Bollettini sulla sicurezza

2024-08-20: Includi patch per le TPU. Applica gli aggiornamenti delle distribuzioni Linux non appena diventano disponibili. Fai riferimento alle indicazioni delle distribuzioni Linux. Se utilizzi le TPU, esegui l'aggiornamento a una delle seguenti versioni corrette:

• tpu-ubuntu2204-base
• v2-alpha-tpuv5
• v2-alpha-tpuv5-lite

È stata scoperta una vulnerabilità (CVE-2024-6387) in OpenSSH. Lo sfruttamento di questa vulnerabilità consente a un aggressore remoto non autenticato di eseguire codice arbitrario come root sulla macchina di destinazione.

È consigliabile analizzare tutte le VM Compute Engine che utilizzano una distribuzione Linux basata su glibc e che hanno OpenSSH esposto per individuare le versioni vulnerabili.

Che cosa devo fare?

1. Applica gli aggiornamenti delle distribuzioni Linux non appena diventano disponibili. Fai riferimento alle indicazioni delle distribuzioni Linux. Per Container-Optimized OS di Google, esegui l'aggiornamento a una delle seguenti versioni con patch:
   • cos-113-18244-85-49
   • cos-109-17800-218-69
   • cos-105-17412-370-67
   • cos-101-17162-463-55
   Se utilizzi Container-Optimized OS tramite un servizio gestito da Google (ad es. GKE), consulta il bollettino sulla sicurezza del servizio per la disponibilità della patch.
2. Se l'aggiornamento non è possibile, valuta la possibilità di disattivare OpenSSH finché non può essere patchato. La rete predefinita è precompilata con una regola firewall default-allow-ssh per consentire l'accesso SSH da internet pubblico. Per rimuovere questo accesso, i clienti possono:
   1. (Facoltativo) Crea regole per consentire l'accesso SSH necessario dalle reti attendibili ai nodi GKE o ad altre VM di Compute Engine nel progetto.
   2. Disattiva la regola firewall predefinita con il seguente comando:

      gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT
            

   Se hai creato altre regole firewall che potrebbero consentire SSH tramite TCP sulla porta 22, disattiva queste regole o limita gli IP di origine alle reti attendibili.
   
   Verifica di non poter più eseguire SSH alle tue VM da internet. Questa configurazione del firewall mitiga la vulnerabilità.
3. Se OpenSSH deve rimanere attivo, puoi anche eseguire un aggiornamento della configurazione che elimina la condizione di race condition per l'exploit. Si tratta di una mitigazione in fase di runtime. Per applicare le modifiche alla configurazione di sshd, questo script riavvierà il servizio sshd.

   #!/bin/bash
   set -e
   
   SSHD_CONFIG_FILE=/etc/ssh/sshd_config
   # -c: count the matches
   # -q: don't print to console
   # -i: sshd_config keywords are case insensitive.
   if [[ "$(grep -ci '^LoginGraceTime' $SSHD_CONFIG_FILE)" -eq 0 ]]; then
       echo "LoginGraceTime 0" >> "$SSHD_CONFIG_FILE"
       echo "Set the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   else
       sed -i 's/^LoginGraceTime.*$/LoginGraceTime 0/' /etc/ssh/sshd_config
       echo "Changed the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   fi
   # Restart the sshd service to apply the new config.
   systemctl restart sshd
       

4. Infine, monitora eventuali attività di rete insolite che coinvolgono i server SSH.

Compute Engine non è interessato da CVE-2024-3094, che interessa le versioni 5.6.0 e 5.6.1 del pacchetto xz-utils nella libreria liblzma e potrebbe compromettere l'utilità OpenSSH.

Che cosa devo fare?

Le immagini pubbliche supportate e offerte da Compute Engine non sono interessate da questa CVE. Se utilizzi le immagini pubbliche di Compute Engine per le tue VM, non è necessaria alcuna azione.

Potresti essere a rischio se hai creato un'immagine personalizzata che utilizzava le versioni 5.6.0 e 5.6.1 del pacchetto xz-utils, ad esempio i seguenti sistemi operativi:

• Fedora 41 e Fedora Rawhide
• Debian testing/unstable
• openSUSE tumbleweed

Per mitigare questo rischio, interrompi tutte le VM che utilizzano questi sistemi operativi o altri che potrebbero aver utilizzato sistemi operativi interessati. Se hai VM create da immagini personalizzate di altri sistemi operativi, verifica con il fornitore del sistema operativo se le tue VM sono interessate.

Quali vulnerabilità vengono affrontate?

CVE-2024-3094

Sono state scoperte diverse vulnerabilità nel firmware UEFI TianoCore EDK II. Questo firmware viene utilizzato nelle VM Google Compute Engine. Se sfruttate, le vulnerabilità potrebbero consentire di bypassare l'avvio protetto, il che fornirebbe misurazioni false nel processo di avvio protetto, anche se utilizzato nelle VM schermate.

Che cosa devo fare?

Non è richiesta alcuna azione da parte tua. Google ha applicato una patch a questa vulnerabilità in Compute Engine e tutte le VM sono protette.

Quali vulnerabilità vengono affrontate da questa patch?

La patch ha attenuato le seguenti vulnerabilità:

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

Il 14 novembre, AMD ha divulgato più vulnerabilità che interessano varie CPU server AMD. Nello specifico, le vulnerabilità interessano le CPU dei server EPYC che sfruttano la seconda generazione di core Zen "Rome", la terza generazione "Milan" e la quarta generazione "Genoa".

Google ha applicato correzioni agli asset interessati, tra cui Google Cloud, per garantire la protezione dei clienti. Al momento, non sono state trovate o segnalate a Google prove di sfruttamento.

Che cosa devo fare?

Non è richiesta alcuna azione da parte del cliente.

Le correzioni sono già state applicate alla flotta di server Google per Google Cloud, incluso Google Compute Engine.

Quali vulnerabilità vengono affrontate da questa patch?

La patch ha attenuato le seguenti vulnerabilità:

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2023-20521
• CVE-2021-46766
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

Per ulteriori informazioni, consulta l'avviso di sicurezza di AMD AMD-SN-3005: "AMD INVD Instruction Security Notice", pubblicato anche come CacheWarp, e AMD-SN-3002: "AMD Server Vulnerabilities – November 2023".

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

Sono state scoperte due vulnerabilità (CVE-2023-1017 e CVE-2023-1018) in Trusted Platform Module (TPM) 2.0.

Le vulnerabilità avrebbero potuto consentire a un malintenzionato esperto di sfruttare una lettura/scrittura di 2 byte fuori dai limiti su determinate VM di Compute Engine.

Che cosa devo fare?

È stata applicata automaticamente una patch a tutte le VM vulnerabili. Non sono richieste azioni da parte del cliente.

Quali vulnerabilità vengono affrontate da questa patch?

La patch ha attenuato le seguenti vulnerabilità:

CVE-2023-1017

Con CVE-2023-2017, potrebbe essere attivato un buffer overrun nella routine di decriptografia dei parametri vTPM. Un malintenzionato locale in esecuzione su una VM vulnerabile potrebbe utilizzare questa funzionalità per attivare un attacco DoS o possibilmente eseguire codice arbitrario nel contesto vTPM.

CVE-2023-1018

Con CVE-2023-2018, esisteva una lettura fuori dai limiti nella routine di decrittografia dei parametri vTPM. Un malintenzionato locale in esecuzione su una VM vulnerabile potrebbe utilizzare questo per divulgare indirettamente dati limitati dal contesto vTPM.

• CVE-2023-1017
• CVE-2023-1018

L'utilità Apache Log4j è un componente di uso comune per la registrazione delle richieste. Il 9 dicembre 2021 è stata segnalata una vulnerabilità che potrebbe consentire la compromissione di un sistema con Apache Log4j versione 2.14.1 o precedenti e consentire a un utente malintenzionato di eseguire codice arbitrario.

Il 10 dicembre 2021, il NIST ha pubblicato un avviso critico relativo alle vulnerabilità e all'esposizione, CVE-2021-44228. Più precisamente, le funzionalità JNDI (Java Naming Directory Interface) utilizzate nella configurazione, nei messaggi di log e nei parametri non proteggono dai protocolli LDAP controllati da LDAP e da altri endpoint correlati a JNDI. Un utente malintenzionato che può controllare i messaggi di log o i parametri dei messaggi di log può eseguire codice arbitrario caricato da server remoti quando la sostituzione di ricerca dei messaggi è abilitata.

Che cosa devo fare?

• M4CE v4.x: il team di Migrate for Compute Engine (M4CE) ha fornito una nuova versione il 13 dicembre 2021. I project manager sono tenuti a sostituire il deployment esistente con la nuova versione, inclusi il backend M4CE Manager e M4CE "on-premise" nel cloud. Per informazioni dettagliate sull'implementazione della versione 4.11, consulta la guida su come procedere.
• M2VM v5.x: M2VM v5.0 e versioni successive sono state corrette e non è necessaria alcuna azione.

• CVE-2021-44228

Recentemente è stata scoperta una vulnerabilità nell'utilità Linux sudo, descritta in CVE-2021-3156, che potrebbe consentire a un utente malintenzionato con accesso alla shell locale senza privilegi su un sistema con sudo installato di aumentare i propri privilegi a root sul sistema.

Impatto di Compute Engine

L'infrastruttura sottostante che esegue Compute Engine non è interessata da questa vulnerabilità. Le VM di Compute Engine che eseguono Linux devono valutare la possibilità di aggiornare il sistema operativo guest. Ad esempio, se utilizzi Container-Optimized OS, ti consigliamo di eseguire l'aggiornamento a una delle seguenti immagini: cos-85-13310-1209-7, cos-81-12871-1245-6, cos-dev-89-16091-0-0 o versioni successive.

• CVE-2021-3156

Eclypsium ha divulgato il seguente CVE: CVE-2020-10713.

Vulnerabilità

In risposta alla segnalazione iniziale di vulnerabilità, è stato applicato un ulteriore controllo al codice GRUB2 e Canonical ha scoperto le seguenti vulnerabilità aggiuntive:

• CVE-2020-14308
• CVE-2020-14309
• CVE-2020-14310
• CVE-2020-14311
• CVE-2020-15705
• CVE-2020-15706
• CVE-2020-15707

Queste vulnerabilità, denominate collettivamente BootHole, consentono agli autori degli attacchi con privilegi amministrativi di caricare binari non firmati, disattivando così l'applicazione dell'avvio protetto.

Impatto di Compute Engine

L'infrastruttura host che esegue Compute Engine è protetta dagli attacchi noti.

I clienti di Compute Engine che utilizzano l'avvio protetto sono invitati ad aggiornare i sistemi operativi guest sulle loro istanze per evitare la possibilità di sfruttamento all'interno dei loro ambienti guest. Per maggiori dettagli, consulta la mitigazione consigliata dal fornitore del sistema operativo guest.

Immagini con patch e risorse del fornitore

Forniremo qui i link alle informazioni sulle patch di ciascun fornitore del sistema operativo non appena saranno disponibili. Le versioni precedenti di queste immagini pubbliche non contengono queste patch e non mitigano i potenziali attacchi:

• Progetto centos-cloud: informazioni sulle patch per CentOS
  • centos-7-v20200811
  • centos-8-v20200811
• Progetto cos-cloud:
  • cos-77-12371-1072-0
  • cos-81-12871-1185-0
  • cos-rc-85-13310-1028-0
  • cos-dev-86-15103-0-0

  Se utilizzi COS tramite un servizio gestito (ad es. GKE), segui le indicazioni per quel servizio per applicare gli aggiornamenti.

• Progetto debian-cloud: DSA-4753
  • debian-10-buster-v20200805
• Progetto coreos-cloud:
  • coreos-alpha-2163-2-1-v20190617
  • coreos-beta-2135-3-1-v20190617
  • coreos-stable-2079-6-0-v20190617
• Progetto rhel-cloud/rhel-sap-cloud: Red Hat Vulnerability Response
  • rhel-7-v20200811
  • rhel-7-4-sap-v20200811
  • rhel-7-6-sap-v20200811
  • rhel-7-7-sap-v20200811
  • rhel-8-v20200811
• Progetto suse-cloud/suse-sap-cloud:: Knowledge base SUSE
  • sles-12-sp5-v20200813
  • sles-15-sp2-v20200804
  • sles-12-sp4-sap-v20200804
  • sles-12-sp5-sap-v20200813
  • sles-15-sap-v20200803
  • sles-15-sp1-sap-v20200803
  • Sles-15-sp2-sap-v20200804
• Progetto ubuntu-os-cloud: Wiki di Ubuntu
  • ubuntu-1604-xenial-v20200729
  • ubuntu-1804-bionic-v20200729
  • ubuntu-2004-focal-v20200729

• CVE-2020-10713
• CVE-2020-14308
• CVE-2020-14309
• CVE-2020-14310
• CVE-2020-14311
• CVE-2020-15705
• CVE-2020-15706
• CVE-2020-15707

Le VM in cui è abilitato OS Login potrebbero essere soggette a vulnerabilità di riassegnazione dei privilegi. Queste vulnerabilità consentono agli utenti a cui sono state concesse autorizzazioni OS Login (ma non l'accesso amministratore) di ottenere l'accesso root nella VM.

Vulnerabilità

Per le immagini Compute Engine sono state identificate le seguenti tre vulnerabilità, dovute a iscrizioni ai gruppi predefinite eccessivamente permissive:

• CVE-2020-8903: utilizzando l'utente adm, puoi sfruttare il DHCP XID per ottenere privilegi amministrativi.
• CVE-2020-8907: utilizzando l'utente docker, puoi montare e modificare il file system del sistema operativo host per ottenere i privilegi amministrativi.
• CVE-2020-8933: utilizzando l'utente lxd, puoi collegare i file system del sistema operativo host e ottenere privilegi amministrativi.

Immagini con patch e correzioni

Tutte le immagini pubbliche di Compute Engine create dopo il giorno v20200506 sono patchate.

Se devi risolvere questo problema senza eseguire l'aggiornamento a una versione successiva dell'immagine, puoi modificare il file /etc/security/group.conf e rimuovere gli utenti adm, lxd e docker dalla voce OS Login predefinita.

• CVE-2020-8903
• CVE-2020-8907
• CVE-2020-8933

Microsoft ha divulgato la seguente vulnerabilità:

• CVE-2020-0601: questa vulnerabilità è nota anche come vulnerabilità di spoofing dell'API Windows Crypto e potrebbe essere sfruttata per far sembrare attendibili eseguibili dannosi o consentire all'attaccante di condurre attacchi man-in-the-middle e decriptare informazioni riservate sulle connessioni degli utenti al software interessato.

Impatto di Compute Engine

L'infrastruttura sottostante che esegue Compute Engine non è interessata da questa vulnerabilità. A meno che tu non esegua Windows Server nella macchina virtuale Compute Engine, non sono necessarie altre azioni. I clienti che utilizzano VM Compute Engine che eseguono Windows Server devono assicurarsi che le loro istanze abbiano l'ultima patch di Windows.

Immagini con patch e risorse del fornitore

Le versioni precedenti delle immagini pubbliche di Windows non contengono le seguenti patch e non mitigano i potenziali attacchi:

• Progetti windows-cloud e windows-sql-cloud
  • Tutte le immagini pubbliche di Windows Server e SQL Server a partire dalla versione v20200114

• CVE-2020-0601

Intel ha divulgato i seguenti CVE:

• CVE-2019-11135: questo CVE è noto anche come TSX Async Abort (TAA). TAA fornisce un ulteriore percorso per l'esfiltrazione di dati utilizzando le stesse strutture di dati della microarchitettura sfruttate da Microarchitectural Data Sampling (MDS).
• CVE-2018-12207: questo CVE è noto anche come "Machine Check Error on Page Size Change". Si tratta di una vulnerabilità denial of service (DoS) che interessa gli host di macchine virtuali consentendo a un utente guest malintenzionato di provocare l'arresto anomalo di un host non protetto.

Impatto di Compute Engine

CVE-2019-11135

L'infrastruttura host che esegue Compute Engine isola i carichi di lavoro dei clienti. A meno che tu non esegua codice non attendibile all'interno delle VM N2, C2 o M2, non sono necessarie altre azioni.

I clienti N2, C2 o M2 che eseguono codice non attendibile nei propri servizi multi-tenant all'interno delle macchine virtuali Compute Engine devono arrestare e avviare le proprie VM per assicurarsi di disporre delle più recenti misure di mitigazione per la sicurezza. Un riavvio, senza arresto/avvio, non è sufficiente. Queste indicazioni presuppongono che tu abbia già applicato gli aggiornamenti rilasciati in precedenza che riguardano la vulnerabilità MDS. In caso contrario, segui le istruzioni per applicare gli aggiornamenti appropriati.

Per i clienti che eseguono tipi di macchine N1, non è richiesta alcuna azione, in quanto questa vulnerabilità non rappresenta una nuova esposizione oltre alle vulnerabilità MDS divulgate in precedenza.

CVE-2018-12207

L'infrastruttura host che esegue Compute Engine è protetta da questa vulnerabilità. Non sono necessarie ulteriori azioni.

• CVE-2019-11135
• CVE-2018-12207

Netflix ha recentemente divulgato tre vulnerabilità TCP nei kernel Linux:

• CVE-2019-11477
• CVE-2019-11478
• CVE-2019-11479

Questi CVE vengono denominati collettivamente NFLX-2019-001.

Impatto di Compute Engine

L'infrastruttura che ospita Compute Engine è protetta da questa vulnerabilità.

Le VM di Compute Engine che eseguono sistemi operativi Linux privi di patch e inviano/ricevono traffico di rete non attendibile sono vulnerabili a questo attacco DoS. Consigliamo di aggiornare le istanze VM appena saranno disponibili le patch per i sistemi operativi corrispondenti.

Ai bilanciatori del carico che chiudono le connessioni TCP sono state applicate patch contro questa vulnerabilità. Le istanze di Compute Engine che ricevono traffico non attendibile solo attraverso questi bilanciatori del carico non sono vulnerabili. Ciò include i bilanciatori del carico HTTP, del proxy SSL e del proxy TCP.

I bilanciatori del carico di rete e i bilanciatori del carico interni non chiudono le connessioni TCP. Le istanze di Compute Engine prive di patch che ricevono traffico non attendibile attraverso questi bilanciatori del carico sono vulnerabili.

Immagini con patch e risorse del fornitore

Forniremo qui i link alle informazioni sulle patch di ciascun fornitore del sistema operativo non appena saranno disponibili, incluso lo stato di ciascun CVE. Le versioni precedenti di queste immagini pubbliche non contengono queste patch e non mitigano i potenziali attacchi:

• Progetto debian-cloud:
  • debian-9-stretch-v20190618
• Progetto centos-cloud:
  • centos-6-v20190619
  • centos-7-v20190619
• Progetto cos-cloud:
  • cos-dev-77-12293-0-0
  • cos-beta-76-12239-21-0
  • cos-stable-75-12105-77-0
  • cos-73-11647-217-0
  • cos-69-10895-277-0
• Progetto coreos-cloud:
  • coreos-alpha-2163-2-1-v20190617
  • coreos-beta-2135-3-1-v20190617
  • coreos-stable-2079-6-0-v20190617
• Progetto rhel-cloud:
  • rhel-6-v20190618
  • rhel-7-v20190618
  • rhel-8-v20190618
• Progetto rhel-sap-cloud:
  • rhel-7-4-sap-v20190618
  • rhel-7-6-sap-v20190618
• Progetto suse-cloud:
  • sles-12-sp4-v20190617
  • sles-15-v20190617
• Progetto suse-sap-cloud:
  • sles-12-sp1-sap-v20190617
  • sles-12-sp2-sap-v20190617
  • sles-12-sp3-sap-v20190617
  • sles-12-sp4-sap-v20190617
  • sles-15-sap-v20190617
• Progetto ubuntu-cloud:
  • ubuntu-1604-xenial-v20190617
  • ubuntu-1804-bionic-v20190617
  • ubuntu-1810-cosmic-v20190618
  • ubuntu-1904-disco-v20190619
  • ubuntu-minimal-1604-xenial-v20190618
  • ubuntu-minimal-1804-bionic-v20190617
  • ubuntu-minimal-1810-cosmic-v20190618
  • ubuntu-minimal-1904-disco-v20190618

• CVE-2019-11477
• CVE-2019-11478
• CVE-2019-11479

Intel ha divulgato i seguenti CVE:

• CVE-2018-12126
• CVE-2018-12127
• CVE-2018-12130
• CVE-2019-11091

Questi CVE vengono denominati collettivamente Microarchitectural Data Sampling (MDS). Queste vulnerabilità possono determinare un'esposizione dei dati attraverso l'interazione dell'esecuzione speculativa con lo stato della microarchitettura.

Impatto di Compute Engine

L'infrastruttura host che esegue Compute Engine isola i carichi di lavoro dei clienti l'uno dall'altro. A meno che tu non esegua codice non attendibile all'interno delle VM, non sono necessarie altre azioni.

I clienti che eseguono codice non attendibile nei propri servizi multi-tenant all'interno delle macchine virtuali Compute Engine possono fare riferimento alla mitigazione consigliata dal fornitore del sistema operativo guest, che potrebbe includere l'utilizzo delle funzionalità di mitigazione del microcodice Intel. Abbiamo eseguito il deployment dell'accesso pass-through guest alla nuova funzionalità di svuotamento. Di seguito è riportato un riepilogo delle procedure di mitigazione per le immagini guest più comuni.

Immagini con patch e risorse del fornitore

Forniremo qui i link alle informazioni sulle patch di ciascun fornitore del sistema operativo non appena saranno disponibili, con lo stato di ciascun CVE. Utilizza queste immagini per ricreare le istanze VM. Le versioni precedenti di queste immagini pubbliche non contengono queste patch e non sono in grado di mitigare i potenziali attacchi:

• Progetto centos-cloud: CESA-2019:1169, CESA-2019:1168
• centos-6-v20190515
• centos-7-v20190515
• Progetto coreos-cloud: mitigazioni di MDS per CoreOS Container Linux
• coreos-stable-2079-4-0-v20190515
• coreos-beta-2107-3-0-v20190515
• coreos-alpha-2135-1-0-v20190515
• Progetto cos-cloud
• cos-69-10895-242-0
• cos-73-11647-182-0
• Progetto debian-cloud: DSA-4444
• debian-9-stretch-v20190514
• Progetto rhel-cloud: Articolo informativo su MDS per Red Hat
• rhel-6-v20190515
• rhel-7-v20190517
• rhel-8-v20190515
• Progetto rhel-sap-cloud: Articolo informativo su MDS per Red Hat
• rhel-7-4-sap-v20190515
• rhel-7-6-sap-v20190517
• Progetto suse-cloud: Knowledge base su MDS per SUSE
• sles-12-sp4-v20190520
• sles-15-v20190520
• Progetto suse-sap-cloud
• sles-12-sp4-sap-v20190520
• sles-15-sap-v20190520
• Progetto ubuntu-os-cloud: Wiki su MDS per Ubuntu
• ubuntu-1404-trusty-v20190514
• ubuntu-1604-xenial-v20190514
• ubuntu-1804-bionic-v20190514
• ubuntu-1810-cosmic-v20190514
• ubuntu-1904-disco-v20190514
• ubuntu-minimal-1604-xenial-v20190514
• ubuntu-minimal-1804-bionic-v20190514
• ubuntu-minimal-1810-cosmic-v20190514
• ubuntu-minimal-1904-disco-v20190514
• Progetti windows-cloud e windows-sql-cloud: Microsoft ADV190013
• Tutte le immagini pubbliche di Windows Server e SQL Server con numero di versione v20190514.
• Progetto gce-uefi-images
• centos-7-v20190515
• cos-69-10895-242-0
• cos-73-11647-182-0
• rhel-7-v20190517
• ubuntu-1804-bionic-v20190514
• Tutte le immagini pubbliche di Windows Server con numero di versione v20190514.

Container-Optimized OS

Se utilizzi Container Optimized OS (COS) come sistema operativo guest ed esegui carichi di lavoro multi-tenant non attendibili nella tua macchina virtuale, ti consigliamo di:

1. Disabilitare Hyper-Threading impostando nosmt sulla riga di comando del kernel.
   

   Sulle VM di COS esistenti, puoi modificare grub.cfg come segue per impostare l'opzione nosmt e quindi riavviare il sistema:

   # Run as root:
   dir="$(mktemp -d)"
   mount /dev/sda12 "${dir}"
   sed -i -e "s|cros_efi|cros_efi nosmt|g" "${dir}/efi/boot/grub.cfg"
   umount "${dir}"
   rmdir "${dir}"
   
   reboot

   Per comodità, puoi ottenere lo stesso effetto dei comandi precedenti anche eseguendo lo script riportato di seguito. Ti consigliamo di includere tale script in cloud-config, negli script di avvio o nei modelli di istanza, per assicurarti che le nuove VM utilizzino il nuovo parametro. Di seguito è riportato un esempio di cloud-config che esegue tale script.

   Avviso: questo comando determina il riavvio immediato dell'istanza, quando viene utilizzato per la prima volta. Le esecuzioni successive del comando su un'istanza con Hyper-Threading già disabilitato non hanno alcun effetto.

   # Run as root
   /bin/bash <(curl -s https://storage.googleapis.com/cos-tools/scripts/disable_smt.sh)
   

   Per includere lo script in cloud-config:

   #cloud-config
   
   bootcmd:
   - /bin/bash -c "/bin/bash <(curl -s https://storage.googleapis.com/cos-tools/scripts/disable_smt.sh)"
   

   Per verificare che l'Hyper-Threading sia disabilitato nella tua istanza, osserva l'output dei file /sys/devices/system/cpu/smt/active e /sys/devices/system/cpu/smt/control. Se viene restituito 0 per active e off per control, l'Hyper-Threading è disabilitato:

   cat /sys/devices/system/cpu/smt/active
   cat /sys/devices/system/cpu/smt/control
   

   Nota: se hai abilitato la funzionalità Avvio protetto UEFI nella tua istanza, dovrai ricreare l'istanza con tale funzionalità disabilitata, eseguire il comando precedente con tale funzionalità disabilitata e quindi abilitare Avvio protetto UEFI nella nuova istanza.

2. Utilizzare una nuova versione dell'immagine COS
   

   Oltre a disabilitare l'Hyper-Threading come spiegato in precedenza, devi anche ricreare le tue istanze con le immagini aggiornate elencate sopra o con versioni più recenti (se disponibili) delle immagini di Container-Optimized OS, per ottenere una protezione completa dalla vulnerabilità.

• CVE-2018-12126
• CVE-2018-12127
• CVE-2018-12130
• CVE-2019-11091

Descrizione

Intel ha divulgato i seguenti CVE:

• CVE-2018-3615 (per SGX)
• CVE-2018-3620 (per sistemi operativi e SMT)
• CVE-2018-3646 (per la virtualizzazione)

Questi CVE vengono denominati collettivamente "L1 Terminal Fault (L1TF)".

Queste vulnerabilità L1TF sfruttano l'esecuzione speculativa attaccando la configurazione delle strutture di dati a livello di processore. "L1" si riferisce alla cache dei dati di livello 1 (L1D), una piccola risorsa on-core utilizzata per accelerare l'accesso alla memoria.

Leggi il post del blogGoogle Cloud per ulteriori dettagli su queste vulnerabilità e sulle mitigazioni di Compute Engine.

Impatto di Compute Engine

L'infrastruttura host che esegue Compute Engine e isola i carichi di lavoro dei clienti l'uno dall'altro è protetta dagli attacchi noti.

I clienti di Compute Engine sono incoraggiati ad aggiornare le loro immagini per evitare il possibile sfruttamento indiretto di questa vulnerabilità all'interno dei loro ambienti guest. Ciò è particolarmente importante per i clienti che eseguono i propri servizi multi-tenant su macchine virtuali Compute Engine.

Per aggiornare i sistemi operativi guest sulle loro istanze, i clienti di Compute Engine possono:

• Utilizzare immagini pubbliche con patch per ricreare le istanze VM esistenti.
• Installare sulle istanze esistenti le patch messe a disposizione dal fornitore del sistema operativo e riavviare le istanze dopo l'applicazione delle patch.

Immagini con patch e risorse del fornitore

Forniremo qui i link alle informazioni sulle patch di ciascun fornitore del sistema operativo non appena saranno disponibili, con lo stato di entrambi i CVE. Utilizza queste immagini per ricreare le istanze VM. Le versioni precedenti di queste immagini pubbliche non contengono queste patch e non mitigano i potenziali attacchi:

• Progetto centos-cloud:
  • centos-7-v20180815
  • centos-6-v20180815
• Progetto coreos-cloud:
  • coreos-stable-1800-7-0-v20180816
  • coreos-beta-1855-2-0-v20180816
  • coreos-alpha-1871-0-0-v20180816
• Progetto cos-cloud:
  • cos-stable-66-10452-110-0
  • cos-stable-67-10575-66-0
  • cos-beta-68-10718-81-0
  • cos-dev-69-10895-23-0
• Progetto debian-cloud:
  • debian-9-stretch-v20180820
• Progetto rhel-cloud:
  • rhel-7-v20180814
  • rhel-6-v20180814
• Progetto rhel-sap-cloud:
  • rhel-7-sap-apps-v20180814
  • rhel-7-sap-hana-v20180814
• Progetto suse-cloud:
  • sles-15-v20180816
  • sles-12-sp3-v20180814
  • sles-11-sp4-v20180816
• Progetto suse-sap-cloud:
  • sles-15-sap-v20180816
  • sles-12-sp3-sap-v20180814
  • sles-12-sp2-sap-v20180816
• Progetto ubuntu-os-cloud:
  • ubuntu-1804-bionic-v20180814
  • ubuntu-1604-xenial-v20180814
  • ubuntu-1404-trusty-v20180814
  • ubuntu-minimal-1804-bionic-v20180814
  • ubuntu-minimal-1604-xenial-v20180814
• Progetti windows-cloud gce-uefi-images e windows-sql-cloud:
  • Tutte le immagini pubbliche di Windows Server e SQL Server con numero di versione -v201800814 e successivi includono le patch.

• CVE-2018-3615
• CVE-2018-3620
• CVE-2018-3646

Aggiornamento 05-09-2018

Il CVE-2018-5391 è stato divulgato il 14-08-2018 da US-CERT. Come con CVE-2018-5390, si tratta di una vulnerabilità di rete a livello di kernel che aumenta l'efficacia degli attacchi DoS (denial of service) contro i sistemi vulnerabili. La principale differenza è che il CVE-2018-5391 è sfruttabile sulle connessioni IP. Abbiamo aggiornato questo bollettino per coprire entrambe le vulnerabilità.

Descrizione

Il CVE-2018-5390 ("SegmentSmack") descrive una vulnerabilità di rete a livello di kernel che aumenta l'efficacia degli attacchi DoS (Denial of Service) contro i sistemi vulnerabili tramite le connessioni TCP.

Il CVE-2018-5391 ("FragmentSmack") descrive una vulnerabilità di rete a livello di kernel che aumenta l'efficacia degli attacchi DoS (Denial of Service) contro i sistemi vulnerabili tramite le connessioni IP.

Impatto di Compute Engine

L'infrastruttura host che esegue le VM di Compute Engine non è a rischio. L'infrastruttura di rete che gestisce il traffico verso e dalle VM di Compute Engine è protetta da questa vulnerabilità. Le VM di Compute Engine che inviano/ricevono traffico di rete non attendibile solo tramite bilanciatori del carico HTTP(S), SSL o TCP sono protette da questa vulnerabilità.

Le VM di Compute Engine che eseguono sistemi operativi privi di patch che inviano/ricevono traffico di rete non attendibile direttamente o utilizzando bilanciatori del carico di rete sono vulnerabili a questo attacco DoS.

Valuta la possibilità di aggiornare le istanze VM non appena sono disponibili patch per i rispettivi sistemi operativi.

Per aggiornare i sistemi operativi guest sulle loro istanze, i clienti di Compute Engine possono:

• Utilizzare immagini pubbliche con patch per ricreare le istanze VM esistenti. L'elenco delle immagini pubbliche con patch è riportato di seguito.
• Installare sulle istanze esistenti le patch messe a disposizione dal fornitore del sistema operativo e riavviare le istanze dopo l'applicazione delle patch.

Immagini con patch e risorse del fornitore

Forniremo qui i link alle informazioni relative alle patch di ciascun fornitore del sistema operativo non appena saranno disponibili.

• Progetto centos-cloud (solo CVE-2018-5390):
  • centos-7-v20180815
  • centos-6-v20180815
• Progetto coreos-cloud (CVE-2018-5390 e CVE-2018-5391):
  • coreos-stable-1800-7-0-v20180816
  • coreos-beta-1855-2-0-v20180816
  • coreos-alpha-1871-0-0-v20180816
• Progetto cos-cloud (CVE-2018-5390 e CVE-2018-5391):
  • cos-stable-65-10323-98-0
  • cos-stable-66-10452-109-0
  • cos-stable-67-10575-65-0
  • cos-beta-68-10718-76-0
  • cos-dev-69-10895-16-0
• Progetto debian-cloud (CVE-2018-5390 e CVE-2018-5391):
  • debian-9-stretch-v20180814
• Progetto rhel-cloud (solo CVE-2018-5390):
  • rhel-7-v20180814
  • rhel-6-v20180814
• Progetto suse-cloud (CVE-2018-5390 e CVE-2018-5391):
  • sles-15-v20180816
  • sles-12-sp3-v20180814
• Progetto suse-sap-cloud (CVE-2018-5390 e CVE-2018-5391):
  • sles-15-sap-v20180816
  • sles-12-sp3-sap-v20180814
  • sles-12-sp2-sap-v20180816
• Progetto ubuntu-os-cloud (CVE-2018-5390 e CVE-2018-5391):
  • ubuntu-1804-bionic-v20180814
  • ubuntu-1604-xenial-v20180814
  • ubuntu-1404-trusty-v20180814
  • ubuntu-minimal-1804-bionic-v20180814
  • ubuntu-minimal-1604-xenial-v20180814

• CVE-2018-5390
• CVE-2018-5391

Aggiornamento 21-05-2018

Il CVE-2018-3640 e il CVE-2018-3639, rispettivamente varianti 3a e 4, sono stati divulgati da Intel. Come per le prime tre varianti di Spectre e Meltdown, l'infrastruttura che esegue le istanze VM di Compute Engine è protetta e le istanze VM dei clienti sono isolate e protette l'una dall'altra. Inoltre, Compute Engine prevede il deployment delle patch di microcodice Intel nella nostra infrastruttura, che consentirà ai clienti che eseguono carichi di lavoro multi-tenant o non attendibili all'interno di una singola istanza VM di attivare ulteriori mitigazioni interne alla VM quando fornite dai provider e dai fornitori di sistemi operativi. Compute Engine eseguirà il deployment delle patch di microcodice dopo che Intel le avrà certificate e dopo che Compute Engine avrà verificato e qualificato le patch per il nostro ambiente di produzione. Forniremo tempistiche e aggiornamenti più dettagliati su questa pagina non appena saranno disponibili.

Descrizione

Questi CVE sono varianti di una nuova classe di attacchi che sfruttano la tecnologia di esecuzione speculativa disponibile in molti processori. Questa classe di attacchi può consentire l'accesso non autorizzato in sola lettura ai dati in memoria in varie circostanze.

Compute Engine ha utilizzato la tecnologia di migrazione live delle VM per eseguire aggiornamenti del sistema host e dell'hypervisor senza impatto sull'utente, senza finestre di manutenzione forzata e senza riavvii di massa. Tuttavia, a tutti i sistemi operativi guest e a tutte le versioni devono essere applicate patch di protezione da questa nuova classe di attacchi, indipendentemente dalla posizione di esecuzione di questi sistemi.

Per i dettagli tecnici completi su questo metodo di attacco, leggi il post del blog di Project Zero. Per i dettagli completi sulle misure di mitigazione di Google, incluse tutte le informazioni specifiche del prodotto, leggi il post del blog di Google Security.

Impatto di Compute Engine

L'infrastruttura che esegue Compute Engine e isola le istanze VM dei clienti l'una dall'altra è protetta dagli attacchi noti. Le nostre mitigazioni impediscono l'accesso non autorizzato ai nostri sistemi host da applicazioni eseguite all'interno di istanze VM. Queste mitigazioni impediscono anche l'accesso non autorizzato tra istanze VM in esecuzione sullo stesso sistema host.

Per impedire l'accesso non autorizzato all'interno delle istanze di macchine virtuali, devi aggiornare i sistemi operativi guest in tali istanze utilizzando una delle seguenti opzioni:

• Utilizza immagini pubbliche con patch per ricreare le istanze VM esistenti. L'elenco delle immagini pubbliche con patch è riportato di seguito.
• Installa sulle istanze esistenti le patch messe a disposizione dal fornitore del sistema operativo per la tua distribuzione e riavvia le istanze dopo l'applicazione delle patch. I link alle informazioni sulle patch di ciascun fornitore del sistema operativo sono riportati di seguito.

Immagini con patch e risorse del fornitore

Nota: le immagini con patch potrebbero non includere le correzioni per tutti i CVE elencati in questo bollettino sulla sicurezza. Inoltre, immagini diverse potrebbero includere metodi diversi per impedire questi tipi di attacchi. Rivolgiti al fornitore del sistema operativo per verificare quali CVE vengono risolti dalle sue patch e quali metodi di prevenzione vengono utilizzati.

• Progetto cos-cloud: include patch per impedire gli attacchi inclusi nella variante 2 (CVE-2017-5715) e nella variante 3 (CVE-2017-5754). Google ha utilizzato Retpoline in queste immagini per mitigare gli attacchi inclusi nella variante 2.
  • cos-stable-63-10032-71-0 o famiglia di immagini cos-stable
• Progetto centos-cloud: informazioni sulle patch per CentOS
  • centos-7-v20180104 o famiglia di immagini centos-7
  • centos-6-v20180104 o famiglia di immagini centos-6
• Progetto coreos-cloud: informazioni sulle patch per CoreOS
  • coreos-stable-1576-5-0-v20180105 o famiglia di immagini coreos-stable
  • coreos-beta-1632-1-0-v20180105 o famiglia di immagini coreos-beta
  • coreos-alpha-1649-0-0-v20180105 o famiglia di immagini coreos-alpha
• Progetto debian-cloud: informazioni sulle patch per Debian
  • debian-9-stretch-v20180105 o famiglia di immagini debian-9
  • debian-8-jessie-v20180109 o famiglia di immagini debian-8
• Progetto rhel-cloud: informazioni sulle patch per RHEL
  • rhel-7-v20180104 o famiglia di immagini rhel-7
  • rhel-6-v20180104 o famiglia di immagini rhel-6
• Progetto suse-cloud: informazioni sulle patch per SUSE
  • sles-12-sp3-v20180104 o famiglia di immagini sles-12
  • sles-11-sp4-v20180104 o famiglia di immagini sles-11
• Progetto suse-sap-cloud: informazioni sulle patch per SUSE
  • sles-12-sp3-sap-v20180104 o famiglia di immagini sles-12-sp3-sap
  • sles-12-sp2-sap-v20180104 o famiglia di immagini sles-12-sp2-sap
• Progetto ubuntu-os-cloud: informazioni sulle patch per Ubuntu
  • ubuntu-1710-artful-v20180109 o famiglia di immagini ubuntu-1710
  • ubuntu-1604-xenial-v20180109 o famiglia di immagini ubuntu-1604-lts
  • ubuntu-1404-trusty-v20180110 o famiglia di immagini ubuntu-1404-lts
• Progetti windows-cloud e windows-sql-cloud:
  • Tutte le immagini pubbliche di Windows Server e SQL Server con numero di versione -v20180109 e successivi includono le patch. Tuttavia, dovrai eseguire le azioni consigliate da Microsoft nel bollettino di assistenza relativo alle linee guida per Windows Server per attivare e verificare queste mitigazioni sia sulle istanze esistenti, sia sulle istanze appena create.

Utilizza queste immagini per ricreare le istanze VM. Le versioni precedenti di queste immagini pubbliche non contengono queste patch e non mitigano i potenziali attacchi.

Patch dei fornitori di hardware

NVIDIA fornisce driver con patch per mitigare i potenziali attacchi contro i sistemi su cui è installato il software dei driver NVIDIA®. Per sapere a quali versioni dei driver sono state applicate le patch, leggi il bollettino sulla sicurezza di NVIDIA relativo agli aggiornamenti di sicurezza per i driver video delle GPU NVIDIA.

Cronologia delle revisioni:

• 21-05-2018 ore 14:00 PST: aggiunte informazioni sulle due nuove varianti divulgate il 21 maggio 2018.
• 10-01-2018 ore 15:00 PST: aggiunte informazioni sulle immagini pubbliche di Windows Server e SQL Server con patch.
• 10-01-2018 ore 10:15 PST: aggiunte diverse immagini Ubuntu all'elenco delle immagini pubbliche con patch.
• 10-01-2018 ore 09:50 PST: aggiunte linee guida per le patch messe a disposizione dai fornitori di hardware.
• 03-01-2018 - 09-01-2018: apportate diverse modifiche all'elenco delle immagini pubbliche con patch.

• CVE-2017-5753
• CVE-2017-5715
• CVE-2017-5754
• CVE-2018-3640
• CVE-2018-3639

Dnsmasq fornisce la funzionalità per gestire DNS, DHCP, annunci di router e avvio di rete. Questo software è installato comunemente in sistemi di vario tipo, tra cui distribuzioni desktop Linux (come Ubuntu), router domestici e dispositivi IoT. Dnsmasq è ampiamente utilizzato sia sull'Internet pubblico sia internamente nelle reti private.

Google ha rilevato sette problemi diversi nel corso delle normali valutazioni della propria sicurezza interna. Dopo aver stabilito la gravità di questi problemi, abbiamo cercato di analizzarne l'impatto e la sfruttabilità, per poi generare una serie di proof of concept interni per ciascuno di essi. Abbiamo inoltre lavorato con il gestore di Dnsmasq, Simon Kelly, per produrre le patch adeguate e limitare l'impatto del problema.

Durante la revisione, il nostro team ha riscontrato tre possibili esecuzioni di codice remoto, una perdita di informazioni e tre vulnerabilità di tipo Denial of Service che interessano la versione più recente nel server Git di progetto al 5 settembre 2017.

Queste patch sono propagate a monte e sono confermate nel repository Git del progetto.

Impatto di Compute Engine

Per impostazione predefinita, Dnsmasq è installato solo nelle immagini che utilizzano NetworkManager e non è attivo. Dnsmasq è installato nelle seguenti immagini pubbliche di Compute Engine:

• Ubuntu 16.04, 16.10, 17.04
• CentOS 7
• RHEL 7

Tuttavia, Dnsmasq potrebbe essere installato su altre immagini come dipendenza per altri pacchetti. Ti consigliamo di aggiornare le istanze Debian, Ubuntu, CentOS, RHEL, SLES e OpenSuse in modo da utilizzare l'immagine più recente del sistema operativo. CoreOS e Container-Optimized OS non sono interessati, così come le immagini Windows.

Per le istanze che utilizzano Debian e Ubuntu puoi effettuare un aggiornamento eseguendo nell'istanza i seguenti comandi:

sudo apt-get -y update

sudo apt-get -y dist-upgrade

Esegui il comando seguente per le istanze Red Hat Enterprise Linux e CentOS:

sudo yum -y upgrade

Esegui il comando seguente per le immagini SLES e OpenSUSE:

sudo zypper up

In alternativa all'esecuzione dei comandi di aggiornamento manuale, puoi ricreare le istanze VM utilizzando le famiglie di immagini del rispettivo sistema operativo.

• CVE-2017-14491
• CVE-2017-14492
• CVE-2017-14493
• CVE-2017-14494
• CVE-2017-14495
• CVE-2017-14496
• CVE-2017-13704

La vulnerabilità CVE-2016-5195 è legata a una race condition relativa alla modalità con cui il sottosistema della memoria del kernel Linux ha gestito la violazione da parte di utenti non autorizzati dei mapping privati di sola lettura sfruttando il meccanismo di copy-on-write (COW) al momento dell'accesso in scrittura.

Un utente locale non privilegiato potrebbe sfruttare questa falla per accedere in scrittura a mapping di memoria di sola lettura, con conseguente aumento dei propri privilegi sul sistema.

Per ulteriori informazioni, consulta le domande frequenti sulla vulnerabilità Dirty COW.

Impatto di Compute Engine

Sono interessate tutte le distribuzioni e le versioni di Linux su Compute Engine. La maggior parte delle istanze scarica e installa automaticamente un kernel più recente. Tuttavia, è necessario riavviare il sistema per potervi applicare una patch.

Nelle istanze nuove o ricreate che si basano sulle seguenti immagini Compute Engine sono già installati i kernel con patch applicata.

• centos-6-v20161026
• centos-7-v20161025
• coreos-alpha-1192-2-0-v20161021
• coreos-beta-1185-2-0-v20161021
• coreos-stable-1122-3-0-v20161021
• debian-8-jessie-v20161020
• rhel-6-v20161026
• rhel-7-v20161024
• sles-11-sp4-v20161021
• sles-12-sp1-v20161021
• ubuntu-1204-precise-v20161020
• ubuntu-1404-trusty-v20161020
• ubuntu-1604-xenial-v20161020
• ubuntu-1610-yakkety-v20161020

La vulnerabilità CVE-2015-7547 riguarda il resolver lato client del DNS glibc, che rende il software vulnerabile al sovraccarico del buffer basato su stack quando si utilizza la funzione di libreria getaddrinfo(). Un utente malintenzionato potrebbe prendere il controllo del software che utilizza questa funzione per sfruttare questa vulnerabilità con nomi di dominio e server DNS opportunamente predisposti o mediante attacchi di tipo man-in-the-middle.

Per ulteriori dettagli, consulta il post del blog sulla sicurezza di Google o il database delle vulnerabilità ed esposizioni comuni (CVE).

Impatto di Compute Engine

Aggiornamento (22-02-2016):

Adesso puoi ricreare le istanze utilizzando le seguenti immagini CoreOS, SLES e OpenSUSE:

• coreos-alpha-962-0-0-v20160218
• coreos-beta-899-7-0-v20160218
• coreos-stable-835-13-0-v20160218
• opensuse-13-2-v20160222
• opensuse-leap-42-1-v20160222
• sles-11-sp4-v20160222
• sles-12-sp1-v20160222

Aggiornamento (17-02-2016):

Adesso puoi aggiornare le istanze Ubuntu 12.04 LTS, Ubuntu 14.04 LTS e Ubuntu 15.10 eseguendo i seguenti comandi:

1. user@my-instance:~$ sudo apt-get -y update
2. user@my-instance:~$ sudo apt-get -y dist-upgrade
3. user@my-instance:~$ sudo reboot

In alternativa all'esecuzione dei comandi di aggiornamento manuale, adesso puoi ricreare le istanze con le nuove immagini seguenti:

• backports-debian-7-wheezy-v20160216
• centos-6-v20160216
• centos-7-v20160216
• debian-7-wheezy-v20160216
• debian-8-jessie-v20160216
• rhel-6-v20160216
• rhel-7-v20160216
• ubuntu-1204-precise-v20160217a
• ubuntu-1404-trusty-v20160217a
• ubuntu-1510-wily-v20160217

Non conosciamo metodi che possono sfruttare questa vulnerabilità attraverso i resolver DNS di Compute Engine con la configurazione glibc predefinita. Ti consigliamo di applicare una patch alle istanze di macchine virtuali il prima possibile poiché, come accade con qualsiasi nuova vulnerabilità, nel corso del tempo potrebbero essere scoperti nuovi metodi di attacco. Se hai abilitato edns0 (che è disabilitato per impostazione predefinita), devi disabilitarlo finché alle istanze non viene applicata la patch.

Bollettino originale:

La distribuzione Linux potrebbe essere vulnerabile. Per eliminare questa vulnerabilità, i clienti di Compute Engine dovranno aggiornare le immagini di sistema operativo delle proprie istanze se utilizzano un sistema operativo Linux.

Per le istanze che utilizzano Debian puoi effettuare un aggiornamento eseguendo nell'istanza i seguenti comandi:

1. user@my-instance:~$ sudo apt-get -y update
2. user@my-instance:~$ sudo apt-get -y dist-upgrade
3. user@my-instance:~$ sudo reboot

Ti consigliamo anche di installare UnattendedUpgrades per le istanze Debian.

Per le istanze Red Hat Enterprise Linux:

• user@my-instance:~$ sudo yum -y upgrade
• user@my-instance:~$ sudo reboot

Continueremo ad aggiornare questo bollettino man mano che altri gestori di sistema operativo pubblicano le patch per questa vulnerabilità e Compute Engine rilascia immagini aggiornate di sistema operativo.

La vulnerabilità CVE-2015-1427 riguarda il motore di script Groovy in Elasticsearch (prima della versione 1.3.8 e qualsiasi versione 1.4.x prima della 1.4.3), che consente a utenti malintenzionati remoti di aggirare il meccanismo di protezione sandbox ed eseguire comandi di shell arbitrari.

Per ulteriori dettagli, consulta il National Vulnerability Database (NVD) o il database delle vulnerabilità ed esposizioni comuni (CVE).

Impatto di Compute Engine

Se esegui Elasticsearch sulle istanze Compute Engine, ti conviene eseguire l'upgrade a Elasticsearch versione 1.4.3 o successiva. Se hai già eseguito l'upgrade del software Elasticsearch, il tuo sistema è protetto da questa vulnerabilità.

Se non hai effettuato l'upgrade a Elasticsearch 1.4.3 o versioni successive, puoi eseguire un upgrade in sequenza.

Se hai eseguito il deployment di Elasticsearch mediante la funzionalità Click-to-deploy nella Google Cloud console, puoi eliminare il deployment per rimuovere le istanze che eseguono Elasticsearch.

Il team di Google Cloud sta cercando una soluzione per eseguire il deployment di una versione aggiornata di Elasticsearch. Tuttavia, non è ancora disponibile una soluzione per la funzionalità Click-to-deploy di Google Cloud console.

La vulnerabilità CVE-2015-0235 (Ghost) riguarda la libreria glibc.

I clienti di App Engine, Cloud Storage, BigQuery e Cloud SQL non devono intraprendere alcuna azione. I server Google sono stati aggiornati e sono protetti da questa vulnerabilità.

I clienti di Compute Engine potrebbero dover aggiornare le proprie immagini di sistema operativo.

Impatto di Compute Engine

La distribuzione Linux potrebbe essere vulnerabile. Per eliminare questa vulnerabilità, i clienti di Compute Engine dovranno aggiornare le immagini di sistema operativo delle proprie istanze se eseguono Debian 7, backport di Debian 7, Ubuntu 12.04 LTS, Red Hat Enterprise Linux, CentOS o SUSE Linux Enterprise Server 11 SP3.

Questa vulnerabilità non interessa Ubuntu 14.04 LTS, Ubuntu 14.10 o SUSE Linux Enterprise Server 12.

Ti consigliamo di eseguire l'upgrade delle tue distribuzioni Linux. Per le istanze che utilizzano Debian 7, backport di Debian 7 o Ubuntu 12.04 LTS, puoi effettuare un aggiornamento eseguendo nell'istanza i seguenti comandi:

1. user@my-instance:~$ sudo apt-get update
2. user@my-instance:~$ sudo apt-get -y upgrade
3. user@my-instance:~$ sudo reboot

Per le istanze Red Hat Enterprise Linux o CentOS:

1. user@my-instance:~$ sudo yum -y upgrade
2. user@my-instance:~$ sudo reboot

Per le istanze SUSE Linux Enterprise Server 11 SP3:

1. user@my-instance:~$ sudo zypper --non-interactive up
2. user@my-instance:~$ sudo reboot

In alternativa all'esecuzione dei comandi di aggiornamento manuale riportati in precedenza, adesso gli utenti possono ricreare le istanze con le nuove immagini seguenti:

• debian-7-wheezy-v20150127
• backports-debian-7-wheezy-v20150127
• centos-6-v20150127
• centos-7-v20150127
• rhel-6-v20150127
• rhel-7-v20150127
• sles-11-sp3-v20150127
• ubuntu-1204-precise-v20150127

Impatto sulle VM gestite di Google

Gli utenti delle VM gestite che utilizzano gcloud preview app deploy devono aggiornare i propri container docker di base con gcloud preview app setup-managed-vms ed eseguire nuovamente il deployment di ogni applicazione in esecuzione utilizzando gcloud preview app deploy. Gli utenti che eseguono il deployment con appcfg non devono fare nulla e l'upgrade verrà eseguito automaticamente.

La vulnerabilità CVE-2014-3566 (detta anche POODLE) riguarda la progettazione di SSL versione 3.0. Questa vulnerabilità consente a un utente malintenzionato che opera in rete di calcolare il testo non crittografato delle connessioni sicure. Per i dettagli, consulta il nostro post del blog sulla vulnerabilità.

I clienti di App Engine, Cloud Storage, BigQuery e Cloud SQL non devono intraprendere alcuna azione. I server Google sono stati aggiornati e sono protetti da questa vulnerabilità. I clienti di Compute Engine devono aggiornare le proprie immagini di sistema operativo.

Impatto di Compute Engine

Aggiornamento (17-10-2014):

La vulnerabilità potrebbe riguardarti se utilizzi SSLv3. Per eliminare questa vulnerabilità, i clienti di Compute Engine dovranno aggiornare le immagini di sistema operativo delle proprie istanze.

Ti consigliamo di eseguire l'upgrade delle tue distribuzioni Linux. Per le istanze che utilizzano Debian puoi effettuare un aggiornamento eseguendo nell'istanza i seguenti comandi:

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade
user@my-instance:~$ sudo reboot

Per le istanze CentOS:

user@my-instance:~$ sudo yum -y upgrade
user@my-instance:~$ sudo reboot

In alternativa all'esecuzione dei comandi di aggiornamento manuale in alto, adesso gli utenti possono ricreare le istanze con le nuove immagini seguenti:

• centos-6-v20141016
• centos-7-v20141016
• debian-7-wheezy-v20141017
• backports-debian-7-wheezy-v20141017

Aggiorneremo il bollettino per le immagini RHEL e SLES dopo averle ricevute. Nel frattempo, gli utenti RHEL possono contattare direttamente Red Hat per ulteriori informazioni.

Bollettino originale:

Per eliminare questa vulnerabilità, i clienti di Compute Engine dovranno aggiornare le immagini di sistema operativo delle proprie istanze. Aggiorneremo questo bollettino di sicurezza con le istruzioni non appena saranno disponibili nuove immagini di sistema operativo.

In Bash esiste un bug (CVE-2014-6271) che consente l'esecuzione di codice remoto sulla base dell'analisi di qualsiasi variabile di ambiente controllata da un utente malintenzionato. Il vettore di sfruttamento più probabile è l'utilizzo di richieste HTTP dannose effettuate a script CGI esposti su un server web. Per ulteriori informazioni, consulta la descrizione del bug.

I bug di Bash sono stati mitigati per i prodotti Google Cloud , ad eccezione delle immagini del sistema operativo guest di Compute Engine precedenti al 26/09/2014. Di seguito sono riportati i passaggi per limitare i bug delle immagini di Compute Engine.

Impatto di Compute Engine

Questo bug potrebbe interessare praticamente tutti i siti web che utilizzano script CGI. Inoltre, è probabile che influirà sui siti web che si basano su PHP, Perl, Python, SSI, Java, C++ e servlet simili che richiamano comandi shell utilizzando chiamate come popen, system, shell_exec o API simili. Potrebbe interessare anche i sistemi che tentano di consentire l'accesso controllato all'accesso per gli utenti con restrizioni utilizzando meccanismi come la limitazione dei comandi SSH o la shell con restrizioni bash.

Aggiornamento (29/09/2014):

In alternativa all'esecuzione dei comandi di aggiornamento manuale riportati di seguito, gli utenti ora possono ricreare le proprie istanze con immagini che mitigano ulteriori vulnerabilità correlate al bug di sicurezza di Bash, tra cui CVE-2014-7169, CVE-2014-6277, CVE-2014-6278, CVE-2014-7186, e CVE-2014-7187. Utilizza le nuove immagini seguenti per ricreare le istanze:

• centos-6-v20140926
• centos-7-v20140926
• debian-7-wheezy-v20140926
• backports-debian-7-wheezy-v20140926
• rhel-6-v20140926

Aggiornamento (25/09/2014):

Adesso gli utenti possono scegliere di ricreare le proprie istanze invece di eseguire un aggiornamento manuale. Per ricreare le istanze, utilizza le nuove immagini seguenti che contengono le correzioni per questo bug sulla sicurezza:

• backports-debian-7-wheezy-v20140924
• debian-7-wheezy-v20140924
• rhel-6-v20140924
• centos-6-v20140924
• centos-7-v20140924

Per le immagini RHEL e SUSE puoi anche effettuare manualmente gli aggiornamenti eseguendo sulle istanze i comandi seguenti:

# RHEL instances
user@my-instance:~$ sudo yum -y upgrade

# SUSE instances
user@my-instance:~$ sudo zypper --non-interactive up

Bollettino originale:

Ti consigliamo di eseguire l'upgrade delle tue distribuzioni Linux. Per le istanze che utilizzano Debian puoi effettuare un aggiornamento eseguendo nell'istanza i comandi seguenti:

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade

Per le istanze CentOS:

user@my-instance:~$ sudo yum -y upgrade

Per informazioni dettagliate, consulta l'annuncio per la rispettiva distribuzione Linux:

• Patch originali: http://ftp.gnu.org/gnu/bash/ (controlla l'ultima voce in *-patches per la versione appropriata)
• Debian: [SECURITY] [DSA 3032-1] aggiornamento sulla sicurezza Bash
• RHEL:
  • RHSA-2014:1293-01
  • RHSA-2014:1294-01
• CentOS 5: [CentOS-announce] CESA-2014:1293
• CentOS 6: [CentOS-announce] CESA-2014:1293
• CentOS 7: [CentOS-announce] CESA-2014:1293

Elasticsearch Logstash è vulnerabile ad attacchi di tipo command injection sul sistema operativo che possono causare modifiche non autorizzate e divulgazione dei dati. Un utente malintenzionato può inviare eventi generati appositamente a qualsiasi origine dati di Logstash in modo da eseguire comandi con le autorizzazioni del processo Logstash.

Impatto di Compute Engine

Questa vulnerabilità influisce su tutte le istanze Compute Engine che eseguono versioni di Elasticsearch Logstash precedenti alla 1.4.2 in cui sono abilitati gli output zabbix o nagios_nsca. Per impedire gli attacchi, puoi:

• Eseguire l'upgrade a Logstash 1.4.2
• Applicare la patch per le versioni 1.3.x
• Disattiva gli output zabbix e nagios_nsca.

Consulta il blog di Logstash per ulteriori informazioni.

Elasticsearch consiglia anche di utilizzare un firewall per impedire l'accesso remoto da IP non attendibili.

Vogliamo dedicare qualche minuto alla risposta a eventuali dubbi da parte dei clienti circa la sicurezza dei container Docker eseguiti su Google Cloud. Ciò include i clienti che utilizzano le nostre estensioni App Engine che supportano i container Docker, le macchine virtuali ottimizzate per i container o lo scheduler Kubernetes open source.

Docker ha lavorato egregiamente per risolvere il problema e puoi leggere qui la risposta nel suo blog. Tieni presente che, come viene detto nella risposta, il problema interessa solo Docker 0.11 e una versione precedente di pre-produzione.

Mentre il mondo sta pensando alla sicurezza dei container, vorremmo sottolineare che in Google Cloud, le soluzioni basate su container di applicazioni Linux (in particolare i container Docker) funzionano su macchine virtuali complete (Compute Engine). Pur supportando gli sforzi della community Docker per rafforzare la protezione dello stack di container per applicazioni Linux, ci rendiamo conto che si tratta di una tecnologia nuova con una superficie di attacco molto ampia. Siamo convinti che, per ora, gli hypervisor completi (macchine virtuali) hanno una superficie di attacco più compatta e difendibile. Le macchine virtuali sono state progettate sin dall'inizio per isolare i carichi di lavoro dannosi e ridurre al minimo la probabilità e l'impatto di un bug del codice.

I nostri clienti possono essere sicuri che esiste la "barriera" tra di un hypervisor completo tra loro e il codice potenzialmente dannoso di terze parti. Se dovessimo giungere alla conclusione che lo stack di container per applicazioni Linux è abbastanza solido da supportare carichi di lavoro multi-tenant, lo faremo sapere alla community. Per ora, i container per applicazioni Linux non sostituiscono le macchine virtuali. È un modo per ottenere molto di più.

OpenSSL ha un problema per cui i messaggi ChangeCipherSpec non sono associati correttamente alla macchina a stati di handshake. Ciò ne consente l'inserimento anticipato nell'handshake. Un utente malintenzionato potrebbe sfruttare un handshake generato appositamente per forzare l'uso di materiale per le chiavi vulnerabile nei client e nei server SSL/TLS OpenSSL. Ciò potrebbe esporre il sistema ad attacchi di tipo person-in-the-middle (PITM) in cui un utente malintenzionato può decriptare e modificare il traffico proveniente dal client e dal server attaccati.

Questo problema è identificato come CVE-2014-0224. Il team OpenSSL ha risolto il problema e ha avvisato la community OpenSSL di aggiornare OpenSSL.

Impatto di Compute Engine

Questa vulnerabilità interessa tutte le istanze di Compute Engine che utilizzano OpenSSL, inclusi Debian, CentOS, Red Hat Enterprise Linux e SUSE Linux Enterprise Server. Puoi aggiornare le istanze ricreandole con nuove immagini oppure aggiornando manualmente i pacchetti nelle istanze.

Aggiornamento (09-06-2014): per aggiornare con nuove immagini le istanze che eseguono SUSE Linux Enterprise Server, ricreale utilizzando le immagini con le versioni indicate di seguito o successive:

• sles-11-sp3-v20140609

Post originale:

Per aggiornare le istanze Debian e CentOS mediante nuove immagini, ricreale utilizzando le immagini con le versioni indicate di seguito o successive:

• debian-7-wheezy-v20140605
• backports-debian-7-wheezy-v20140605
• centos-6-v20140605
• rhel-6-v20140605

Per aggiornare manualmente OpenSSL sulle istanze, esegui i comandi riportati di seguito per aggiornare i pacchetti appropriati. Per le istanze che utilizzano CentOS e RHEL, puoi aggiornare OpenSSL eseguendo nell'istanza i comandi seguenti:

user@my-instance:~$ sudo yum -y update
user@my-instance:~$ sudo reboot

Per le istanze che utilizzano Debian, puoi aggiornare OpenSSL eseguendo nell'istanza i comandi seguenti:

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade
user@my-instance:~$ sudo reboot

Per le istanze che utilizzano SUSE Linux Enterprise Server, puoi assicurarti che OpenSSL sia aggiornato eseguendo nell'istanza i comandi seguenti:

user@my-instance:~$ sudo zypper --non-interactive up
user@my-instance:~$ sudo reboot

Le implementazioni (1) TLS e (2) DTLS in OpenSSL 1.0.1 prima della versione 1.0.1g non gestiscono correttamente i pacchetti di estensione Heartbeat, il che consente agli autori di attacchi remoti di ottenere informazioni sensibili dalla memoria del processo utilizzando pacchetti appositamente creati che attivano una lettura eccessiva del buffer, come dimostrato dalla lettura delle chiavi private, correlate a d1_both.c e t1_lib.c, noto anche come bug Heartbleed.

Impatto di Compute Engine

Questa vulnerabilità interessa tutte le istanze Compute Engine Debian, RHEL e CentOS in cui non è installata la versione più aggiornata di OpenSSL. Puoi aggiornare le istanze ricreandole con nuove immagini o aggiornando manualmente i pacchetti sulle istanze.

Per aggiornare le istanze mediante nuove immagini, ricreale utilizzando le immagini con le versioni indicate di seguito o successive:

• debian-7-wheezy-v20140408
• backports-debian-7-wheezy-v20140408
• centos-6-v20140408
• rhel-6-v20140408

Per aggiornare manualmente OpenSSL sulle istanze, esegui i comandi riportati di seguito per aggiornare i pacchetti appropriati. Per le istanze che utilizzano CentOS e RHEL, puoi assicurarti che OpenSSL sia aggiornato eseguendo nell'istanza i comandi seguenti:

user@my-instance:~$ sudo yum update
user@my-instance:~$ sudo reboot

Per le istanze che utilizzano Debian, puoi aggiornare OpenSSL eseguendo nell'istanza i comandi seguenti:

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get upgrade
user@my-instance:~$ sudo reboot

Le istanze che utilizzano SUSE Linux non sono interessate.

Aggiornamento del 14 aprile 2014: alla luce di un nuovo studio sull'estrazione delle chiavi mediante il bug Heartbleed, ai clienti di Compute Engine viene consigliato di creare nuove chiavi per tutti i servizi SSL interessati.

Nota: questa vulnerabilità riguarda solo i kernel, che sono stati resi obsoleti e sono stati rimossi a partire dalla versione v1 dell'API.

Vulnerabilità della stringa di formato nella funzione b43_request_firmware in drivers/net/wireless/b43/main.c nel driver wireless Broadcom B43 nel kernel Linux fino alla versione 3.9.4 consente agli utenti locali di ottenere privilegi sfruttando l'accesso root e includendo specificatori di stringa di formato in un parametro fwpostfix modprobe, il che comporta la creazione errata di un messaggio di errore.

Impatto di Compute Engine

Questa vulnerabilità riguarda tutti i kernel Compute Engine precedenti alla versione gcg-3.3.8-201305291443. Di conseguenza, Compute Engine ha ritirato tutti i kernel precedenti e consiglia agli utenti di aggiornare le proprie istanze e immagini per utilizzare il kernel Compute Engine gce-v20130603. gce-v20130603 contiene il kernel gcg-3.3.8-201305291443, che include la patch per questa vulnerabilità.

Per sapere quale versione kernel è utilizzata dall'istanza:

1. Connettiti all'istanza tramite SSH
2. Esegui uname -r

Nota: questa vulnerabilità riguarda solo i kernel, che sono stati resi obsoleti e sono stati rimossi a partire dalla versione v1 dell'API.

Vulnerabilità della stringa di formato nella funzione register_disk in block/genhd.c del kernel Linux fino alla versione 3.9.4 consente agli utenti locali di ottenere privilegi sfruttando l'accesso root e scrivendo specificatori di stringa di formato in /sys/module/md_mod/parameters/new_array per creare un nome di dispositivo /dev/md creato appositamente.

Impatto di Compute Engine

Questa vulnerabilità riguarda tutti i kernel Compute Engine precedenti alla versione gcg-3.3.8-201305291443. Di conseguenza, Compute Engine ha ritirato tutti i kernel precedenti e consiglia agli utenti di aggiornare le istanze e le immagini per utilizzare il kernel Compute Engine gce-v20130603. gce-v20130603 contiene il kernel gcg-3.3.8-201305291443, che include la patch per questa vulnerabilità.

Per sapere quale versione kernel è utilizzata dall'istanza:

1. Connettiti all'istanza tramite SSH
2. Esegui uname -r

Nota: questa vulnerabilità riguarda solo i kernel, che sono stati resi obsoleti e sono stati rimossi a partire dalla versione v1 dell'API.

La funzione perf_swevent_init in kernel/events/core.c del kernel Linux prima della versione 3.8.9 utilizza un tipo di dati integer errato, il che consente agli utenti locali di ottenere privilegi mediante una chiamata di sistema perf_event_open creata appositamente.

Impatto di Compute Engine

Questa vulnerabilità riguarda tutti i kernel Compute Engine precedenti alla versione gcg-3.3.8-201305211623. Di conseguenza, Compute Engine ha ritirato tutti i kernel precedenti e consiglia agli utenti di aggiornare le proprie istanze e immagini per utilizzare il kernel Compute Engine gce-v20130521. gce-v20130521 contiene il kernel gcg-3.3.8-201305211623, che include la patch per questa vulnerabilità.

Per sapere quale versione kernel è utilizzata dall'istanza:

1. Connettiti all'istanza tramite SSH
2. Esegui uname -r

Nota: questa vulnerabilità riguarda solo i kernel, che sono stati resi obsoleti e sono stati rimossi a partire dalla versione v1 dell'API.

La race condition nella funzionalità ptrace del kernel Linux prima della versione 3.7.5 consente agli utenti locali di ottenere privilegi utilizzando una chiamata di sistema PTRACE_SETREGS ptrace in un'applicazione creata appositamente.

Impatto di Compute Engine

Questa vulnerabilità riguarda i kernel Compute Engine 2.6.x-gcg-<date>. In risposta, Compute Engine ha ritirato i kernel 2.6.x e consiglia agli utenti di aggiornare le proprie istanze e immagini per utilizzare il kernel Compute Engine gce-v20130225. gce-v20130225 contiene il kernel 3.3.8-gcg-201302081521, che include la patch per questa vulnerabilità.

Per sapere quale versione kernel è utilizzata dall'istanza:

1. Connettiti all'istanza tramite SSH
2. Esegui uname -r