Buletin keamanan

20-08-2024: Menyertakan patch untuk TPU. Terapkan update dari distribusi Linux saat tersedia. Lihat panduan dari distribusi Linux. Jika Anda menggunakan TPU, harap update ke salah satu versi yang telah di-patch berikut:

• tpu-ubuntu2204-base
• v2-alpha-tpuv5
• v2-alpha-tpuv5-lite

Kerentanan (CVE-2024-6387) telah ditemukan di OpenSSH. Eksploitasi yang berhasil terhadap kerentanan ini memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode arbitrer sebagai root di mesin target.

Semua VM Compute Engine yang menggunakan distribusi Linux berbasis glibc dan memiliki OpenSSH yang terekspos sebaiknya dianalisis untuk mengetahui versi yang rentan.

Apa yang harus saya lakukan?

1. Terapkan update dari distribusi Linux saat tersedia. Lihat panduan dari distribusi Linux. Untuk Container-Optimized OS Google, update ke salah satu versi yang di-patch berikut:
   • cos-113-18244-85-49
   • cos-109-17800-218-69
   • cos-105-17412-370-67
   • cos-101-17162-463-55
   Jika Anda menggunakan Container-Optimized OS melalui layanan terkelola Google (misalnya, GKE), lihat buletin keamanan layanan tersebut untuk mengetahui ketersediaan patch.
2. Jika update tidak memungkinkan, pertimbangkan untuk menonaktifkan OpenSSH hingga dapat diperbaiki. Jaringan default sudah terisi otomatis dengan aturan firewall default-allow-ssh untuk mengizinkan akses SSH dari Internet publik. Untuk menghapus akses ini, pelanggan dapat:
   1. Anda dapat membuat aturan untuk mengizinkan akses SSH yang Anda butuhkan dari jaringan tepercaya ke node GKE atau VM Compute Engine lainnya dalam project; lalu
   2. Nonaktifkan aturan firewall default dengan perintah berikut:

      gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT
            

   Jika Anda telah membuat aturan firewall lain yang dapat mengizinkan SSH melalui TCP di port 22, nonaktifkan aturan tersebut, atau batasi IP sumber ke jaringan tepercaya.
   
   Pastikan Anda tidak lagi dapat melakukan SSH ke VM dari Internet. Konfigurasi firewall ini memitigasi kerentanan.
3. Jika OpenSSH harus tetap aktif, Anda juga dapat menjalankan update konfigurasi yang menghilangkan kondisi kasus race untuk eksploitasi. Ini adalah mitigasi runtime. Untuk menerapkan perubahan dalam konfigurasi sshd, skrip ini akan memulai ulang layanan sshd.

   #!/bin/bash
   set -e
   
   SSHD_CONFIG_FILE=/etc/ssh/sshd_config
   # -c: count the matches
   # -q: don't print to console
   # -i: sshd_config keywords are case insensitive.
   if [[ "$(grep -ci '^LoginGraceTime' $SSHD_CONFIG_FILE)" -eq 0 ]]; then
       echo "LoginGraceTime 0" >> "$SSHD_CONFIG_FILE"
       echo "Set the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   else
       sed -i 's/^LoginGraceTime.*$/LoginGraceTime 0/' /etc/ssh/sshd_config
       echo "Changed the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   fi
   # Restart the sshd service to apply the new config.
   systemctl restart sshd
       

4. Terakhir, pantau aktivitas jaringan yang tidak biasa yang melibatkan server SSH.

Compute Engine tidak terpengaruh oleh CVE-2024-3094, yang memengaruhi paket xz-utils versi 5.6.0 dan 5.6.1 di library liblzma, dan dapat menyebabkan utilitas OpenSSH terganggu.

Apa yang harus saya lakukan?

Image publik yang didukung dan ditawarkan oleh Compute Engine tidak terpengaruh oleh CVE ini. Jika Anda menggunakan image publik Compute Engine untuk VM, Anda tidak perlu melakukan tindakan apa pun.

Anda mungkin berisiko jika membuat image kustom yang menggunakan xz-utils package versi 5.6.0 dan 5.6.1, seperti sistem operasi berikut:

• Fedora 41 dan Fedora Rawhide
• Debian testing/unstable
• openSUSE tumbleweed

Untuk mengurangi risiko ini, hentikan semua VM yang menggunakan sistem operasi ini atau sistem operasi lain yang mungkin telah menggunakan sistem operasi yang terpengaruh. Jika Anda memiliki VM yang dibuat dari image kustom sistem operasi lain, hubungi vendor OS Anda untuk melihat apakah VM Anda terpengaruh.

Kerentanan apa yang sedang ditangani?

CVE-2024-3094

Beberapa kerentanan ditemukan di firmware UEFI TianoCore EDK II. Firmware ini digunakan di VM Google Compute Engine. Jika dieksploitasi, kerentanan ini dapat memungkinkan melewati booting aman, yang akan memberikan pengukuran yang salah dalam proses booting aman, termasuk saat digunakan di Shielded VM.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Google telah menambal kerentanan ini di Compute Engine dan semua VM dilindungi dari kerentanan ini.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Patch ini mengurangi kerentanan berikut:

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

Pada 14 November, AMD mengungkapkan beberapa kerentanan yang memengaruhi berbagai CPU server AMD. Secara khusus, kerentanan ini memengaruhi CPU Server EPYC yang memanfaatkan generasi inti Zen 2 "Rome", gen 3 "Milan", dan gen 4 "Genoa".

Google telah menerapkan perbaikan pada aset yang terpengaruh, termasuk Google Cloud, untuk memastikan pelanggan terlindungi. Saat ini, tidak ada bukti eksploitasi yang ditemukan atau dilaporkan ke Google.

Apa yang harus saya lakukan?

Pelanggan tidak perlu melakukan tindakan apa pun.

Perbaikan telah diterapkan ke armada server Google untuk Google Cloud, termasuk Google Compute Engine.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Patch ini mengurangi kerentanan berikut:

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2023-20521
• CVE-2021-46766
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

Untuk mengetahui informasi selengkapnya, lihat saran keamanan AMD AMD-SN-3005: "AMD INVD Instruction Security Notice", yang juga dipublikasikan sebagai CacheWarp, dan AMD-SN-3002: "AMD Server Vulnerabilities – November 2023".

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

Dua kerentanan (CVE-2023-1017 dan CVE-2023-1018) ditemukan di Trusted Platform Module (TPM) 2.0.

Kerentanan ini dapat memungkinkan penyerang yang canggih untuk mengeksploitasi baca/tulis di luar batas 2 byte pada VM Compute Engine tertentu.

Apa yang harus saya lakukan?

Patch diterapkan secara otomatis ke semua VM yang rentan. Pelanggan tidak perlu melakukan tindakan apa pun.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Patch ini mengurangi kerentanan berikut:

CVE-2023-1017

Dengan CVE-2023-2017, buffer overrun dapat dipicu dalam rutin dekripsi parameter vTPM. Penyerang lokal yang berjalan di VM yang rentan dapat menggunakan hal ini untuk memicu penolakan layanan atau kemungkinan menjalankan kode arbitrer dalam konteks vTPM.

CVE-2023-1018

Dengan CVE-2023-2018, pembacaan di luar batas ada dalam rutin dekripsi parameter vTPM. Penyerang lokal yang berjalan di VM yang rentan dapat menggunakan hal ini untuk secara tidak langsung membocorkan data terbatas dari konteks vTPM.

• CVE-2023-1017
• CVE-2023-1018

Aplikasi utilitas Apache Log4j adalah komponen yang biasa digunakan untuk mencatat log permintaan. Pada 9 Desember 2021, dilaporkan adanya kerentanan yang dapat memungkinkan sistem yang menjalankan Apache Log4j versi 2.14.1 atau yang lebih lama disusupi dan memungkinkan penyerang untuk mengeksekusi kode arbitrer.

Pada 10 Desember 2021, NIST memublikasikan pemberitahuan Kerentanan dan Eksposur Umum yang penting, CVE-2021-44228. Lebih spesifik lagi, fitur Java Naming Directory Interface (JNDI) yang digunakan dalam konfigurasi, pesan log, dan parameter tidak memberikan perlindungan terhadap LDAP yang dikontrol penyerang dan endpoint terkait JNDI lainnya. Penyerang yang dapat mengontrol pesan log atau parameter pesan log dapat mengeksekusi kode arbitrer yang dimuat dari server jarak jauh saat substitusi pencarian pesan diaktifkan.

Apa yang harus saya lakukan?

• M4CE v4.x: Tim Migrate for Compute Engine (M4CE) telah menyediakan versi baru pada 13 Desember 2021. Project manager diwajibkan untuk mengganti deployment yang ada dengan versi baru, termasuk backend M4CE Manager dalam cloud dan M4CE "di lokasi". Lihat Panduan Cara untuk mengetahui detail tentang detail deployment versi 4.11.
• M2VM v5.x: M2VM v5.0 dan yang lebih baru telah diperbaiki dan tidak ada tindakan yang diperlukan.

• CVE-2021-44228

Baru-baru ini ditemukan kerentanan di utilitas Linux sudo, yang dijelaskan dalam CVE-2021-3156, yang dapat memungkinkan penyerang dengan akses shell lokal yang tidak memiliki hak istimewa pada sistem yang menginstal sudo untuk meningkatkan hak istimewanya menjadi root di sistem.

Dampak Compute Engine

Infrastruktur yang mendasari yang menjalankan Compute Engine tidak terpengaruh oleh kerentanan ini. VM Compute Engine yang menjalankan Linux harus mempertimbangkan untuk mengupdate sistem operasi tamu mereka. Misalnya, jika Anda menggunakan Container-Optimized OS, sebaiknya update ke salah satu image berikut: cos-85-13310-1209-7, cos-81-12871-1245-6, cos-dev-89-16091-0-0, atau yang lebih baru.

• CVE-2021-3156

Eclypsium telah mengungkapkan CVE berikut: CVE-2020-10713.

Kerentanan

Sebagai respons terhadap laporan kerentanan awal, pemeriksaan tambahan diterapkan pada kode GRUB2 dan kerentanan tambahan berikut ditemukan oleh Canonical:

• CVE-2020-14308
• CVE-2020-14309
• CVE-2020-14310
• CVE-2020-14311
• CVE-2020-15705
• CVE-2020-15706
• CVE-2020-15707

Kerentanan ini, yang secara kolektif disebut BootHole, memungkinkan biner yang tidak ditandatangani dimuat oleh penyerang dengan hak istimewa administratif, sehingga menonaktifkan penerapan booting aman.

Dampak Compute Engine

Infrastruktur host yang menjalankan Compute Engine dilindungi dari serangan yang diketahui.

Pelanggan Compute Engine yang menggunakan boot aman sebaiknya mengupdate sistem operasi tamu pada instance mereka untuk mencegah kemungkinan eksploitasi dalam lingkungan tamu mereka. Untuk mengetahui detailnya, lihat mitigasi yang direkomendasikan Vendor OS Tamu Anda.

Resource vendor dan gambar yang di-patch

Kami akan memberikan link untuk mem-patch informasi dari setiap vendor sistem operasi di sini saat tersedia. Versi gambar publik ini sebelumnya tidak berisi patch tersebut dan tidak memitigasi potensi serangan:

• Project centos-cloud: Informasi patch CentOS
  • centos-7-v20200811
  • centos-8-v20200811
• Project cos-cloud:
  • cos-77-12371-1072-0
  • cos-81-12871-1185-0
  • cos-rc-85-13310-1028-0
  • cos-dev-86-15103-0-0

  Jika Anda menggunakan COS melalui layanan terkelola (misalnya, GKE), ikuti panduan untuk layanan tersebut guna menerapkan update.

• Project debian-cloud: DSA-4753
  • debian-10-buster-v20200805
• Project coreos-cloud:
  • coreos-alpha-2163-2-1-v20190617
  • coreos-beta-2135-3-1-v20190617
  • coreos-stable-2079-6-0-v20190617
• Project rhel-cloud/rhel-sap-cloud: Red Hat Vulnerability Response
  • rhel-7-v20200811
  • rhel-7-4-sap-v20200811
  • rhel-7-6-sap-v20200811
  • rhel-7-7-sap-v20200811
  • rhel-8-v20200811
• Project suse-cloud/suse-sap-cloud:: SUSE KB
  • sles-12-sp5-v20200813
  • sles-15-sp2-v20200804
  • sles-12-sp4-sap-v20200804
  • sles-12-sp5-sap-v20200813
  • sles-15-sap-v20200803
  • sles-15-sp1-sap-v20200803
  • Sles-15-sp2-sap-v20200804
• Project ubuntu-os-cloud: Ubuntu Wiki
  • ubuntu-1604-xenial-v20200729
  • ubuntu-1804-bionic-v20200729
  • ubuntu-2004-focal-v20200729

• CVE-2020-10713
• CVE-2020-14308
• CVE-2020-14309
• CVE-2020-14310
• CVE-2020-14311
• CVE-2020-15705
• CVE-2020-15706
• CVE-2020-15707

VM yang mengaktifkan Login OS mungkin rentan terhadap kerentanan eskalasi hak istimewa. Kerentanan ini memberi pengguna yang diberi izin Login OS (tetapi tidak diberi akses administrator) kemampuan untuk melakukan eskalasi ke akses root di VM.

Kerentanan

Tiga kerentanan berikut, yang disebabkan oleh keanggotaan grup default yang terlalu permisif, diidentifikasi untuk image Compute Engine:

• CVE-2020-8903: dengan menggunakan pengguna adm, Anda dapat memanfaatkan XID DHCP untuk mendapatkan hak istimewa administratif.
• CVE-2020-8907: dengan menggunakan pengguna docker, Anda dapat memasang dan mengubah sistem file OS host untuk mendapatkan hak istimewa administratif.
• CVE-2020-8933: dengan menggunakan pengguna lxd, Anda dapat melampirkan sistem file OS host dan mendapatkan hak istimewa administratif.

Perbaikan dan gambar yang di-patch

Semua image publik Compute Engine yang dibuat setelah v20200506 telah di-patch.

Jika Anda perlu memperbaiki masalah ini tanpa mengupdate ke versi image yang lebih baru, Anda dapat mengedit file /etc/security/group.conf dan menghapus pengguna adm, lxd, dan docker dari entri Login OS default.

• CVE-2020-8903
• CVE-2020-8907
• CVE-2020-8933

Microsoft mengungkapkan kerentanan berikut:

• CVE-2020-0601— Kerentanan ini juga dikenal sebagai Kerentanan Pemalsuan Windows Crypto API dan dapat dieksploitasi untuk membuat file yang dapat dieksekusi berbahaya tampak tepercaya atau memungkinkan penyerang melakukan serangan man-in-the-middle dan mendekripsi informasi rahasia pada koneksi pengguna ke software yang terpengaruh.

Dampak Compute Engine

Infrastruktur yang mendasari yang menjalankan Compute Engine tidak terpengaruh oleh kerentanan ini. Kecuali jika Anda menjalankan Windows Server di mesin virtual Compute Engine, tidak ada tindakan lebih lanjut yang diperlukan. Pelanggan yang menggunakan VM Compute Engine yang menjalankan Windows Server harus memastikan instance mereka memiliki patch Windows terbaru.

Resource vendor dan gambar yang di-patch

Versi image Windows publik sebelumnya tidak berisi patch berikut dan tidak memitigasi potensi serangan:

• Project windows-cloud dan windows-sql-cloud
  • Semua image publik Windows Server dan SQL Server mulai dari v20200114

• CVE-2020-0601

Intel telah mengungkapkan CVE berikut:

• CVE-2019-11135— CVE ini juga dikenal sebagai TSX Async Abort (TAA). TAA menyediakan jalur lain untuk eksfiltrasi data menggunakan struktur data mikroarsitektur yang sama yang dieksploitasi oleh Sampling Data Mikroarsitektur (MDS).
• CVE-2018-12207— CVE ini juga dikenal sebagai "Machine Check Error on Page Size Change". Ini adalah kerentanan Denial of Service (DoS) yang memengaruhi host virtual machine sehingga memungkinkan tamu berbahaya menyebabkan eror pada host yang tidak dilindungi.

Dampak Compute Engine

CVE-2019-11135

Infrastruktur host yang menjalankan Compute Engine mengisolasi beban kerja pelanggan. Kecuali jika Anda menjalankan kode yang tidak tepercaya di dalam VM N2, C2, atau M2, Anda tidak perlu melakukan tindakan lebih lanjut.

Pelanggan N2, C2, atau M2 yang menjalankan kode yang tidak tepercaya di layanan multi-tenant mereka sendiri dalam virtual machine Compute Engine harus menghentikan dan memulai VM mereka untuk memastikan mereka memiliki mitigasi keamanan terbaru. A mulai ulang, tanpa menghentikan/memulai, tidak cukup. Panduan ini mengasumsikan Anda telah menerapkan update yang dirilis sebelumnya yang mencakup kerentanan MDS. Jika tidak, harap ikuti petunjuk untuk menerapkan update yang sesuai.

Untuk pelanggan yang menjalankan jenis mesin N1, tidak ada tindakan yang diperlukan, karena kerentanan ini tidak menimbulkan eksposur baru di luar kerentanan MDS yang diungkapkan sebelumnya.

CVE-2018-12207

Infrastruktur host yang menjalankan Compute Engine dilindungi dari kerentanan ini. Tidak diperlukan tindakan lebih lanjut.

• CVE-2019-11135
• CVE-2018-12207

Netflix baru-baru ini mengungkapkan tiga kerentanan TCP di kernel Linux:

• CVE-2019-11477
• CVE-2019-11478
• CVE-2019-11479

CVE ini secara keseluruhan disebut sebagai NFLX-2019-001.

Dampak Compute Engine

Infrastruktur yang menghosting Compute Engine dilindungi dari kerentanan ini.

VM Compute Engine yang menjalankan sistem operasi Linux tanpa patch yang mengirim/menerima traffic jaringan tidak tepercaya rentan terhadap serangan DoS ini. Pertimbangkan untuk mengupdate instance VM ini segera setelah patch tersedia untuk sistem operasinya.

Load balancer yang menutup koneksi TCP telah di-patch terhadap kerentanan ini. Instance Compute Engine yang hanya menerima traffic yang tidak tepercaya melalui load balancer ini tidak rentan. Hal ini mencakup Load Balancer HTTP, Load Balancer Proxy SSL, dan Load Balancer Proxy TCP.

Load balancer jaringan dan load balancer internal tidak menutup koneksi TCP. Instance Compute Engine yang belum di-patch yang menerima traffic tidak tepercaya melalui load balancer ini rentan.

Resource vendor dan gambar yang di-patch

Kami akan memberikan link untuk mem-patch informasi dari setiap vendor sistem operasi di sini saat tersedia, termasuk status untuk setiap CVE. Versi gambar publik ini sebelumnya tidak berisi patch tersebut dan tidak memitigasi potensi serangan:

• Project debian-cloud:
  • debian-9-stretch-v20190618
• Project centos-cloud:
  • centos-6-v20190619
  • centos-7-v20190619
• Project cos-cloud:
  • cos-dev-77-12293-0-0
  • cos-beta-76-12239-21-0
  • cos-stable-75-12105-77-0
  • cos-73-11647-217-0
  • cos-69-10895-277-0
• Project coreos-cloud:
  • coreos-alpha-2163-2-1-v20190617
  • coreos-beta-2135-3-1-v20190617
  • coreos-stable-2079-6-0-v20190617
• Project rhel-cloud:
  • rhel-6-v20190618
  • rhel-7-v20190618
  • rhel-8-v20190618
• Project rhel-sap-cloud:
  • rhel-7-4-sap-v20190618
  • rhel-7-6-sap-v20190618
• Project suse-cloud:
  • sles-12-sp4-v20190617
  • sles-15-v20190617
• Project suse-sap-cloud:
  • sles-12-sp1-sap-v20190617
  • sles-12-sp2-sap-v20190617
  • sles-12-sp3-sap-v20190617
  • sles-12-sp4-sap-v20190617
  • sles-15-sap-v20190617
• Project ubuntu-cloud:
  • ubuntu-1604-xenial-v20190617
  • ubuntu-1804-bionic-v20190617
  • ubuntu-1810-cosmic-v20190618
  • ubuntu-1904-disco-v20190619
  • ubuntu-minimal-1604-xenial-v20190618
  • ubuntu-minimal-1804-bionic-v20190617
  • ubuntu-minimal-1810-cosmic-v20190618
  • ubuntu-minimal-1904-disco-v20190618

• CVE-2019-11477
• CVE-2019-11478
• CVE-2019-11479

Intel telah mengungkapkan CVE berikut:

• CVE-2018-12126
• CVE-2018-12127
• CVE-2018-12130
• CVE-2019-11091

CVE ini secara keseluruhan disebut sebagai Microarchitectural Data Sampling (MDS). Kerentanan ini berpotensi memungkinkan data diekspos menggunakan interaksi eksekusi spekulatif dengan status mikroarsitektur.

Dampak Compute Engine

Infrastruktur host yang menjalankan Compute Engine mengisolasi beban kerja pelanggan dari satu sama lain. Kecuali jika Anda menjalankan kode yang tidak tepercaya di dalam VM, Anda tidak perlu melakukan tindakan lebih lanjut.

Untuk pelanggan yang menjalankan kode yang tidak tepercaya dalam layanan multi-tenant mereka sendiri di dalam virtual machine Compute Engine, lihat mitigasi yang direkomendasikan Vendor OS Tamu Anda, yang mungkin mencakup penggunaan fitur mitigasi microcode Intel. Kami telah men-deploy akses teruskan tamu ke fungsi flush baru. Berikut adalah ringkasan langkah-langkah mitigasi yang tersedia untuk gambar tamu umum.

Resource vendor dan gambar yang di-patch

Kami akan memberikan link untuk mem-patch informasi dari setiap vendor sistem operasi di sini saat tersedia, termasuk status untuk setiap CVE. Gunakan image ini untuk membuat ulang instance VM. Versi gambar publik ini sebelumnya tidak berisi patch tersebut dan tidak memitigasi potensi serangan:

• Project centos-cloud: CESA-2019:1169, CESA-2019:1168
• centos-6-v20190515
• centos-7-v20190515
• Project coreos-cloud: Mitigasi MDS untuk CoreOS Container Linux
• coreos-stable-2079-4-0-v20190515
• coreos-beta-2107-3-0-v20190515
• coreos-alpha-2135-1-0-v20190515
• Project cos-cloud
• cos-69-10895-242-0
• cos-73-11647-182-0
• Project debian-cloud: DSA-4444
• debian-9-stretch-v20190514
• Project rhel-cloud: Artikel Pengetahuan MDS Red Hat
• rhel-6-v20190515
• rhel-7-v20190517
• rhel-8-v20190515
• Project rhel-sap-cloud: Artikel Pengetahuan MDS Red Hat
• rhel-7-4-sap-v20190515
• rhel-7-6-sap-v20190517
• Project suse-cloud: Pusat Informasi (KB) MDS SUSE
• sles-12-sp4-v20190520
• sles-15-v20190520
• Project suse-sap-cloud
• sles-12-sp4-sap-v20190520
• sles-15-sap-v20190520
• Project ubuntu-os-cloud: Wiki MDS Ubuntu
• ubuntu-1404-trusty-v20190514
• ubuntu-1604-xenial-v20190514
• ubuntu-1804-bionic-v20190514
• ubuntu-1810-cosmic-v20190514
• ubuntu-1904-disco-v20190514
• ubuntu-minimal-1604-xenial-v20190514
• ubuntu-minimal-1804-bionic-v20190514
• ubuntu-minimal-1810-cosmic-v20190514
• ubuntu-minimal-1904-disco-v20190514
• Project windows-cloud dan windows-sql-cloud: Microsoft ADV190013
• Semua image publik Windows Server dan SQL Server dengan nomor versi v20190514.
• Project gce-uefi-images
• centos-7-v20190515
• cos-69-10895-242-0
• cos-73-11647-182-0
• rhel-7-v20190517
• ubuntu-1804-bionic-v20190514
• Semua image publik Windows Server dengan nomor versi v20190514.

Container-Optimized OS

Jika Anda menggunakan Container Optimized OS (COS) sebagai OS Tamu dan Anda menjalankan workload multi-tenant yang tidak tepercaya di virtual machine, sebaiknya Anda:

1. Nonaktifkan Hyper-Threading dengan menyetel nosmt di command line kernel.
   

   Pada VM COS yang ada, Anda dapat mengubah grub.cfg sebagai berikut untuk menyetel opsi nosmt, lalu memulai ulang sistem:

   # Run as root:
   dir="$(mktemp -d)"
   mount /dev/sda12 "${dir}"
   sed -i -e "s|cros_efi|cros_efi nosmt|g" "${dir}/efi/boot/grub.cfg"
   umount "${dir}"
   rmdir "${dir}"
   
   reboot

   Untuk mempermudah, Anda dapat menjalankan skrip di bawah untuk mendapatkan hasil yang sama seperti menjalankan perintah sebelumnya. Sebaiknya jadikan skrip ini bagian dari cloud-config, skrip startup, atau template instance Anda, untuk memastikan VM baru menggunakan parameter baru ini. Contoh cloud-config yang menjalankan skrip ini ada di bawah.

   Peringatan: Perintah ini akan menyebabkan instance segera di-reboot saat dijalankan untuk pertama kalinya. Penjalanan perintah berikutnya pada instance dengan Hyper-Threading yang sudah dinonaktifkan tidak akan berpengaruh.

   # Run as root
   /bin/bash <(curl -s https://storage.googleapis.com/cos-tools/scripts/disable_smt.sh)
   

   Untuk menyertakannya sebagai bagian dari cloud-config Anda:

   #cloud-config
   
   bootcmd:
   - /bin/bash -c "/bin/bash <(curl -s https://storage.googleapis.com/cos-tools/scripts/disable_smt.sh)"
   

   Untuk mengonfirmasi apakah Hyper-Threading dinonaktifkan di instance Anda, lihat output file /sys/devices/system/cpu/smt/active dan /sys/devices/system/cpu/smt/control. Jika menampilkan 0 untuk active dan off untuk control, Hyper-Threading dinonaktifkan:

   cat /sys/devices/system/cpu/smt/active
   cat /sys/devices/system/cpu/smt/control
   

   Catatan: Jika Anda telah mengaktifkan Booting Aman UEFI di instance, Anda harus membuat ulang instance dengan menonaktifkan Booting Aman UEFI, menjalankan perintah di atas dengan menonaktifkan Booting Aman UEFI, lalu mengaktifkan Booting Aman UEFI di instance baru Anda.

2. Menggunakan versi baru image COS
   

   Selain menonaktifkan Hyper-Threading seperti yang dijelaskan di atas, Anda juga harus membuat ulang instance Anda dengan image yang diupdate yang tercantum di atas atau versi yang lebih baru (jika tersedia) dari image Container-Optimized OS agar terlindungi sepenuhnya dari kerentanan.

• CVE-2018-12126
• CVE-2018-12127
• CVE-2018-12130
• CVE-2019-11091

Deskripsi

Intel telah mengungkapkan CVE berikut:

• CVE-2018-3615 (untuk SGX)
• CVE-2018-3620 (untuk sistem operasi dan SMT)
• CVE-2018-3646 (untuk virtualisasi)

CVE tersebut secara keseluruhan disebut sebagai "L1 Terminal Fault (L1TF)".

Kerentanan L1TF ini mengeksploitasi eksekusi spekulatif dengan menyerang konfigurasi struktur data tingkat prosesor. "L1" merujuk pada cache Data Level-1 (L1D), resource kecil pada inti yang digunakan untuk mempercepat akses memori.

Baca Google Cloud entri blog untuk mengetahui detail selengkapnya tentang kerentanan dan mitigasi Compute Engine ini.

Dampak Compute Engine

Infrastruktur host yang menjalankan Compute Engine dan mengisolasi beban kerja pelanggan dari satu sama lain dilindungi dari serangan yang diketahui.

Pelanggan Compute Engine sebaiknya mengupdate gambar mereka untuk mencegah kemungkinan adanya eksploitasi tidak langsung dalam lingkungan tamu mereka. Ini sangat penting bagi pelanggan yang menjalankan layanan multi-tenant mereka sendiri pada mesin virtual Compute Engine.

Pelanggan Compute Engine dapat mengupdate sistem operasi tamu pada instance mereka menggunakan salah satu opsi berikut:

• Menggunakan gambar publik yang di-patch untuk membuat ulang instance VM yang ada.
• Pada instance yang ada, instal patch yang disediakan oleh vendor sistem operasi dan reboot instance yang di-patch.

Resource vendor dan gambar yang di-patch

Kami akan memberikan link untuk mem-patch informasi dari setiap vendor sistem operasi di sini saat tersedia, termasuk status untuk kedua CVE. Gunakan gambar ini untuk membuat ulang instance VM. Versi gambar publik ini sebelumnya tidak berisi patch tersebut dan tidak memitigasi potensi serangan:

• Project centos-cloud:
  • centos-7-v20180815
  • centos-6-v20180815
• Project coreos-cloud:
  • coreos-stable-1800-7-0-v20180816
  • coreos-beta-1855-2-0-v20180816
  • coreos-alpha-1871-0-0-v20180816
• Project cos-cloud:
  • cos-stable-66-10452-110-0
  • cos-stable-67-10575-66-0
  • cos-beta-68-10718-81-0
  • cos-dev-69-10895-23-0
• Project debian-cloud:
  • debian-9-stretch-v20180820
• Project rhel-cloud:
  • rhel-7-v20180814
  • rhel-6-v20180814
• Project rhel-sap-cloud:
  • rhel-7-sap-apps-v20180814
  • rhel-7-sap-hana-v20180814
• Project suse-cloud:
  • sles-15-v20180816
  • sles-12-sp3-v20180814
  • sles-11-sp4-v20180816
• Project suse-sap-cloud:
  • sles-15-sap-v20180816
  • sles-12-sp3-sap-v20180814
  • sles-12-sp2-sap-v20180816
• Project ubuntu-os-cloud:
  • ubuntu-1804-bionic-v20180814
  • ubuntu-1604-xenial-v20180814
  • ubuntu-1404-trusty-v20180814
  • ubuntu-minimal-1804-bionic-v20180814
  • ubuntu-minimal-1604-xenial-v20180814
• Project windows-cloud gce-uefi-images dan windows-sql-cloud:
  • Semua image publik Windows Server dan SQL Server dengan nomor versi -v201800814 dan yang lebih baru menyertakan patch.

• CVE-2018-3615
• CVE-2018-3620
• CVE-2018-3646

Update 05-09-2018

CVE-2018-5391 diungkapkan pada 14-08-2018 oleh US-CERT. Serupa dengan CVE-2018-5390, kerentanan ini merupakan kerentanan jaringan tingkat kernel yang meningkatkan efektivitas serangan Denial of Service (DoS) terhadap sistem yang rentan. Perbedaan utamanya adalah bahwa CVE-2018-5391 dapat dieksploitasi melalui koneksi IP. Kami memperbarui buletin ini untuk mencakup kedua kerentanan.

Deskripsi

CVE-2018-5390 ("SegmentSmack") menjelaskan kerentanan jaringan tingkat kernel yang meningkatkan keefektifan serangan denial of service (DoS) terhadap sistem yang rentan melalui koneksi TCP.

CVE-2018-5391 ("FragmentSmack") menjelaskan kerentanan jaringan tingkat kernel yang meningkatkan keefektifan serangan denial of service (DoS) terhadap sistem yang rentan melalui koneksi IP.

Dampak Compute Engine

Infrastruktur host yang menjalankan VM Compute Engine tidak berisiko. Infrastruktur jaringan yang menangani traffic dari dan ke VM Compute Engine dilindungi dari kerentanan ini. VM Compute Engine yang hanya mengirim/menerima traffic jaringan yang tidak tepercaya menggunakan HTTP(S), SSL, atau Load Balancer TCP dilindungi dari kerentanan ini.

VM Compute Engine yang menjalankan sistem operasi tanpa patch yang mengirim/menerima traffic jaringan tidak tepercaya secara langsung, atau menggunakan Load Balancer Jaringan, rentan terhadap serangan DoS ini.

Pertimbangkan untuk mengupdate instance VM Anda segera setelah patch tersedia untuk sistem operasinya.

Pelanggan Compute Engine dapat mengupdate sistem operasi tamu pada instance mereka menggunakan salah satu opsi berikut:

• Menggunakan gambar publik yang di-patch untuk membuat ulang instance VM yang ada. Lihat daftar gambar publik yang di-patch di bawah.
• Pada instance yang ada, instal patch yang disediakan oleh vendor sistem operasi dan reboot instance yang di-patch.

Resource vendor dan gambar yang di-patch

Kami akan memberikan link untuk mem-patch informasi dari setiap vendor sistem operasi di sini saat tersedia.

• Project centos-cloud (khusus CVE-2018-5390):
  • centos-7-v20180815
  • centos-6-v20180815
• Project coreos-cloud (CVE-2018-5390 dan CVE-2018-5391):
  • coreos-stable-1800-7-0-v20180816
  • coreos-beta-1855-2-0-v20180816
  • coreos-alpha-1871-0-0-v20180816
• Project cos-cloud (CVE-2018-5390 dan CVE-2018-5391):
  • cos-stable-65-10323-98-0
  • cos-stable-66-10452-109-0
  • cos-stable-67-10575-65-0
  • cos-beta-68-10718-76-0
  • cos-dev-69-10895-16-0
• Project debian-cloud (CVE-2018-5390 dan CVE-2018-5391):
  • debian-9-stretch-v20180814
• Project rhel-cloud (khusus CVE-2018-5390):
  • rhel-7-v20180814
  • rhel-6-v20180814
• Project suse-cloud (CVE-2018-5390 dan CVE-2018-5391):
  • sles-15-v20180816
  • sles-12-sp3-v20180814
• Project suse-sap-cloud (CVE-2018-5390 dan CVE-2018-5391):
  • sles-15-sap-v20180816
  • sles-12-sp3-sap-v20180814
  • sles-12-sp2-sap-v20180816
• Project ubuntu-os-cloud (CVE-2018-5390 dan CVE-2018-5391):
  • ubuntu-1804-bionic-v20180814
  • ubuntu-1604-xenial-v20180814
  • ubuntu-1404-trusty-v20180814
  • ubuntu-minimal-1804-bionic-v20180814
  • ubuntu-minimal-1604-xenial-v20180814

• CVE-2018-5390
• CVE-2018-5391

Update tanggal 21-05-2018

CVE-2018-3640 dan CVE-2018-3639, Variasi 3a dan 4, diungkapkan oleh Intel. Seperti halnya dengan tiga variasi pertama Spectre dan Meltdown, infrastruktur yang menjalankan instance VM Compute Engine dilindungi dan instance VM pelanggan diisolasi dan dilindungi satu sama lain. Selain itu, Compute Engine akan menerapkan patch mikrokode Intel pada infrastruktur kami, yang akan memungkinkan pelanggan yang menjalankan beban kerja tidak tepercaya atau multi-tenant dalam satu instance VM, untuk mengaktifkan mitigasi intra-VM tambahan ketika mitigasi tersebut diberikan oleh vendor dan penyedia sistem operasi. Compute Engine akan menerapkan patch mikrokode setelah disertifikasi oleh Intel dan setelah Compute Engine menguji dan menyatakan patch telah memenuhi syarat untuk lingkungan produksi kami. Kami akan memberikan timeline dan info terbaru yang lebih terperinci pada halaman ini saat tersedia.

Deskripsi

CVE ini adalah variasi class baru dari serangan yang mengeksploitasi teknologi eksekusi spekulatif yang tersedia di banyak prosesor. Class serangan ini dapat mengizinkan akses baca saja tidak sah ke data memori dalam berbagai keadaan.

Compute Engine menggunakan teknologi Migrasi Langsung VM untuk melakukan update sistem host dan hypervisor tanpa ada dampak kepada pengguna, tanpa masa pemeliharaan yang dipaksakan, dan tidak perlu reboot massal. Namun, semua sistem operasi dan versi tamu harus di-patch untuk melindungi dari serangan class baru ini di mana pun sistem tersebut dijalankan.

Baca entri blog Project Zero untuk mengetahui detail teknis selengkapnya tentang metode serangan ini. Baca entri blog Keamanan Google untuk mengetahui detail selengkapnya tentang mitigasi Google termasuk semua informasi khusus produk.

Dampak Compute Engine

Infrastruktur yang menjalankan Compute Engine dan mengisolasi instance VM pelanggan dari satu sama lain dilindungi dari serangan yang diketahui. Mitigasi kami mencegah akses tidak sah ke sistem host kami dari aplikasi yang berjalan di dalam instance VM. Mitigasi ini juga mencegah akses tidak sah antara instance VM yang berjalan pada sistem host yang sama.

Untuk mencegah akses tidak sah dalam instance mesin virtual Anda, Anda harus mengupdate sistem operasi tamu pada instance tersebut menggunakan salah satu opsi berikut:

• Menggunakan gambar publik yang di-patch untuk membuat ulang instance VM yang ada. Lihat daftar gambar publik yang di-patch di bawah.
• Pada instance yang ada, instal patch yang disediakan oleh vendor sistem operasi untuk distribusi Anda dan reboot instance yang di-patch. Lihat link untuk mem-patch informasi dari setiap vendor sistem operasi di bawah.

Resource vendor dan gambar yang di-patch

Catatan: Gambar yang di-patch mungkin tidak menyertakan perbaikan untuk semua CVE yang tercantum dalam pemberitahuan buletin keamanan ini. Selain itu, gambar yang berbeda mungkin mencakup metode yang berbeda untuk mencegah jenis serangan ini. Hubungi vendor sistem operasi Anda untuk memastikan CVE mana yang ditangani dalam patch mereka dan metode pencegahan apa saja yang digunakan.

• Project cos-cloud: Mencakup patch yang mencegah serangan Variasi 2 (CVE-2017-5715) dan Variasi 3 (CVE-2017-5754). Google menggunakan Retpoline pada gambar ini untuk memitigasi serangan Variasi 2.
  • cos-stable-63-10032-71-0 atau kelompok image cos-stable
• Project centos-cloud: Informasi patch CentOS
  • centos-7-v20180104 atau kelompok image centos-7
  • centos-6-v20180104 atau kelompok image centos-6
• Project coreos-cloud: Informasi patch CoreOS
  • coreos-stable-1576-5-0-v20180105 atau kelompok image coreos-stable
  • coreos-beta-1632-1-0-v20180105 atau kelompok image coreos-beta
  • coreos-alpha-1649-0-0-v20180105 atau kelompok image coreos-alpha
• Project debian-cloud: Informasi patch Debian
  • debian-9-stretch-v20180105 atau kelompok image debian-9
  • debian-8-jessie-v20180109 atau kelompok image debian-8
• Project rhel-cloud: Informasi patch RHEL
  • rhel-7-v20180104 atau kelompok image rhel-7
  • rhel-6-v20180104 atau kelompok image rhel-6
• Project suse-cloud: Informasi patch SUSE
  • sles-12-sp3-v20180104 atau kelompok image sles-12
  • sles-11-sp4-v20180104 atau kelompok image sles-11
• Project suse-sap-cloud: Informasi patch SUSE
  • sles-12-sp3-sap-v20180104 atau kelompok image sles-12-sp3-sap
  • sles-12-sp2-sap-v20180104 atau kelompok image sles-12-sp2-sap
• Project ubuntu-os-cloud: Informasi patch Ubuntu
  • ubuntu-1710-artful-v20180109 atau kelompok image ubuntu-1710
  • ubuntu-1604-xenial-v20180109 atau kelompok image ubuntu-1604-lts
  • ubuntu-1404-trusty-v20180110 atau kelompok image ubuntu-1404-lts
• Project windows-cloud dan windows-sql-cloud:
  • Semua image publik Windows Server dan SQL Server dengan nomor versi -v20180109 dan yang lebih baru menyertakan patch. Namun, Anda harus mengikuti saran tindakan yang diberikan oleh Microsoft dalam buletin dukungan panduan Windows Server untuk mengaktifkan dan memverifikasi mitigasi ini pada instance yang ada dan yang baru dibuat.

Gunakan gambar ini untuk membuat ulang instance VM. Versi gambar publik ini sebelumnya tidak berisi patch tersebut dan tidak memitigasi potensi serangan.

Patch dari vendor hardware

NVIDIA menyediakan driver yang di-patch untuk memitigasi potensi serangan terhadap sistem yang telah diinstal software driver NVIDIA®. Untuk mempelajari versi driver mana yang di-patch, baca buletin keamanan Update Keamanan Driver Display GPU NVIDIA dari NVIDIA.

Histori revisi:

• 21-05-2018 T 14.00 PST: Tambahan informasi tentang 2 variasi baru yang diungkapkan pada 21 Mei 2018.
• 10-01-2018 T 15.00 PST: Tambahan informasi tentang gambar publik Windows Server dan SQL Server yang di-patch.
• 10-01-2018 T 10.15 PST: Tambahan beberapa gambar Ubuntu ke daftar gambar publik yang di-patch.
• 10-01-2018 T 09.50 PST: Tambahan panduan untuk patch dari vendor hardware.
• 03-01-2018 sampai 09-01-2018: Melakukan beberapa revisi pada daftar gambar publik yang di-patch.

• CVE-2017-5753
• CVE-2017-5715
• CVE-2017-5754
• CVE-2018-3640
• CVE-2018-3639

Dnsmasq berfungsi untuk menayangkan DNS, DHCP, iklan router, dan boot jaringan. Software ini umumnya diinstal dalam sistem yang bervariasi seperti distribusi Linux desktop (seperti Ubuntu), router rumah, dan perangkat IoT. Dnsmasq banyak digunakan di Internet terbuka dan secara internal dalam jaringan pribadi.

Google menemukan tujuh masalah berbeda selama penilaian keamanan internal reguler kami. Setelah menentukan tingkat keseriusan masalah ini, kami berupaya untuk menyelidiki dampak dan eksploitasinya lalu menghasilkan bukti konsep internal untuk setiap masalah tersebut. Kami juga bekerja sama dengan pengelola Dnsmasq, Simon Kelly, untuk menghasilkan patch yang tepat dan memitigasi masalah tersebut.

Selama peninjauan, tim kami menemukan tiga potensi eksekusi kode jarak jauh, satu kebocoran informasi, dan tiga kerentanan denial of service yang memengaruhi versi terbaru pada server git project sejak 5 September 2017.

Patch ini di-upstream dan diterapkan ke repositori Git project.

Dampak Compute Engine

Secara default, Dnsmasq hanya diinstal pada gambar yang menggunakan NetworkManager dan tidak aktif secara default. Gambar publik Compute Engine berikut memiliki Dnsmasq yang telah terinstal:

• Ubuntu 16.04, 16.10, 17.04
• CentOS 7
• RHEL 7

Namun, gambar lain mungkin memiliki Dnsmasq yang telah terinstal sebagai dependensi untuk paket lain. Sebaiknya update instance Debian, Ubuntu, CentOS, RHEL, SLES, dan OpenSuse untuk menggunakan gambar sistem operasi terbaru. CoreOS dan OS yang Dioptimalkan untuk Container tidak akan terpengaruh. Gambar Windows juga tidak terpengaruh.

Untuk instance yang menjalankan Debian dan Ubuntu, Anda dapat melakukan update dengan menjalankan perintah berikut dalam instance Anda:

sudo apt-get -y update

sudo apt-get -y dist-upgrade

Untuk instance Red Hat Enterprise Linux dan CentOS, jalankan:

sudo yum -y upgrade

Untuk gambar SLES dan OpenSUSE, jalankan:

sudo zypper up

Sebagai alternatif untuk menjalankan perintah update manual, Anda dapat membuat ulang instance VM menggunakan kelompok gambar dari sistem operasinya masing-masing.

• CVE-2017-14491
• CVE-2017-14492
• CVE-2017-14493
• CVE-2017-14494
• CVE-2017-14495
• CVE-2017-14496
• CVE-2017-13704

CVE-2016-5195 adalah kondisi race bagaimana subsistem memori kernel Linux menangani kerusakan situasi COW pemetaan pribadi baca saja pada akses tulis.

Pengguna lokal yang tidak memiliki hak istimewa dapat memanfaatkan kekurangan ini untuk mendapatkan akses tulis ke pemetaan memori baca saja sehingga meningkatkan hak istimewanya pada sistem.

Untuk mengetahui informasi selengkapnya, lihat FAQ mengenai Dirty COW.

Dampak Compute Engine

Semua distribusi dan versi Linux pada Compute Engine akan terpengaruh. Sebagian besar instance secara otomatis mendownload dan menginstal kernel yang lebih baru. Namun, reboot diperlukan untuk mem-patch sistem Anda yang sedang berjalan.

Instance baru atau yang dibuat ulang berdasarkan image Compute Engine berikut telah menginstal patch kernel.

• centos-6-v20161026
• centos-7-v20161025
• coreos-alpha-1192-2-0-v20161021
• coreos-beta-1185-2-0-v20161021
• coreos-stable-1122-3-0-v20161021
• debian-8-jessie-v20161020
• rhel-6-v20161026
• rhel-7-v20161024
• sles-11-sp4-v20161021
• sles-12-sp1-v20161021
• ubuntu-1204-precise-v20161020
• ubuntu-1404-trusty-v20161020
• ubuntu-1604-xenial-v20161020
• ubuntu-1610-yakkety-v20161020

CVE-2015-7547 adalah kerentanan yang mana resolver sisi klien DNS glibc membuat software rentan terhadap overflow buffer berbasis tumpukan saat menggunakan fungsi library getaddrinfo(). Penyerang dapat memanfaatkan software menggunakan fungsi untuk mengeksploitasi kerentanan ini dengan nama domain yang dikendalikan penyerang, server DNS yang dikendalikan penyerang, atau melalui serangan man-in-the-middle.

Untuk mengetahui detail selengkapnya, lihat postingan blog Keamanan Google atau database Kerentanan dan Paparan Umum (CVE).

Dampak Compute Engine

Update (22-02-2016):

Kini Anda dapat membuat ulang instance menggunakan gambar CoreOS, SLES, dan OpenSUSE berikut:

• coreos-alpha-962-0-0-v20160218
• coreos-beta-899-7-0-v20160218
• coreos-stable-835-13-0-v20160218
• opensuse-13-2-v20160222
• opensuse-leap-42-1-v20160222
• sles-11-sp4-v20160222
• sles-12-sp1-v20160222

Update (17-02-2016):

Kini Anda dapat melakukan update pada instance Ubuntu 12.04 LTS, Ubuntu 14.04 LTS, dan Ubuntu 15.10 dengan menjalankan perintah berikut:

1. user@my-instance:~$ sudo apt-get -y update
2. user@my-instance:~$ sudo apt-get -y dist-upgrade
3. user@my-instance:~$ sudo reboot

Sebagai alternatif untuk menjalankan perintah update manual, kini Anda dapat membuat ulang instance-nya dengan gambar baru berikut:

• backports-debian-7-wheezy-v20160216
• centos-6-v20160216
• centos-7-v20160216
• debian-7-wheezy-v20160216
• debian-8-jessie-v20160216
• rhel-6-v20160216
• rhel-7-v20160216
• ubuntu-1204-precise-v20160217a
• ubuntu-1404-trusty-v20160217a
• ubuntu-1510-wily-v20160217

Kami tidak mengetahui adanya metode yang dapat mengeksploitasi kerentanan ini melalui resolver DNS Compute Engine dengan konfigurasi glibc default. Sebaiknya Anda mem-patch instance mesin virtual sesegera mungkin, karena seperti halnya pada semua kerentanan baru, metode eksploitasi baru dapat ditemukan seiring waktu. Jika telah mengaktifkan edns0 (dinonaktifkan secara default), Anda harus menonaktifkannya sampai instance di-patch.

Buletin asli:

Distribusi Linux Anda mungkin rentan. Pelanggan Compute Engine perlu mengupdate gambar OS dari instance-nya untuk menghilangkan kerentanan ini jika menjalankan OS Linux.

Untuk instance yang menjalankan Debian, Anda dapat melakukan update dengan menjalankan perintah berikut dalam instance Anda:

1. user@my-instance:~$ sudo apt-get -y update
2. user@my-instance:~$ sudo apt-get -y dist-upgrade
3. user@my-instance:~$ sudo reboot

Sebaiknya instal UnattendedUpgrades untuk instance Debian Anda.

Untuk instance Red Hat Enterprise Linux:

• user@my-instance:~$ sudo yum -y upgrade
• user@my-instance:~$ sudo reboot

Kami akan terus memperbarui buletin ini karena pengelola sistem operasi lain memublikasikan patch untuk kerentanan ini dan ketika Compute Engine merilis gambar OS yang diupdate.

CVE-2015-1427 adalah kerentanan yang mana mesin pembuatan skrip Groovy di Elasticsearch sebelum versi 1.3.8 dan semua versi 1.4.x sebelum 1.4.3, memungkinkan penyerang jarak jauh melewati mekanisme perlindungan sandbox dan menjalankan perintah shell arbitrer.

Untuk mengetahui detail selengkapnya, lihat National Vulnerability Database (NVD) atau database Kerentanan dan Paparan Umum (CVE).

Dampak Compute Engine

Jika menjalankan Elasticsearch pada instance Compute Engine, Anda harus mengupgrade Elasticsearch ke versi 1.4.3 atau yang lebih baru. Jika telah mengupgrade software Elasticsearch, Anda akan terlindungi dari kerentanan ini.

Jika belum mengupgrade Elasticsearch ke versi 1.4.3 atau yang lebih baru, Anda dapat melakukan upgrade berkelanjutan.

Jika menerapkan Elasticsearch menggunakan Click-to-deploy di Google Cloud console, Anda dapat menghapus penerapan untuk menghapus instance yang menjalankan Elasticsearch.

Tim Google Cloud sedang berupaya melakukan perbaikan untuk men-deploy Elasticsearch dengan versi yang telah diupdate. Namun, perbaikan ini belum tersedia untuk fitur Click-to-deploy di Google Cloud console.

CVE-2015-0235 (Ghost) adalah kerentanan pada library glibc.

Pelanggan App Engine, Cloud Storage, BigQuery, dan Cloud SQL tidak perlu melakukan tindakan apa pun. Server Google telah diupdate dan dilindungi dari kerentanan ini.

Pelanggan Compute Engine mungkin perlu mengupdate gambar OS-nya.

Dampak Compute Engine

Distribusi Linux Anda mungkin rentan. Pelanggan Compute Engine perlu mengupdate gambar OS dari instance-nya untuk menghilangkan kerentanan ini jika menjalankan Debian 7, backport Debian 7, Ubuntu 12.04 LTS, Red Hat Enterprise Linux, CentOS, atau SUSE Linux Enterprise Server 11 SP3.

Kerentanan ini tidak memengaruhi Ubuntu 14.04 LTS, Ubuntu 14.10, atau SUSE Linux Enterprise Server 12.

Sebaiknya upgrade distribusi Linux Anda. Untuk instance yang menjalankan Debian 7, backport Debian 7, atau Ubuntu 12.04 LTS, Anda dapat melakukan update dengan menjalankan perintah berikut dalam instance Anda:

1. user@my-instance:~$ sudo apt-get update
2. user@my-instance:~$ sudo apt-get -y upgrade
3. user@my-instance:~$ sudo reboot

Untuk instance Red Hat Enterprise Linux atau CentOS:

1. user@my-instance:~$ sudo yum -y upgrade
2. user@my-instance:~$ sudo reboot

Untuk instance SUSE Linux Enterprise Server 11 SP3:

1. user@my-instance:~$ sudo zypper --non-interactive up
2. user@my-instance:~$ sudo reboot

Sebagai alternatif untuk menjalankan perintah update manual di atas, pengguna kini dapat membuat ulang instance-nya dengan gambar baru berikut:

• debian-7-wheezy-v20150127
• backports-debian-7-wheezy-v20150127
• centos-6-v20150127
• centos-7-v20150127
• rhel-6-v20150127
• rhel-7-v20150127
• sles-11-sp3-v20150127
• ubuntu-1204-precise-v20150127

Dampak VM yang Dikelola Google

Pengguna VM terkelola yang menggunakan gcloud preview app deploy harus mengupdate container docker dasarnya dengan gcloud preview app setup-managed-vms dan menerapkan ulang setiap aplikasi yang berjalan menggunakan gcloud preview app deploy. Pengguna yang men-deploy dengan appcfg tidak perlu melakukan apa pun dan akan diupgrade secara otomatis.

CVE-2014-3566 (alias POODLE) adalah kerentanan dalam desain SSL versi 3.0. Kerentanan ini memungkinkan teks biasa pada koneksi aman untuk dihitung oleh penyerang jaringan. Untuk mengetahui detailnya, lihat entri blog kami mengenai kerentanan.

Pelanggan App Engine, Cloud Storage, BigQuery, dan Cloud SQL tidak perlu melakukan tindakan apa pun. Server Google telah diupdate dan dilindungi dari kerentanan ini. Pelanggan Compute Engine perlu mengupdate gambar OS-nya.

Dampak Compute Engine

Diperbarui (17-10-2014):

Anda mungkin rentan jika menggunakan SSLv3. Pelanggan Compute Engine perlu mengupdate gambar OS dari instance-nya untuk menghilangkan kerentanan ini.

Sebaiknya upgrade distribusi Linux Anda. Untuk instance yang menjalankan Debian, Anda dapat melakukan update dengan menjalankan perintah berikut dalam instance Anda:

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade
user@my-instance:~$ sudo reboot

Untuk instance CentOS:

user@my-instance:~$ sudo yum -y upgrade
user@my-instance:~$ sudo reboot

Sebagai alternatif untuk menjalankan perintah update manual di atas, pengguna kini dapat membuat ulang instance-nya dengan gambar baru berikut untuk membuat ulang instance Anda:

• centos-6-v20141016
• centos-7-v20141016
• debian-7-wheezy-v20141017
• backports-debian-7-wheezy-v20141017

Kami akan memperbarui buletin untuk image RHEL dan SLES setelah kami memiliki image-nya. Sementara itu, pengguna RHEL dapat membuka Red Hat langsung untuk mengetahui informasi selengkapnya.

Buletin asli:

Pelanggan Compute Engine perlu mengupdate gambar OS dari instance-nya untuk menghilangkan kerentanan ini. Kami akan memperbarui buletin keamanan ini dengan menyertakan petunjuknya begitu gambar OS baru tersedia.

Terdapat bug di bash (CVE-2014-6271) yang memungkinkan eksekusi kode jarak jauh berdasarkan parsing dari variabel lingkungan yang dikendalikan penyerang. Vektor eksploitasi yang paling memungkinkan adalah menggunakan permintaan HTTP berbahaya yang dibuat untuk skrip CGI yang diekspos di server web. Untuk mengetahui informasi selengkapnya, lihat deskripsi bug.

Bug bash telah dimitigasi untuk produk Google Cloud , kecuali untuk image OS tamu Compute Engine yang bertanggal sebelum 26092014. Harap lihat di bawah untuk mengetahui langkah-langkah memitigasi bug untuk gambar Compute Engine Anda.

Dampak Compute Engine

Bug ini dapat memengaruhi hampir semua situs yang menggunakan skrip CGI. Selain itu, bug ini mungkin akan memengaruhi situs yang mengandalkan PHP, Perl, Python, SSI, Java, C++, dan servlet serupa yang akan mengaktifkan perintah shell menggunakan panggilan seperti popen, system, shell_exec, atau API serupa. Bug ini juga dapat memengaruhi sistem yang mencoba untuk mengizinkan akses login terkontrol untuk pengguna terbatas menggunakan mekanisme seperti pembatasan perintah SSH atau shell yang dibatasi bash.

Update (29-09-2014):

Sebagai alternatif untuk menjalankan perintah update manual di bawah, pengguna kini dapat membuat ulang instance mereka dengan image yang mengurangi kerentanan tambahan terkait bug keamanan bash, termasuk CVE-2014-7169, CVE-2014-6277, CVE-2014-6278, CVE-2014-7186, dan CVE-2014-7187. Gunakan gambar baru berikut untuk membuat ulang instance Anda:

• centos-6-v20140926
• centos-7-v20140926
• debian-7-wheezy-v20140926
• backports-debian-7-wheezy-v20140926
• rhel-6-v20140926

Update (25-09-2014):

Pengguna kini dapat memilih untuk membuat ulang instance-nya, bukan melakukan update manual. Untuk membuat ulang instance Anda, gunakan gambar baru berikut yang berisi perbaikan bug keamanan ini:

• backports-debian-7-wheezy-v20140924
• debian-7-wheezy-v20140924
• rhel-6-v20140924
• centos-6-v20140924
• centos-7-v20140924

Untuk gambar RHEL dan SUSE, Anda juga dapat melakukan update secara manual dengan menjalankan perintah berikut pada instance Anda:

# RHEL instances
user@my-instance:~$ sudo yum -y upgrade

# SUSE instances
user@my-instance:~$ sudo zypper --non-interactive up

Buletin asli:

Sebaiknya upgrade distribusi Linux Anda. Untuk instance yang menjalankan Debian, Anda dapat melakukan update dengan menjalankan perintah berikut dalam instance Anda:

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade

Untuk instance CentOS:

user@my-instance:~$ sudo yum -y upgrade

Untuk informasi selengkapnya, tinjau pengumuman untuk masing-masing distribusi Linux:

• Patch asli: http://ftp.gnu.org/gnu/bash/ (lihat entri terakhir pada *-patches untuk versi yang sesuai)
• Debian: [SECURITY] [DSA 3032-1] update keamanan bash
• RHEL:
  • RHSA-2014:1293-01
  • RHSA-2014:1294-01
• CentOS 5: [CentOS-announce] CESA-2014:1293
• CentOS 6: [CentOS-announce] CESA-2014:1293
• CentOS 7: [CentOS-announce] CESA-2014:1293

Elasticsearch Logstash rentan terhadap injeksi perintah OS yang dapat mengizikankan perubahan dan pengungkapan data yang tidak sah. Penyerang dapat mengirim peristiwa yang dibuat ke salah satu sumber data Logstash, sehingga penyerang dapat menjalankan perintah dengan izin dari proses Logstash.

Dampak Compute Engine

Kerentanan ini memengaruhi semua instance Compute Engine yang menjalankan versi Elasticsearch Logstash sebelum 1.4.2 dengan output zabbix atau nagios_nsca aktif. Untuk mencegah serangan, Anda dapat:

• Melakukan upgrade ke Logstash 1.4.2
• Menerapkan patch untuk versi 1.3.x
• Menonaktifkan output zabbix dan nagios_nsca.

Baca selengkapnya di blog Logstash.

Elasticsearch juga merekomendasikan untuk menggunakan firewall guna mencegah akses jarak jauh oleh IP yang tidak tepercaya.

Kami ingin meluangkan waktu sejenak untuk menanggapi segala kekhawatiran yang mungkin dimiliki pelanggan terkait keamanan container Docker saat berjalan di Google Cloud. Hal ini mencakup pelanggan yang menggunakan ekstensi App Engine kami yang mendukung Container Docker, mesin virtual yang dioptimalkan container, atau penjadwal Kubernetes Open Source.

Docker telah berfungsi dengan baik dalam merespons masalah ini dan Anda dapat melihat tanggapan blog mereka di sini. Perlu diketahui bahwa, seperti yang mereka katakan dalam tanggapan mereka, masalah yang diungkapkan hanya berlaku untuk Docker 0.11, versi yang lebih lama dan praproduksi.

Meskipun dunia mempertanyakan keamanan container, kami ingin menunjukkan bahwa di Google Cloud, solusi berbasis container aplikasi Linux (khususnya container Docker) berjalan di mesin virtual sepenuhnya (Compute Engine). Meskipun kami mendukung upaya komunitas Docker untuk memperkuat tumpukan container aplikasi Linux, kami menyadari bahwa teknologi ini masih baru, dan luasnya area permukaan. Kami yakin bahwa untuk saat ini, hypervisor penuh (mesin virtual) memberikan area permukaan yang lebih rapat dan dapat dipertahankan. Mesin virtual didesain dari awal untuk mengisolasi beban kerja berbahaya dan meminimalkan kemungkinan dan dampak bug kode.

Pelanggan kami dapat merasa tenang karena ada batas hypervisor penuh antara mereka dan potensi kode berbahaya dari pihak ketiga mana pun. Jika kami mencapai titik di mana kami menganggap tumpukan kontainer aplikasi Linux cukup kuat untuk mendukung beban kerja multi-tenant, kami akan memberi tahu komunitas ini. Untuk saat ini, container aplikasi Linux tidak dapat menggantikan mesin virtual. Namun merupakan cara untuk mendapatkan lebih banyak dari mesin virtual.

OpenSSL memiliki masalah saat pesan ChangeCipherSpec tidak terikat dengan benar ke mesin status handshake. Hal ini memungkinkan pesan tersebut diinjeksikan lebih awal ke handshake. Penyerang yang menggunakan handshake yang dibuat dengan teliti dapat memaksa penggunaan material kunci yang lemah di klien dan server OpenSSL SSL/TLS. Hal ini dapat dieksploitasi oleh serangan person-in-the-middle (PITM) di mana penyerang dapat mendekripsi dan mengubah traffic dari klien dan server yang diserang.

Masalah ini diidentifikasi sebagai CVE-2014-0224. Tim OpenSSL telah memperbaiki masalah tersebut dan memberi tahu komunitas OpenSSL untuk mengupdate OpenSSL.

Dampak Compute Engine

Kerentanan ini memengaruhi semua instance Compute Engine yang menggunakan OpenSSL, termasuk Debian, CentOS, Red Hat Enterprise Linux, dan SUSE Linux Enterprise Server. Anda dapat mengupdate instance dengan membuat ulang instance tersebut dengan gambar baru, atau dengan mengupdate paket secara manual pada instance Anda.

Update (09-06-2014): Untuk mengupdate instance Anda yang menjalankan SUSE Linux Enterprise Server dengan gambar baru, buat ulang instance Anda menggunakan versi gambar berikut atau yang lebih baru:

• sles-11-sp3-v20140609

Postingan asli:

Untuk mengupdate instance Debian dan CentOS menggunakan gambar baru, buat ulang instance Anda menggunakan salah satu versi gambar berikut atau yang lebih baru:

• debian-7-wheezy-v20140605
• backports-debian-7-wheezy-v20140605
• centos-6-v20140605
• rhel-6-v20140605

Untuk mengupdate OpenSSL secara manual pada instance Anda, jalankan perintah berikut untuk mengupdate paket yang sesuai. Untuk instance yang menjalankan CentOS dan RHEL, Anda dapat mengupdate OpenSSL dengan menjalankan perintah ini dalam instance Anda:

user@my-instance:~$ sudo yum -y update
user@my-instance:~$ sudo reboot

Untuk instance yang menjalankan Debian, Anda dapat mengupdate OpenSSL dengan menjalankan perintah berikut dalam instance Anda:

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade
user@my-instance:~$ sudo reboot

Untuk instance yang menjalankan SUSE Linux Enterprise Server, Anda dapat memastikan OpenSSL merupakan versi terbaru dengan menjalankan perintah ini dalam instance:

user@my-instance:~$ sudo zypper --non-interactive up
user@my-instance:~$ sudo reboot

Implementasi (1) TLS dan (2) DTLS di OpenSSL 1.0.1 sebelum 1.0.1g tidak menangani paket Heartbeat Extension dengan benar, yang memungkinkan penyerang jarak jauh mendapatkan informasi sensitif dari memori proses menggunakan paket yang dibuat secara khusus yang memicu pembacaan berlebih buffer, seperti yang ditunjukkan dengan membaca kunci pribadi, terkait dengan d1_both.c dan t1_lib.c, juga dikenal sebagai bug Heartbleed.

Dampak Compute Engine

Kerentanan ini memengaruhi semua instance Compute Engine Debian, RHEL, dan CentOS yang tidak memiliki OpenSSL versi terbaru. Anda dapat mengupdate instance dengan membuat ulang instance tersebut dengan gambar baru, atau dengan mengupdate paket secara manual pada instance Anda.

Untuk mengupdate instance Anda menggunakan gambar baru, buat ulang instance Anda menggunakan salah satu versi gambar berikut atau yang lebih baru:

• debian-7-wheezy-v20140408
• backports-debian-7-wheezy-v20140408
• centos-6-v20140408
• rhel-6-v20140408

Untuk mengupdate OpenSSL secara manual pada instance Anda, jalankan perintah berikut untuk mengupdate paket yang sesuai. Untuk instance yang menjalankan CentOS dan RHEL, Anda dapat memastikan OpenSSL selalu terupdate dengan menjalankan perintah ini dalam instance:

user@my-instance:~$ sudo yum update
user@my-instance:~$ sudo reboot

Untuk instance yang menjalankan Debian, Anda dapat mengupdate OpenSSL dengan menjalankan perintah berikut dalam instance Anda:

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get upgrade
user@my-instance:~$ sudo reboot

Instance yang menjalankan SUSE Linux tidak terpengaruh.

Update pada 14 April 2014: Dengan mempertimbangkan riset baru terkait ekstraksi kunci yang menggunakan bug Heartbleed, Compute Engine merekomendasikan agar pelanggan Compute Engine membuat kunci baru untuk setiap layanan SSL yang terpengaruh.

Catatan: Kerentanan ini hanya berlaku untuk kernel, yang tidak digunakan lagi dan dihapus sejak API versi v1.

Kerentanan string format dalam fungsi b43_request_firmware di drivers/net/wireless/b43/main.c pada driver nirkabel Broadcom B43 di kernel Linux hingga 3.9.4 memungkinkan pengguna lokal mendapatkan hak istimewa dengan memanfaatkan akses root dan menyertakan penentu string format dalam parameter modprobe fwpostfix, yang menyebabkan konstruksi pesan error yang tidak tepat.

Dampak Compute Engine

Kerentanan ini memengaruhi semua kernel Compute Engine yang memiliki versi lebih lama dari gcg-3.3.8-201305291443. Sebagai respons, Compute Engine telah menghentikan penggunaan semua kernel sebelumnya dan merekomendasikan agar pengguna mengupdate instance dan image mereka untuk menggunakan kernel Compute Engine gce-v20130603. gce-v20130603 berisi kernel gcg-3.3.8-201305291443, yang memiliki patch untuk kerentanan ini.

Untuk mengetahui versi kernel yang digunakan instance Anda:

1. Hubungkan ke instance Anda menggunakan ssh
2. Jalankan uname -r

Catatan: Kerentanan ini hanya berlaku untuk kernel, yang tidak digunakan lagi dan dihapus sejak API versi v1.

Kerentanan string format dalam fungsi register_disk di block/genhd.c di kernel Linux hingga 3.9.4 memungkinkan pengguna lokal mendapatkan hak istimewa dengan memanfaatkan akses root dan menulis penentu string format ke /sys/module/md_mod/parameters/new_array untuk membuat nama perangkat /dev/md yang dibuat.

Dampak Compute Engine

Kerentanan ini memengaruhi semua kernel Compute Engine yang memiliki versi lebih lama dari gcg-3.3.8-201305291443. Sebagai respons, Compute Engine telah menghentikan penggunaan semua kernel sebelumnya dan merekomendasikan agar pengguna mengupdate instance dan image mereka untuk menggunakan kernel Compute Engine gce-v20130603. gce-v20130603 berisi kernel gcg-3.3.8-201305291443, yang memiliki patch untuk kerentanan ini.

Untuk mengetahui versi kernel yang digunakan instance Anda:

1. Hubungkan ke instance Anda menggunakan ssh
2. Jalankan uname -r

Catatan: Kerentanan ini hanya berlaku untuk kernel, yang tidak digunakan lagi dan dihapus sejak API versi v1.

Fungsi perf_swevent_init di kernel/events/core.c di kernel Linux sebelum versi 3.8.9 menggunakan jenis data integer yang salah, yang memungkinkan pengguna lokal mendapatkan hak istimewa menggunakan panggilan sistem perf_event_open yang dibuat.

Dampak Compute Engine

Kerentanan ini memengaruhi semua kernel Compute Engine yang memiliki versi lebih lama dari gcg-3.3.8-201305211623. Sebagai respons, Compute Engine telah menghentikan penggunaan semua kernel sebelumnya dan merekomendasikan agar pengguna mengupdate instance dan image mereka untuk menggunakan kernel Compute Engine gce-v20130521. gce-v20130521 berisi kernel gcg-3.3.8-201305211623, yang memiliki patch untuk kerentanan ini.

Untuk mengetahui versi kernel yang digunakan instance Anda:

1. Hubungkan ke instance Anda menggunakan ssh
2. Jalankan uname -r

Catatan: Kerentanan ini hanya berlaku untuk kernel, yang tidak digunakan lagi dan dihapus sejak API versi v1.

Kondisi race pada fungsi ptrace di kernel Linux sebelum versi 3.7.5 memungkinkan pengguna lokal mendapatkan hak istimewa menggunakan panggilan sistem PTRACE_SETREGS ptrace di aplikasi yang dibuat.

Dampak Compute Engine

Kerentanan ini memengaruhi kernel Compute Engine 2.6.x-gcg-<date>. Sebagai respons, Compute Engine telah menghentikan penggunaan kernel 2.6.x dan merekomendasikan agar pengguna mengupdate instance dan image mereka untuk menggunakan kernel Compute Engine gce-v20130225. gce-v20130225 berisi 3.3.8-gcg-201302081521 kernel, yang memiliki patch untuk kerentanan ini.

Untuk mengetahui versi kernel yang digunakan instance Anda:

1. Hubungkan ke instance Anda menggunakan ssh
2. Jalankan uname -r