los comandos de actualización manual que se indican a continuación, los usuarios ahora pueden volver a crear sus instancias con imágenes que mitigan vulnerabilidades adicionales relacionadas con el error de seguridad de bash, incluidas CVE-2014-7169, CVE-2014-6277, CVE-2014-6278, CVE-2014-7186 y CVE-2014-7187. Usa las siguientes imágenes nuevas para recrear tus instancias:

  • centos-6-v20140926
  • centos-7-v20140926
  • debian-7-wheezy-v20140926
  • backports-debian-7-wheezy-v20140926
  • rhel-6-v20140926

Actualización (25/09/2014):

Ahora, los usuarios pueden recrear sus instancias en lugar de ejecutar una actualización manual. Para recrear tus instancias, usa las siguientes imágenes que contienen soluciones a este error de seguridad:

  • backports-debian-7-wheezy-v20140924
  • debian-7-wheezy-v20140924
  • rhel-6-v20140924
  • centos-6-v20140924
  • centos-7-v20140924

Para aplicar actualizaciones manuales a imágenes de RHEL y SUSE, puedes ejecutar los siguientes comandos en tus instancias:

# RHEL instances
user@my-instance:~$ sudo yum -y upgrade

# SUSE instances
user@my-instance:~$ sudo zypper --non-interactive up

Boletín original:

Te recomendamos actualizar tus distribuciones de Linux. Para aplicar una actualización en las instancias que ejecutan Debian, puedes usar los siguientes comandos en tu instancia:

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade

En instancias de CentOS:

user@my-instance:~$ sudo yum -y upgrade

Para ver información detallada, revisa el anuncio para la distribución de Linux correspondiente:

 Alta CVE-2014-7169, CVE-2014-6271, CVE-2014-6277, CVE-2014-6278, CVE-2014-7186, CVE-2014-7187

Fecha de publicación: 25-07-2014

Descripción Gravedad Notas

Elasticsearch Logstash es vulnerable a la inyección de comandos de SO que pueden permitir la modificación y divulgación de los datos sin autorización. Un atacante puede enviar eventos fabricados a cualquiera de las fuentes de datos de Logstash, lo que le permite ejecutar comandos con los permisos del proceso de Logstash.

Impacto en Compute Engine

Esta vulnerabilidad afecta a todas las instancias de Compute Engine que ejecutan versiones de Elasticsearch Logstash previas a la 1.4.2 con salidas zabbix o nagios_nsca habilitadas. Para evitar ataques, puedes seguir uno de estos pasos:

  • Actualiza a Logstash 1.4.2.
  • Aplica el parche para las versiones 1.3.x.
  • Inhabilita las salidas zabbix y nagios_nsca.

Obtén más información en el blog de Logstash.

Elasticsearch también recomienda usar un firewall para evitar el acceso remoto de las IP que no sean de confianza.

Alta CVE-2014-4326

Fecha de publicación: 18-06-2014

Descripción Gravedad Notas

Queremos dedicar un momento a responder cualquier inquietud posible que los clientes tengan sobre la seguridad de los contenedores de Docker cuando se ejecutan en Google Cloud. Esto incluye a los clientes que usan nuestras extensiones de App Engine que admiten contenedores de Docker, máquinas virtuales optimizadas para contenedores o el programador de Kubernetes de código abierto.

Docker respondió al problema de manera excelente y puedes ver la respuesta en su blog aquí. Ten en cuenta que, como señalan allí, el problema revelado solo se aplica a Docker 0.11, una versión antigua previa a producción.

Si bien los usuarios se preocupan por la seguridad de los contenedores, nos gustaría señalar que en Google Cloud, las soluciones basadas en contenedores de aplicaciones de Linux (específicamente, contenedores de Docker) se ejecutan en máquinas virtuales completas (Compute Engine). Si bien apoyamos los esfuerzos de la comunidad de Docker para fortalecer la pila de contenedores de aplicaciones de Linux, reconocemos que la tecnología es nueva y su área de superficie es amplia. Creemos que, por ahora, los hipervisores completos (máquinas virtuales) proporcionan un área de superficie defendible más compacta. Las máquinas virtuales se diseñaron desde el comienzo para aislar las cargas de trabajo maliciosas y minimizar la probabilidad y el impacto de un error de código.

Nuestros clientes pueden estar seguros de que existe una barrera de un hipervisor completo entre ellos y cualquier código externo posiblemente malicioso. Si alcanzamos un punto en el que consideramos que la pila de contenedores de aplicación de Linux es lo suficientemente sólida como para admitir cargas de trabajo multiusuario, lo informaremos a la comunidad. Por ahora, el contenedor de aplicaciones de Linux no reemplaza la máquina virtual. Es una manera de aprovecharlo mucho más.

Baja Publicación en el blog de Docker

Fecha de publicación: 05-06-2014

Última actualización: 09-06-2014

Descripción Gravedad Notas

OpenSSL tiene un problema por el que los mensajes de ChangeCipherSpec no se vinculan correctamente a la máquina de estados de protocolo de enlace. Esto permite que se inyecten antes en el protocolo de enlace. Un atacante que use un protocolo de enlace fabricado cuidadosamente puede forzar el uso de material de claves vulnerable en clientes y servidores SSL/TLS de OpenSSL. Esto se puede explotar mediante un ataque de intermediarios (PITM), en el que el atacante puede desencriptar y modificar el tráfico desde el cliente y el servidor atacados.

Este problema se identifica como CVE-2014-0224. El equipo de OpenSSL corrigió el problema y alertó a su comunidad para que actualicen OpenSSL.

Impacto en Compute Engine

Esta vulnerabilidad afecta a todas las instancias de Compute Engine que usan OpenSSL, incluido Debian, CentOS, Red Hat Enterprise Linux y SUSE Linux Enterprise Server. Para actualizar tus instancias, puedes recrearlas con imágenes nuevas o actualizar sus paquetes de forma manual.

Actualización (09-06-2014): Para actualizar tus instancias que ejecutan SUSE Linux Enterprise Server con imágenes nuevas, recréalas con las siguientes versiones de las imágenes o con otras más recientes:

  • sles-11-sp3-v20140609

Publicación original:

Para actualizar imágenes de Debian y CentOS con imágenes nuevas, recrea tus instancias con cualquiera de las siguientes versiones de las imágenes o con otras más recientes:

  • debian-7-wheezy-v20140605
  • backports-debian-7-wheezy-v20140605
  • centos-6-v20140605
  • rhel-6-v20140605

Si deseas actualizar OpenSSL de forma manual en tus instancias, ejecuta los siguientes comandos para actualizar los paquetes que correspondan. Para actualizar OpenSSL en instancias con CentOS y RHEL, ejecuta estos comandos: 

user@my-instance:~$ sudo yum -y update
user@my-instance:~$ sudo reboot

Para actualizar OpenSSL en instancias con Debian, ejecuta los siguientes comandos: 

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade
user@my-instance:~$ sudo reboot

Para asegurarte de que OpenSSL está actualizado en instancias con SUSE Linux Enterprise Server, ejecuta estos comandos: 

user@my-instance:~$ sudo zypper --non-interactive up
user@my-instance:~$ sudo reboot
 		Medio CVE-2014-0224

Fecha de publicación: 08-04-2014

Descripción Gravedad Notas

Las implementaciones de (1) TLS y (2) DTLS en OpenSSL 1.0.1 anteriores a 1.0.1g no controlan correctamente los paquetes de la extensión Heartbeat, lo que permite que los atacantes remotos obtengan información sensible de la memoria del proceso con paquetes manipulados que activan una lectura excesiva del búfer, como se demostró con la lectura de claves privadas, relacionada con d1_both.c y t1_lib.c, también conocida como el error Heartbleed.

Impacto en Compute Engine

Esta vulnerabilidad afecta a todas las instancias de Compute Engine que ejecutan Debian, RHEL y CentOS y que no tienen la versión más actualizada de OpenSSL. Para actualizar tus instancias, puedes recrearlas con imágenes nuevas o actualizar sus paquetes de forma manual.

Para actualizar tus instancias con imágenes nuevas, recréalas con cualquiera de las siguientes versiones de las imágenes o con otras más recientes:

  • debian-7-wheezy-v20140408
  • backports-debian-7-wheezy-v20140408
  • centos-6-v20140408
  • rhel-6-v20140408

Si deseas actualizar OpenSSL de forma manual en tus instancias, ejecuta los siguientes comandos para actualizar los paquetes que correspondan. Para asegurarte de que OpenSSL esté actualizado en instancias con CentOS y RHEL, ejecuta estos comandos: 

user@my-instance:~$ sudo yum update
user@my-instance:~$ sudo reboot

Para actualizar OpenSSL en instancias con Debian, ejecuta los siguientes comandos: 

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get upgrade
user@my-instance:~$ sudo reboot

Las instancias que ejecutan SUSE Linux no se ven afectadas.

Actualización del 14 de abril de 2014: A la luz de los nuevos estudios sobre la extracción de claves con el error Heartbleed, Compute Engine recomienda que los usuarios de Compute Engine creen claves nuevas para todos los servicios de SSL afectados.

Medio CVE-2014-0160

Fecha de publicación: 07-06-2013

Descripción Gravedad Notas

Nota: Esta vulnerabilidad solo se aplica a los kernels que dejaron de estar disponibles y se quitaron a partir de la versión v1 de la API.

La vulnerabilidad de cadena de formato en la función b43_request_firmware de drivers/net/wireless/b43/main.c en el controlador inalámbrico Broadcom B43 en el kernel de Linux hasta la versión 3.9.4 permite que los usuarios locales obtengan privilegios aprovechando el acceso raíz y, además, incluyendo especificadores de cadena de formato en un parámetro fwpostfix modprobe, lo que genera una construcción inadecuada de un mensaje de error.

Impacto en Compute Engine

Esta vulnerabilidad afecta a todos los kernels de Compute Engine previos a gcg-3.3.8-201305291443. En respuesta, Compute Engine dejó de admitir todos los kernels anteriores y recomienda que los usuarios actualicen sus instancias y sus imágenes para usar el kernel de Compute Engine gce-v20130603. gce-v20130603 contiene gcg-3.3.8-201305291443 del kernel, que tiene el parche para esta vulnerabilidad.

Para saber qué versión de kernel usa tu instancia, ejecuta lo siguiente:

  1. Conéctate a tu instancia con SSH
  2. Ejecuta uname -r
 Medio CVE-2013-2852

Fecha de publicación: 07-06-2013

Descripción Gravedad Notas

Nota: Esta vulnerabilidad solo se aplica a los kernels que dejaron de estar disponibles y se quitaron a partir de la versión v1 de la API.

La vulnerabilidad de cadena de formato en la función register_disk en block/genhd.c en el kernel de Linux hasta la versión 3.9.4 permite que los usuarios locales obtengan privilegios aprovechando el acceso de raíz y escribiendo especificadores de cadena de formato en /sys/module/md_mod/parameters/new_array para crear un nombre de dispositivo /dev/md fabricado.

Impacto en Compute Engine

Esta vulnerabilidad afecta a todos los kernels de Compute Engine previos a gcg-3.3.8-201305291443. En respuesta, Compute Engine dejó de admitir todos los kernels anteriores y recomienda que los usuarios actualicen sus instancias y sus imágenes para usar el kernel de Compute Engine gce-v20130603. gce-v20130603 contiene gcg-3.3.8-201305291443 del kernel, que tiene el parche para esta vulnerabilidad.

Para saber qué versión de kernel usa tu instancia, ejecuta lo siguiente:

  1. Conéctate a tu instancia con SSH
  2. Ejecuta uname -r
 Medio CVE-2013-2851

Fecha de publicación: 14-05-2013

Descripción Gravedad Notas

Nota: Esta vulnerabilidad solo se aplica a los kernels que dejaron de estar disponibles y se quitaron a partir de la versión v1 de la API.

La función perf_swevent_init en kernel/events/core.c en el kernel de Linux antes de la versión 3.8.9 usa un tipo de datos integer incorrecto, lo que permite que los usuarios locales obtengan privilegios con una llamada de sistema perf_event_open fabricada.

Impacto en Compute Engine

Esta vulnerabilidad afecta a todos los kernels de Compute Engine previos a gcg-3.3.8-201305211623. En respuesta, Compute Engine dejó de admitir todos los kernels anteriores y recomienda que los usuarios actualicen sus instancias y sus imágenes para usar el kernel de Compute Engine gce-v20130521. gce-v20130521 contiene gcg-3.3.8-201305211623 del kernel, que tiene el parche para esta vulnerabilidad.

Para saber qué versión de kernel usa tu instancia, ejecuta lo siguiente:

  1. Conéctate a tu instancia con SSH
  2. Ejecuta uname -r
 Alta CVE-2013-2094

Fecha de publicación: 18-02-2013

Descripción Gravedad Notas

Nota: Esta vulnerabilidad solo se aplica a los kernels que dejaron de estar disponibles y se quitaron a partir de la versión v1 de la API.

La condición de carrera en la función ptrace del kernel de Linux antes de la versión 3.7.5 permite que los usuarios locales obtengan privilegios con una llamada de sistema PTRACE_SETREGS ptrace en una aplicación fabricada.

Impacto en Compute Engine

Esta vulnerabilidad afecta a los kernels de Compute Engine 2.6.x-gcg-<date>. En respuesta, Compute Engine dejó de admitir los kernels 2.6.x y recomienda que los usuarios actualicen sus instancias y sus imágenes para usar el kernel de Compute Engine gce-v20130225. gce-v20130225 contiene el kernel 3.3.8-gcg-201302081521, que tiene el parche para esta vulnerabilidad.

Para saber qué versión de kernel usa tu instancia, ejecuta lo siguiente:

  1. Conéctate a tu instancia con SSH
  2. Ejecuta uname -r
 Medio CVE-2013-0871