עדכוני אבטחה דחופים

‫2024-08-20: הוספנו תיקונים למעבדי TPU. התקנת עדכונים מהפצות Linux כשהם זמינים. מומלץ לעיין בהנחיות של הפצות Linux. אם אתם משתמשים ב-TPU, עליכם לעדכן לאחת מהגרסאות הבאות עם תיקון:

• tpu-ubuntu2204-base
• v2-alpha-tpuv5
• v2-alpha-tpuv5-lite

התגלתה נקודת חולשה (CVE-2024-6387) ב-OpenSSH. ניצול מוצלח של נקודת החולשה הזו מאפשר לתוקף מרוחק לא מאומת להריץ קוד שרירותי כ-root במכונת היעד.

מומלץ לנתח את כל המכונות הווירטואליות ב-Compute Engine שמשתמשות בהפצת לינוקס מבוססת glibc וחושפות את OpenSSH, כדי לבדוק אם הן פגיעות.

מה לעשות?

1. התקנת עדכונים מהפצות Linux כשהם זמינים. מומלץ לעיין בהנחיות של הפצות Linux. ב-Container-Optimized OS של Google, צריך לעדכן לאחת מהגרסאות הבאות עם תיקון:
   • cos-113-18244-85-49
   • cos-109-17800-218-69
   • cos-105-17412-370-67
   • cos-101-17162-463-55
   אם אתם משתמשים ב-מערכת הפעלה שמותאמת לקונטיינרים דרך שירות מנוהל של Google (למשל GKE), כדאי לעיין בעדכון האבטחה הדחוף של השירות כדי לראות אם יש תיקון זמין.
2. אם אי אפשר לעדכן, כדאי להשבית את OpenSSH עד שיהיה אפשר לתקן אותו. רשת ברירת המחדל מאוכלסת מראש בכלל חומת האש default-allow-ssh כדי לאפשר גישת SSH מהאינטרנט הציבורי. כדי להסיר את הגישה הזו, הלקוחות יכולים:
   1. אפשר ליצור כללים כדי לאפשר גישת SSH שנדרשת מרשתות מהימנות לצמתים של GKE או למכונות וירטואליות אחרות של Compute Engine בפרויקט.
   2. משביתים את כלל ברירת המחדל של חומת האש באמצעות הפקודה הבאה:

      gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT
            

   אם יצרתם כללי חומת אש אחרים שעשויים לאפשר SSH דרך TCP ביציאה 22, צריך להשבית אותם או להגביל את כתובות ה-IP של המקור לרשתות מהימנות.
   
   מוודאים שאי אפשר יותר להתחבר ל-VM באמצעות SSH מהאינטרנט. ההגדרה הזו של חומת האש מצמצמת את הסיכון שנובע מנקודת החולשה.
3. אם צריך להשאיר את OpenSSH פעיל, אפשר גם להריץ עדכון הגדרות שמבטל את התנאי של מצב המירוץ לניצול. זהו אמצעי להפחתת הסיכון בזמן ריצה. כדי להחיל את השינויים בהגדרות של sshd, הסקריפט הזה יפעיל מחדש את שירות sshd.

   #!/bin/bash
   set -e
   
   SSHD_CONFIG_FILE=/etc/ssh/sshd_config
   # -c: count the matches
   # -q: don't print to console
   # -i: sshd_config keywords are case insensitive.
   if [[ "$(grep -ci '^LoginGraceTime' $SSHD_CONFIG_FILE)" -eq 0 ]]; then
       echo "LoginGraceTime 0" >> "$SSHD_CONFIG_FILE"
       echo "Set the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   else
       sed -i 's/^LoginGraceTime.*$/LoginGraceTime 0/' /etc/ssh/sshd_config
       echo "Changed the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   fi
   # Restart the sshd service to apply the new config.
   systemctl restart sshd
       

4. לבסוף, חשוב לעקוב אחרי פעילות חריגה ברשת שקשורה לשרתי SSH.

אין השפעה על Compute Engine מ-CVE-2024-3094, שמשפיע על גרסאות 5.6.0 ו-5.6.1 של חבילת xz-utils בספריית liblzma, ויכול להוביל לפגיעה בכלי OpenSSH.

מה לעשות?

תמונות ציבוריות שנתמכות ומוצעות על ידי Compute Engine לא מושפעות מ-CVE הזה. אם אתם משתמשים בתמונות ציבוריות של Compute Engine למכונות הווירטואליות שלכם, אתם לא צריכים לעשות שום דבר.

אתם עלולים להיות בסיכון אם יצרתם תמונה בהתאמה אישית שהשתמשתם בה בגרסאות 5.6.0 ו-5.6.1 של חבילת xz-utils, כמו במערכות ההפעלה הבאות:

• Fedora 41 ו-Fedora Rawhide
• Debian testing/unstable
• openSUSE tumbleweed

כדי לצמצם את הסיכון הזה, צריך להפסיק את כל מכונות ה-VM שמשתמשות במערכות ההפעלה האלה או במערכות הפעלה אחרות שיכלו להשתמש במערכות הפעלה מושפעות. אם יש לכם מכונות וירטואליות שנבנו מתמונות בהתאמה אישית של מערכות הפעלה אחרות, כדאי לבדוק עם ספק מערכת ההפעלה אם המכונות הווירטואליות שלכם מושפעות.

אילו נקודות חולשה טופלו?

CVE-2024-3094

התגלו כמה נקודות חולשה ב-firmware של TianoCore EDK II UEFI. הקושחה הזו משמשת במכונות וירטואליות של Google Compute Engine. אם נקודות החולשה האלה ינוצלו, הן עלולות לאפשר עקיפה של ההפעלה המאובטחת, מה שיספק מדידות שגויות בתהליך ההפעלה המאובטחת, כולל כשמשתמשים בהן במכונות וירטואליות מוגנות.

מה לעשות?

לא נדרשת שום פעולה. ‫Google תיקנה את נקודת החולשה הזו ב-Compute Engine, וכל המכונות הווירטואליות מוגנות מפני נקודת החולשה הזו.

אילו נקודות חולשה טופלו במסגרת התיקון הזה?

התיקון טיפל בנקודות החולשה הבאות:

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

ב-14 בנובמבר, חברת AMD חשפה כמה נקודות חולשה שמשפיעות על מעבדי שרתים שונים של AMD. באופן ספציפי, הפגיעויות משפיעות על מעבדי EPYC Server שמבוססים על ליבת Zen דור 2 ‏Rome, דור 3 ‏Milan ודור 4 ‏Genoa.

‫Google יישמה תיקונים בנכסים שהושפעו, כולל Google Cloud, כדי להבטיח שהלקוחות מוגנים. בשלב הזה, לא נמצאו ראיות לניצול נקודת החולשה ולא דווח על כך ל-Google.

מה לעשות?

לא נדרשת פעולה מצד הלקוחות.

התיקונים כבר הוחלו על Fleet השרתים של Google ב- Google Cloud, כולל Google Compute Engine.

אילו נקודות חולשה טופלו במסגרת התיקון הזה?

התיקון טיפל בנקודות החולשה הבאות:

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2023-20521
• CVE-2021-46766
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

מידע נוסף זמין בהודעת האבטחה של AMD‏ AMD-SN-3005: "AMD INVD Instruction Security Notice", שפורסמה גם כ-CacheWarp, ובהודעת האבטחה AMD-SN-3002: "AMD Server Vulnerabilities – November 2023".

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

שתי נקודות חולשה (CVE-2023-1017 ו-CVE-2023-1018) התגלו במודול פלטפורמה מהימן (TPM) 2.0.

נקודות החולשה יכלו לאפשר לתוקף מתוחכם לנצל קריאה/כתיבה של 2 בייטים מחוץ לטווח במכונות וירטואליות מסוימות של Compute Engine.

מה לעשות?

תיקון הוחל באופן אוטומטי על כל המכונות הווירטואליות הפגיעות. לא נדרשת פעולה מצד הלקוחות.

אילו נקודות חולשה טופלו במסגרת התיקון הזה?

התיקון טיפל בנקודות החולשה הבאות:

CVE-2023-1017

ב-CVE-2023-2017, חריגה מגבולות מאגר הנתונים הזמני עלולה להיות מופעלת בשגרה של פענוח הפרמטר vTPM. תוקף מקומי שפועל במכונה וירטואלית פגיעה יכול להשתמש בזה כדי להפעיל מניעת שירות או אולי להריץ קוד שרירותי בהקשר של vTPM.

CVE-2023-1018

ב-CVE-2023-2018, קיימת קריאה מחוץ לגבולות בשגרת הפענוח של הפרמטר vTPM. תוקף מקומי שפועל במכונה וירטואלית פגיעה יכול להשתמש בזה כדי להדליף באופן עקיף נתונים מוגבלים מההקשר של vTPM.

• CVE-2023-1017
• CVE-2023-1018

הכלי Apache Log4j הוא רכיב נפוץ לרישום בקשות. ב-9 בדצמבר 2021 דווח על נקודת חולשה שיכולה לאפשר פריצה למערכת שבה פועל Apache Log4j מגרסה 2.14.1 ומטה, ולאפשר לתוקף להפעיל קוד שרירותי.

ב-10 בדצמבר 2021, NIST פרסם התראה על נקודת חולשה וחשיפה נפוצה קריטית, CVE-2021-44228. באופן ספציפי יותר, תכונות של Java Naming Directory Interface‏ (JNDI) שמשמשות בהגדרה, בהודעות יומן ובפרמטרים לא מספקות הגנה מפני LDAP שנשלט על ידי תוקף ונקודות קצה אחרות שקשורות ל-JNDI. אם לתוקף יש שליטה בהודעות יומן או בפרמטרים של הודעות יומן, הוא יכול להריץ קוד שרירותי שנטען משרתים מרוחקים כשהחלפת חיפוש הודעות מופעלת.

מה לעשות?

• ‫M4CE v4.x: צוות Migrate for Compute Engine ‏ (M4CE) סיפק גרסה חדשה ב-13 בדצמבר 2021. מנהלי פרויקטים נדרשים להחליף את הפריסה הקיימת בגרסה החדשה, כולל M4CE Manager בענן ו-M4CE בקצה העורפי 'באתר'. פרטים נוספים על פריסת גרסה 4.11 זמינים במדריך ההוראות.
• ‫M2VMs v5.x: הבעיה ב-M2VMs v5.0 ואילך תוקנה ולא נדרשת פעולה.

• CVE-2021-44228

לאחרונה התגלתה נקודת חולשה בכלי sudo של Linux, כפי שמפורט ב-CVE-2021-3156,‏ שעלולה לאפשר לתוקף עם גישה לא מורשית למעטפת מקומית במערכת שבה מותקן sudo להסלים את ההרשאות שלו (privilege escalation) להרשאות root.

ההשפעה על Compute Engine

התשתית שעליה מריצים את Compute Engine לא מושפעת מנקודת החולשה הזו. ללקוחות שמריצים מכונות וירטואליות של Compute Engine עם Linux, מומלץ לעדכן את מערכת ההפעלה האורחת. לדוגמה, אם אתם משתמשים ב-מערכת הפעלה שמותאמת לקונטיינרים, מומלץ לעדכן לאחד מהקובצי האימג' הבאים: cos-85-13310-1209-7,‏ cos-81-12871-1245-6,‏ cos-dev-89-16091-0-0 או גרסה מאוחרת יותר.

• CVE-2021-3156

חברת Eclypsium חשפה את ה-CVE הבא: CVE-2020-10713.

נקודות חולשה

בתגובה לדוח הראשוני על הפגיעות, בוצעה בדיקה נוספת של קוד GRUB2, וחברת Canonical גילתה את הפגיעויות הנוספות הבאות:

• CVE-2020-14308
• CVE-2020-14309
• CVE-2020-14310
• CVE-2020-14311
• CVE-2020-15705
• CVE-2020-15706
• CVE-2020-15707

נקודות החולשה האלה, שנקראות ביחד BootHole, מאפשרות לתוקפים עם הרשאות אדמין לטעון קבצים בינאריים לא חתומים, וכך להשבית את האכיפה של אתחול מאובטח.

ההשפעה על Compute Engine

תשתית המארח שמריצה את Compute Engine מוגנת מפני התקפות מוכרות.

לקוחות Compute Engine שמשתמשים באתחול מאובטח מוזמנים לעדכן את מערכות ההפעלה של האורחים במופעים שלהם כדי למנוע ניצול לרעה בסביבות האורחים שלהם. לפרטים נוספים, אפשר לעיין בהמלצות של ספק מערכת ההפעלה לאורח בנושא צעדים לצמצום הסיכון.

תמונות עם תיקונים ומשאבים של ספקים

כאן נספק קישורים למידע על תיקוני אבטחה מכל ספק של מערכת הפעלה, כשהמידע יהיה זמין. גרסאות קודמות של התמונות הציבוריות האלה לא מכילות את התיקונים האלה ולא מפחיתות את הסיכון למתקפות פוטנציאליות:

• פרויקט centos-cloud: CentOS patch information
  • centos-7-v20200811
  • centos-8-v20200811
• פרויקט cos-cloud:
  • cos-77-12371-1072-0
  • cos-81-12871-1185-0
  • cos-rc-85-13310-1028-0
  • cos-dev-86-15103-0-0

  אם אתם משתמשים ב-COS דרך שירות מנוהל (למשל GKE), צריך לפעול לפי ההנחיות של השירות הזה כדי להחיל עדכונים.

• פרויקט debian-cloud: DSA-4753
  • debian-10-buster-v20200805
• פרויקט coreos-cloud:
  • coreos-alpha-2163-2-1-v20190617
  • coreos-beta-2135-3-1-v20190617
  • coreos-stable-2079-6-0-v20190617
• פרויקט rhel-cloud/rhel-sap-cloud: Red Hat Vulnerability Response
  • rhel-7-v20200811
  • rhel-7-4-sap-v20200811
  • rhel-7-6-sap-v20200811
  • rhel-7-7-sap-v20200811
  • rhel-8-v20200811
• פרויקט suse-cloud/suse-sap-cloud:: SUSE KB
  • sles-12-sp5-v20200813
  • sles-15-sp2-v20200804
  • sles-12-sp4-sap-v20200804
  • sles-12-sp5-sap-v20200813
  • sles-15-sap-v20200803
  • sles-15-sp1-sap-v20200803
  • Sles-15-sp2-sap-v20200804
• פרויקט ubuntu-os-cloud: Ubuntu Wiki
  • ubuntu-1604-xenial-v20200729
  • ubuntu-1804-bionic-v20200729
  • ubuntu-2004-focal-v20200729

• CVE-2020-10713
• CVE-2020-14308
• CVE-2020-14309
• CVE-2020-14310
• CVE-2020-14311
• CVE-2020-15705
• CVE-2020-15706
• CVE-2020-15707

מכונות וירטואליות שמופעל בהן OS Login עלולות להיות חשופות לנקודות חולשה של הסלמת הרשאות (privilege escalation). נקודות החולשה האלה מאפשרות למשתמשים שהוענקו להם הרשאות OS Login‏ (אבל לא הוענקה להם הרשאת אדמין) להסלים הרשאות (privilege escalation) להרשאות root במכונה הווירטואלית.

נקודות חולשה

זוהו שלוש נקודות חולשה בתמונות של Compute Engine, שנובעות מהרשאות רחבות מדי שמוגדרות כברירת מחדל לחברות בקבוצות:

• ‫CVE-2020-8903: באמצעות המשתמש adm, אפשר לנצל את ה-XID של DHCP כדי לקבל הרשאות אדמין.
• ‫CVE-2020-8907: באמצעות המשתמש docker, אפשר לטעון ולשנות את מערכת הקבצים של מערכת ההפעלה המארחת כדי לקבל הרשאות אדמין.
• ‫CVE-2020-8933: באמצעות המשתמש lxd, אפשר לצרף מערכות קבצים של מערכת ההפעלה של המארח ולקבל הרשאות אדמין.

תיקונים ותמונות שעברו תיקון

כל התמונות הציבוריות של Compute Engine שנוצרו אחרי v20200506 עברו תיקון.

אם אתם צריכים לפתור את הבעיה בלי לעדכן לגרסה מאוחרת יותר של התמונה, אתם יכולים לערוך את הקובץ /etc/security/group.conf ולהסיר את המשתמשים adm, lxd ו-docker מהערך של OS Login שמוגדר כברירת מחדל.

• CVE-2020-8903
• CVE-2020-8907
• CVE-2020-8933

‫Microsoft חשפה את נקודת החולשה הבאה:

• ‫CVE-2020-0601: נקודת החולשה הזו נקראת גם Windows Crypto API Spoofing Vulnerability. אפשר לנצל אותה כדי לגרום לקובצי הפעלה זדוניים להיראות מהימנים או לאפשר לתוקף לערוך התקפות אדם בתווך ולפענח מידע סודי לגבי חיבורי משתמשים לתוכנה המושפעת.

ההשפעה על Compute Engine

התשתית שעליה מריצים את Compute Engine לא מושפעת מנקודת החולשה הזו. אם אתם לא מריצים Windows Server במכונה הווירטואלית של Compute Engine, לא נדרשת פעולה נוספת. לקוחות שמשתמשים במכונות וירטואליות של Compute Engine שמריצות שרת Windows צריכים לוודא שהמכונות שלהם כוללות את התיקון האחרון של Windows.

תמונות עם תיקונים ומשאבים של ספקים

גרסאות קודמות של תמונות Windows ציבוריות לא מכילות את הטלאים הבאים ולא מצמצמות את הסיכון למתקפות פוטנציאליות:

• פרויקטים windows-cloud ו-windows-sql-cloud
  • כל קובצי האימג' הציבוריים של Windows Server ו-SQL Server החל מגרסה v20200114

• CVE-2020-0601

‫Intel דיווחה על עדכוני ה-CVE הבאים:

• ‫CVE-2019-11135: נקודת החולשה הזו נקראת גם TSX Async Abort (‏TAA). ‫TAA מספקת דרך נוספת להעברת נתונים לא מורשית באמצעות אותם מבני נתונים במיקרו-ארכיטקטורה שנוצלו על ידי דגימת נתונים של מיקרו-ארכיטקטורה (MDS).
• ‫CVE-2018-12207 – נקודת החולשה הזו ידועה גם בשם Machine Check Error on Page Size Change. זוהי נקודת חולשה של התקפת מניעת שירות (DoS) שמשפיעה על מארחים של מכונות וירטואליות, ומאפשרת לאורח זדוני להפיל מארח לא מוגן.

ההשפעה על Compute Engine

CVE-2019-11135

תשתית המארח שמריצה את Compute Engine מבודדת את עומסי העבודה של הלקוחות. אם אתם לא מריצים קוד לא מהימן בתוך מכונות וירטואליות מסוג N2,‏ C2 או M2, לא נדרשת פעולה נוספת.

לקוחות N2, ‏ C2 ו-M2 שמריצים קודים לא מהימנים בשירותים מרובי-הדיירים שלהם בתוך מכונות וירטואליות של Compute Engine, צריכים להפסיק ולהפעיל מחדש את המכונות הווירטואליות כדי לוודא שהן מעודכנות עם תיקוני האבטחה האחרונים. הפעלה מחדש, ללא עצירה והפעלה, לא מספיקה. ההנחיות האלה מניחות שכבר החלתם עדכונים שפורסמו בעבר ונותנים מענה לפגיעות MDS. אם לא, צריך לפעול לפי ההוראות כדי להתקין את העדכונים המתאימים.

לקוחות שמריצים סוגי מכונות N1 לא צריכים לבצע פעולות, כי נקודת החולשה הזו לא מייצגת חשיפה חדשה מעבר לנקודות החולשה של MDS שנחשפו בעבר.

CVE-2018-12207

תשתית המארח שעליה מריצים את Compute Engine מוגנת מפני נקודת החולשה הזו. אין צורך לבצע פעולה נוספת.

• CVE-2019-11135
• CVE-2018-12207

לאחרונה, Netflix חשפה שלוש נקודות חולשה ב-TCP בליבות של Linux:

• CVE-2019-11477
• CVE-2019-11478
• CVE-2019-11479

הפגיעויות האלה נקראות ביחד NFLX-2019-001.

ההשפעה על Compute Engine

התשתית שמארחת את Compute Engine מוגנת מפני נקודת החולשה הזו.

מכונות וירטואליות ב-Compute Engine שמריצות מערכות הפעלה של Linux שלא עודכנו, וששולחות או מקבלות תעבורת נתונים לא מהימנה ברשת, חשופות למתקפת DoS. מומלץ לעדכן את המכונות הווירטואליות האלה ברגע שתיקוני אבטחה זמינים למערכות ההפעלה שלהן.

בוצע תיקון של איזוני עומסים שסוגרים חיבורי TCP כדי למנוע את הפגיעות הזו. מכונות של Compute Engine שמקבלות רק תנועה לא מהימנה דרך מאזני העומסים האלה לא פגיעות. זה כולל מאזני עומסים של HTTP, מאזני עומסים של שרתי SSL Proxy ומאזני עומסים של שרתי TCP Proxy.

מאזני עומסים ברשת ומאזני עומסים פנימיים לא סוגרים חיבורי TCP. מכונות של Compute Engine שלא עודכנו ושהן פגיעות, מקבלות תנועה לא מהימנה דרך מאזני העומסים האלה.

תמונות עם תיקונים ומשאבים של ספקים

כאן נספק קישורים למידע על תיקוני אבטחה מכל ספק של מערכת הפעלה, כשהמידע יהיה זמין, כולל הסטטוס של כל CVE. גרסאות קודמות של התמונות הציבוריות האלה לא מכילות את התיקונים האלה ולא מצמצמות את הסיכון להתקפות פוטנציאליות:

• פרויקט debian-cloud:
  • debian-9-stretch-v20190618
• פרויקט centos-cloud:
  • centos-6-v20190619
  • centos-7-v20190619
• פרויקט cos-cloud:
  • cos-dev-77-12293-0-0
  • cos-beta-76-12239-21-0
  • cos-stable-75-12105-77-0
  • cos-73-11647-217-0
  • cos-69-10895-277-0
• פרויקט coreos-cloud:
  • coreos-alpha-2163-2-1-v20190617
  • coreos-beta-2135-3-1-v20190617
  • coreos-stable-2079-6-0-v20190617
• פרויקט rhel-cloud:
  • rhel-6-v20190618
  • rhel-7-v20190618
  • rhel-8-v20190618
• פרויקט rhel-sap-cloud:
  • rhel-7-4-sap-v20190618
  • rhel-7-6-sap-v20190618
• פרויקט suse-cloud:
  • sles-12-sp4-v20190617
  • sles-15-v20190617
• פרויקט suse-sap-cloud:
  • sles-12-sp1-sap-v20190617
  • sles-12-sp2-sap-v20190617
  • sles-12-sp3-sap-v20190617
  • sles-12-sp4-sap-v20190617
  • sles-15-sap-v20190617
• פרויקט ubuntu-cloud:
  • ubuntu-1604-xenial-v20190617
  • ubuntu-1804-bionic-v20190617
  • ubuntu-1810-cosmic-v20190618
  • ubuntu-1904-disco-v20190619
  • ubuntu-minimal-1604-xenial-v20190618
  • ubuntu-minimal-1804-bionic-v20190617
  • ubuntu-minimal-1810-cosmic-v20190618
  • ubuntu-minimal-1904-disco-v20190618

• CVE-2019-11477
• CVE-2019-11478
• CVE-2019-11479

‫Intel דיווחה על עדכוני ה-CVE הבאים:

• CVE-2018-12126
• CVE-2018-12127
• CVE-2018-12130
• CVE-2019-11091

ה-CVE האלה נקראים ביחד Microarchitectural Data Sampling (MDS). פרצות האבטחה האלה עלולות לאפשר חשיפה של נתונים באמצעות האינטראקציה של ביצוע ספקולטיבי עם מצב המיקרו-ארכיטקטורה.

ההשפעה על Compute Engine

תשתית המארח שעליה מריצים את Compute Engine מבודדת בין עומסי העבודה של הלקוחות. אלא אם אתם מריצים קוד לא מהימן בתוך המכונות הווירטואליות, לא נדרשת פעולה נוספת.

לקוחות שמריצים קוד לא מהימן בשירותים מרובי-הדיירים שלהם בתוך מכונות וירטואליות של Compute Engine, צריכים לעיין בהמלצות המיטיגציה של ספק מערכת ההפעלה האורחת, שעשויות לכלול שימוש בתכונות המיטיגציה של המיקרוקוד של Intel. הטמענו גישה של אורחים דרך המערכת לפונקציית הניקוי החדשה. בהמשך מופיע סיכום של שלבי המיטיגציה שזמינים לתמונות נפוצות של אורחים.

תמונות עם תיקונים ומשאבים של ספקים

כאן נספק קישורים למידע על תיקוני אבטחה מכל ספק של מערכת הפעלה, כשהם יהיו זמינים, כולל סטטוס של כל CVE. אפשר להשתמש בתמונות האלה כדי ליצור מחדש מכונות וירטואליות. גרסאות קודמות של התמונות הציבוריות האלה לא מכילות את התיקונים האלה ולא מפחיתות את הסיכון להתקפות פוטנציאליות:

• פרויקט centos-cloud: CESA-2019:1169, ‏ CESA-2019:1168
• centos-6-v20190515
• centos-7-v20190515
• פרויקט coreos-cloud: אמצעי הגנה מפני MDS ב-CoreOS Container Linux
• coreos-stable-2079-4-0-v20190515
• coreos-beta-2107-3-0-v20190515
• coreos-alpha-2135-1-0-v20190515
• פרויקט cos-cloud
• cos-69-10895-242-0
• cos-73-11647-182-0
• פרויקט debian-cloud: DSA-4444
• debian-9-stretch-v20190514
• פרויקט rhel-cloud: Red Hat MDS Knowledge Article
• rhel-6-v20190515
• rhel-7-v20190517
• rhel-8-v20190515
• פרויקט rhel-sap-cloud: Red Hat MDS Knowledge Article
• rhel-7-4-sap-v20190515
• rhel-7-6-sap-v20190517
• פרויקט suse-cloud: SUSE MDS KB
• sles-12-sp4-v20190520
• sles-15-v20190520
• פרויקט suse-sap-cloud
• sles-12-sp4-sap-v20190520
• sles-15-sap-v20190520
• פרויקט ubuntu-os-cloud: Ubuntu MDS Wiki
• ubuntu-1404-trusty-v20190514
• ubuntu-1604-xenial-v20190514
• ubuntu-1804-bionic-v20190514
• ubuntu-1810-cosmic-v20190514
• ubuntu-1904-disco-v20190514
• ubuntu-minimal-1604-xenial-v20190514
• ubuntu-minimal-1804-bionic-v20190514
• ubuntu-minimal-1810-cosmic-v20190514
• ubuntu-minimal-1904-disco-v20190514
• פרויקטים windows-cloud ו-windows-sql-cloud: Microsoft ADV190013
• כל קובצי האימג' הציבוריים של Windows Server ו-SQL Server עם מספר הגרסה v20190514.
• פרויקט gce-uefi-images
• centos-7-v20190515
• cos-69-10895-242-0
• cos-73-11647-182-0
• rhel-7-v20190517
• ubuntu-1804-bionic-v20190514
• כל התמונות הציבוריות של Windows Server עם מספר הגרסה v20190514.

מערכת הפעלה שמותאמת לקונטיינרים

אם אתם משתמשים ב-Container Optimized OS ‏ (COS) כמערכת ההפעלה של האורח ומריצים במכונה הווירטואלית עומסי עבודה לא מהימנים של דיירים מרובים, מומלץ:

1. משביתים את Hyper-Threading על ידי הגדרת nosmt בשורת הפקודה של ליבת המערכת.
   

   במכונות וירטואליות קיימות של COS, אפשר לשנות את grub.cfg באופן הבא כדי להגדיר את האפשרות nosmt ואז להפעיל מחדש את המערכת:

   # Run as root:
   dir="$(mktemp -d)"
   mount /dev/sda12 "${dir}"
   sed -i -e "s|cros_efi|cros_efi nosmt|g" "${dir}/efi/boot/grub.cfg"
   umount "${dir}"
   rmdir "${dir}"
   
   reboot

   לנוחותכם, תוכלו להריץ את הסקריפט שבהמשך כדי לקבל את אותה התוצאה כמו בהרצת הפקודות הקודמות. מומלץ להוסיף את הסקריפט הזה ל-cloud-config, לסקריפטים להפעלה או לתבניות של מכונות, כדי לוודא שמכונות VM חדשות ישתמשו בפרמטר החדש הזה. בהמשך מופיעה דוגמה ל-cloud-config שמריץ את הסקריפט הזה.

   אזהרה: הפעלת הפקודה הזו בפעם הראשונה תגרום להפעלה מחדש מיידית של המופע. אם תריצו את הפקודה שוב על מופע שבו Hyper-Threading כבר מושבת, לא תהיה לכך השפעה.

   # Run as root
   /bin/bash <(curl -s https://storage.googleapis.com/cos-tools/scripts/disable_smt.sh)
   

   כדי לכלול את זה כחלק מ-cloud-config:

   #cloud-config
   
   bootcmd:
   - /bin/bash -c "/bin/bash <(curl -s https://storage.googleapis.com/cos-tools/scripts/disable_smt.sh)"
   

   כדי לוודא שההפעלה של Hyper-Threading מושבתת במופע, בודקים את הפלט של הקבצים /sys/devices/system/cpu/smt/active ו-/sys/devices/system/cpu/smt/control. אם הפקודה מחזירה את הערך 0 עבור active ואת הערך off עבור control, סימן שהתכונה Hyper-Threading מושבתת:

   cat /sys/devices/system/cpu/smt/active
   cat /sys/devices/system/cpu/smt/control
   

   הערה: אם הפעלתם את UEFI Secure Boot במופע, תצטרכו ליצור מחדש את המופע עם UEFI Secure Boot מושבת, להריץ את הפקודה שלמעלה עם UEFI Secure Boot מושבת, ואז להפעיל את UEFI Secure Boot במופע החדש.

2. שימוש בגרסה חדשה של תמונת COS
   

   בנוסף להשבתת Hyper-Threading כמו שמתואר למעלה, מומלץ גם ליצור מחדש את המופעים עם התמונות המעודכנות שרשומות למעלה או עם גרסאות חדשות יותר (אם יש כאלה) של תמונות של מערכת הפעלה שמותאמת לקונטיינרים, כדי לקבל הגנה מלאה מפני נקודת החולשה.

• CVE-2018-12126
• CVE-2018-12127
• CVE-2018-12130
• CVE-2019-11091

תיאור

‫Intel דיווחה על עדכוני ה-CVE הבאים:

• ‫CVE-2018-3615 (ל-SGX)
• ‫CVE-2018-3620 (למערכות הפעלה ול-SMT)
• ‫CVE-2018-3646 (למקרים של וירטואליזציה)

הפגיעויות האלה נקראות ביחד "תקלה בטרמינל L1 (L1TF)".

נקודות החולשה האלה של L1TF מנצלות ביצוע ספקולטיבי על ידי תקיפת ההגדרה של מבני נתונים ברמת המעבד. ‫L1 מתייחס למטמון נתונים ברמה 1 (L1D), משאב קטן בתוך הליבה שמשמש להאצת הגישה לזיכרון.

לפרטים נוספים על נקודות החולשה האלה ועל הפתרונות של Compute Engine, אפשר לקרוא את Google Cloud הפוסט הזה בבלוג.

ההשפעה על Compute Engine

תשתית המארח שמריצה את Compute Engine ומבודדת את עומסי העבודה של הלקוחות אלה מאלה מוגנת מפני התקפות מוכרות.

מומלץ ללקוחות Compute Engine לעדכן את התמונות שלהם כדי למנוע ניצול עקיף בסביבות האורח שלהם. ההמלצה הזו חשובה במיוחד ללקוחות שמריצים שירותים מרובי-דיירים משלהם במכונות וירטואליות של Compute Engine.

לקוחות Compute Engine יכולים לעדכן את מערכות ההפעלה של האורחים במכונות שלהם באמצעות אחת מהאפשרויות הבאות:

• להשתמש בתמונות ציבוריות עם תיקונים כדי ליצור מחדש מכונות וירטואליות קיימות.
• במקרים קיימים, מתקינים תיקונים שסופקו על ידי ספק מערכת ההפעלה ומפעילים מחדש את המקרים המתוקנים.

תמונות עם תיקונים ומשאבים של ספקים

כאן נספק קישורים למידע על תיקוני אבטחה מכל ספק של מערכת הפעלה, כשהמידע יהיה זמין, כולל סטטוס של שני מספרי ה-CVE. אפשר להשתמש בתמונות האלה כדי ליצור מחדש מכונות וירטואליות. גרסאות קודמות של התמונות הציבוריות האלה לא מכילות את התיקונים האלה ולא מצמצמות את הסיכון למתקפות פוטנציאליות:

• פרויקט centos-cloud:
  • centos-7-v20180815
  • centos-6-v20180815
• פרויקט coreos-cloud:
  • coreos-stable-1800-7-0-v20180816
  • coreos-beta-1855-2-0-v20180816
  • coreos-alpha-1871-0-0-v20180816
• פרויקט cos-cloud:
  • cos-stable-66-10452-110-0
  • cos-stable-67-10575-66-0
  • cos-beta-68-10718-81-0
  • cos-dev-69-10895-23-0
• פרויקט debian-cloud:
  • debian-9-stretch-v20180820
• פרויקט rhel-cloud:
  • rhel-7-v20180814
  • rhel-6-v20180814
• פרויקט rhel-sap-cloud:
  • rhel-7-sap-apps-v20180814
  • rhel-7-sap-hana-v20180814
• פרויקט suse-cloud:
  • sles-15-v20180816
  • sles-12-sp3-v20180814
  • sles-11-sp4-v20180816
• פרויקט suse-sap-cloud:
  • sles-15-sap-v20180816
  • sles-12-sp3-sap-v20180814
  • sles-12-sp2-sap-v20180816
• פרויקט ubuntu-os-cloud:
  • ubuntu-1804-bionic-v20180814
  • ubuntu-1604-xenial-v20180814
  • ubuntu-1404-trusty-v20180814
  • ubuntu-minimal-1804-bionic-v20180814
  • ubuntu-minimal-1604-xenial-v20180814
• פרויקטים windows-cloud gce-uefi-images ו- windows-sql-cloud:
  • כל התמונות הציבוריות של Windows Server ו-SQL Server עם מספר הגרסה -v201800814 ואילך כוללות תיקונים.

• CVE-2018-3615
• CVE-2018-3620
• CVE-2018-3646

עדכון מ-2018-09-05

‫CVE-2018-5391 פורסם ב-2018-08-14 על ידי US-CERT. בדומה ל-CVE-2018-5390, זוהי נקודת חולשה ברשת ברמת הליבה, שמגדילה את היעילות של התקפות מניעת שירות (DoS) נגד מערכות פגיעות. ההבדל העיקרי הוא שאפשר לנצל את CVE-2018-5391 דרך חיבורי IP. עדכנו את העלון הזה כדי לכלול את שתי נקודות החולשה.

תיאור

‫CVE-2018-5390 (‏SegmentSmack) מתאר נקודת חולשה ברשת ברמת הליבה, שמגבירה את היעילות של התקפות מניעת שירות (DoS) נגד מערכות פגיעות בחיבורי TCP.

‫CVE-2018-5391 (‏FragmentSmack) מתאר נקודת חולשה ברשת ברמת הליבה, שמגבירה את היעילות של התקפות מניעת שירות (DoS) נגד מערכות פגיעות בחיבורי IP.

ההשפעה על Compute Engine

התשתית של המארח שמריצה מכונות וירטואליות ב-Compute Engine לא נמצאת בסיכון. תשתית הרשת שמטפלת בתנועה אל וממכונות וירטואליות ב-Compute Engine מוגנת מפני נקודת החולשה הזו. מכונות וירטואליות ב-Compute Engine שרק שולחות או מקבלות תעבורת רשת לא מהימנה באמצעות HTTP(S),‏ SSL או מאזני עומסים של TCP מוגנות מפני הפגיעות הזו.

מכונות וירטואליות של Compute Engine שמריצות מערכות הפעלה שלא הותקנו בהן תיקוני אבטחה וששולחות או מקבלות תעבורת נתונים לא מהימנה ברשת באופן ישיר, או באמצעות מאזני עומסים ברשת, חשופות למתקפת DoS.

מומלץ לעדכן את מופעי ה-VM ברגע שתיקונים זמינים למערכות ההפעלה שלהם.

לקוחות Compute Engine יכולים לעדכן את מערכות ההפעלה של האורחים במכונות שלהם באמצעות אחת מהאפשרויות הבאות:

• להשתמש בתמונות ציבוריות עם תיקונים כדי ליצור מחדש מכונות וירטואליות קיימות. בהמשך מופיעה רשימה של תמונות ציבוריות שעברו תיקון.
• במקרים קיימים, מתקינים תיקונים שסופקו על ידי ספק מערכת ההפעלה ומפעילים מחדש את המקרים המתוקנים.

תמונות עם תיקונים ומשאבים של ספקים

כאן נפרסם קישורים למידע על תיקוני אבטחה מכל ספק של מערכת הפעלה, כשהמידע יהיה זמין.

• פרויקט centos-cloud (רק CVE-2018-5390):
  • centos-7-v20180815
  • centos-6-v20180815
• פרויקט coreos-cloud (CVE-2018-5390 ו-CVE-2018-5391):
  • coreos-stable-1800-7-0-v20180816
  • coreos-beta-1855-2-0-v20180816
  • coreos-alpha-1871-0-0-v20180816
• פרויקט cos-cloud (CVE-2018-5390 ו-CVE-2018-5391):
  • cos-stable-65-10323-98-0
  • cos-stable-66-10452-109-0
  • cos-stable-67-10575-65-0
  • cos-beta-68-10718-76-0
  • cos-dev-69-10895-16-0
• פרויקט debian-cloud (CVE-2018-5390 ו-CVE-2018-5391):
  • debian-9-stretch-v20180814
• פרויקט rhel-cloud (רק CVE-2018-5390):
  • rhel-7-v20180814
  • rhel-6-v20180814
• פרויקט suse-cloud (CVE-2018-5390 ו-CVE-2018-5391):
  • sles-15-v20180816
  • sles-12-sp3-v20180814
• פרויקט suse-sap-cloud (CVE-2018-5390 ו-CVE-2018-5391):
  • sles-15-sap-v20180816
  • sles-12-sp3-sap-v20180814
  • sles-12-sp2-sap-v20180816
• פרויקט ubuntu-os-cloud (CVE-2018-5390 ו-CVE-2018-5391):
  • ubuntu-1804-bionic-v20180814
  • ubuntu-1604-xenial-v20180814
  • ubuntu-1404-trusty-v20180814
  • ubuntu-minimal-1804-bionic-v20180814
  • ubuntu-minimal-1604-xenial-v20180814

• CVE-2018-5390
• CVE-2018-5391

עדכון מ-21 במאי 2018

‫CVE-2018-3640 ו-CVE-2018-3639, וריאנטים 3a ו-4 בהתאמה, נחשפו על ידי Intel. כמו בשלושת הווריאציות הראשונות של Spectre ו-Meltdown, התשתית שמריצה מכונות וירטואליות של Compute Engine מוגנת, והמכונות הווירטואליות של הלקוחות מבודדות ומוגנות זו מזו. בנוסף,‏ Compute Engine מתכננת לפרוס את תיקוני המיקרוקוד של Intel בתשתית שלנו, מה שיאפשר ללקוחות שמריצים עומסי עבודה לא מהימנים או מרובי-דיירים במכונה וירטואלית אחת להפעיל מיטיגציות נוספות בתוך המכונה הווירטואלית, כשהמיטיגציות האלה מסופקות על ידי ספקי מערכות הפעלה. ‫Compute Engine יפרוס את תיקוני המיקרוקוד אחרי ש-Intel תאשר אותם, ואחרי ש-Compute Engine יבדוק ויאשר את התיקונים לסביבת הייצור שלנו. נפרסם בדף הזה לוחות זמנים מפורטים יותר ועדכונים נוספים כשהם יהיו זמינים.

תיאור

מספרי ה-CVE האלה הם וריאציות של סוג חדש של מתקפה שמנצלת את טכנולוגיית הביצוע הספקולטיבי שזמינה במעבדים רבים. סוג המתקפה הזה יכול לאפשר גישה לא מורשית לקריאה בלבד לנתוני הזיכרון בנסיבות שונות.

‫Compute Engine השתמש בטכנולוגיית מיגרציה פעילה של מכונות וירטואליות כדי לבצע עדכונים של מערכת המארח וההיפר-ויז'ר בלי להשפיע על המשתמשים, בלי להכריח חלונות תחזוקה ובלי לדרוש הפעלה מחדש של מספר גדול של מכונות. עם זאת, צריך להחיל תיקון על כל מערכות ההפעלה והגרסאות של האורחים כדי להגן עליהן מפני סוג חדש זה של מתקפה, ללא קשר למקום שבו המערכות האלה פועלות.

אפשר לקרוא את הפוסט בבלוג של Project Zero כדי לקבל פרטים טכניים מלאים על שיטת התקיפה הזו. כדאי לקרוא את הפוסט בבלוג האבטחה של Google כדי לקבל פרטים מלאים על אמצעי ההגנה של Google, כולל כל המידע שספציפי למוצרים.

ההשפעה על Compute Engine

התשתית שעליה מריצים את Compute Engine ומבודדים את מכונות ה-VM של הלקוחות זו מזו מוגנת מפני מתקפות מוכרות. אמצעי ההגנה שלנו מונעים גישה לא מורשית למערכות המארחות שלנו מאפליקציות שפועלות בתוך מכונות וירטואליות. אמצעי ההגנה האלה גם מונעים גישה לא מורשית בין מכונות וירטואליות שפועלות באותה מערכת מארחת.

כדי למנוע גישה לא מורשית במופעים של מכונות וירטואליות, צריך לעדכן את מערכות ההפעלה של האורח במופעים האלה באמצעות אחת מהאפשרויות הבאות:

• משתמשים בתמונות ציבוריות עם תיקונים כדי ליצור מחדש את המכונות הווירטואליות הקיימות. בהמשך מופיעה רשימה של תמונות ציבוריות שעברו תיקון.
• במופעים הקיימים, מתקינים תיקונים שסופקו על ידי ספק מערכת ההפעלה עבור ההפצה ומפעילים מחדש את המופעים המתוקנים. בהמשך מופיעים קישורים למידע על תיקוני אבטחה מכל ספק של מערכת הפעלה.

תמונות עם תיקונים ומשאבים של ספקים

הערה: יכול להיות שהתמונות המתוקנות לא יכללו תיקונים לכל נקודות החולשה שמופיעות בהודעה הזו על עדכון אבטחה דחוף. בנוסף, תמונות שונות עשויות לכלול שיטות שונות למניעת התקפות מהסוגים האלה. כדאי לפנות לספק של מערכת ההפעלה כדי לברר אילו פגיעויות (CVE) הוא מתקן בתיקונים שלו, ואילו שיטות מניעה הוא משתמש.

• פרויקט cos-cloud: כולל תיקונים שמונעים התקפות של וריאציה 2 (CVE-2017-5715) ווריאציה 3 (CVE-2017-5754). ‫Google השתמשה ב-Retpoline בתמונות האלה כדי לצמצם את הסיכון להתקפות מסוג Variant 2.
  • cos-stable-63-10032-71-0 או משפחת תמונות cos-stable
• פרויקט centos-cloud: CentOS patch information
  • centos-7-v20180104 או משפחת תמונות centos-7
  • centos-6-v20180104 או משפחת תמונות centos-6
• פרויקט coreos-cloud: פרטי תיקון של CoreOS
  • coreos-stable-1576-5-0-v20180105 או משפחת תמונות coreos-stable
  • coreos-beta-1632-1-0-v20180105 או משפחת תמונות coreos-beta
  • coreos-alpha-1649-0-0-v20180105 או משפחת תמונות coreos-alpha
• פרויקט debian-cloud: פרטי תיקון של Debian
  • debian-9-stretch-v20180105 או משפחת תמונות debian-9
  • debian-8-jessie-v20180109 או משפחת תמונות debian-8
• פרויקט rhel-cloud: RHEL patch information
  • rhel-7-v20180104 או משפחת תמונות rhel-7
  • rhel-6-v20180104 או משפחת תמונות rhel-6
• פרויקט suse-cloud: פרטי תיקון של SUSE
  • sles-12-sp3-v20180104 או משפחת תמונות sles-12
  • sles-11-sp4-v20180104 או משפחת תמונות sles-11
• פרויקט suse-sap-cloud: פרטי תיקון של SUSE
  • sles-12-sp3-sap-v20180104 או משפחת תמונות sles-12-sp3-sap
  • sles-12-sp2-sap-v20180104 או משפחת תמונות sles-12-sp2-sap
• פרויקט ubuntu-os-cloud: פרטי תיקון של Ubuntu
  • ubuntu-1710-artful-v20180109 או משפחת תמונות ubuntu-1710
  • ubuntu-1604-xenial-v20180109 או משפחת תמונות ubuntu-1604-lts
  • ubuntu-1404-trusty-v20180110 או משפחת תמונות ubuntu-1404-lts
• פרויקטים windows-cloud ו-windows-sql-cloud:
  • כל התמונות הציבוריות של Windows Server ו-SQL Server עם מספר הגרסה -v20180109 ואילך כוללות תיקונים. עם זאת, עליכם לפעול לפי הפעולות המומלצות שמיקרוסופט מספקת בהנחיות ל-Windows Server בחוברת התמיכה, כדי להפעיל ולאמת את אמצעי ההגנה האלה גם במכונות הקיימות וגם במכונות החדשות שתיצרו.

אפשר להשתמש בתמונות האלה כדי ליצור מחדש את מופעי ה-VM. גרסאות קודמות של התמונות הציבוריות האלה לא מכילות את התיקונים האלה ולא מצמצמות את הסיכון להתקפות פוטנציאליות.

תיקוני אבטחה מספקי חומרה

חברת NVIDIA מספקת דרייברים עם תיקונים כדי לצמצם את הסיכון למתקפות פוטנציאליות על מערכות שמותקנת בהן תוכנת דרייבר של NVIDIA®. כדי לדעת אילו גרסאות של דרייברים תוקנו, אפשר לקרוא את עדכון האבטחה הדחוף NVIDIA GPU Display Driver Security Updates של NVIDIA.

היסטוריית גרסאות:

• ‫21 במאי 2018, שעה 14:00 (שעון החוף המערבי): נוסף מידע על 2 וריאציות חדשות שפורסמו ב-21 במאי 2018.
• ‫2018-01-10 T 15:00 PST: נוסף מידע על תמונות ציבוריות של Windows Server ו-SQL Server שעברו תיקון.
• ‫2018-01-10 T 10:15 PST: נוספו כמה תמונות של Ubuntu לרשימה של תמונות ציבוריות עם תיקונים.
• ‫2018-01-10 T 09:50 PST: נוספו הנחיות לגבי תיקונים מספקים של חומרה.
• ‫2018-01-03 עד 2018-01-09: בוצעו כמה שינויים ברשימה של תמונות ציבוריות עם תיקונים.

• CVE-2017-5753
• CVE-2017-5715
• CVE-2017-5754
• CVE-2018-3640
• CVE-2018-3639

‫Dnsmasq מספק פונקציונליות להצגת DNS,‏ DHCP, פרסום נתבים ואתחול רשת. התוכנה הזו מותקנת בדרך כלל במערכות מגוונות כמו הפצות של Linux למחשבים (כמו Ubuntu), נתבים ביתיים ומכשירי IoT. Dnsmasq נמצא בשימוש נרחב באינטרנט הפתוח ובתוך רשתות פרטיות.

‫Google גילתה שבע בעיות שונות במהלך הערכות האבטחה הפנימיות הרגילות שלנו. אחרי שקבענו את חומרת הבעיות האלה, חקרנו את ההשפעה שלהן ואת האפשרות לנצל אותן, ואז יצרנו הוכחות פנימיות לכל אחת מהן. בנוסף, עבדנו עם סיימון קלי, האחראי על התחזוקה של Dnsmasq, כדי ליצור תיקונים מתאימים ולצמצם את הבעיה.

במהלך הבדיקה שלנו, הצוות מצא שלוש נקודות פוטנציאליות להרצת קוד מרחוק, דליפת מידע אחת ושלוש נקודות פגיעות שגורמות למניעת שירות, שמשפיעות על הגרסה האחרונה בשרת git של הפרויקט נכון ל-5 בספטמבר 2017.

התיקונים האלה מועברים ל-upstream ונשמרים ב מאגר Git של הפרויקט.

ההשפעה על Compute Engine

כברירת מחדל, Dnsmasq מותקן רק בתמונות שמשתמשות ב-NetworkManager, והוא לא פעיל כברירת מחדל. התמונות הציבוריות הבאות של Compute Engine כוללות את Dnsmasq:

• Ubuntu 16.04, 16.10, 17.04
• CentOS 7
• RHEL 7

עם זאת, יכול להיות שבתמונות אחרות מותקן Dnsmasq כתלות בחבילות אחרות. מומלץ לעדכן את המופעים של Debian,‏ Ubuntu,‏ CentOS,‏ RHEL,‏ SLES ו-OpenSuse כדי להשתמש בקובץ אימג' העדכני ביותר של המערכת. נקודת החולשה לא משפיעה על CoreOS ועל מערכת הפעלה שמותאמת לקונטיינרים. גם תמונות של Windows לא מושפעות.

במקרים שבהם מופעלות מכונות וירטואליות עם Debian ו-Ubuntu, אפשר לבצע עדכון על ידי הרצת הפקודות הבאות במכונה הווירטואלית:

sudo apt-get -y update

sudo apt-get -y dist-upgrade

במקרים של Red Hat Enterprise Linux ו-CentOS, מריצים את הפקודה:

sudo yum -y upgrade

לתמונות SLES ו-OpenSUSE, מריצים את הפקודה:

sudo zypper up

במקום להריץ את פקודות העדכון הידניות, אפשר ליצור מחדש מכונות וירטואליות באמצעות משפחות התמונות של מערכת ההפעלה המתאימה.

• CVE-2017-14491
• CVE-2017-14492
• CVE-2017-14493
• CVE-2017-14494
• CVE-2017-14495
• CVE-2017-14496
• CVE-2017-13704

‫CVE-2016-5195 הוא מרוץ תהליכים באופן שבו מערכת המשנה של הזיכרון של ליבת לינוקס (Linux kernel) טיפלה בשבירה של מיפויי COW פרטיים לקריאה בלבד במצב של גישת כתיבה.

משתמש מקומי לא מורשה יכול לנצל את הפגם הזה כדי לקבל הרשאת כתיבה למיפויים של זיכרון לקריאה בלבד, וכך להגדיל את ההרשאות שלו במערכת.

מידע נוסף זמין בשאלות הנפוצות בנושא Dirty COW.

ההשפעה על Compute Engine

כל ההפצות והגרסאות של Linux ב-Compute Engine מושפעות. ברוב המקרים, המערכת תוריד ותתקין באופן אוטומטי ליבת חדשה יותר. עם זאת, צריך להפעיל מחדש כדי לתקן את המערכת הפועלת.

במכונות חדשות או במכונות שנוצרו מחדש על סמך התמונות הבאות של Compute Engine, כבר מותקנים ליבות עם תיקונים.

• centos-6-v20161026
• centos-7-v20161025
• coreos-alpha-1192-2-0-v20161021
• coreos-beta-1185-2-0-v20161021
• coreos-stable-1122-3-0-v20161021
• debian-8-jessie-v20161020
• rhel-6-v20161026
• rhel-7-v20161024
• sles-11-sp4-v20161021
• sles-12-sp1-v20161021
• ubuntu-1204-precise-v20161020
• ubuntu-1404-trusty-v20161020
• ubuntu-1604-xenial-v20161020
• ubuntu-1610-yakkety-v20161020

‫CVE-2015-7547 היא נקודת חולשה שבה מפענח DNS בצד הלקוח של glibc גורם לתוכנה להיות פגיעה לגלישת מאגר נתונים זמני מבוססת-מחסנית כשמשתמשים בפונקציית הספרייה getaddrinfo(). תוקף יכול לנצל לרעה תוכנה שמשתמשת בפונקציה כדי לנצל את נקודת החולשה הזו באמצעות שמות דומיינים בשליטת התוקף, שרתי DNS בשליטת התוקף או באמצעות התקפת אדם בתווך.

לפרטים נוספים, אפשר לעיין בפוסט הזה בבלוג האבטחה של Google או במסד הנתונים של Common Vulnerabilities and Exposures (CVE).

ההשפעה על Compute Engine

עדכון (22 בפברואר 2016):

עכשיו אפשר ליצור מחדש את המופעים באמצעות התמונות הבאות של CoreOS,‏ SLES ו-OpenSUSE:

• coreos-alpha-962-0-0-v20160218
• coreos-beta-899-7-0-v20160218
• coreos-stable-835-13-0-v20160218
• opensuse-13-2-v20160222
• opensuse-leap-42-1-v20160222
• sles-11-sp4-v20160222
• sles-12-sp1-v20160222

עדכון (17 בפברואר 2016):

עכשיו אפשר לבצע עדכון במופעי Ubuntu 12.04 LTS,‏ Ubuntu 14.04 LTS ו-Ubuntu 15.10 על ידי הרצת הפקודות הבאות:

1. user@my-instance:~$ sudo apt-get -y update
2. user@my-instance:~$ sudo apt-get -y dist-upgrade
3. user@my-instance:~$ sudo reboot

במקום להריץ את פקודות העדכון הידניות, אפשר ליצור מחדש את המכונות עם קובצי האימג' החדשים הבאים:

• backports-debian-7-wheezy-v20160216
• centos-6-v20160216
• centos-7-v20160216
• debian-7-wheezy-v20160216
• debian-8-jessie-v20160216
• rhel-6-v20160216
• rhel-7-v20160216
• ubuntu-1204-precise-v20160217a
• ubuntu-1404-trusty-v20160217a
• ubuntu-1510-wily-v20160217

אנחנו לא מכירים שיטות שיכולות לנצל את נקודת החולשה הזו דרך מקודדי ה-DNS של Compute Engine עם הגדרת ברירת המחדל של glibc. מומלץ לתקן את המקרים של מכונות וירטואליות בהקדם האפשרי, כי כמו בכל פגיעות חדשה, יכול להיות שעם הזמן יתגלו שיטות ניצול חדשות. אם הפעלתם את edns0 (מושבת כברירת מחדל), אתם צריכים להשבית אותו עד שהמקרים שלכם יתוקנו.

הודעה מקורית:

יכול להיות שהפצת Linux שלכם פגיעה. לקוחות Compute Engine שמשתמשים במערכת הפעלה Linux צריכים לעדכן את תמונות מערכת ההפעלה של המכונות שלהם כדי לבטל את נקודת החולשה הזו.

במקרים שבהם פועל Debian, אפשר לבצע עדכון על ידי הרצת הפקודות הבאות במופע:

1. user@my-instance:~$ sudo apt-get -y update
2. user@my-instance:~$ sudo apt-get -y dist-upgrade
3. user@my-instance:~$ sudo reboot

מומלץ גם להתקין את UnattendedUpgrades במקרים של Debian.

למכונות Red Hat Enterprise Linux:

• user@my-instance:~$ sudo yum -y upgrade
• user@my-instance:~$ sudo reboot

נמשיך לעדכן את העלון הזה כשמנהלי מערכות הפעלה אחרים יפרסמו תיקונים לפגיעות הזו, וכש-Compute Engine יפרסם תמונות מעודכנות של מערכות הפעלה.

‫CVE-2015-1427 היא נקודת חולשה במנוע הסקריפטים של Groovy ב-Elasticsearch בגרסאות שלפני 1.3.8 ובכל גרסאות 1.4.x שלפני 1.4.3, שמאפשרת לתוקפים מרחוק לעקוף את מנגנון ההגנה של ארגז החול ולבצע פקודות שרירותיות במעטפת.

פרטים נוספים זמינים במסד הנתונים הלאומי של נקודות חולשה (NVD) או במסד הנתונים של נקודות חולשה וחשיפות נפוצות (CVE).

ההשפעה על Compute Engine

אם אתם מריצים את Elasticsearch במופעים של Compute Engine, אתם צריכים לשדרג את גרסת Elasticsearch ל-1.4.3 או לגרסה מתקדמת יותר. אם כבר שדרגתם את תוכנת Elasticsearch, אתם מוגנים מפני נקודת החולשה הזו.

אם לא שדרגתם את Elasticsearch 1.4.3 ואילך, אתם יכולים לבצע שדרוג מתגלגל.

אם פרסתם את Elasticsearch באמצעות פריסה בקליק ב- Google Cloud console, אתם יכולים למחוק את ה-Deployment כדי להסיר מופעים של Elasticsearch שפועלים.

הצוות פועל לתיקון הבעיה כדי לפרוס גרסה מעודכנת של Elasticsearch. Google Cloud עם זאת, התיקון עדיין לא זמין לתכונה 'הפעלה בלחיצה' ב- Google Cloud console.

‫CVE-2015-0235 (Ghost) היא נקודת חולשה בספריית glibc.

לקוחות של App Engine‏, Cloud Storage‏, BigQuery ו-Cloud SQL לא צריכים לבצע שום פעולה. השרתים של Google עודכנו ומוגנים מפני נקודת החולשה הזו.

יכול להיות שלקוחות Compute Engine יצטרכו לעדכן את תמונות מערכת ההפעלה שלהם.

ההשפעה על Compute Engine

יכול להיות שהפצת Linux שלכם פגיעה. לקוחות Compute Engine יצטרכו לעדכן את תמונות מערכת ההפעלה של המכונות שלהם כדי לבטל את נקודת החולשה הזו אם הם מריצים Debian 7,‏ Debian 7 backports,‏ Ubuntu 12.04 LTS,‏ Red Hat Enterprise Linux,‏ CentOS או SUSE Linux Enterprise Server 11 SP3.

נקודת החולשה הזו לא משפיעה על Ubuntu 14.04 LTS,‏ Ubuntu 14.10 או SUSE Linux Enterprise Server 12.

מומלץ לשדרג את הפצות ה-Linux. במקרים שבהם מופעלות גרסאות Debian 7,‏ Debian 7 backports או Ubuntu 12.04 LTS, אפשר לבצע עדכון על ידי הרצת הפקודות הבאות במופע:

1. user@my-instance:~$ sudo apt-get update
2. user@my-instance:~$ sudo apt-get -y upgrade
3. user@my-instance:~$ sudo reboot

במקרים של Red Hat Enterprise Linux או CentOS:

1. user@my-instance:~$ sudo yum -y upgrade
2. user@my-instance:~$ sudo reboot

במופעים של SUSE Linux Enterprise Server 11 SP3:

1. user@my-instance:~$ sudo zypper --non-interactive up
2. user@my-instance:~$ sudo reboot

במקום להריץ את פקודות העדכון הידני שלמעלה, המשתמשים יכולים ליצור מחדש את המופעים שלהם באמצעות התמונות החדשות הבאות:

• debian-7-wheezy-v20150127
• backports-debian-7-wheezy-v20150127
• centos-6-v20150127
• centos-7-v20150127
• rhel-6-v20150127
• rhel-7-v20150127
• sles-11-sp3-v20150127
• ubuntu-1204-precise-v20150127

ההשפעה על מכונות וירטואליות בניהול Google

משתמשי מכונות וירטואליות מנוהלות שמשתמשים ב-gcloud preview app deploy צריכים לעדכן את קובצי הבסיס של קונטיינרים של Docker באמצעות gcloud preview app setup-managed-vms ולפרוס מחדש כל אחת מהאפליקציות הפועלות שלהם באמצעות gcloud preview app deploy. משתמשים שפורסים את appcfg לא צריכים לעשות שום דבר והשדרוג יתבצע באופן אוטומטי.

‫CVE-2014-3566 (שנקרא גם POODLE) היא נקודת חולשה בתכנון של SSL גרסה 3.0. נקודת החולשה הזו מאפשרת לתוקף ברשת לחשב את הטקסט לא מוצפן של חיבורים מאובטחים. לפרטים נוספים, ראו פוסט בבלוג שלנו בנושא נקודת החולשה.

לקוחות של App Engine,‏ Cloud Storage,‏ BigQuery ו-Cloud SQL לא צריכים לבצע שום פעולה. השרתים של Google עודכנו ומוגנים מפני נקודת החולשה הזו. לקוחות של Compute Engine צריכים לעדכן את תמונות מערכת ההפעלה שלהם.

ההשפעה על Compute Engine

עדכון (17 באוקטובר 2014):

אם אתם משתמשים ב-SSLv3, יכול להיות שאתם חשופים לבעיה. לקוחות Compute Engine יצטרכו לעדכן את תמונות מערכת ההפעלה של המופעים שלהם כדי לבטל את נקודת החולשה הזו.

מומלץ לשדרג את הפצות ה-Linux. במקרים שבהם מופעלת מערכת Debian, אפשר לבצע עדכון על ידי הרצת הפקודות הבאות במופע:

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade
user@my-instance:~$ sudo reboot

במופעי CentOS:

user@my-instance:~$ sudo yum -y upgrade
user@my-instance:~$ sudo reboot

במקום להריץ את פקודות העדכון הידניות שצוינו למעלה, המשתמשים יכולים עכשיו ליצור מחדש את המופעים שלהם באמצעות התמונות החדשות הבאות:

• centos-6-v20141016
• centos-7-v20141016
• debian-7-wheezy-v20141017
• backports-debian-7-wheezy-v20141017

אנחנו נעדכן את העלון לתמונות RHEL ו-SLES אחרי שנקבל את התמונות. בינתיים, משתמשי RHEL יכולים לפנות ישירות אל Red Hat לקבלת מידע נוסף.

הודעה מקורית:

לקוחות Compute Engine יצטרכו לעדכן את תמונות מערכת ההפעלה של המופעים שלהם כדי לבטל את נקודת החולשה הזו. אנחנו נעדכן את עדכון האבטחה הדחוף הזה עם הוראות ברגע שקובצי אימג' חדשים של מערכת ההפעלה יהיו זמינים.

יש באג ב-bash ‏ (CVE-2014-6271) שמאפשר הרצה של קוד מרחוק על סמך ניתוח של משתני סביבה שנשלטים על ידי תוקף. הווקטור הסביר ביותר לניצול הוא שימוש בבקשות HTTP זדוניות שמופנות לסקריפטים של CGI שנחשפים בשרת אינטרנט. למידע נוסף, אפשר לעיין בתיאור הבאג.

הבאגים ב-Bash טופלו ב Google Cloud מוצרים למעט תמונות של מערכות הפעלה אורחות ב-Compute Engine מתאריך שלפני 20140926. בהמשך מפורטים השלבים לצמצום ההשפעה של הבאגים בתמונות של Compute Engine.

ההשפעה על Compute Engine

יכול להיות שהבאג הזה ישפיע על כמעט כל האתרים שמשתמשים בסקריפטים של CGI. בנוסף, סביר להניח שהיא תשפיע על אתרים שמסתמכים על PHP,‏ Perl,‏ Python,‏ SSI,‏ Java,‏ C++‎ וסרוולטים דומים שיפעילו פקודות של מעטפת באמצעות קריאות כמו popen,‏ system,‏ shell_exec או ממשקי API דומים. יכול להיות שהיא תשפיע גם על מערכות שמנסות לאפשר גישה מבוקרת להתחברות של משתמשים מוגבלים באמצעות מנגנונים כמו הגבלת פקודות SSH או מעטפת bash מוגבלת.

עדכון (29 בספטמבר 2014):

במקום להריץ את פקודות העדכון הידניות שבהמשך, המשתמשים יכולים ליצור מחדש את המופעים שלהם באמצעות תמונות שמצמצמות את נקודות החולשה הנוספות שקשורות לבאג האבטחה ב-Bash, כולל CVE-2014-7169,‏ CVE-2014-6277,‏ CVE-2014-6278,‏ CVE-2014-7186 ו-CVE-2014-7187. כדי ליצור מחדש את המכונות, צריך להשתמש בתמונות החדשות הבאות:

• centos-6-v20140926
• centos-7-v20140926
• debian-7-wheezy-v20140926
• backports-debian-7-wheezy-v20140926
• rhel-6-v20140926

עדכון (25 בספטמבר 2014):

עכשיו המשתמשים יכולים לבחור ליצור מחדש את המופעים שלהם במקום לבצע עדכון ידני. כדי ליצור מחדש את המכונות, צריך להשתמש בתמונות החדשות הבאות שמכילות תיקונים לבאג האבטחה הזה:

• backports-debian-7-wheezy-v20140924
• debian-7-wheezy-v20140924
• rhel-6-v20140924
• centos-6-v20140924
• centos-7-v20140924

בתמונות של RHEL ו-SUSE, אפשר גם לבצע עדכונים באופן ידני על ידי הרצת הפקודות הבאות במופעים:

# RHEL instances
user@my-instance:~$ sudo yum -y upgrade

# SUSE instances
user@my-instance:~$ sudo zypper --non-interactive up

הודעה מקורית:

מומלץ לשדרג את הפצות ה-Linux. במקרים שבהם מופעלת מערכת Debian, אפשר לבצע עדכון על ידי הרצת הפקודות הבאות במופע:

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade

במופעי CentOS:

user@my-instance:~$ sudo yum -y upgrade

למידע מפורט, אפשר לעיין בהודעה לגבי הפצת Linux המתאימה:

• תיקונים מקוריים: http://ftp.gnu.org/gnu/bash/ (אפשר לראות את הרשומה האחרונה ב-‎ *-patches לגרסה המתאימה)
• ‫Debian: [SECURITY] [DSA 3032-1] bash security update
• ‫RHEL:
  • RHSA-2014:1293-01
  • RHSA-2014:1294-01
• ‫CentOS 5: [CentOS-announce] CESA-2014:1293
• ‫CentOS 6: [CentOS-announce] CESA-2014:1293
• ‫CentOS 7: [CentOS-announce] CESA-2014:1293

‫ Elasticsearch Logstash חשוף להחדרת פקודות למערכת ההפעלה שיכולה לאפשר שינוי לא מורשה של נתונים וחשיפה שלהם. תוקף יכול לשלוח אירועים מתוכננים לכל אחד ממקורות הנתונים של Logstash, וכך לבצע פקודות עם ההרשאות של תהליך Logstash.

ההשפעה על Compute Engine

נקודת החולשה הזו משפיעה על כל המכונות של Compute Engine שפועלות בגרסאות של Elasticsearch Logstash לפני 1.4.2 עם פלט zabbix או nagios_nsca מופעל. כדי למנוע מתקפה, אפשר:

• שדרוג ל-Logstash 1.4.2
• החלת התיקון על גרסאות 1.3.x
• משביתים את הפלט של zabbix ושל nagios_nsca.

מידע נוסף זמין בבלוג של Logstash.

ב-Elasticsearch מומלץ גם להשתמש בחומת אש כדי למנוע גישה מרחוק מכתובות IP לא מהימנות.

אנחנו רוצים להקדיש רגע כדי להגיב לכל חשש אפשרי שיש ללקוחות לגבי האבטחה של קונטיינרים של Docker כשמריצים אותם ב- Google Cloud. ההגדרה הזו כוללת לקוחות שמשתמשים בתוספים של App Engine שתומכים בקונטיינרים של Docker, במכונות וירטואליות שעברו אופטימיזציה לקונטיינרים או במתזמן של Kubernetes בקוד פתוח.

חברת Docker הגיבה לבעיה בצורה מצוינת, ואפשר לראות את התגובה שלה בבלוג כאן. חשוב לשים לב: כפי שצוין בתשובה, הבעיה שזוהתה רלוונטית רק ל-Docker 0.11, גרסה ישנה יותר שלפני שלב הייצור.

בזמן שהעולם חושב על אבטחת קונטיינרים, חשוב לנו לציין שב- Google Cloud, פתרונות שמבוססים על קונטיינרים של אפליקציות Linux (במיוחד קונטיינרים של Docker) פועלים במכונות וירטואליות מלאות (Compute Engine). אנחנו תומכים במאמצים של קהילת Docker להקשחת מחסנית הקונטיינרים של אפליקציות Linux, אבל אנחנו מודעים לכך שהטכנולוגיה חדשה ושטח הפנים גדול. אנחנו מאמינים שבשלב הזה, היפרויזורים מלאים (מכונות וירטואליות) מספקים שטח פנים קומפקטי יותר וקל יותר להגנה. מכונות וירטואליות תוכננו מההתחלה כדי לבודד עומסי עבודה זדוניים וכדי לצמצם את הסבירות להתרחשות באג בקוד ואת ההשפעה שלו.

הלקוחות שלנו יכולים להיות בטוחים שיש גבול היפר-ויזורי מלא בינם לבין כל צד שלישי, כולל קוד זדוני פוטנציאלי. אם נגיע למצב שבו נחשיב את מחסנית המכולות של אפליקציות Linux כמספיק חזקה כדי לתמוך בעומסי עבודה של דיירים מרובים, נודיע על כך לקהילה. בשלב הזה, מארז האפליקציות של Linux לא מחליף את המכונה הווירטואלית. זו דרך להפיק ממנו הרבה יותר.

יש בעיה ב-OpenSSL שבה הודעות ChangeCipherSpec לא נקשרות בצורה נכונה למכונת מצבים של לחיצת היד. כך אפשר להחדיר אותם מוקדם יותר לתהליך הלחיצה. תוקף שמשתמש בלחיצת יד מתוכננת בקפידה יכול לכפות שימוש בחומר מפתח חלש בלקוחות ובשרתים של OpenSSL SSL/TLS. אפשר לנצל את הפרצה הזו בהתקפת אדם בתווך (PITM), שבה התוקף יכול לפענח ולשנות את התנועה מהלקוח ומהשרת המותקפים.

הבעיה הזו מזוהה כ- CVE-2014-0224. צוות OpenSSL תיקן את הבעיה והודיע לקהילת OpenSSL על הצורך לעדכן את OpenSSL.

ההשפעה על Compute Engine

נקודת החולשה הזו משפיעה על כל המכונות של Compute Engine שמשתמשות ב-OpenSSL, כולל Debian,‏ CentOS,‏ Red Hat Enterprise Linux ו-SUSE Linux Enterprise Server. אפשר לעדכן את המופעים על ידי יצירה מחדש שלהם עם תמונות חדשות, או על ידי עדכון ידני של חבילות במופעים.

עדכון (2014-06-09): כדי לעדכן את המופעים שלכם שמריצים SUSE Linux Enterprise Server עם תמונות חדשות, צריך ליצור מחדש את המופעים באמצעות גרסאות התמונה הבאות או גרסאות חדשות יותר:

• sles-11-sp3-v20140609

הפוסט המקורי:

כדי לעדכן מכונות Debian ו-CentOS באמצעות תמונות חדשות, צריך ליצור מחדש את המכונות באמצעות אחת מגרסאות התמונות הבאות או גרסה מתקדמת יותר:

• debian-7-wheezy-v20140605
• backports-debian-7-wheezy-v20140605
• centos-6-v20140605
• rhel-6-v20140605

כדי לעדכן ידנית את OpenSSL במופעים, מריצים את הפקודות הבאות כדי לעדכן את החבילות המתאימות. במקרים שבהם מופעלות גרסאות של CentOS ו-RHEL, אפשר לעדכן את OpenSSL על ידי הרצת הפקודות הבאות במופע:

user@my-instance:~$ sudo yum -y update
user@my-instance:~$ sudo reboot

במקרים שבהם מופעלת מערכת Debian, אפשר לעדכן את OpenSSL על ידי הרצת הפקודות הבאות במופע:

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade
user@my-instance:~$ sudo reboot

במקרים שבהם פועל SUSE Linux Enterprise Server, אפשר לוודא ש-OpenSSL מעודכן על ידי הפעלת הפקודות הבאות במופע:

user@my-instance:~$ sudo zypper --non-interactive up
user@my-instance:~$ sudo reboot

ההטמעות של (1) TLS ו-(2) DTLS ב-OpenSSL 1.0.1 לפני 1.0.1g לא מטפלות כראוי בחבילות של Heartbeat Extension, מה שמאפשר לתוקפים מרוחקים להשיג מידע רגיש מזיכרון התהליך באמצעות חבילות שנוצרו במיוחד ומפעילות קריאה מעבר לגבולות המאגר, כפי שמוצג בקריאת מפתחות פרטיים, שקשורים ל-d1_both.c ול-t1_lib.c, הידוע גם כפרצת Heartbleed.

ההשפעה על Compute Engine

נקודת החולשה הזו משפיעה על כל המכונות של Compute Engine Debian,‏ RHEL ו-CentOS שלא מותקנת בהן הגרסה הכי עדכנית של OpenSSL. אפשר לעדכן את המופעים על ידי יצירה מחדש שלהם עם תמונות חדשות, או על ידי עדכון ידני של חבילות במופעים.

כדי לעדכן את המכונות שלכם באמצעות תמונות חדשות, צריך ליצור מחדש את המכונות באמצעות אחת מגרסאות התמונות הבאות או גרסה מתקדמת יותר:

• debian-7-wheezy-v20140408
• backports-debian-7-wheezy-v20140408
• centos-6-v20140408
• rhel-6-v20140408

כדי לעדכן ידנית את OpenSSL במופעים, מריצים את הפקודות הבאות כדי לעדכן את החבילות המתאימות. במקרים שבהם פועלות גרסאות של CentOS ו-RHEL, אפשר לוודא ש-OpenSSL מעודכן על ידי הרצת הפקודות הבאות במופע:

user@my-instance:~$ sudo yum update
user@my-instance:~$ sudo reboot

במקרים שבהם מופעלת מערכת Debian, אפשר לעדכן את OpenSSL על ידי הרצת הפקודות הבאות במופע:

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get upgrade
user@my-instance:~$ sudo reboot

אין השפעה על מקרים שבהם פועלת מערכת SUSE Linux.

עדכון מ-14 באפריל 2014: בעקבות מחקר חדש על חילוץ מפתחות באמצעות הבאג Heartbleed,‏ Compute Engine ממליץ ללקוחות Compute Engine ליצור מפתחות חדשים לכל שירות SSL שהושפע.

הערה: הפגיעות הזו רלוונטית רק לליבות שהוצאו משימוש והוסרו מאז גרסת API v1.

נקודת חולשה בפורמט מחרוזת בפונקציה b43_request_firmware ב-drivers/net/wireless/b43/main.c במנהל ההתקן האלחוטי Broadcom B43 בליבת Linux עד גרסה 3.9.4 מאפשרת למשתמשים מקומיים לקבל הרשאות על ידי ניצול גישת root והכללת מפרטי פורמט מחרוזת בפרמטר fwpostfix modprobe, מה שמוביל ליצירה לא תקינה של הודעת שגיאה.

ההשפעה על Compute Engine

נקודת החולשה הזו משפיעה על כל ליבות Compute Engine בגרסאות קודמות ל-gcg-3.3.8-201305291443. בתגובה, הוצאנו משימוש את כל הגרסאות הקודמות של ליבות Compute Engine, ואנחנו ממליצים למשתמשים לעדכן את המכונות והתמונות שלהם כדי להשתמש בליבת Compute Engine‏ gce-v20130603. ‫gce-v20130603 מכיל את ליבת המערכת (kernel) ‫gcg-3.3.8-201305291443, שכוללת את התיקון לנקודת החולשה הזו.

כדי לגלות איזו גרסת ליבה נמצאת בשימוש במופע:

1. התחברות למופע באמצעות SSH
2. מריצים את uname -r

הערה: הפגיעות הזו רלוונטית רק לליבות שהוצאו משימוש והוסרו מאז גרסת API v1.

פגיעות במחרוזת פורמט בפונקציה register_disk ב-block/genhd.c בגרסה 3.9.4 של ליבת Linux מאפשרת למשתמשים מקומיים לקבל הרשאות על ידי ניצול גישת root וכתיבת מפרטים של מחרוזת פורמט ל-/sys/module/md_mod/parameters/new_array כדי ליצור שם מכשיר /dev/md שנוצר במיוחד.

ההשפעה על Compute Engine

נקודת החולשה הזו משפיעה על כל ליבות Compute Engine בגרסאות קודמות ל-gcg-3.3.8-201305291443. בתגובה, הוצאנו משימוש ב-Compute Engine את כל הגרעינים הקודמים, ואנחנו ממליצים למשתמשים לעדכן את המכונות והתמונות שלהם כדי להשתמש בגרעין gce-v20130603 של Compute Engine. ‫gce-v20130603 מכיל את ליבת המערכת gcg-3.3.8-201305291443, שכוללת את התיקון לנקודת החולשה הזו.

כדי לגלות איזו גרסת ליבה נמצאת בשימוש במופע:

1. התחברות למופע באמצעות SSH
2. מריצים את uname -r

הערה: הפגיעות הזו רלוונטית רק לליבות שהוצאו משימוש והוסרו מאז גרסת API v1.

הפונקציה perf_swevent_init ב-kernel/events/core.c בליבת Linux לפני גרסה 3.8.9 משתמשת בסוג נתונים שגוי integer, שמאפשר למשתמשים מקומיים לקבל הרשאות באמצעות קריאה למערכת perf_event_open שנוצרה במיוחד.

ההשפעה על Compute Engine

נקודת החולשה הזו משפיעה על כל ליבות Compute Engine בגרסאות קודמות ל-gcg-3.3.8-201305211623. בתגובה, הוצאנו משימוש את כל הגרסאות הקודמות של ליבות Compute Engine, ואנחנו ממליצים למשתמשים לעדכן את המכונות והתמונות שלהם כדי להשתמש בליבת Compute Engine‏ gce-v20130521. ‫gce-v20130521 מכיל את ליבת המערכת (kernel) ‫gcg-3.3.8-201305211623, שכוללת את התיקון לנקודת החולשה הזו.

כדי לגלות איזו גרסת ליבה נמצאת בשימוש במופע:

1. התחברות למופע באמצעות SSH
2. מריצים את uname -r

הערה: הפגיעות הזו רלוונטית רק לליבות שהוצאו משימוש והוסרו מאז גרסת API v1.

מרוץ תהליכים בפונקציונליות ptrace בליבת לינוקס לפני גרסה 3.7.5 מאפשר למשתמשים מקומיים לקבל הרשאות באמצעות קריאת מערכת PTRACE_SETREGS ptrace באפליקציה שנוצרה במיוחד.

ההשפעה על Compute Engine

נקודת החולשה הזו משפיעה על ליבות של Compute Engine‏ 2.6.x-gcg-<date>. בתגובה לכך, הוצאנו משימוש ב-Compute Engine ליבות 2.6.x, ואנחנו ממליצים למשתמשים לעדכן את המכונות והתמונות שלהם כדי להשתמש בליבת gce-v20130225 של Compute Engine. ‫gce-v20130225 מכיל את הקרנל 3.3.8-gcg-201302081521, שכולל את התיקון לנקודת החולשה הזו.

כדי לגלות איזו גרסת ליבה נמצאת בשימוש במופע:

1. התחברות למופע באמצעות SSH
2. מריצים את uname -r