このページは Cloud Translation API によって翻訳されました。

セキュリティに関する公開情報

Compute Engine に関連するセキュリティ情報は随時リリースされます。ここには、Compute Engine に関するすべてのセキュリティ情報が記載されています。

この XML フィードを使用して、Compute Engine のセキュリティに関する情報に登録します。

GCP-2025-058

公開日: 2025 年 10 月 20 日

説明

説明重大度メモ

説明	重大度	メモ
AMD Zen 5 プロセッサ（Turin）の RDSEED 命令に欠陥が発見されました。この命令は、暗号論的に安全な乱数を生成するために使用されます。特定のシステム負荷条件下では、RDSEED の 16 ビット版と 32 ビット版がサイレントに失敗する可能性があり、乱数生成に依存するアプリケーションが損なわれる可能性があります。64 ビットバージョンの RDSEED を使用しているお客様は影響を受けません。必要な対策 AMD はこの脆弱性を調査しています。 64 ビット Linux カーネルは RDSEED 命令の安全な 64 ビットバージョンを使用し、`/dev/[u]random` から取得した乱数をフィードします。これらの乱数は、この脆弱性の影響を受けません。 RDSEED 命令を使用して乱数を合成するアプリケーションコードがある場合は、この命令の 16 ビット版と 32 ビット版は安全でないことに注意してください。64 ビット版の命令は安全です。対処されている脆弱性この脆弱性により、攻撃者は RDSEED をサイレントに失敗させ、アプリケーションでの乱数生成を損なう可能性があります。	高

AMD Zen 5 プロセッサ（Turin）の RDSEED 命令に欠陥が発見されました。この命令は、暗号論的に安全な乱数を生成するために使用されます。特定のシステム負荷条件下では、RDSEED の 16 ビット版と 32 ビット版がサイレントに失敗する可能性があり、乱数生成に依存するアプリケーションが損なわれる可能性があります。64 ビットバージョンの RDSEED を使用しているお客様は影響を受けません。

必要な対策

AMD はこの脆弱性を調査しています。

64 ビット Linux カーネルは RDSEED 命令の安全な 64 ビットバージョンを使用し、/dev/[u]random から取得した乱数をフィードします。これらの乱数は、この脆弱性の影響を受けません。

RDSEED 命令を使用して乱数を合成するアプリケーションコードがある場合は、この命令の 16 ビット版と 32 ビット版は安全でないことに注意してください。64 ビット版の命令は安全です。

対処されている脆弱性

この脆弱性により、攻撃者は RDSEED をサイレントに失敗させ、アプリケーションでの乱数生成を損なう可能性があります。

高

GCP-2025-044

公開日: 2025 年 8 月 12 日

説明

説明	重大度	メモ
Intel は、2 つの新しいセキュリティの脆弱性について Google に通知しました。 CVE-2025-21090: この脆弱性は、次の Intel プロセッサに影響します。 Sapphire Rapids: C3、Z3、H3、A3、v5p VM ファミリー Emerald Rapids: N4、C4、M4、A3 Ultra、A4 VM ファミリー Granite Rapids: N4、C4 VM ファミリー CVE-2025-22840: この脆弱性は、次の Intel プロセッサに影響します。 Granite Rapids: N4、C4 VM ファミリー必要な対策どちらの脆弱性についても、お客様による対応は必要ありません。お客様のシステムの vTPM スタックは、お客様の標準のメンテナンス時間枠中に Google がプロアクティブに更新します。現時点では、悪用された形跡は見つからず、Google に対する報告もありません。対処されている脆弱性脆弱性 CVE-2025-21090 により、権限のないアクターが AMX CPU 命令と AVX CPU 命令を組み合わせて使用することで、ホストマシンを動作不能にできます。脆弱性 CVE-2025-22840 により、権限のないアクターが prefetchit CPU 命令を使用して、本来アクセスできないメモリコンテンツを読み込むことができ、リモートコード実行につながる可能性があります。	中	CVE-2025-21090 CVE-2025-22840

重大度

メモ

Intel は、2 つの新しいセキュリティの脆弱性について Google に通知しました。

CVE-2025-21090: この脆弱性は、次の Intel プロセッサに影響します。

Sapphire Rapids: C3、Z3、H3、A3、v5p VM ファミリー
Emerald Rapids: N4、C4、M4、A3 Ultra、A4 VM ファミリー
Granite Rapids: N4、C4 VM ファミリー

CVE-2025-22840: この脆弱性は、次の Intel プロセッサに影響します。

Granite Rapids: N4、C4 VM ファミリー

必要な対策

どちらの脆弱性についても、お客様による対応は必要ありません。お客様のシステムの vTPM スタックは、お客様の標準のメンテナンス時間枠中に Google がプロアクティブに更新します。現時点では、悪用された形跡は見つからず、Google に対する報告もありません。

対処されている脆弱性

脆弱性 CVE-2025-21090 により、権限のないアクターが AMX CPU 命令と AVX CPU 命令を組み合わせて使用することで、ホストマシンを動作不能にできます。

脆弱性 CVE-2025-22840 により、権限のないアクターが prefetchit CPU 命令を使用して、本来アクセスできないメモリコンテンツを読み込むことができ、リモートコード実行につながる可能性があります。

中

GCP-2025-042

公開日: 2025 年 8 月 11 日

説明

説明	重大度	メモ
研究者は、Skylake、Broadwell、Haswell マイクロアーキテクチャに基づくものを含む、特定の Intel CPU にセキュリティの脆弱性を発見しました。この脆弱性により、攻撃者はアクセス権のない CPU の L1 キャッシュから機密データを直接読み取れる可能性があります。この脆弱性は、2018 年に CVE-2018-3646 で最初に開示されました。この脆弱性が発見されると、Google は既知のリスクに対処する緩和策を直ちに実施しました。脆弱性と初期の修正に関するお知らせは、その時点で公開されました。それ以来、Google は残存リスクを調査し、アップストリームの Linux コミュニティと協力してこのリスクを軽減してきました。最近、Google は学術機関のセキュリティ研究者と協力して、CPU セキュリティの最新の緩和策と、2018 年当時は考慮されていなかった攻撃手法の可能性を評価しました。 Google では、この問題を軽減するため、 Google Cloudを含む影響を受けるアセットに修正を適用しています。必要な対策お客様による対応は必要ありません。Google サーバーフリートにはすでに緩和策が適用されています。対処されている脆弱性詳細については、Intel のアドバイザリ INTEL-SA-00161 と CVE-2018-3646 をご覧ください。	高	CVE-2018-3646

重大度

メモ

研究者は、Skylake、Broadwell、Haswell マイクロアーキテクチャに基づくものを含む、特定の Intel CPU にセキュリティの脆弱性を発見しました。この脆弱性により、攻撃者はアクセス権のない CPU の L1 キャッシュから機密データを直接読み取れる可能性があります。

この脆弱性は、2018 年に CVE-2018-3646 で最初に開示されました。この脆弱性が発見されると、Google は既知のリスクに対処する緩和策を直ちに実施しました。脆弱性と初期の修正に関するお知らせは、その時点で公開されました。それ以来、Google は残存リスクを調査し、アップストリームの Linux コミュニティと協力してこのリスクを軽減してきました。

最近、Google は学術機関のセキュリティ研究者と協力して、CPU セキュリティの最新の緩和策と、2018 年当時は考慮されていなかった攻撃手法の可能性を評価しました。

Google では、この問題を軽減するため、 Google Cloudを含む影響を受けるアセットに修正を適用しています。

必要な対策

お客様による対応は必要ありません。Google サーバーフリートにはすでに緩和策が適用されています。

対処されている脆弱性

詳細については、Intel のアドバイザリ INTEL-SA-00161 と CVE-2018-3646 をご覧ください。

高

CVE-2018-3646

GCP-2025-031

公開日: 2025 年 6 月 10 日

説明

説明	重大度	メモ
Trusted Computing Group（TCG）は、仮想 TPM（vTPM）を使用する Shielded VM に影響するトラステッドプラットフォームモジュール（TPM）ソフトウェアの脆弱性を報告しました。この脆弱性により、認証済みのローカル攻撃者が機密性の高い vTPM データを読み取ったり、vTPM の可用性に影響を与えたりする可能性があります。通常、vTPM へのアクセスは特権アクセスです。ただし、構成によっては、vTPM へのアクセスが広範に許可される場合があります。必要な対策お客様による対応は必要ありません。お客様のシステムの vTPM スタックは、お客様の標準のメンテナンス時間枠中に Google がプロアクティブに更新します。ただし、vTPM へのアクセスを管理者（root）ユーザーに制限できます。この操作は、Shielded VM のリスクを軽減するのに役立ちます。対処されている脆弱性脆弱性 CVE-2025-2884 により、vTPM インターフェースにアクセスできるローカル攻撃者が悪意のあるコマンドを送信できます。これらのコマンドは、不一致を利用して、範囲外（OOB）の vTPM メモリを読み取ります。この操作を行うと、機密データが漏洩する可能性があります。	高	CVE-2025-2884

重大度

メモ

Trusted Computing Group（TCG）は、仮想 TPM（vTPM）を使用する Shielded VM に影響するトラステッドプラットフォームモジュール（TPM）ソフトウェアの脆弱性を報告しました。この脆弱性により、認証済みのローカル攻撃者が機密性の高い vTPM データを読み取ったり、vTPM の可用性に影響を与えたりする可能性があります。

通常、vTPM へのアクセスは特権アクセスです。ただし、構成によっては、vTPM へのアクセスが広範に許可される場合があります。

必要な対策

お客様による対応は必要ありません。お客様のシステムの vTPM スタックは、お客様の標準のメンテナンス時間枠中に Google がプロアクティブに更新します。ただし、vTPM へのアクセスを管理者（root）ユーザーに制限できます。この操作は、Shielded VM のリスクを軽減するのに役立ちます。

対処されている脆弱性

脆弱性 CVE-2025-2884 により、vTPM インターフェースにアクセスできるローカル攻撃者が悪意のあるコマンドを送信できます。これらのコマンドは、不一致を利用して、範囲外（OOB）の vTPM メモリを読み取ります。この操作を行うと、機密データが漏洩する可能性があります。

高

CVE-2025-2884

GCP-2025-025

公開日: 2025-05-13

説明

説明	重大度	メモ
Intel は、Cascade Lake、Ice Lake XeonSP、Ice Lake XeonD、Sapphire Rapids、Emerald Rapids の Intel プロセッサに影響する新しいサイドチャネルの脆弱性について Google に通知しました。 Google では、お客様を保護するため、 Google Cloudを含む影響を受けるアセットに修正を適用しています。現時点では、搾取された形跡はなく、Google に対する報告もありません。必要な対策お客様による対応は必要ありません。お客様を保護するため、Google サーバーフリートにはすでに修正が適用されています。対処されている脆弱性 CVE-2024-45332。詳細については、Intel advisory INTEL-SA-01247 をご覧ください。サポートのご案内ご質問がある場合やサポートが必要な場合は、Cloud カスタマーケアまでお問い合わせいただき、管理番号「417536835」をお伝えください。	高	CVE-2024-45332

重大度

メモ

Intel は、Cascade Lake、Ice Lake XeonSP、Ice Lake XeonD、Sapphire Rapids、Emerald Rapids の Intel プロセッサに影響する新しいサイドチャネルの脆弱性について Google に通知しました。

Google では、お客様を保護するため、 Google Cloudを含む影響を受けるアセットに修正を適用しています。現時点では、搾取された形跡はなく、Google に対する報告もありません。

必要な対策

お客様による対応は必要ありません。お客様を保護するため、Google サーバーフリートにはすでに修正が適用されています。

対処されている脆弱性

CVE-2024-45332。詳細については、Intel advisory INTEL-SA-01247 をご覧ください。

サポートのご案内

ご質問がある場合やサポートが必要な場合は、Cloud カスタマーケアまでお問い合わせいただき、管理番号「417536835」をお伝えください。

高

CVE-2024-45332

GCP-2025-024

公開日: 2025 年 5 月 12 日

最終更新: 2025 年 5 月 13 日

説明

説明	重大度	メモ
2025 年 5 月 13 日更新: ご質問がある場合やサポートが必要な場合は、Cloud カスタマーケアまでお問い合わせいただき、管理番号「417458390」をお伝えください。 Intel は、Intel Cascade Lake プロセッサと Intel Ice Lake プロセッサに影響する新しい投機的実行の脆弱性について Google に通知しました。 Google では、お客様を保護するため、 Google Cloudを含む影響を受けるアセットに修正を適用しています。現時点では、搾取された形跡はなく、Google に対する報告もありません。必要な対策お客様による対応は必要ありません。Google サーバーフリートにはすでに緩和策が適用されています。 Intel の相手先ブランド製品製造企業（OEM）や他のオペレーティングシステムパートナーによるさらなる緩和策は、同じモードの間接的ターゲット選択（ITS）の脆弱性を軽減するために、利用可能になり次第デプロイされます。オペレーティングシステムの緩和策が適用された後、長時間実行されている第 3 世代以降の VM では、意図しないパフォーマンスの低下が発生する可能性があります。対処されている脆弱性 CVE-2024-28956。詳細については、Intel security advisory INTEL-SA-01153 をご覧ください。	高	CVE-2024-28956

重大度

メモ

2025 年 5 月 13 日更新: ご質問がある場合やサポートが必要な場合は、Cloud カスタマーケアまでお問い合わせいただき、管理番号「417458390」をお伝えください。

Intel は、Intel Cascade Lake プロセッサと Intel Ice Lake プロセッサに影響する新しい投機的実行の脆弱性について Google に通知しました。

必要な対策

お客様による対応は必要ありません。Google サーバーフリートにはすでに緩和策が適用されています。

Intel の相手先ブランド製品製造企業（OEM）や他のオペレーティングシステムパートナーによるさらなる緩和策は、同じモードの間接的ターゲット選択（ITS）の脆弱性を軽減するために、利用可能になり次第デプロイされます。

オペレーティングシステムの緩和策が適用された後、長時間実行されている第 3 世代以降の VM では、意図しないパフォーマンスの低下が発生する可能性があります。

対処されている脆弱性

CVE-2024-28956。詳細については、Intel security advisory INTEL-SA-01153 をご覧ください。

高

CVE-2024-28956

GCP-2024-040

公開日: 2024 年 7 月 1 日
更新日: 2024 年 8 月 20 日

説明重大度メモ

更新日: 2024 年 8 月 20 日 Critical（致命的） CVE-2024-6387

説明	重大度	メモ
更新日: 2024 年 8 月 20 日	Critical（致命的）	CVE-2024-6387
2024-08-20: TPU のパッチを含めます。Linux ディストリビューションの更新が利用可能になり次第、これを適用します。Linux ディストリビューションのガイダンスをご覧ください。TPU を使用している場合は、次のパッチバージョンのいずれかに更新してください。 tpu-ubuntu2204-base v2-alpha-tpuv5 v2-alpha-tpuv5-lite OpenSSH において脆弱性（CVE-2024-6387）が発見されました。この脆弱性を悪用すると、認証されていないリモートの攻撃者が、ターゲットのマシンに対してルート権限で任意のコードを実行できるようになります。 glibc ベースの Linux ディストリビューションを使用し、OpenSSH が公開されているすべての Compute Engine VM で、脆弱なバージョンを分析することをおすすめします。必要な対策 Linux ディストリビューションの更新が利用可能になり次第、これを適用します。Linux ディストリビューションのガイダンスをご覧ください。Google の Container-Optimized OS の場合は、次のいずれかのパッチバージョンに更新してください。 cos-113-18244-85-49 cos-109-17800-218-69 cos-105-17412-370-67 cos-101-17162-463-55 Google マネージドサービス（GKE など）を介して Container-Optimized OS を使用している場合は、パッチの可用性について、そのサービスのセキュリティに関するお知らせを参照してください。更新できない場合は、パッチが適用されるまで OpenSSH を無効にすることを検討してください。デフォルトネットワークには、公共のインターネットからの SSH アクセスを許可する `default-allow-ssh` ファイアウォールルールが事前に設定されています。このアクセス権を削除するには、次の操作を行います。必要に応じて、信頼できるネットワークからプロジェクト内の GKE ノードまたは他の Compute Engine VM への必要な SSH アクセスを許可するルールを作成します。次のコマンドを使用して、デフォルトのファイアウォールルールを無効にします。 gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT ポート 22 の TCP 経由で SSH を許可する可能性のある他のファイアウォールルールを作成した場合は、それらを無効にするか、送信元 IP を信頼できるネットワークに制限します。インターネットから VM に SSH 接続できなくなったことを確認します。このファイアウォール構成により、脆弱性が軽減されます。 OpenSSH をオンにしておく必要がある場合は、構成の更新を実行することで、悪用の競合ケース状態を排除することもできます。これはランタイム緩和策です。sshd 構成で変更を適用するために、このスクリプトは sshd サービスを再起動します。 #!/bin/bash set -e SSHD_CONFIG_FILE=/etc/ssh/sshd_config # -c: count the matches # -q: don't print to console # -i: sshd_config keywords are case insensitive. if [[ "$(grep -ci '^LoginGraceTime' $SSHD_CONFIG_FILE)" -eq 0 ]]; then echo "LoginGraceTime 0" >> "$SSHD_CONFIG_FILE" echo "Set the LoginGraceTime to 0 in $SSHD_CONFIG_FILE" else sed -i 's/^LoginGraceTime.*$/LoginGraceTime 0/' /etc/ssh/sshd_config echo "Changed the LoginGraceTime to 0 in $SSHD_CONFIG_FILE" fi # Restart the sshd service to apply the new config. systemctl restart sshd 最後に、SSH サーバーに関連する異常なネットワークアクティビティをモニタリングします。	重大	CVE-2024-6387

2024-08-20: TPU のパッチを含めます。Linux ディストリビューションの更新が利用可能になり次第、これを適用します。Linux ディストリビューションのガイダンスをご覧ください。TPU を使用している場合は、次のパッチバージョンのいずれかに更新してください。

tpu-ubuntu2204-base
v2-alpha-tpuv5
v2-alpha-tpuv5-lite

OpenSSH において脆弱性（CVE-2024-6387）が発見されました。この脆弱性を悪用すると、認証されていないリモートの攻撃者が、ターゲットのマシンに対してルート権限で任意のコードを実行できるようになります。

glibc ベースの Linux ディストリビューションを使用し、OpenSSH が公開されているすべての Compute Engine VM で、脆弱なバージョンを分析することをおすすめします。

必要な対策

Linux ディストリビューションの更新が利用可能になり次第、これを適用します。Linux ディストリビューションのガイダンスをご覧ください。Google の Container-Optimized OS の場合は、次のいずれかのパッチバージョンに更新してください。
- cos-113-18244-85-49
- cos-109-17800-218-69
- cos-105-17412-370-67
- cos-101-17162-463-55
Google マネージドサービス（GKE など）を介して Container-Optimized OS を使用している場合は、パッチの可用性について、そのサービスのセキュリティに関するお知らせを参照してください。
更新できない場合は、パッチが適用されるまで OpenSSH を無効にすることを検討してください。デフォルトネットワークには、公共のインターネットからの SSH アクセスを許可する default-allow-ssh ファイアウォールルールが事前に設定されています。このアクセス権を削除するには、次の操作を行います。
1. 必要に応じて、信頼できるネットワークからプロジェクト内の GKE ノードまたは他の Compute Engine VM への必要な SSH アクセスを許可するルールを作成します。
2. 次のコマンドを使用して、デフォルトのファイアウォールルールを無効にします。
```
gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT
      
```
ポート 22 の TCP 経由で SSH を許可する可能性のある他のファイアウォールルールを作成した場合は、それらを無効にするか、送信元 IP を信頼できるネットワークに制限します。

インターネットから VM に SSH 接続できなくなったことを確認します。このファイアウォール構成により、脆弱性が軽減されます。

OpenSSH をオンにしておく必要がある場合は、構成の更新を実行することで、悪用の競合ケース状態を排除することもできます。これはランタイム緩和策です。sshd 構成で変更を適用するために、このスクリプトは sshd サービスを再起動します。

#!/bin/bash
set -e

SSHD_CONFIG_FILE=/etc/ssh/sshd_config
# -c: count the matches
# -q: don't print to console
# -i: sshd_config keywords are case insensitive.
if [[ "$(grep -ci '^LoginGraceTime' $SSHD_CONFIG_FILE)" -eq 0 ]]; then
    echo "LoginGraceTime 0" >> "$SSHD_CONFIG_FILE"
    echo "Set the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
else
    sed -i 's/^LoginGraceTime.*$/LoginGraceTime 0/' /etc/ssh/sshd_config
    echo "Changed the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
fi
# Restart the sshd service to apply the new config.
systemctl restart sshd

最後に、SSH サーバーに関連する異常なネットワークアクティビティをモニタリングします。

重大

CVE-2024-6387

GCP-2024-021

公開日: 2024 年 4 月 3 日

説明	重大度	メモ
Compute Engine は、liblzma ライブラリの xz-utils パッケージのバージョン 5.6.0 と 5.6.1 に影響を与える CVE-2024-3094 の影響を受けません。これにより、OpenSSH ユーティリティが侵害される可能性があります。必要な対策 Compute Engine でサポートされ提供されている公開イメージは、この CVE の影響を受けません。VM に Compute Engine の公開イメージを使用している場合は、何も行う必要はありません。次のようなオペレーティングシステムで、xz-utils パッケージのバージョン 5.6.0 と 5.6.1 を使用するカスタムイメージを作成した場合、リスクが生じる可能性があります。 Fedora 41 と Fedora Rawhide Debian testing/unstable openSUSE tumbleweed このリスクを軽減するには、これらのオペレーティングシステムを使用している VM、または影響を受けるオペレーティングシステムを使用している可能性のある VM をすべて停止します。他のオペレーティングシステムのカスタムイメージから構築された VM がある場合は、OS ベンダーに問い合わせて、VM が影響を受けるかどうかを確認してください。対処されている脆弱性 CVE-2024-3094	中	CVE-2024-3094

説明

重大度

メモ

Compute Engine は、liblzma ライブラリの xz-utils パッケージのバージョン 5.6.0 と 5.6.1 に影響を与える CVE-2024-3094 の影響を受けません。これにより、OpenSSH ユーティリティが侵害される可能性があります。

必要な対策

Compute Engine でサポートされ提供されている公開イメージは、この CVE の影響を受けません。VM に Compute Engine の公開イメージを使用している場合は、何も行う必要はありません。

次のようなオペレーティングシステムで、xz-utils パッケージのバージョン 5.6.0 と 5.6.1 を使用するカスタムイメージを作成した場合、リスクが生じる可能性があります。

このリスクを軽減するには、これらのオペレーティングシステムを使用している VM、または影響を受けるオペレーティングシステムを使用している可能性のある VM をすべて停止します。他のオペレーティングシステムのカスタムイメージから構築された VM がある場合は、OS ベンダーに問い合わせて、VM が影響を受けるかどうかを確認してください。

対処されている脆弱性

CVE-2024-3094

中

CVE-2024-3094

GCP-2024-001

公開日: 2024 年 1 月 9 日

説明	重大度	メモ
TianoCore EDK II UEFI ファームウェアで複数の脆弱性が見つかりました。このファームウェアは Google Compute Engine VM で使われています。悪用されると、脆弱性によりセキュアブートがバイパスされ、Shielded VM で使用されている場合も含め、セキュアブートプロセスで誤った測定値が提供される可能性があります。必要な対策必要なご対応は特にありません。Google は、Compute Engine 全体でこの脆弱性にパッチを適用し、すべての VM を脆弱性から保護しました。このパッチで対処される脆弱性このパッチで緩和された脆弱性は以下のとおりです。 CVE-2022-36763 CVE-2022-36764 CVE-2022-36765	中	CVE-2022-36763 CVE-2022-36764 CVE-2022-36765

説明

重大度

メモ

TianoCore EDK II UEFI ファームウェアで複数の脆弱性が見つかりました。このファームウェアは Google Compute Engine VM で使われています。悪用されると、脆弱性によりセキュアブートがバイパスされ、Shielded VM で使用されている場合も含め、セキュアブートプロセスで誤った測定値が提供される可能性があります。

必要な対策

必要なご対応は特にありません。Google は、Compute Engine 全体でこの脆弱性にパッチを適用し、すべての VM を脆弱性から保護しました。

このパッチで対処される脆弱性

このパッチで緩和された脆弱性は以下のとおりです。

CVE-2022-36763
CVE-2022-36764
CVE-2022-36765

中

GCP-2023-44

公開日: 2023 年 11 月 15 日

説明	重大度	メモ
11 月 14 日、AMD は、さまざまな AMD サーバー CPU に影響を与える複数の脆弱性を開示しました。具体的には、脆弱性は、Zen コア第 2 世代「Rome」、第 3 世代「Milan」、第 4 世代「Genoa」を利用する EPYC サーバー CPU に影響を与えます。 Google では、お客様を保護するため、 Google Cloudを含む影響を受けるアセットに修正を適用しています。現時点では、悪用された形跡は見つからず、Google に対する報告もありません。必要な対策お客様による対応は必要ありません。 Google Compute Engine を含む Google Cloudの Google サーバーフリートには、すでに修正が適用されています。このパッチで対処される脆弱性このパッチで緩和された脆弱性は以下のとおりです。 CVE-2022-23820 CVE-2021-46774 CVE-2023-20533 CVE-2023-20519 CVE-2023-20592 CVE-2023-20566 CVE-2023-20521 CVE-2021-46766 CVE-2022-23830 CVE-2023-20526 CVE-2021-26345 詳細については、CacheWarp としても公開されている AMD のセキュリティアドバイザリ AMD-SN-3005: 「AMD INVD Instruction Security Notice」、AMD-SN-3002: 「AMD Server Vulnerabilities – November 2023」をご覧ください。	中	CVE-2022-23820 CVE-2021-46774 CVE-2023-20533 CVE-2023-20519 CVE-2023-20592 CVE-2023-20566 CVE-2022-23830 CVE-2023-20526 CVE-2021-26345

説明

重大度

メモ

11 月 14 日、AMD は、さまざまな AMD サーバー CPU に影響を与える複数の脆弱性を開示しました。具体的には、脆弱性は、Zen コア第 2 世代「Rome」、第 3 世代「Milan」、第 4 世代「Genoa」を利用する EPYC サーバー CPU に影響を与えます。

Google では、お客様を保護するため、 Google Cloudを含む影響を受けるアセットに修正を適用しています。現時点では、悪用された形跡は見つからず、Google に対する報告もありません。

必要な対策

お客様による対応は必要ありません。

Google Compute Engine を含む Google Cloudの Google サーバーフリートには、すでに修正が適用されています。

このパッチで対処される脆弱性

このパッチで緩和された脆弱性は以下のとおりです。

CVE-2022-23820
CVE-2021-46774
CVE-2023-20533
CVE-2023-20519
CVE-2023-20592
CVE-2023-20566
CVE-2023-20521
CVE-2021-46766
CVE-2022-23830
CVE-2023-20526
CVE-2021-26345

詳細については、CacheWarp としても公開されている AMD のセキュリティアドバイザリ AMD-SN-3005: 「AMD INVD Instruction Security Notice」、AMD-SN-3002: 「AMD Server Vulnerabilities – November 2023」をご覧ください。

中

GCP-2023-004

公開日: 2023 年 4 月 26 日

説明	重大度	メモ
トラステッドプラットフォームモジュール（TPM）2.0 で 2 つの脆弱性（CVE-2023-1017 と CVE-2023-1018）が見つかりました。この脆弱性のため、巧妙な攻撃者により、特定の Compute Engine VM で 2 バイトの境界外読み取りおよび境界外書き込みが悪用されるおそれがあります。必要な対策脆弱性のあるすべての VM にパッチが自動的に適用されました。お客様による対応は必要ありません。このパッチで対処される脆弱性このパッチで緩和された脆弱性は以下のとおりです。 CVE-2023-1017 CVE-2023-2017 では、vTPM パラメータの復号ルーチンでバッファオーバーランがトリガーされる可能性があります。脆弱な VM で実行されているローカルの攻撃者は、これを利用してサービス拒否をトリガーしたり、vTPM コンテキストで任意のコードを実行したりする可能性があります。 CVE-2023-1018 CVE-2023-2018 では、vTPM パラメータの復号ルーチンに範囲外の読み取りが存在していました。脆弱な VM で実行されているローカルの攻撃者は、これを使用して vTPM コンテキストから限定的なデータを間接的に漏洩させる可能性があります。	中	CVE-2023-1017 CVE-2023-1018

説明

重大度

メモ

トラステッドプラットフォームモジュール（TPM）2.0 で 2 つの脆弱性（CVE-2023-1017 と CVE-2023-1018）が見つかりました。

この脆弱性のため、巧妙な攻撃者により、特定の Compute Engine VM で 2 バイトの境界外読み取りおよび境界外書き込みが悪用されるおそれがあります。

必要な対策

脆弱性のあるすべての VM にパッチが自動的に適用されました。お客様による対応は必要ありません。

このパッチで対処される脆弱性

このパッチで緩和された脆弱性は以下のとおりです。

CVE-2023-1017

CVE-2023-2017 では、vTPM パラメータの復号ルーチンでバッファオーバーランがトリガーされる可能性があります。脆弱な VM で実行されているローカルの攻撃者は、これを利用してサービス拒否をトリガーしたり、vTPM コンテキストで任意のコードを実行したりする可能性があります。

CVE-2023-1018

CVE-2023-2018 では、vTPM パラメータの復号ルーチンに範囲外の読み取りが存在していました。脆弱な VM で実行されているローカルの攻撃者は、これを使用して vTPM コンテキストから限定的なデータを間接的に漏洩させる可能性があります。

中

GCP-2021-026

公開日: 2021 年 12 月 14 日

説明	重大度	メモ
Apache Log4j ユーティリティは、リクエストのロギングによく使われるコンポーネントです。2021 年 12 月 9 日に、Apache Log4j のバージョン 2.14.1 以下を実行しているシステムが侵害され、攻撃者によって任意のコードが実行される可能性があるという脆弱性が報告されました。 2021 年 12 月 10 日、NIST は重大な共通脆弱性識別子（CVE）アラート、CVE-2021-44228 を公開しました。具体的には、構成、ログメッセージ、パラメータで使用される Java Naming Directory Interface（JNDI）機能が、攻撃者が制御する LDAP や他の JNDI 関連エンドポイントから保護されないというものです。ログメッセージやログメッセージパラメータを制御できる攻撃者は、メッセージの検索置換が有効な場合に、リモートサーバーから読み込んだ任意のコードを実行できます。必要な対策 M4CE v4.x: Migrate for Compute Engine（M4CE）チームは、2021 年 12 月 13 日に新しいバージョンを提供しました。プロジェクトマネージャーは、既存のデプロイを、クラウド内 M4CE Manager と M4CE の「オンプレミス」バックエンドを含む新しいバージョンに置き換える必要があります。バージョン 4.11 のデプロイの詳細については、ハウツーガイドをご覧ください。 M2VM v5.x: M2VM v5.0 以降は修正済みであり、対応は不要です。	重大	CVE-2021-44228

説明

重大度

メモ

Apache Log4j ユーティリティは、リクエストのロギングによく使われるコンポーネントです。2021 年 12 月 9 日に、Apache Log4j のバージョン 2.14.1 以下を実行しているシステムが侵害され、攻撃者によって任意のコードが実行される可能性があるという脆弱性が報告されました。

2021 年 12 月 10 日、NIST は重大な共通脆弱性識別子（CVE）アラート、CVE-2021-44228 を公開しました。具体的には、構成、ログメッセージ、パラメータで使用される Java Naming Directory Interface（JNDI）機能が、攻撃者が制御する LDAP や他の JNDI 関連エンドポイントから保護されないというものです。ログメッセージやログメッセージパラメータを制御できる攻撃者は、メッセージの検索置換が有効な場合に、リモートサーバーから読み込んだ任意のコードを実行できます。

必要な対策

M4CE v4.x: Migrate for Compute Engine（M4CE）チームは、2021 年 12 月 13 日に新しいバージョンを提供しました。プロジェクトマネージャーは、既存のデプロイを、クラウド内 M4CE Manager と M4CE の「オンプレミス」バックエンドを含む新しいバージョンに置き換える必要があります。バージョン 4.11 のデプロイの詳細については、ハウツーガイドをご覧ください。
M2VM v5.x: M2VM v5.0 以降は修正済みであり、対応は不要です。

重大

CVE-2021-44228

GCP-2021-001

公開日: 2021 年 1 月 28 日

説明重大度メモ

説明	重大度	メモ
先ごろ、Linux ユーティリティ `sudo` に脆弱性（CVE-2021-3156 に記載）が発見されました。この脆弱性により、特権を持たないローカルシェルセッションの攻撃者がインストールされている `sudo` を使用してシステムにアクセスし、権限をシステムの root に昇格させるおそれがあります。 Compute Engine への影響 Compute Engine を実行する基盤となるインフラストラクチャは、この脆弱性の影響を受けません。Linux を実行している Compute Engine VM では、ゲストオペレーティングシステムの更新を検討する必要があります。たとえば、Container-Optimized OS を使用している場合は、cos-85-13310-1209-7、cos-81-12871-1245-6、cos-dev-89-16091-0-0 以降のいずれかのイメージに更新することをおすすめします。	なし	CVE-2021-3156

先ごろ、Linux ユーティリティ sudo に脆弱性（CVE-2021-3156 に記載）が発見されました。この脆弱性により、特権を持たないローカルシェルセッションの攻撃者がインストールされている sudo を使用してシステムにアクセスし、権限をシステムの root に昇格させるおそれがあります。

Compute Engine への影響

Compute Engine を実行する基盤となるインフラストラクチャは、この脆弱性の影響を受けません。Linux を実行している Compute Engine VM では、ゲストオペレーティングシステムの更新を検討する必要があります。たとえば、Container-Optimized OS を使用している場合は、cos-85-13310-1209-7、cos-81-12871-1245-6、cos-dev-89-16091-0-0 以降のいずれかのイメージに更新することをおすすめします。

なし

CVE-2021-3156

公開日: 2020 年 8 月 27 日

説明重大度メモ

説明	重大度	メモ
Eclypsium は、次の CVE を公表しました。CVE-2020-10713 脆弱性最初の脆弱性レポートに対応して、GRUB2 コードの追加の精査が行われ、Canonical によって次の追加の脆弱性が発見されました。 CVE-2020-14308 CVE-2020-14309 CVE-2020-14310 CVE-2020-14311 CVE-2020-15705 CVE-2020-15706 CVE-2020-15707 これらの脆弱性は BootHole と総称され、攻撃者が管理者権限で未署名のバイナリを読み込むことで、セキュアブートの適用を無効にできます。 Compute Engine への影響 Compute Engine を実行するホストインフラストラクチャは、既知の攻撃から保護されています。セキュアブートを使用している Compute Engine のお客様は、ゲスト環境内での悪用の可能性を回避するために、インスタンスのゲストオペレーティングシステムを更新することをおすすめします。詳細については、ゲスト OS ベンダーが推奨する軽減策を参照してください。パッチ適用済みイメージとベンダーのリソース各オペレーティングシステムベンダーからパッチが入手可能になると、ここにパッチ情報へのリンクが表示されます。これらの公開イメージの旧バージョンにはこうしたパッチが含まれないため、攻撃される可能性を軽減できません。プロジェクト `centos-cloud`: CentOS のパッチ情報 `centos-7-v20200811` `centos-8-v20200811` プロジェクト `cos-cloud`: `cos-77-12371-1072-0` `cos-81-12871-1185-0` `cos-rc-85-13310-1028-0` `cos-dev-86-15103-0-0` マネージドサービス（GKE など）を介して COS を使用している場合は、そのサービスのガイダンスに沿って更新を適用してください。プロジェクト `debian-cloud`: DSA-4753 `debian-10-buster-v20200805` プロジェクト `coreos-cloud`: `coreos-alpha-2163-2-1-v20190617` `coreos-beta-2135-3-1-v20190617` `coreos-stable-2079-6-0-v20190617` プロジェクト `rhel-cloud/rhel-sap-cloud:` Red Hat 脆弱性対応 `rhel-7-v20200811` `rhel-7-4-sap-v20200811` `rhel-7-6-sap-v20200811` `rhel-7-7-sap-v20200811` `rhel-8-v20200811` プロジェクト `suse-cloud/suse-sap-cloud:`: SUSE KB `sles-12-sp5-v20200813` `sles-15-sp2-v20200804` `sles-12-sp4-sap-v20200804` `sles-12-sp5-sap-v20200813` `sles-15-sap-v20200803` `sles-15-sp1-sap-v20200803` `Sles-15-sp2-sap-v20200804` プロジェクト `ubuntu-os-cloud`: Ubuntu Wiki `ubuntu-1604-xenial-v20200729` `ubuntu-1804-bionic-v20200729` `ubuntu-2004-focal-v20200729`	高	CVE-2020-10713 CVE-2020-14308 CVE-2020-14309 CVE-2020-14310 CVE-2020-14311 CVE-2020-15705 CVE-2020-15706 CVE-2020-15707

Eclypsium は、次の CVE を公表しました。CVE-2020-10713

脆弱性

最初の脆弱性レポートに対応して、GRUB2 コードの追加の精査が行われ、Canonical によって次の追加の脆弱性が発見されました。

これらの脆弱性は BootHole と総称され、攻撃者が管理者権限で未署名のバイナリを読み込むことで、セキュアブートの適用を無効にできます。

Compute Engine への影響

Compute Engine を実行するホストインフラストラクチャは、既知の攻撃から保護されています。

セキュアブートを使用している Compute Engine のお客様は、ゲスト環境内での悪用の可能性を回避するために、インスタンスのゲストオペレーティングシステムを更新することをおすすめします。詳細については、ゲスト OS ベンダーが推奨する軽減策を参照してください。

パッチ適用済みイメージとベンダーのリソース

各オペレーティングシステムベンダーからパッチが入手可能になると、ここにパッチ情報へのリンクが表示されます。これらの公開イメージの旧バージョンにはこうしたパッチが含まれないため、攻撃される可能性を軽減できません。

プロジェクト centos-cloud: CentOS のパッチ情報
- centos-7-v20200811
- centos-8-v20200811
プロジェクト cos-cloud:
- cos-77-12371-1072-0
- cos-81-12871-1185-0
- cos-rc-85-13310-1028-0
- cos-dev-86-15103-0-0
マネージドサービス（GKE など）を介して COS を使用している場合は、そのサービスのガイダンスに沿って更新を適用してください。
プロジェクト debian-cloud: DSA-4753
- debian-10-buster-v20200805
プロジェクト coreos-cloud:
- coreos-alpha-2163-2-1-v20190617
- coreos-beta-2135-3-1-v20190617
- coreos-stable-2079-6-0-v20190617
プロジェクト rhel-cloud/rhel-sap-cloud: Red Hat 脆弱性対応
- rhel-7-v20200811
- rhel-7-4-sap-v20200811
- rhel-7-6-sap-v20200811
- rhel-7-7-sap-v20200811
- rhel-8-v20200811
プロジェクト suse-cloud/suse-sap-cloud:: SUSE KB
- sles-12-sp5-v20200813
- sles-15-sp2-v20200804
- sles-12-sp4-sap-v20200804
- sles-12-sp5-sap-v20200813
- sles-15-sap-v20200803
- sles-15-sp1-sap-v20200803
- Sles-15-sp2-sap-v20200804
プロジェクト ubuntu-os-cloud: Ubuntu Wiki
- ubuntu-1604-xenial-v20200729
- ubuntu-1804-bionic-v20200729
- ubuntu-2004-focal-v20200729

高

公開日: 2020 年 6 月 19 日

説明重大度メモ

説明	重大度	メモ
OS Login が有効になっている VM は、権限昇格の脆弱性の影響を受ける可能性があります。これらの脆弱性により、OS Login 権限を付与された（しかし管理者アクセス権は付与されていない）ユーザーは VM 内のルートアクセス権に昇格できます。脆弱性 Compute Engine イメージでは、デフォルトのグループメンバーシップが過度に許可されているため、次の 3 つの脆弱性が確認されています。 CVE-2020-8903: `adm` ユーザーを使用して、DHCP XID を利用して管理者権限を取得できます。 CVE-2020-8907: `docker` ユーザーを使用して、ホスト OS ファイルシステムをマウントして変更し、管理者権限を取得できます。 CVE-2020-8933: `lxd` ユーザーを使用して、ホスト OS のファイルシステムをアタッチし、管理者権限を取得できます。パッチ適用済みイメージと修正 `v20200506` 以降に作成されたすべての Compute Engine 公開イメージにパッチが適用されます。イメージの新しいバージョンに更新せずにこの問題を解決する必要がある場合は、`/etc/security/group.conf` ファイルを編集して、デフォルトの OS Login エントリから `adm`、`lxd`、`docker` ユーザーを削除します。	高	CVE-2020-8903 CVE-2020-8907 CVE-2020-8933

OS Login が有効になっている VM は、権限昇格の脆弱性の影響を受ける可能性があります。これらの脆弱性により、OS Login 権限を付与された（しかし管理者アクセス権は付与されていない）ユーザーは VM 内のルートアクセス権に昇格できます。

脆弱性

Compute Engine イメージでは、デフォルトのグループメンバーシップが過度に許可されているため、次の 3 つの脆弱性が確認されています。

CVE-2020-8903: adm ユーザーを使用して、DHCP XID を利用して管理者権限を取得できます。
CVE-2020-8907: docker ユーザーを使用して、ホスト OS ファイルシステムをマウントして変更し、管理者権限を取得できます。
CVE-2020-8933: lxd ユーザーを使用して、ホスト OS のファイルシステムをアタッチし、管理者権限を取得できます。

パッチ適用済みイメージと修正

v20200506 以降に作成されたすべての Compute Engine 公開イメージにパッチが適用されます。

イメージの新しいバージョンに更新せずにこの問題を解決する必要がある場合は、/etc/security/group.conf ファイルを編集して、デフォルトの OS Login エントリから adm、lxd、docker ユーザーを削除します。

高

公開日: 2020 年 1 月 21 日

説明重大度メモ

説明	重大度	メモ
次の脆弱性が Microsoft により公表されました。 CVE-2020-0601 - この脆弱性は Windows Crypto API スプーフィングの脆弱性とも呼ばれ、悪意のある実行可能ファイルを信頼できるものに見せかけたり、攻撃者が中間者攻撃を実行して、影響を受けるソフトウェアへのユーザー接続に関する機密情報を復号したりするために悪用される可能性があります。 Compute Engine への影響 Compute Engine を実行する基盤となるインフラストラクチャは、この脆弱性の影響を受けません。Compute Engine 仮想マシンで Windows Server を実行していない限り、以後の対応は特に必要ありません。Windows Server を実行している Compute Engine VM を使用しているお客様は、インスタンスに最新の Windows パッチが適用されていることを確認する必要があります。パッチ適用済みイメージとベンダーのリソース公開 Windows イメージの旧バージョンには、次のパッチが含まれていないため、攻撃される可能性を軽減できません。プロジェクト `windows-cloud` と `windows-sql-cloud` v20200114 以降のすべての Windows Server と SQL Server の公開イメージ	中	CVE-2020-0601

次の脆弱性が Microsoft により公表されました。

CVE-2020-0601 - この脆弱性は Windows Crypto API スプーフィングの脆弱性とも呼ばれ、悪意のある実行可能ファイルを信頼できるものに見せかけたり、攻撃者が中間者攻撃を実行して、影響を受けるソフトウェアへのユーザー接続に関する機密情報を復号したりするために悪用される可能性があります。

Compute Engine への影響

Compute Engine を実行する基盤となるインフラストラクチャは、この脆弱性の影響を受けません。Compute Engine 仮想マシンで Windows Server を実行していない限り、以後の対応は特に必要ありません。Windows Server を実行している Compute Engine VM を使用しているお客様は、インスタンスに最新の Windows パッチが適用されていることを確認する必要があります。

パッチ適用済みイメージとベンダーのリソース

公開 Windows イメージの旧バージョンには、次のパッチが含まれていないため、攻撃される可能性を軽減できません。

プロジェクト windows-cloud と windows-sql-cloud
- v20200114 以降のすべての Windows Server と SQL Server の公開イメージ

中

CVE-2020-0601

公開日: 2019 年 11 月 12 日

説明	重大度	注
次の CVE が Intel により公表されました。 CVE-2019-11135 - この CVE は TSX 非同期アボート（TAA）とも呼ばれます。TAA により、マイクロアーキテクチャデータサンプリング（MDS）で悪用されていたのと同じマイクロアーキテクチャデータ構造を使用してデータを引き出すことも可能になります。 CVE-2018-12207 - この CVE は「ページサイズ変更時のマシンチェックエラー」とも呼ばれます。これは仮想マシンホストを対象としたサービス拒否攻撃（DoS）の脆弱性であり、悪意のあるゲストが保護されていないホストをクラッシュさせることができるというものです。 Compute Engine への影響 CVE-2019-11135 Compute Engine を実行するホストインフラストラクチャは、お客様のワークロードを分離します。N2、C2、M2 VM 内で信頼できないコードを実行していない限り、以後の対応は特に必要ありません。 Compute Engine 仮想マシン内の独自のマルチテナントサービスで信頼できないコードを実行している N2、C2、M2 のお客様は、最新のセキュリティ対策が適用された状態にするために、VM を停止してから再起動する必要があります。停止/開始なしの再起動では不十分です。このガイダンスは、MDS の脆弱性に対処する以前にリリースされたアップデートがすでに適用されていることを前提としています。そうでない場合は、手順に沿って適切な更新を適用してください。 N1 マシンタイプを実行しているお客様は、この脆弱性が以前に開示された MDS 脆弱性を超える新たな露出ではないため、対応は不要です。 CVE-2018-12207 Compute Engine を実行するホストインフラストラクチャは、この脆弱性から保護されています。これ以上の対応は必要ありません。	中	CVE-2019-11135 CVE-2018-12207

説明

重大度

注

次の CVE が Intel により公表されました。

CVE-2019-11135 - この CVE は TSX 非同期アボート（TAA）とも呼ばれます。TAA により、マイクロアーキテクチャデータサンプリング（MDS）で悪用されていたのと同じマイクロアーキテクチャデータ構造を使用してデータを引き出すことも可能になります。
CVE-2018-12207 - この CVE は「ページサイズ変更時のマシンチェックエラー」とも呼ばれます。これは仮想マシンホストを対象としたサービス拒否攻撃（DoS）の脆弱性であり、悪意のあるゲストが保護されていないホストをクラッシュさせることができるというものです。

Compute Engine への影響

CVE-2019-11135

Compute Engine を実行するホストインフラストラクチャは、お客様のワークロードを分離します。N2、C2、M2 VM 内で信頼できないコードを実行していない限り、以後の対応は特に必要ありません。

Compute Engine 仮想マシン内の独自のマルチテナントサービスで信頼できないコードを実行している N2、C2、M2 のお客様は、最新のセキュリティ対策が適用された状態にするために、VM を停止してから再起動する必要があります。停止/開始なしの再起動では不十分です。このガイダンスは、MDS の脆弱性に対処する以前にリリースされたアップデートがすでに適用されていることを前提としています。そうでない場合は、手順に沿って適切な更新を適用してください。

N1 マシンタイプを実行しているお客様は、この脆弱性が以前に開示された MDS 脆弱性を超える新たな露出ではないため、対応は不要です。

CVE-2018-12207

Compute Engine を実行するホストインフラストラクチャは、この脆弱性から保護されています。これ以上の対応は必要ありません。

中

公開日: 2019 年 6 月 18 日

最終更新日時: 2019 年 6 月 25 日 6:30（太平洋標準時間）

説明重大度メモ

説明	重大度	メモ
先ごろ Netflix は、Linux カーネルにおける 3 件の TCP の脆弱性を公表しました。 CVE-2019-11477 CVE-2019-11478 CVE-2019-11479 これらの CVE は NFLX-2019-001 と総称されます。 Compute Engine への影響 Compute Engine をホストするインフラストラクチャは、この脆弱性から保護されています。 Compute Engine VM が、パッチを適用していない Linux オペレーティングシステムを実行しており、信頼されていないネットワークトラフィックを送受信する場合は、この DoS 攻撃に対する脆弱性が存在します。お使いのオペレーティングシステム用のパッチが利用可能になったら、すぐに VM インスタンスを更新してください。 TCP 接続を閉じるロードバランサには、この脆弱性に対するパッチが適用されています。信頼されていないトラフィックでも、このようなロードバランサ経由でのみ受信する Compute Engine インスタンスは脆弱ではありません。そのようなインスタンスとしては、HTTP ロードバランサ、SSL プロキシロードバランサ、TCP プロキシロードバランサなどが挙げられます。ネットワークロードバランサと内部ロードバランサは、TCP 接続を閉じません。パッチを適用していない Compute Engine インスタンスのうち、これらのロードバランサ経由で信頼されていないトラフィックを受信するインスタンスは脆弱です。パッチ適用済みイメージとベンダーのリソース各オペレーティングシステムベンダーからパッチが入手可能になると、ここにパッチ情報へのリンクが表示されます。これには各 CVE に関するステータスが含まれます。これらの公開イメージの旧バージョンにはこうしたパッチが含まれないため、攻撃される可能性を軽減できません。プロジェクト `debian-cloud`: `debian-9-stretch-v20190618` プロジェクト `centos-cloud`: `centos-6-v20190619` `centos-7-v20190619` プロジェクト `cos-cloud`: `cos-dev-77-12293-0-0` `cos-beta-76-12239-21-0` `cos-stable-75-12105-77-0` `cos-73-11647-217-0` `cos-69-10895-277-0` プロジェクト `coreos-cloud`: `coreos-alpha-2163-2-1-v20190617` `coreos-beta-2135-3-1-v20190617` `coreos-stable-2079-6-0-v20190617` プロジェクト `rhel-cloud`: `rhel-6-v20190618` `rhel-7-v20190618` `rhel-8-v20190618` プロジェクト `rhel-sap-cloud`: `rhel-7-4-sap-v20190618` `rhel-7-6-sap-v20190618` プロジェクト `suse-cloud`: `sles-12-sp4-v20190617` `sles-15-v20190617` プロジェクト `suse-sap-cloud`: `sles-12-sp1-sap-v20190617` `sles-12-sp2-sap-v20190617` `sles-12-sp3-sap-v20190617` `sles-12-sp4-sap-v20190617` `sles-15-sap-v20190617` プロジェクト `ubuntu-cloud`: `ubuntu-1604-xenial-v20190617` `ubuntu-1804-bionic-v20190617` `ubuntu-1810-cosmic-v20190618` `ubuntu-1904-disco-v20190619` `ubuntu-minimal-1604-xenial-v20190618` `ubuntu-minimal-1804-bionic-v20190617` `ubuntu-minimal-1810-cosmic-v20190618` `ubuntu-minimal-1904-disco-v20190618`	中	CVE-2019-11477 CVE-2019-11478 CVE-2019-11479

先ごろ Netflix は、Linux カーネルにおける 3 件の TCP の脆弱性を公表しました。

これらの CVE は NFLX-2019-001 と総称されます。

Compute Engine への影響

Compute Engine をホストするインフラストラクチャは、この脆弱性から保護されています。

Compute Engine VM が、パッチを適用していない Linux オペレーティングシステムを実行しており、信頼されていないネットワークトラフィックを送受信する場合は、この DoS 攻撃に対する脆弱性が存在します。お使いのオペレーティングシステム用のパッチが利用可能になったら、すぐに VM インスタンスを更新してください。

TCP 接続を閉じるロードバランサには、この脆弱性に対するパッチが適用されています。信頼されていないトラフィックでも、このようなロードバランサ経由でのみ受信する Compute Engine インスタンスは脆弱ではありません。そのようなインスタンスとしては、HTTP ロードバランサ、SSL プロキシロードバランサ、TCP プロキシロードバランサなどが挙げられます。

ネットワークロードバランサと内部ロードバランサは、TCP 接続を閉じません。パッチを適用していない Compute Engine インスタンスのうち、これらのロードバランサ経由で信頼されていないトラフィックを受信するインスタンスは脆弱です。

パッチ適用済みイメージとベンダーのリソース

各オペレーティングシステムベンダーからパッチが入手可能になると、ここにパッチ情報へのリンクが表示されます。これには各 CVE に関するステータスが含まれます。これらの公開イメージの旧バージョンにはこうしたパッチが含まれないため、攻撃される可能性を軽減できません。

プロジェクト debian-cloud:
- debian-9-stretch-v20190618
プロジェクト centos-cloud:
- centos-6-v20190619
- centos-7-v20190619
プロジェクト cos-cloud:
- cos-dev-77-12293-0-0
- cos-beta-76-12239-21-0
- cos-stable-75-12105-77-0
- cos-73-11647-217-0
- cos-69-10895-277-0
プロジェクト coreos-cloud:
- coreos-alpha-2163-2-1-v20190617
- coreos-beta-2135-3-1-v20190617
- coreos-stable-2079-6-0-v20190617
プロジェクト rhel-cloud:
- rhel-6-v20190618
- rhel-7-v20190618
- rhel-8-v20190618
プロジェクト rhel-sap-cloud:
- rhel-7-4-sap-v20190618
- rhel-7-6-sap-v20190618
プロジェクト suse-cloud:
- sles-12-sp4-v20190617
- sles-15-v20190617
プロジェクト suse-sap-cloud:
- sles-12-sp1-sap-v20190617
- sles-12-sp2-sap-v20190617
- sles-12-sp3-sap-v20190617
- sles-12-sp4-sap-v20190617
- sles-15-sap-v20190617
プロジェクト ubuntu-cloud:
- ubuntu-1604-xenial-v20190617
- ubuntu-1804-bionic-v20190617
- ubuntu-1810-cosmic-v20190618
- ubuntu-1904-disco-v20190619
- ubuntu-minimal-1604-xenial-v20190618
- ubuntu-minimal-1804-bionic-v20190617
- ubuntu-minimal-1810-cosmic-v20190618
- ubuntu-minimal-1904-disco-v20190618

中

公開日: 2019 年 5 月 14 日

最終更新日時: 2019 年 5 月 20 日 17:00（太平洋標準時間）

説明重大度注

説明	重大度	注
次の CVE が Intel により公表されました。 CVE-2018-12126 CVE-2018-12127 CVE-2018-12130 CVE-2019-11091 これらの CVE は Microarchitectural Data Sampling（MDS）と総称されます。これらの脆弱性により、マイクロアーキテクチャ状態での投機的実行の操作を通じてデータが公開される可能性があります。 Compute Engine への影響 Compute Engine を実行するホストインフラストラクチャは、お客様のワークロードを相互に分離します。信頼できないコードを VM 内で実行していない限り、以後の対応は特に必要ありません。 Compute Engine 仮想マシン内の独自のマルチテナントサービスで信頼できないコードを実行しているお客様は、お使いのゲスト OS ベンダーが提示する緩和策（Intel が提供するマイクロコード緩和機能の使用を含む）を参照してください。Google では、新しいフラッシュ機能に対するゲストのパススルーアクセスをデプロイ済みです。次に示すのは、一般的なゲストイメージで実施できる緩和策の手順の概要です。パッチ適用済みイメージとベンダーのリソース各オペレーティングシステムベンダーからパッチが入手可能になると、ここにパッチ情報へのリンクが表示されます。これには各 CVE に関するステータスが含まれます。これらのイメージを使用して、VM インスタンスを再作成します。これらの公開イメージの旧バージョンにはこうしたパッチが含まれないため、攻撃される可能性を軽減できません。プロジェクト `centos-cloud`: CESA-2019:1169、CESA-2019:1168 `centos-6-v20190515` `centos-7-v20190515` プロジェクト `coreos-cloud`: CoreOS Container Linux に対応した MDS 緩和策 `coreos-stable-2079-4-0-v20190515` `coreos-beta-2107-3-0-v20190515` `coreos-alpha-2135-1-0-v20190515` プロジェクト `cos-cloud` `cos-69-10895-242-0` `cos-73-11647-182-0` プロジェクト `debian-cloud`: DSA-4444 `debian-9-stretch-v20190514` プロジェクト `rhel-cloud`: Red Hat MDS ナレッジ記事 `rhel-6-v20190515` `rhel-7-v20190517` `rhel-8-v20190515` プロジェクト `rhel-sap-cloud`: Red Hat MDS ナレッジ記事 `rhel-7-4-sap-v20190515` `rhel-7-6-sap-v20190517` プロジェクト `suse-cloud`: SUSE MDS KB `sles-12-sp4-v20190520` `sles-15-v20190520` プロジェクト `suse-sap-cloud` `sles-12-sp4-sap-v20190520` `sles-15-sap-v20190520` プロジェクト `ubuntu-os-cloud`: Ubuntu MDS Wiki `ubuntu-1404-trusty-v20190514` `ubuntu-1604-xenial-v20190514` `ubuntu-1804-bionic-v20190514` `ubuntu-1810-cosmic-v20190514` `ubuntu-1904-disco-v20190514` `ubuntu-minimal-1604-xenial-v20190514` `ubuntu-minimal-1804-bionic-v20190514` `ubuntu-minimal-1810-cosmic-v20190514` `ubuntu-minimal-1904-disco-v20190514` プロジェクト `windows-cloud` および `windows-sql-cloud`: Microsoft ADV190013 バージョン番号 `v20190514` を持つすべての Windows Server および SQL Server の公開イメージ。プロジェクト `gce-uefi-images` `centos-7-v20190515` `cos-69-10895-242-0` `cos-73-11647-182-0` `rhel-7-v20190517` `ubuntu-1804-bionic-v20190514` バージョン番号 `v20190514` を持つすべての Windows Server 公開イメージ。 Container-Optimized OS ゲスト OS として Container Optimized OS（COS）を使用し、仮想マシン内で信頼できないマルチテナントワークロードを実行している場合は、次の手順を行うことをおすすめします。カーネルコマンドラインで `nosmt` を設定して、ハイパースレッディングを無効にします。既存の COS VM については、次のように `grub.cfg` を修正することで `nosmt` オプションを設定できます。設定したら、システムを再起動します。 # Run as root: dir="$(mktemp -d)" mount /dev/sda12 "${dir}" sed -i -e "s\|cros_efi\|cros_efi nosmt\|g" "${dir}/efi/boot/grub.cfg" umount "${dir}" rmdir "${dir}" reboot 便宜上、以下のスクリプトを実行して、上記のコマンドを実行した場合と同じ結果を得ることができます。このスクリプトは、cloud-config の一部とするか、起動スクリプトまたはインスタンステンプレートとして作成し、新しい VM では必ず新しいパラメータが使用されるようにします。このスクリプトを実行する cloud-config の例は、以下に示すとおりです。警告: このコマンドの初回実行時は、インスタンスが直ちに再起動されます。その後、ハイパースレッディングが無効になっているインスタンスで実行しても、何も起こりません。 # Run as root /bin/bash <(curl -s https://storage.googleapis.com/cos-tools/scripts/disable_smt.sh) このスクリプトを cloud-config の一部として含めるには: #cloud-config bootcmd: - /bin/bash -c "/bin/bash <(curl -s https://storage.googleapis.com/cos-tools/scripts/disable_smt.sh)" インスタンスでハイパースレッディングが無効になっているか確認するには、`/sys/devices/system/cpu/smt/active` ファイルと `/sys/devices/system/cpu/smt/control` ファイルの出力を確認します。`active` に対して `0`、`control` に対して `off` が返されている場合、ハイパースレッディングは無効になっています。 cat /sys/devices/system/cpu/smt/active cat /sys/devices/system/cpu/smt/control 注: インスタンスで UEFI セキュアブートを有効にしている場合は、UEFI セキュアブートを無効にした状態でインスタンスを再作成し、UEFI セキュアブートを無効にした状態で上記のコマンドを実行してから、新しいインスタンスで UEFI セキュアブートを有効にする必要があります。新しいバージョンの COS イメージを使用する上記のようにハイパースレッディングを無効にすることに加え、上述の更新済みイメージか、さらに新しいバージョン（使用できる場合）の Container-Optimized OS イメージを使用してインスタンスを再作成し、脆弱性から完全に保護する必要があります。	中	CVE-2018-12126 CVE-2018-12127 CVE-2018-12130 CVE-2019-11091

次の CVE が Intel により公表されました。

これらの CVE は Microarchitectural Data Sampling（MDS）と総称されます。これらの脆弱性により、マイクロアーキテクチャ状態での投機的実行の操作を通じてデータが公開される可能性があります。

Compute Engine への影響

Compute Engine を実行するホストインフラストラクチャは、お客様のワークロードを相互に分離します。信頼できないコードを VM 内で実行していない限り、以後の対応は特に必要ありません。

Compute Engine 仮想マシン内の独自のマルチテナントサービスで信頼できないコードを実行しているお客様は、お使いのゲスト OS ベンダーが提示する緩和策（Intel が提供するマイクロコード緩和機能の使用を含む）を参照してください。Google では、新しいフラッシュ機能に対するゲストのパススルーアクセスをデプロイ済みです。次に示すのは、一般的なゲストイメージで実施できる緩和策の手順の概要です。

パッチ適用済みイメージとベンダーのリソース

各オペレーティングシステムベンダーからパッチが入手可能になると、ここにパッチ情報へのリンクが表示されます。これには各 CVE に関するステータスが含まれます。これらのイメージを使用して、VM インスタンスを再作成します。これらの公開イメージの旧バージョンにはこうしたパッチが含まれないため、攻撃される可能性を軽減できません。

プロジェクト centos-cloud: CESA-2019:1169、CESA-2019:1168

centos-6-v20190515
centos-7-v20190515

プロジェクト coreos-cloud: CoreOS Container Linux に対応した MDS 緩和策

coreos-stable-2079-4-0-v20190515
coreos-beta-2107-3-0-v20190515
coreos-alpha-2135-1-0-v20190515

プロジェクト cos-cloud

cos-69-10895-242-0
cos-73-11647-182-0

プロジェクト debian-cloud: DSA-4444

debian-9-stretch-v20190514

プロジェクト rhel-cloud: Red Hat MDS ナレッジ記事

rhel-6-v20190515
rhel-7-v20190517
rhel-8-v20190515

プロジェクト rhel-sap-cloud: Red Hat MDS ナレッジ記事

rhel-7-4-sap-v20190515
rhel-7-6-sap-v20190517

プロジェクト suse-cloud: SUSE MDS KB

sles-12-sp4-v20190520
sles-15-v20190520

プロジェクト suse-sap-cloud

sles-12-sp4-sap-v20190520
sles-15-sap-v20190520

プロジェクト ubuntu-os-cloud: Ubuntu MDS Wiki

ubuntu-1404-trusty-v20190514
ubuntu-1604-xenial-v20190514
ubuntu-1804-bionic-v20190514
ubuntu-1810-cosmic-v20190514
ubuntu-1904-disco-v20190514
ubuntu-minimal-1604-xenial-v20190514
ubuntu-minimal-1804-bionic-v20190514
ubuntu-minimal-1810-cosmic-v20190514
ubuntu-minimal-1904-disco-v20190514

プロジェクト windows-cloud および windows-sql-cloud: Microsoft ADV190013

バージョン番号 v20190514 を持つすべての Windows Server および SQL Server の公開イメージ。

プロジェクト gce-uefi-images

centos-7-v20190515
cos-69-10895-242-0
cos-73-11647-182-0
rhel-7-v20190517
ubuntu-1804-bionic-v20190514
バージョン番号 v20190514 を持つすべての Windows Server 公開イメージ。

Container-Optimized OS

ゲスト OS として Container Optimized OS（COS）を使用し、仮想マシン内で信頼できないマルチテナントワークロードを実行している場合は、次の手順を行うことをおすすめします。

カーネルコマンドラインで nosmt を設定して、ハイパースレッディングを無効にします。
既存の COS VM については、次のように grub.cfg を修正することで nosmt オプションを設定できます。設定したら、システムを再起動します。
```
# Run as root:
dir="$(mktemp -d)"
mount /dev/sda12 "${dir}"
sed -i -e "s|cros_efi|cros_efi nosmt|g" "${dir}/efi/boot/grub.cfg"
umount "${dir}"
rmdir "${dir}"

reboot
```
便宜上、以下のスクリプトを実行して、上記のコマンドを実行した場合と同じ結果を得ることができます。このスクリプトは、cloud-config の一部とするか、起動スクリプトまたはインスタンステンプレートとして作成し、新しい VM では必ず新しいパラメータが使用されるようにします。このスクリプトを実行する cloud-config の例は、以下に示すとおりです。

警告: このコマンドの初回実行時は、インスタンスが直ちに再起動されます。その後、ハイパースレッディングが無効になっているインスタンスで実行しても、何も起こりません。
```
# Run as root
/bin/bash <(curl -s https://storage.googleapis.com/cos-tools/scripts/disable_smt.sh)
```
このスクリプトを cloud-config の一部として含めるには:
```
#cloud-config

bootcmd:
- /bin/bash -c "/bin/bash <(curl -s https://storage.googleapis.com/cos-tools/scripts/disable_smt.sh)"
```
インスタンスでハイパースレッディングが無効になっているか確認するには、/sys/devices/system/cpu/smt/active ファイルと /sys/devices/system/cpu/smt/control ファイルの出力を確認します。active に対して 0、control に対して off が返されている場合、ハイパースレッディングは無効になっています。
```
cat /sys/devices/system/cpu/smt/active
cat /sys/devices/system/cpu/smt/control
```
注: インスタンスで UEFI セキュアブートを有効にしている場合は、UEFI セキュアブートを無効にした状態でインスタンスを再作成し、UEFI セキュアブートを無効にした状態で上記のコマンドを実行してから、新しいインスタンスで UEFI セキュアブートを有効にする必要があります。
新しいバージョンの COS イメージを使用する

上記のようにハイパースレッディングを無効にすることに加え、上述の更新済みイメージか、さらに新しいバージョン（使用できる場合）の Container-Optimized OS イメージを使用してインスタンスを再作成し、脆弱性から完全に保護する必要があります。

中

公開日: 2018 年 8 月 14 日

最終更新日時: 2018 年 8 月 20 日 17:00（太平洋標準時間）

説明重大度メモ

説明	重大度	メモ
説明次の CVE が Intel により開示されました。 CVE-2018-3615（SGX 関連） CVE-2018-3620（オペレーティングシステムと SMT に関連） CVE-2018-3646（仮想化関連）これらの CVE は「L1 Terminal Fault（L1TF）」と総称されます。これらの L1TF 脆弱性は、投機的実行を悪用してプロセッサレベルのデータ構造の構成を攻撃します。「L1」とは、レベル 1 データキャッシュ（L1D）と呼ばれるコア内の小さなリソースで、メモリアクセスを高速化するために使用されます。これらの脆弱性と Compute Engine の緩和策の詳細については、Google Cloud ブログ投稿をご覧ください。 Compute Engine への影響 Compute Engine を実行しお客様のワークロードを相互に分離するホストインフラストラクチャは、既知の攻撃から保護されています。 Compute Engine をご利用のお客様は、ゲスト環境内で間接的に悪用される可能性を防ぐために、イメージを更新することをおすすめします。これは、Compute Engine 仮想マシンで独自のマルチテナントサービスを実行している場合には特に重要です。 Compute Engine をお使いのお客様は、次のいずれかのオプションを使用して、インスタンスのゲストオペレーティングシステムを更新できます。パッチ適用済みの公開イメージを使用して、既存の VM インスタンスを再作成する。オペレーティングシステムベンダーからパッチを入手して既存のインスタンスにインストールし、パッチ適用済みのインスタンスを再起動する。パッチ適用済みイメージとベンダーのリソース各オペレーティングシステムベンダーからパッチが入手可能になると、ここにパッチ情報へのリンクが表示されます。これには各 CVE に関するステータスが含まれます。これらのイメージを使用して、VM インスタンスを作成してください。これらの公開イメージの旧バージョンにはこうしたパッチが含まれないため、攻撃される可能性を軽減できません。プロジェクト `centos-cloud`: `centos-7-v20180815` `centos-6-v20180815` プロジェクト `coreos-cloud`: `coreos-stable-1800-7-0-v20180816` `coreos-beta-1855-2-0-v20180816` `coreos-alpha-1871-0-0-v20180816` プロジェクト `cos-cloud`: `cos-stable-66-10452-110-0` `cos-stable-67-10575-66-0` `cos-beta-68-10718-81-0` `cos-dev-69-10895-23-0` プロジェクト `debian-cloud`: `debian-9-stretch-v20180820` プロジェクト `rhel-cloud`: `rhel-7-v20180814` `rhel-6-v20180814` プロジェクト `rhel-sap-cloud`: `rhel-7-sap-apps-v20180814` `rhel-7-sap-hana-v20180814` プロジェクト `suse-cloud`: `sles-15-v20180816` `sles-12-sp3-v20180814` `sles-11-sp4-v20180816` プロジェクト `suse-sap-cloud`: `sles-15-sap-v20180816` `sles-12-sp3-sap-v20180814` `sles-12-sp2-sap-v20180816` プロジェクト `ubuntu-os-cloud`: `ubuntu-1804-bionic-v20180814` `ubuntu-1604-xenial-v20180814` `ubuntu-1404-trusty-v20180814` `ubuntu-minimal-1804-bionic-v20180814` `ubuntu-minimal-1604-xenial-v20180814` プロジェクト `windows-cloud`、`gce-uefi-images`、`windows-sql-cloud`: バージョン番号 `-v201800814` 以降のすべての Windows Server と SQL Server の公開イメージにパッチが含まれています。	高	CVE-2018-3615 CVE-2018-3620 CVE-2018-3646

説明

次の CVE が Intel により開示されました。

CVE-2018-3615（SGX 関連）
CVE-2018-3620（オペレーティングシステムと SMT に関連）
CVE-2018-3646（仮想化関連）

これらの CVE は「L1 Terminal Fault（L1TF）」と総称されます。

これらの L1TF 脆弱性は、投機的実行を悪用してプロセッサレベルのデータ構造の構成を攻撃します。「L1」とは、レベル 1 データキャッシュ（L1D）と呼ばれるコア内の小さなリソースで、メモリアクセスを高速化するために使用されます。

これらの脆弱性と Compute Engine の緩和策の詳細については、Google Cloud ブログ投稿をご覧ください。

Compute Engine への影響

Compute Engine を実行しお客様のワークロードを相互に分離するホストインフラストラクチャは、既知の攻撃から保護されています。

Compute Engine をご利用のお客様は、ゲスト環境内で間接的に悪用される可能性を防ぐために、イメージを更新することをおすすめします。これは、Compute Engine 仮想マシンで独自のマルチテナントサービスを実行している場合には特に重要です。

Compute Engine をお使いのお客様は、次のいずれかのオプションを使用して、インスタンスのゲストオペレーティングシステムを更新できます。

パッチ適用済みの公開イメージを使用して、既存の VM インスタンスを再作成する。
オペレーティングシステムベンダーからパッチを入手して既存のインスタンスにインストールし、パッチ適用済みのインスタンスを再起動する。

パッチ適用済みイメージとベンダーのリソース

各オペレーティングシステムベンダーからパッチが入手可能になると、ここにパッチ情報へのリンクが表示されます。これには各 CVE に関するステータスが含まれます。これらのイメージを使用して、VM インスタンスを作成してください。これらの公開イメージの旧バージョンにはこうしたパッチが含まれないため、攻撃される可能性を軽減できません。

プロジェクト centos-cloud:
- centos-7-v20180815
- centos-6-v20180815
プロジェクト coreos-cloud:
- coreos-stable-1800-7-0-v20180816
- coreos-beta-1855-2-0-v20180816
- coreos-alpha-1871-0-0-v20180816
プロジェクト cos-cloud:
- cos-stable-66-10452-110-0
- cos-stable-67-10575-66-0
- cos-beta-68-10718-81-0
- cos-dev-69-10895-23-0
プロジェクト debian-cloud:
- debian-9-stretch-v20180820
プロジェクト rhel-cloud:
- rhel-7-v20180814
- rhel-6-v20180814
プロジェクト rhel-sap-cloud:
- rhel-7-sap-apps-v20180814
- rhel-7-sap-hana-v20180814
プロジェクト suse-cloud:
- sles-15-v20180816
- sles-12-sp3-v20180814
- sles-11-sp4-v20180816
プロジェクト suse-sap-cloud:
- sles-15-sap-v20180816
- sles-12-sp3-sap-v20180814
- sles-12-sp2-sap-v20180816
プロジェクト ubuntu-os-cloud:
- ubuntu-1804-bionic-v20180814
- ubuntu-1604-xenial-v20180814
- ubuntu-1404-trusty-v20180814
- ubuntu-minimal-1804-bionic-v20180814
- ubuntu-minimal-1604-xenial-v20180814
プロジェクト windows-cloud、gce-uefi-images、windows-sql-cloud:
- バージョン番号 -v201800814 以降のすべての Windows Server と SQL Server の公開イメージにパッチが含まれています。

高

公開日: 2018 年 8 月 6 日

最終更新日時: 2018 年 9 月 5 日 17:00（太平洋標準時間）

説明重大度注

説明	重大度	注
2018 年 9 月 5 日更新 CVE-2018-5391 は US-CERT によって 2018 年 8 月 14 日に開示されました。これは、CVE-2018-5390 と同様にカーネルレベルのネットワーク脆弱性で、脆弱性のあるシステムがサービス拒否（DoS）攻撃を受ける可能性が高まります。主な違いは、CVE-2018-5391 は IP 接続上で悪用されることです。両方の脆弱性に対応するために、この情報を更新しました。説明 CVE-2018-5390（「SegmentSmack」）はカーネルレベルのネットワーク脆弱性で、脆弱性のあるシステムが TCP 接続でサービス拒否（DoS）攻撃を受ける可能性が高まります。 CVE-2018-5391（「FragmentSmack」）はカーネルレベルのネットワーク脆弱性で、脆弱性のあるシステムが IP 接続でサービス拒否（DoS）攻撃を受ける可能性が高まります。 Compute Engine への影響 Compute Engine VM を実行するホストインフラストラクチャには影響はありません。Compute Engine VM との間のトラフィックを処理するネットワークインフラストラクチャは、この脆弱性から保護されています。信頼されていないネットワークトラフィックでも、Compute Engine VM が HTTP(S)、SSL、TCP ロードバランサを使用してのみ送受信する場合は、この脆弱性から保護されています。 Compute Engine VM が、パッチを適用していないオペレーティングシステムを実行しており、信頼されていないネットワークトラフィックを直接送受信している場合、またはネットワークロードバランサを使用している場合は、この DoS 攻撃に対する脆弱性が存在します。お使いのオペレーティングシステム用のパッチが利用可能になったら、すぐに VM インスタンスを更新してください。 Compute Engine をお使いのお客様は、次のいずれかのオプションを使用して、インスタンスのゲストオペレーティングシステムを更新できます。パッチ適用済みの公開イメージを使用して、既存の VM インスタンスを再作成する。パッチが適用された公開イメージのリストについては、以下をご覧ください。オペレーティングシステムベンダーからパッチを入手して既存のインスタンスにインストールし、パッチ適用済みのインスタンスを再起動する。パッチ適用済みイメージとベンダーのリソース各オペレーティングシステムベンダーからパッチが入手可能になると、ここにパッチ情報へのリンクが表示されます。プロジェクト `centos-cloud`（CVE-2018-5390 のみ）: `centos-7-v20180815` `centos-6-v20180815` プロジェクト `coreos-cloud`（CVE-2018-5390 と CVE-2018-5391）: `coreos-stable-1800-7-0-v20180816` `coreos-beta-1855-2-0-v20180816` `coreos-alpha-1871-0-0-v20180816` プロジェクト `cos-cloud`（CVE-2018-5390 と CVE-2018-5391）: `cos-stable-65-10323-98-0` `cos-stable-66-10452-109-0` `cos-stable-67-10575-65-0` `cos-beta-68-10718-76-0` `cos-dev-69-10895-16-0` プロジェクト `debian-cloud`（CVE-2018-5390 と CVE-2018-5391）: `debian-9-stretch-v20180814` プロジェクト `rhel-cloud`（CVE-2018-5390 のみ）: `rhel-7-v20180814` `rhel-6-v20180814` プロジェクト `suse-cloud`（CVE-2018-5390 と CVE-2018-5391）: `sles-15-v20180816` `sles-12-sp3-v20180814` プロジェクト `suse-sap-cloud`（CVE-2018-5390 と CVE-2018-5391）: `sles-15-sap-v20180816` `sles-12-sp3-sap-v20180814` `sles-12-sp2-sap-v20180816` プロジェクト `ubuntu-os-cloud`（CVE-2018-5390 と CVE-2018-5391）: `ubuntu-1804-bionic-v20180814` `ubuntu-1604-xenial-v20180814` `ubuntu-1404-trusty-v20180814` `ubuntu-minimal-1804-bionic-v20180814` `ubuntu-minimal-1604-xenial-v20180814`	高	CVE-2018-5390 CVE-2018-5391

2018 年 9 月 5 日更新

CVE-2018-5391 は US-CERT によって 2018 年 8 月 14 日に開示されました。これは、CVE-2018-5390 と同様にカーネルレベルのネットワーク脆弱性で、脆弱性のあるシステムがサービス拒否（DoS）攻撃を受ける可能性が高まります。主な違いは、CVE-2018-5391 は IP 接続上で悪用されることです。両方の脆弱性に対応するために、この情報を更新しました。

説明

CVE-2018-5390（「SegmentSmack」）はカーネルレベルのネットワーク脆弱性で、脆弱性のあるシステムが TCP 接続でサービス拒否（DoS）攻撃を受ける可能性が高まります。

CVE-2018-5391（「FragmentSmack」）はカーネルレベルのネットワーク脆弱性で、脆弱性のあるシステムが IP 接続でサービス拒否（DoS）攻撃を受ける可能性が高まります。

Compute Engine への影響

Compute Engine VM を実行するホストインフラストラクチャには影響はありません。Compute Engine VM との間のトラフィックを処理するネットワークインフラストラクチャは、この脆弱性から保護されています。信頼されていないネットワークトラフィックでも、Compute Engine VM が HTTP(S)、SSL、TCP ロードバランサを使用してのみ送受信する場合は、この脆弱性から保護されています。

Compute Engine VM が、パッチを適用していないオペレーティングシステムを実行しており、信頼されていないネットワークトラフィックを直接送受信している場合、またはネットワークロードバランサを使用している場合は、この DoS 攻撃に対する脆弱性が存在します。

お使いのオペレーティングシステム用のパッチが利用可能になったら、すぐに VM インスタンスを更新してください。

Compute Engine をお使いのお客様は、次のいずれかのオプションを使用して、インスタンスのゲストオペレーティングシステムを更新できます。

パッチ適用済みの公開イメージを使用して、既存の VM インスタンスを再作成する。パッチが適用された公開イメージのリストについては、以下をご覧ください。
オペレーティングシステムベンダーからパッチを入手して既存のインスタンスにインストールし、パッチ適用済みのインスタンスを再起動する。

パッチ適用済みイメージとベンダーのリソース

各オペレーティングシステムベンダーからパッチが入手可能になると、ここにパッチ情報へのリンクが表示されます。

プロジェクト centos-cloud（CVE-2018-5390 のみ）:
- centos-7-v20180815
- centos-6-v20180815
プロジェクト coreos-cloud（CVE-2018-5390 と CVE-2018-5391）:
- coreos-stable-1800-7-0-v20180816
- coreos-beta-1855-2-0-v20180816
- coreos-alpha-1871-0-0-v20180816
プロジェクト cos-cloud（CVE-2018-5390 と CVE-2018-5391）:
- cos-stable-65-10323-98-0
- cos-stable-66-10452-109-0
- cos-stable-67-10575-65-0
- cos-beta-68-10718-76-0
- cos-dev-69-10895-16-0
プロジェクト debian-cloud（CVE-2018-5390 と CVE-2018-5391）:
- debian-9-stretch-v20180814
プロジェクト rhel-cloud（CVE-2018-5390 のみ）:
- rhel-7-v20180814
- rhel-6-v20180814
プロジェクト suse-cloud（CVE-2018-5390 と CVE-2018-5391）:
- sles-15-v20180816
- sles-12-sp3-v20180814
プロジェクト suse-sap-cloud（CVE-2018-5390 と CVE-2018-5391）:
- sles-15-sap-v20180816
- sles-12-sp3-sap-v20180814
- sles-12-sp2-sap-v20180816
プロジェクト ubuntu-os-cloud（CVE-2018-5390 と CVE-2018-5391）:
- ubuntu-1804-bionic-v20180814
- ubuntu-1604-xenial-v20180814
- ubuntu-1404-trusty-v20180814
- ubuntu-minimal-1804-bionic-v20180814
- ubuntu-minimal-1604-xenial-v20180814

高

公開日: 2018 年 1 月 3 日

最終更新日時: 2018 年 5 月 21 日 15:00（太平洋標準時間）

説明重大度注

説明	重大度	注
2018 年 5 月 21 日更新 CVE-2018-3640 と CVE-2018-3639（それぞれバリアント 3a と 4）は、Intel によって開示されました。Spectre と Meltdown の最初の 3 つのバリアントと同様に、Compute Engine VM インスタンスを実行するインフラストラクチャは保護されており、お客様の VM インスタンスは相互に分離されて保護されています。さらに、Compute Engine では、Intel のマイクロコードパッチをインフラストラクチャにデプロイする予定であり、これにより、単一の VM インスタンス内で信頼できないワークロードまたはマルチテナントワークロードを実行するお客様は、オペレーティングシステムのベンダーやプロバイダによって提供される VM 内追加対策を有効にできます。マイクロコードパッチは、Intel によって認定され、Compute Engine で本番環境に対してテストおよび認定された後、Compute Engine にデプロイされます。パッチが使用可能になった際には、このページでより詳細なタイムラインと更新情報が提供されます。説明これらの CVE は、多くのプロセッサで利用可能な投機的実行テクノロジーを悪用する新しいクラスの攻撃のバリエーションです。このクラスの攻撃を受けると、さまざまな状況下でメモリデータへの不正な読み取り専用アクセスが可能になるおそれがあります。 Compute Engine では、VM Live Migration テクノロジーを使用してホストシステムとハイパーバイザを更新しました。これによるユーザーへの影響はなく、メンテナンスの時間枠を確保する必要も、大量の再起動も必要ありませんでした。ただし、この新しいクラスの攻撃からシステムを保護するには、その実行場所に関係なく、すべてのゲストオペレーティングシステムとバージョンにパッチを適用する必要があります。この攻撃の手法に関する詳しい技術情報については、Project Zero のブログ記事をご覧ください。Google が実施している対策の詳しい内容とすべてのサービス固有の情報は、Google のセキュリティブログの記事にまとめられています。 Compute Engine への影響 Compute Engine を実行しお客様の VM インスタンスを相互に分離するインフラストラクチャは、既知の攻撃から保護されています。Google は、VM インスタンス内で実行されているアプリケーションから Google のホストシステムへの不正アクセスを防止する対策を講じました。この対策により、同じホストシステム上で実行されている VM インスタンス間の不正アクセスも防止されます。仮想マシンインスタンス内での不正アクセスを防止するには、次のいずれかの方法で VM インスタンスのゲストオペレーティングシステムを更新する必要があります。パッチ適用済みの公開イメージを使用して、既存の VM インスタンスを再作成します。パッチが適用された公開イメージのリストについては、以下をご覧ください。使用しているディストリビューションのパッチをオペレーティングシステムベンダーから入手して既存のインスタンスにインストールし、パッチ適用済みのインスタンスを再起動する。各オペレーティングシステムベンダーのパッチに関する情報は、下のリンクからご覧ください。パッチ適用済みイメージとベンダーのリソース注: パッチ適用済みであっても、このセキュリティ情報に記載されているすべての CVE の修正が含まれていない場合があります。また、この種の攻撃への防御策として、イメージごとに異なる手法が使用されている場合があります。オペレーティングシステムベンダーに問い合わせて、パッチで対応している CVE と使用している防止方法を確認してください。プロジェクト `cos-cloud`: バリアント 2（CVE-2017-5715）とバリアント 3（CVE-2017-5754）の攻撃を防止するパッチが含まれています。Google は、これらのイメージで Retpoline を使用して、Variant 2 攻撃を軽減しました。 `cos-stable-63-10032-71-0` またはイメージファミリー `cos-stable` プロジェクト `centos-cloud`: CentOS のパッチ情報 `centos-7-v20180104` またはイメージファミリー `centos-7` `centos-6-v20180104` またはイメージファミリー `centos-6` プロジェクト `coreos-cloud`: CoreOS のパッチ情報 `coreos-stable-1576-5-0-v20180105` またはイメージファミリー `coreos-stable` `coreos-beta-1632-1-0-v20180105` またはイメージファミリー `coreos-beta` `coreos-alpha-1649-0-0-v20180105` またはイメージファミリー `coreos-alpha` プロジェクト `debian-cloud`: Debian のパッチ情報 `debian-9-stretch-v20180105` またはイメージファミリー `debian-9` `debian-8-jessie-v20180109` またはイメージファミリー `debian-8` プロジェクト `rhel-cloud`: RHEL のパッチ情報 `rhel-7-v20180104` またはイメージファミリー `rhel-7` `rhel-6-v20180104` またはイメージファミリー `rhel-6` プロジェクト `suse-cloud`: SUSE のパッチ情報 `sles-12-sp3-v20180104` またはイメージファミリー `sles-12` `sles-11-sp4-v20180104` またはイメージファミリー `sles-11` プロジェクト `suse-sap-cloud`: SUSE のパッチ情報 `sles-12-sp3-sap-v20180104` またはイメージファミリー `sles-12-sp3-sap` `sles-12-sp2-sap-v20180104` またはイメージファミリー `sles-12-sp2-sap` プロジェクト `ubuntu-os-cloud`: Ubuntu のパッチ情報 `ubuntu-1710-artful-v20180109` またはイメージファミリー `ubuntu-1710` `ubuntu-1604-xenial-v20180109` またはイメージファミリー `ubuntu-1604-lts` `ubuntu-1404-trusty-v20180110` またはイメージファミリー `ubuntu-1404-lts` プロジェクト `windows-cloud` と `windows-sql-cloud`: バージョン番号 `-v20180109` 以降のすべての Windows Server と SQL Server の公開イメージにパッチが含まれています。ただし、既存のインスタンスと新しく作成されたインスタンスの両方でこれらの緩和策を有効にして確認するには、Windows Server のガイダンスのサポート情報で Microsoft が提供する推奨アクションに従う必要があります。これらのイメージを使用して、VM インスタンスを再作成します。これらの公開イメージの旧バージョンにはこうしたパッチが含まれないため、攻撃される可能性を軽減できません。ハードウェアベンダーが提供するパッチ NVIDIA は、NVIDIA® ドライバソフトウェアがインストールされているシステムが攻撃される可能性を軽減するパッチを適用したドライバを提供しています。パッチ適用済みのドライババージョンについては、NVIDIA が提供しているセキュリティ情報、NVIDIA GPU ディスプレイドライバのセキュリティ更新でご確認ください。変更履歴: 2018 年 5 月 21 日 T 14:00（太平洋標準時間）: 2018 年 5 月 21 日に開示された 2 つの新しいバリアントに関する情報を追加しました。 2018 年 1 月 10 日 T 15:00（太平洋標準時間）: Windows Server および SQL Server のパッチ適用済みの公開イメージに関する情報を追加しました。 2018 年 1 月 10 日 T 10:15（太平洋標準時間）: パッチ適用済みの公開イメージのリストに複数の Ubuntu イメージを追加しました。 2018 年 1 月 10 日 T 09:50（太平洋標準時間）: ハードウェアベンダーが提供するパッチに関するガイダンスを追加しました。 2018 年 1 月 3 日〜2018 年 1 月 9 日: パッチ適用済みの公開イメージのリストに複数の変更を加えました。	高	CVE-2017-5753 CVE-2017-5715 CVE-2017-5754 CVE-2018-3640 CVE-2018-3639

2018 年 5 月 21 日更新

CVE-2018-3640 と CVE-2018-3639（それぞれバリアント 3a と 4）は、Intel によって開示されました。Spectre と Meltdown の最初の 3 つのバリアントと同様に、Compute Engine VM インスタンスを実行するインフラストラクチャは保護されており、お客様の VM インスタンスは相互に分離されて保護されています。さらに、Compute Engine では、Intel のマイクロコードパッチをインフラストラクチャにデプロイする予定であり、これにより、単一の VM インスタンス内で信頼できないワークロードまたはマルチテナントワークロードを実行するお客様は、オペレーティングシステムのベンダーやプロバイダによって提供される VM 内追加対策を有効にできます。マイクロコードパッチは、Intel によって認定され、Compute Engine で本番環境に対してテストおよび認定された後、Compute Engine にデプロイされます。パッチが使用可能になった際には、このページでより詳細なタイムラインと更新情報が提供されます。

説明

これらの CVE は、多くのプロセッサで利用可能な投機的実行テクノロジーを悪用する新しいクラスの攻撃のバリエーションです。このクラスの攻撃を受けると、さまざまな状況下でメモリデータへの不正な読み取り専用アクセスが可能になるおそれがあります。

Compute Engine では、VM Live Migration テクノロジーを使用してホストシステムとハイパーバイザを更新しました。これによるユーザーへの影響はなく、メンテナンスの時間枠を確保する必要も、大量の再起動も必要ありませんでした。ただし、この新しいクラスの攻撃からシステムを保護するには、その実行場所に関係なく、すべてのゲストオペレーティングシステムとバージョンにパッチを適用する必要があります。

この攻撃の手法に関する詳しい技術情報については、Project Zero のブログ記事をご覧ください。Google が実施している対策の詳しい内容とすべてのサービス固有の情報は、Google のセキュリティブログの記事にまとめられています。

Compute Engine への影響

Compute Engine を実行しお客様の VM インスタンスを相互に分離するインフラストラクチャは、既知の攻撃から保護されています。Google は、VM インスタンス内で実行されているアプリケーションから Google のホストシステムへの不正アクセスを防止する対策を講じました。この対策により、同じホストシステム上で実行されている VM インスタンス間の不正アクセスも防止されます。

仮想マシンインスタンス内での不正アクセスを防止するには、次のいずれかの方法で VM インスタンスのゲストオペレーティングシステムを更新する必要があります。

パッチ適用済みの公開イメージを使用して、既存の VM インスタンスを再作成します。パッチが適用された公開イメージのリストについては、以下をご覧ください。
使用しているディストリビューションのパッチをオペレーティングシステムベンダーから入手して既存のインスタンスにインストールし、パッチ適用済みのインスタンスを再起動する。各オペレーティングシステムベンダーのパッチに関する情報は、下のリンクからご覧ください。

パッチ適用済みイメージとベンダーのリソース

注: パッチ適用済みであっても、このセキュリティ情報に記載されているすべての CVE の修正が含まれていない場合があります。また、この種の攻撃への防御策として、イメージごとに異なる手法が使用されている場合があります。オペレーティングシステムベンダーに問い合わせて、パッチで対応している CVE と使用している防止方法を確認してください。

プロジェクト cos-cloud: バリアント 2（CVE-2017-5715）とバリアント 3（CVE-2017-5754）の攻撃を防止するパッチが含まれています。Google は、これらのイメージで Retpoline を使用して、Variant 2 攻撃を軽減しました。
- cos-stable-63-10032-71-0 またはイメージファミリー cos-stable
プロジェクト centos-cloud: CentOS のパッチ情報
- centos-7-v20180104 またはイメージファミリー centos-7
- centos-6-v20180104 またはイメージファミリー centos-6
プロジェクト coreos-cloud: CoreOS のパッチ情報
- coreos-stable-1576-5-0-v20180105 またはイメージファミリー coreos-stable
- coreos-beta-1632-1-0-v20180105 またはイメージファミリー coreos-beta
- coreos-alpha-1649-0-0-v20180105 またはイメージファミリー coreos-alpha
プロジェクト debian-cloud: Debian のパッチ情報
- debian-9-stretch-v20180105 またはイメージファミリー debian-9
- debian-8-jessie-v20180109 またはイメージファミリー debian-8
プロジェクト rhel-cloud: RHEL のパッチ情報
- rhel-7-v20180104 またはイメージファミリー rhel-7
- rhel-6-v20180104 またはイメージファミリー rhel-6
- sles-12-sp3-v20180104 またはイメージファミリー sles-12
- sles-11-sp4-v20180104 またはイメージファミリー sles-11
- sles-12-sp3-sap-v20180104 またはイメージファミリー sles-12-sp3-sap
- sles-12-sp2-sap-v20180104 またはイメージファミリー sles-12-sp2-sap
プロジェクト ubuntu-os-cloud: Ubuntu のパッチ情報
- ubuntu-1710-artful-v20180109 またはイメージファミリー ubuntu-1710
- ubuntu-1604-xenial-v20180109 またはイメージファミリー ubuntu-1604-lts
- ubuntu-1404-trusty-v20180110 またはイメージファミリー ubuntu-1404-lts
プロジェクト windows-cloud と windows-sql-cloud:
- バージョン番号 -v20180109 以降のすべての Windows Server と SQL Server の公開イメージにパッチが含まれています。ただし、既存のインスタンスと新しく作成されたインスタンスの両方でこれらの緩和策を有効にして確認するには、Windows Server のガイダンスのサポート情報で Microsoft が提供する推奨アクションに従う必要があります。

これらのイメージを使用して、VM インスタンスを再作成します。これらの公開イメージの旧バージョンにはこうしたパッチが含まれないため、攻撃される可能性を軽減できません。

ハードウェアベンダーが提供するパッチ

NVIDIA は、NVIDIA® ドライバソフトウェアがインストールされているシステムが攻撃される可能性を軽減するパッチを適用したドライバを提供しています。パッチ適用済みのドライババージョンについては、NVIDIA が提供しているセキュリティ情報、NVIDIA GPU ディスプレイドライバのセキュリティ更新でご確認ください。

変更履歴:

2018 年 5 月 21 日 T 14:00（太平洋標準時間）: 2018 年 5 月 21 日に開示された 2 つの新しいバリアントに関する情報を追加しました。
2018 年 1 月 10 日 T 15:00（太平洋標準時間）: Windows Server および SQL Server のパッチ適用済みの公開イメージに関する情報を追加しました。
2018 年 1 月 10 日 T 10:15（太平洋標準時間）: パッチ適用済みの公開イメージのリストに複数の Ubuntu イメージを追加しました。
2018 年 1 月 10 日 T 09:50（太平洋標準時間）: ハードウェアベンダーが提供するパッチに関するガイダンスを追加しました。
2018 年 1 月 3 日〜2018 年 1 月 9 日: パッチ適用済みの公開イメージのリストに複数の変更を加えました。

高

公開日: 2017 年 10 月 2 日

説明	重大度	メモ
Dnsmasq は DNS、DHCP、ルーターアドバタイズメント、ネットワークブートの機能を提供します。通常、このソフトウェアはデスクトップ Linux ディストリビューション（Ubuntu など）、家庭用ルーター、IoT 端末など、さまざまなシステムにインストールされます。Dnsmasq は、オープンインターネットとプライベートネットワークの両方で広く使われています。 Google は、定期的な社内セキュリティ評価の過程で 7 個の問題を発見しました。こうした問題の重大性を判断したうえで、その影響と悪用される可能性について調査し、それぞれについて Google 内部で概念実証を作成しました。また、Dnsmasq の管理者である Simon Kelly と協力して、適切なパッチを作成し、問題を緩和しました。評価の際に、2017 年 9 月 5 日現在のプロジェクト git サーバーで、最新バージョンに影響を及ぼす 3 つの潜在的なリモートコード実行、1 つの情報漏洩、3 つのサービス拒否の脆弱性を発見しました。これらのパッチはアップストリームされ、プロジェクトの Git リポジトリに commit されています。 Compute Engine への影響デフォルトで、Dnsmasq は NetworkManager を使用するイメージのみにインストールされて非アクティブになっています。次の Compute Engine 公開イメージには、Dnsmasq がインストールされています。 Ubuntu 16.04、16.10、17.04 CentOS 7 RHEL 7 ただし、他のイメージでも、他のパッケージの依存関係として Dnsmasq がインストールされていることがあります。Debian、Ubuntu、CentOS、RHEL、SLES、OpenSuse のインスタンスを更新して、最新のオペレーティングシステムイメージを使用することをおすすめします。CoreOS と Container-Optimized OS は影響を受けません。Windows イメージにも影響はありません。 Debian と Ubuntu を実行するインスタンスの場合、インスタンスで次のコマンドを実行して、更新を行えます。 sudo apt-get -y update sudo apt-get -y dist-upgrade Red Hat Enterprise Linux と CentOS インスタンスの場合、次のコマンドを実行します。 sudo yum -y upgrade SLES と OpenSUSE イメージの場合、次のコマンドを実行します。 sudo zypper up 手動の更新コマンドを実行する代わりに、それぞれのオペレーティングシステムのイメージファミリーを使用して VM インスタンスを再作成できます。	高	CVE-2017-14491 CVE-2017-14492 CVE-2017-14493 CVE-2017-14494 CVE-2017-14495 CVE-2017-14496 CVE-2017-13704

説明

重大度

メモ

Dnsmasq は DNS、DHCP、ルーターアドバタイズメント、ネットワークブートの機能を提供します。通常、このソフトウェアはデスクトップ Linux ディストリビューション（Ubuntu など）、家庭用ルーター、IoT 端末など、さまざまなシステムにインストールされます。Dnsmasq は、オープンインターネットとプライベートネットワークの両方で広く使われています。

Google は、定期的な社内セキュリティ評価の過程で 7 個の問題を発見しました。こうした問題の重大性を判断したうえで、その影響と悪用される可能性について調査し、それぞれについて Google 内部で概念実証を作成しました。また、Dnsmasq の管理者である Simon Kelly と協力して、適切なパッチを作成し、問題を緩和しました。

評価の際に、2017 年 9 月 5 日現在のプロジェクト git サーバーで、最新バージョンに影響を及ぼす 3 つの潜在的なリモートコード実行、1 つの情報漏洩、3 つのサービス拒否の脆弱性を発見しました。

これらのパッチはアップストリームされ、プロジェクトの Git リポジトリに commit されています。

Compute Engine への影響

デフォルトで、Dnsmasq は NetworkManager を使用するイメージのみにインストールされて非アクティブになっています。次の Compute Engine 公開イメージには、Dnsmasq がインストールされています。

Ubuntu 16.04、16.10、17.04
CentOS 7
RHEL 7

ただし、他のイメージでも、他のパッケージの依存関係として Dnsmasq がインストールされていることがあります。Debian、Ubuntu、CentOS、RHEL、SLES、OpenSuse のインスタンスを更新して、最新のオペレーティングシステムイメージを使用することをおすすめします。CoreOS と Container-Optimized OS は影響を受けません。Windows イメージにも影響はありません。

Debian と Ubuntu を実行するインスタンスの場合、インスタンスで次のコマンドを実行して、更新を行えます。

sudo apt-get -y update

sudo apt-get -y dist-upgrade

Red Hat Enterprise Linux と CentOS インスタンスの場合、次のコマンドを実行します。

sudo yum -y upgrade

SLES と OpenSUSE イメージの場合、次のコマンドを実行します。

sudo zypper up

手動の更新コマンドを実行する代わりに、それぞれのオペレーティングシステムのイメージファミリーを使用して VM インスタンスを再作成できます。

高

公開日: 2016 年 10 月 26 日

説明重大度メモ

説明	重大度	メモ
CVE-2016-5195 は、プライベートな読み取り専用メモリマッピングにおける COW の破壊を Linux カーネルのメモリサブシステムが対処する過程で発生する競合状態です。権限のないローカルユーザーがこの欠陥を利用して、通常は読み取り専用のメモリマッピングへの書き込みアクセス権を取得し、システムでの権限を昇格させる可能性があります。詳細は Dirty COW FAQ をご覧ください。 Compute Engine への影響 Compute Engine 上のすべての Linux のディストリビューションとバージョンが影響を受けます。ほとんどのインスタンスは新しいカーネルを自動的にダウンロードしてインストールします。ただし、実行中のシステムにパッチを適用するには再起動する必要があります。次の Compute Engine イメージに基づく新しいインスタンスまたは再作成されたインスタンスには、パッチを適用したカーネルがすでにインストールされています。 `centos-6-v20161026` `centos-7-v20161025` `coreos-alpha-1192-2-0-v20161021` `coreos-beta-1185-2-0-v20161021` `coreos-stable-1122-3-0-v20161021` `debian-8-jessie-v20161020` `rhel-6-v20161026` `rhel-7-v20161024` `sles-11-sp4-v20161021` `sles-12-sp1-v20161021` `ubuntu-1204-precise-v20161020` `ubuntu-1404-trusty-v20161020` `ubuntu-1604-xenial-v20161020` `ubuntu-1610-yakkety-v20161020`	高	CVE-2016-5195

CVE-2016-5195 は、プライベートな読み取り専用メモリマッピングにおける COW の破壊を Linux カーネルのメモリサブシステムが対処する過程で発生する競合状態です。

権限のないローカルユーザーがこの欠陥を利用して、通常は読み取り専用のメモリマッピングへの書き込みアクセス権を取得し、システムでの権限を昇格させる可能性があります。

詳細は Dirty COW FAQ をご覧ください。

Compute Engine への影響

Compute Engine 上のすべての Linux のディストリビューションとバージョンが影響を受けます。ほとんどのインスタンスは新しいカーネルを自動的にダウンロードしてインストールします。ただし、実行中のシステムにパッチを適用するには再起動する必要があります。

次の Compute Engine イメージに基づく新しいインスタンスまたは再作成されたインスタンスには、パッチを適用したカーネルがすでにインストールされています。

centos-6-v20161026
centos-7-v20161025
coreos-alpha-1192-2-0-v20161021
coreos-beta-1185-2-0-v20161021
coreos-stable-1122-3-0-v20161021
debian-8-jessie-v20161020
rhel-6-v20161026
rhel-7-v20161024
sles-11-sp4-v20161021
sles-12-sp1-v20161021
ubuntu-1204-precise-v20161020
ubuntu-1404-trusty-v20161020
ubuntu-1604-xenial-v20161020
ubuntu-1610-yakkety-v20161020

高

CVE-2016-5195

公開日: 2016 年 2 月 16 日

最終更新日: 2016 年 2 月 22 日

説明重大度メモ

説明	重大度	メモ
CVE-2015-7547 は、glibc DNS クライアント側のリゾルバが `getaddrinfo()` ライブラリ関数を使用する際に、ソフトウェアをスタックベースのバッファオーバーフローに対して脆弱にする脆弱性です。攻撃者は、この関数を使用するソフトウェアを利用して、攻撃者が制御するドメイン名、攻撃者が制御する DNS サーバー、または中間者攻撃を介してこの脆弱性を悪用する可能性があります。詳細については、Google のセキュリティに関するブログ投稿または CVE（共通脆弱性識別子）データベースをご覧ください。 Compute Engine への影響更新（2016 年 2 月 22 日）: 次の CoreOS、SLES、OpenSUSE イメージを使用して、インスタンスを再作成できます。 `coreos-alpha-962-0-0-v20160218` `coreos-beta-899-7-0-v20160218` `coreos-stable-835-13-0-v20160218` `opensuse-13-2-v20160222` `opensuse-leap-42-1-v20160222` `sles-11-sp4-v20160222` `sles-12-sp1-v20160222` 更新（2016 年 2 月 17 日）: 次のコマンドを実行して、Ubuntu 12.04 LTS、Ubuntu 14.04 LTS、Ubuntu 15.10 インスタンスに対する更新を実行できます。 `user@my-instance:~$ sudo apt-get -y update` `user@my-instance:~$ sudo apt-get -y dist-upgrade` `user@my-instance:~$ sudo reboot` 手動更新コマンドを実行する代わりに、次の新しいイメージを使用してインスタンスを再作成することもできます。 `backports-debian-7-wheezy-v20160216` `centos-6-v20160216` `centos-7-v20160216` `debian-7-wheezy-v20160216` `debian-8-jessie-v20160216` `rhel-6-v20160216` `rhel-7-v20160216` `ubuntu-1204-precise-v20160217a` `ubuntu-1404-trusty-v20160217a` `ubuntu-1510-wily-v20160217` デフォルトの glibc 構成を使用した Compute Engine の DNS リゾルバを介してこの脆弱性を悪用できる方法は確認されていません。ただし、他の新しい脆弱性のように、新たな悪用方法が今後発見される可能性もあるため、できる限り早く仮想マシンインスタンスにパッチを適用することをおすすめします。edns0 を有効にしている場合は（デフォルトでは無効）、無効にしてからインスタンスにパッチを適用する必要があります。元の速報: お使いの Linux ディストリビューションは脆弱である可能性があります。Compute Engine ユーザーは、Linux OS を実行している場合、インスタンスの OS イメージを更新して、この脆弱性を除去する必要があります。 Debian を実行するインスタンスの場合、インスタンスで次のコマンドを実行して更新できます。 `user@my-instance:~$ sudo apt-get -y update` `user@my-instance:~$ sudo apt-get -y dist-upgrade` `user@my-instance:~$ sudo reboot` また、Debian インスタンスに対して UnattendedUpgrades をインストールすることもおすすめします。 Red Hat Enterprise Linux インスタンスの場合: `user@my-instance:~$ sudo yum -y upgrade` `user@my-instance:~$ sudo reboot` 他のオペレーティングシステム管理者によるこの脆弱性に対するパッチの公開、また Compute Engine での更新版 OS イメージのリリースに伴い、この情報を引き続き更新します。	高	CVE-2015-7547

CVE-2015-7547 は、glibc DNS クライアント側のリゾルバが getaddrinfo() ライブラリ関数を使用する際に、ソフトウェアをスタックベースのバッファオーバーフローに対して脆弱にする脆弱性です。攻撃者は、この関数を使用するソフトウェアを利用して、攻撃者が制御するドメイン名、攻撃者が制御する DNS サーバー、または中間者攻撃を介してこの脆弱性を悪用する可能性があります。

詳細については、Google のセキュリティに関するブログ投稿または CVE（共通脆弱性識別子）データベースをご覧ください。

Compute Engine への影響

更新（2016 年 2 月 22 日）:

次の CoreOS、SLES、OpenSUSE イメージを使用して、インスタンスを再作成できます。

coreos-alpha-962-0-0-v20160218
coreos-beta-899-7-0-v20160218
coreos-stable-835-13-0-v20160218
opensuse-13-2-v20160222
opensuse-leap-42-1-v20160222
sles-11-sp4-v20160222
sles-12-sp1-v20160222

更新（2016 年 2 月 17 日）:

次のコマンドを実行して、Ubuntu 12.04 LTS、Ubuntu 14.04 LTS、Ubuntu 15.10 インスタンスに対する更新を実行できます。

user@my-instance:~$ sudo apt-get -y update
user@my-instance:~$ sudo apt-get -y dist-upgrade
user@my-instance:~$ sudo reboot

手動更新コマンドを実行する代わりに、次の新しいイメージを使用してインスタンスを再作成することもできます。

backports-debian-7-wheezy-v20160216
centos-6-v20160216
centos-7-v20160216
debian-7-wheezy-v20160216
debian-8-jessie-v20160216
rhel-6-v20160216
rhel-7-v20160216
ubuntu-1204-precise-v20160217a
ubuntu-1404-trusty-v20160217a
ubuntu-1510-wily-v20160217

デフォルトの glibc 構成を使用した Compute Engine の DNS リゾルバを介してこの脆弱性を悪用できる方法は確認されていません。ただし、他の新しい脆弱性のように、新たな悪用方法が今後発見される可能性もあるため、できる限り早く仮想マシンインスタンスにパッチを適用することをおすすめします。edns0 を有効にしている場合は（デフォルトでは無効）、無効にしてからインスタンスにパッチを適用する必要があります。

元の速報:

お使いの Linux ディストリビューションは脆弱である可能性があります。Compute Engine ユーザーは、Linux OS を実行している場合、インスタンスの OS イメージを更新して、この脆弱性を除去する必要があります。

Debian を実行するインスタンスの場合、インスタンスで次のコマンドを実行して更新できます。

user@my-instance:~$ sudo apt-get -y update
user@my-instance:~$ sudo apt-get -y dist-upgrade
user@my-instance:~$ sudo reboot

また、Debian インスタンスに対して UnattendedUpgrades をインストールすることもおすすめします。

Red Hat Enterprise Linux インスタンスの場合:

user@my-instance:~$ sudo yum -y upgrade
user@my-instance:~$ sudo reboot

他のオペレーティングシステム管理者によるこの脆弱性に対するパッチの公開、また Compute Engine での更新版 OS イメージのリリースに伴い、この情報を引き続き更新します。

高

CVE-2015-7547

公開日: 2015 年 3 月 19 日

説明	重大度	メモ
CVE-2015-1427 は、バージョン 1.3.8 よりも前のバージョンと 1.4.3 よりも前のすべての 1.4.x バージョンの Elasticsearch の Groovy スクリプトエンジンではリモートの攻撃者がサンドボックス保護メカニズムをバイパスして任意のシェルコマンドを実行できるという脆弱性です。詳細については、NVD（脆弱性データベース）または CVE（共通脆弱性識別子）データベースをご覧ください。 Compute Engine への影響 Compute Engine インスタンスで Elasticsearch を実行している場合は、Elasticsearch のバージョンを 1.4.3 以上にアップグレードする必要があります。Elasticsearch ソフトウェアをすでにアップグレードしている場合は、この脆弱性から保護されています。 Elasticsearch 1.4.3 以降にアップグレードしていない場合は、ローリングアップグレードを実行できます。 Google Cloud consoleでクリックデプロイを使用して Elasticsearch をデプロイした場合、デプロイを削除し、Elasticsearch を実行しているインスタンスを削除できます。 Google Cloud チームは、Elasticsearch の更新バージョンをデプロイするために修正に取り組んでいます。ただし、この修正は Google Cloud consoleのクリックしてデプロイ機能ではまだ利用できません。	高	CVE-2015-1427

説明

重大度

メモ

CVE-2015-1427 は、バージョン 1.3.8 よりも前のバージョンと 1.4.3 よりも前のすべての 1.4.x バージョンの Elasticsearch の Groovy スクリプトエンジンではリモートの攻撃者がサンドボックス保護メカニズムをバイパスして任意のシェルコマンドを実行できるという脆弱性です。

詳細については、NVD（脆弱性データベース）または CVE（共通脆弱性識別子）データベースをご覧ください。

Compute Engine への影響

Compute Engine インスタンスで Elasticsearch を実行している場合は、Elasticsearch のバージョンを 1.4.3 以上にアップグレードする必要があります。Elasticsearch ソフトウェアをすでにアップグレードしている場合は、この脆弱性から保護されています。

Elasticsearch 1.4.3 以降にアップグレードしていない場合は、ローリングアップグレードを実行できます。

Google Cloud consoleでクリックデプロイを使用して Elasticsearch をデプロイした場合、デプロイを削除し、Elasticsearch を実行しているインスタンスを削除できます。

Google Cloud チームは、Elasticsearch の更新バージョンをデプロイするために修正に取り組んでいます。ただし、この修正は Google Cloud consoleのクリックしてデプロイ機能ではまだ利用できません。

高

CVE-2015-1427

公開日: 2015 年 1 月 29 日

説明重大度メモ

説明	重大度	メモ
CVE-2015-0235（Ghost）は glibc ライブラリの脆弱性です。 App Engine、Cloud Storage、BigQuery、Cloud SQL のお客様は、対応は不要です。Google のサーバーは更新され、この脆弱性から保護されています。 Compute Engine のユーザーは OS イメージの更新が必要な場合があります。 Compute Engine への影響お使いの Linux ディストリビューションは脆弱である可能性があります。Compute Engine ユーザーは、Debian 7、Debian 7 バックポート、Ubuntu 12.04 LTS、Red Hat Enterprise Linux、CentOS、SUSE Linux Enterprise Server 11 SP3 を実行している場合、インスタンスの OS イメージを更新して、この脆弱性を除去する必要があります。この脆弱性は、Ubuntu 14.04 LTS、Ubuntu 14.10、SUSE Linux Enterprise Server 12 には影響を及ぼしません。 Linux ディストリビューションをアップグレードすることをおすすめします。Debian 7、Debian 7 バックポート、Ubuntu 12.04 LTS を実行しているインスタンスの場合、インスタンスで次のコマンドを実行して更新できます。 `user@my-instance:~$ sudo apt-get update` `user@my-instance:~$ sudo apt-get -y upgrade` `user@my-instance:~$ sudo reboot` Red Hat Enterprise Linux または CentOS インスタンスの場合: `user@my-instance:~$ sudo yum -y upgrade` `user@my-instance:~$ sudo reboot` SUSE Linux Enterprise Server 11 SP3 インスタンスの場合: `user@my-instance:~$ sudo zypper --non-interactive up` `user@my-instance:~$ sudo reboot` 上のコマンドを実行して更新を行う代わりに、次の新しいイメージを使用してインスタンスを再作成することもできます。 `debian-7-wheezy-v20150127` `backports-debian-7-wheezy-v20150127` `centos-6-v20150127` `centos-7-v20150127` `rhel-6-v20150127` `rhel-7-v20150127` `sles-11-sp3-v20150127` `ubuntu-1204-precise-v20150127` Google マネージド VM への影響 `gcloud preview app deploy` を使用するマネージド VM ユーザーは、`gcloud preview app setup-managed-vms` でベース Docker コンテナを更新し、`gcloud preview app deploy` を使用して実行中の各アプリを再デプロイする必要があります。`appcfg` を使用してデプロイするユーザーは、何もする必要がなく、自動的にアップグレードされます。	高	CVE-2015-0235

CVE-2015-0235（Ghost）は glibc ライブラリの脆弱性です。

App Engine、Cloud Storage、BigQuery、Cloud SQL のお客様は、対応は不要です。Google のサーバーは更新され、この脆弱性から保護されています。

Compute Engine のユーザーは OS イメージの更新が必要な場合があります。

Compute Engine への影響

お使いの Linux ディストリビューションは脆弱である可能性があります。Compute Engine ユーザーは、Debian 7、Debian 7 バックポート、Ubuntu 12.04 LTS、Red Hat Enterprise Linux、CentOS、SUSE Linux Enterprise Server 11 SP3 を実行している場合、インスタンスの OS イメージを更新して、この脆弱性を除去する必要があります。

この脆弱性は、Ubuntu 14.04 LTS、Ubuntu 14.10、SUSE Linux Enterprise Server 12 には影響を及ぼしません。

Linux ディストリビューションをアップグレードすることをおすすめします。Debian 7、Debian 7 バックポート、Ubuntu 12.04 LTS を実行しているインスタンスの場合、インスタンスで次のコマンドを実行して更新できます。

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade
user@my-instance:~$ sudo reboot

Red Hat Enterprise Linux または CentOS インスタンスの場合:

user@my-instance:~$ sudo yum -y upgrade
user@my-instance:~$ sudo reboot

SUSE Linux Enterprise Server 11 SP3 インスタンスの場合:

user@my-instance:~$ sudo zypper --non-interactive up
user@my-instance:~$ sudo reboot

上のコマンドを実行して更新を行う代わりに、次の新しいイメージを使用してインスタンスを再作成することもできます。

debian-7-wheezy-v20150127
backports-debian-7-wheezy-v20150127
centos-6-v20150127
centos-7-v20150127
rhel-6-v20150127
rhel-7-v20150127
sles-11-sp3-v20150127
ubuntu-1204-precise-v20150127

Google マネージド VM への影響

gcloud preview app deploy を使用するマネージド VM ユーザーは、gcloud preview app setup-managed-vms でベース Docker コンテナを更新し、gcloud preview app deploy を使用して実行中の各アプリを再デプロイする必要があります。appcfg を使用してデプロイするユーザーは、何もする必要がなく、自動的にアップグレードされます。

高

CVE-2015-0235

公開日: 2014 年 10 月 15 日

最終更新日: 2014 年 10 月 17 日

説明重大度メモ

説明	重大度	メモ
CVE-2014-3566（POODLE とも呼ばれます）は、SSL バージョン 3.0 の設計における脆弱性です。この脆弱性により、ネットワーク攻撃者はセキュアな接続のプレーンテキストを計算できます。詳しくは、この脆弱性に関するブログ投稿をご覧ください。 App Engine、Cloud Storage、BigQuery、Cloud SQL のお客様は、対応は不要です。Google のサーバーは更新され、この脆弱性から保護されています。Compute Engine のユーザーは OS イメージを更新する必要があります。 Compute Engine への影響更新（2014 年 10 月 17 日）: SSLv3 を使用している場合、脆弱である可能性があります。Compute Engine ユーザーは、インスタンスの OS イメージを更新して、この脆弱性を除去する必要があります。 Linux ディストリビューションをアップグレードすることをおすすめします。Debian を実行するインスタンスの場合、インスタンスで次のコマンドを実行して更新できます。 user@my-instance:~$ sudo apt-get update user@my-instance:~$ sudo apt-get -y upgrade user@my-instance:~$ sudo reboot CentOS インスタンスの場合: user@my-instance:~$ sudo yum -y upgrade user@my-instance:~$ sudo reboot 上のコマンドを実行して更新を行う代わりに、次の新しいイメージを使用してインスタンスを再作成することもできます。 `centos-6-v20141016` `centos-7-v20141016` `debian-7-wheezy-v20141017` `backports-debian-7-wheezy-v20141017` RHEL イメージと SLES イメージについては、イメージを入手次第、この速報を更新します。それまでの間、RHEL ユーザーはRed Hat に直接お問い合わせください。元の速報: Compute Engine のお客様は、この脆弱性を解消するために、インスタンスの OS イメージを更新する必要があります。新しい OS イメージが利用可能になったら、このセキュリティ情報が更新され、手順が追記されます。	中	CVE-2014-3566

CVE-2014-3566（POODLE とも呼ばれます）は、SSL バージョン 3.0 の設計における脆弱性です。この脆弱性により、ネットワーク攻撃者はセキュアな接続のプレーンテキストを計算できます。詳しくは、この脆弱性に関するブログ投稿をご覧ください。

App Engine、Cloud Storage、BigQuery、Cloud SQL のお客様は、対応は不要です。Google のサーバーは更新され、この脆弱性から保護されています。Compute Engine のユーザーは OS イメージを更新する必要があります。

Compute Engine への影響

更新（2014 年 10 月 17 日）:

SSLv3 を使用している場合、脆弱である可能性があります。Compute Engine ユーザーは、インスタンスの OS イメージを更新して、この脆弱性を除去する必要があります。

Linux ディストリビューションをアップグレードすることをおすすめします。Debian を実行するインスタンスの場合、インスタンスで次のコマンドを実行して更新できます。

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade
user@my-instance:~$ sudo reboot

CentOS インスタンスの場合:

user@my-instance:~$ sudo yum -y upgrade
user@my-instance:~$ sudo reboot

上のコマンドを実行して更新を行う代わりに、次の新しいイメージを使用してインスタンスを再作成することもできます。

centos-6-v20141016
centos-7-v20141016
debian-7-wheezy-v20141017
backports-debian-7-wheezy-v20141017

RHEL イメージと SLES イメージについては、イメージを入手次第、この速報を更新します。それまでの間、RHEL ユーザーはRed Hat に直接お問い合わせください。

元の速報:

Compute Engine のお客様は、この脆弱性を解消するために、インスタンスの OS イメージを更新する必要があります。新しい OS イメージが利用可能になったら、このセキュリティ情報が更新され、手順が追記されます。

中

CVE-2014-3566

公開日: 2014 年 9 月 24 日

最終更新日: 2014 年 9 月 29 日

説明重大度メモ

説明	重大度	メモ
bash には、攻撃者が制御する環境変数の解析に基づいてリモートコード実行を可能にするバグ（CVE-2014-6271）があります。最も可能性の高い攻撃ベクトルは、ウェブサーバーで公開されている CGI スクリプトに対して悪意のある HTTP リクエストを使用することです。詳細については、バグの説明をご覧ください。 20140926 より前の Compute Engine ゲスト OS イメージを除く、 Google Cloud プロダクトの bash バグは軽減されています。お使いの Compute Engine イメージのバグを緩和するための手順については、以下をご覧ください。 Compute Engine への影響このバグは、CGI スクリプトを使用する実質的にすべてのウェブサイトに影響を及ぼす可能性があります。また、PHP、Perl、Python、SSI、Java、C++ などのサーブレットに依存するウェブサイトで、`popen`、`system`、`shell_exec` などの呼び出しを使用してシェルコマンドを呼び出す場合にも影響する可能性があります。また、SSH コマンドの制限や bash 制限付きシェルなどのメカニズムを使用して、制限付きユーザーへの制御されたログインアクセスを許可しようとするシステムにも影響する可能性があります。更新（2014 年 9 月 29 日）: 次の手動更新コマンドを実行する代わりに、bash セキュリティバグに関連する追加の脆弱性（CVE-2014-7169、CVE-2014-6277、CVE-2014-6278、CVE-2014-7186、CVE-2014-7187 など）を軽減するイメージを使用してインスタンスを再作成できるようになりました。次の新しいイメージを使用して、インスタンスを再作成します。 `centos-6-v20140926` `centos-7-v20140926` `debian-7-wheezy-v20140926` `backports-debian-7-wheezy-v20140926` `rhel-6-v20140926` 更新（2014 年 9 月 25 日）: ユーザーは、手動更新を実行する代わりに、インスタンスを再作成することを選択できます。インスタンスを再作成するには、このセキュリティバグに対する修正を含む次の新しいイメージを使用します。 `backports-debian-7-wheezy-v20140924` `debian-7-wheezy-v20140924` `rhel-6-v20140924` `centos-6-v20140924` `centos-7-v20140924` RHEL と SUSE イメージについては、インスタンスで次のコマンドを実行して、更新を手動で行うこともできます。 # RHEL instances user@my-instance:~$ sudo yum -y upgrade # SUSE instances user@my-instance:~$ sudo zypper --non-interactive up 元の速報: Linux ディストリビューションをアップグレードすることをおすすめします。Debian を実行するインスタンスの場合、インスタンスで次のコマンドを実行して更新できます。 user@my-instance:~$ sudo apt-get update user@my-instance:~$ sudo apt-get -y upgrade CentOS インスタンスの場合: user@my-instance:~$ sudo yum -y upgrade 詳細については、各 Linux ディストリビューションに関する告知を確認してください。元のパッチ: http://ftp.gnu.org/gnu/bash/（適切なバージョンについては、*-patches の最後のエントリを参照してください） Debian: [SECURITY] [DSA 3032-1] bash セキュリティ更新プログラム RHEL: RHSA-2014:1293-01 RHSA-2014:1294-01 CentOS 5: [CentOS-announce] CESA-2014:1293 CentOS 6: [CentOS-announce] CESA-2014:1293 CentOS 7: [CentOS-announce] CESA-2014:1293	高	CVE-2014-7169、CVE-2014-6271、CVE-2014-6277、CVE-2014-6278、CVE-2014-7186、CVE-2014-7187

bash には、攻撃者が制御する環境変数の解析に基づいてリモートコード実行を可能にするバグ（CVE-2014-6271）があります。最も可能性の高い攻撃ベクトルは、ウェブサーバーで公開されている CGI スクリプトに対して悪意のある HTTP リクエストを使用することです。詳細については、バグの説明をご覧ください。

20140926 より前の Compute Engine ゲスト OS イメージを除く、 Google Cloud プロダクトの bash バグは軽減されています。お使いの Compute Engine イメージのバグを緩和するための手順については、以下をご覧ください。

Compute Engine への影響

このバグは、CGI スクリプトを使用する実質的にすべてのウェブサイトに影響を及ぼす可能性があります。また、PHP、Perl、Python、SSI、Java、C++ などのサーブレットに依存するウェブサイトで、popen、system、shell_exec などの呼び出しを使用してシェルコマンドを呼び出す場合にも影響する可能性があります。また、SSH コマンドの制限や bash 制限付きシェルなどのメカニズムを使用して、制限付きユーザーへの制御されたログインアクセスを許可しようとするシステムにも影響する可能性があります。

更新（2014 年 9 月 29 日）:

次の手動更新コマンドを実行する代わりに、bash セキュリティバグに関連する追加の脆弱性（CVE-2014-7169、CVE-2014-6277、CVE-2014-6278、CVE-2014-7186、CVE-2014-7187 など）を軽減するイメージを使用してインスタンスを再作成できるようになりました。次の新しいイメージを使用して、インスタンスを再作成します。

centos-6-v20140926
centos-7-v20140926
debian-7-wheezy-v20140926
backports-debian-7-wheezy-v20140926
rhel-6-v20140926

更新（2014 年 9 月 25 日）:

ユーザーは、手動更新を実行する代わりに、インスタンスを再作成することを選択できます。インスタンスを再作成するには、このセキュリティバグに対する修正を含む次の新しいイメージを使用します。

backports-debian-7-wheezy-v20140924
debian-7-wheezy-v20140924
rhel-6-v20140924
centos-6-v20140924
centos-7-v20140924

RHEL と SUSE イメージについては、インスタンスで次のコマンドを実行して、更新を手動で行うこともできます。

# RHEL instances
user@my-instance:~$ sudo yum -y upgrade

# SUSE instances
user@my-instance:~$ sudo zypper --non-interactive up

元の速報:

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade

CentOS インスタンスの場合:

user@my-instance:~$ sudo yum -y upgrade

詳細については、各 Linux ディストリビューションに関する告知を確認してください。

元のパッチ: http://ftp.gnu.org/gnu/bash/（適切なバージョンについては、*-patches の最後のエントリを参照してください）
Debian: [SECURITY] [DSA 3032-1] bash セキュリティ更新プログラム
RHEL:
- RHSA-2014:1293-01
- RHSA-2014:1294-01
CentOS 5: [CentOS-announce] CESA-2014:1293
CentOS 6: [CentOS-announce] CESA-2014:1293
CentOS 7: [CentOS-announce] CESA-2014:1293

高

CVE-2014-7169、CVE-2014-6271、CVE-2014-6277、CVE-2014-6278、CVE-2014-7186、CVE-2014-7187

公開日: 2014 年 7 月 25 日

説明重大度メモ

説明	重大度	メモ
Elasticsearch Logstash は、不正な変更やデータの開示を可能にする可能性がある OS コマンドインジェクションの脆弱性です。攻撃者は、細工したイベントを Logstash のデータソースに送信して、Logstash プロセスの権限でコマンドを実行できます。 Compute Engine への影響この脆弱性は、zabbix または nagios_nsca の出力が有効になった 1.4.2 よりも前の Elasticsearch Logstash のバージョンを実行しているすべての Compute Engine インスタンスに影響を及ぼします。攻撃を防ぐために、次のいずれかを実行できます。 Logstash 1.4.2 にアップグレードするバージョン 1.3.x のパッチを適用する `zabbix` と `nagios_nsca` の出力を無効にします。詳しくは、Logstash ブログをご覧ください。 Elasticsearch では、信頼できない IP によるリモートアクセスを防ぐためにファイアウォールを使用することも推奨しています。	高	CVE-2014-4326

Elasticsearch Logstash は、不正な変更やデータの開示を可能にする可能性がある OS コマンドインジェクションの脆弱性です。攻撃者は、細工したイベントを Logstash のデータソースに送信して、Logstash プロセスの権限でコマンドを実行できます。

Compute Engine への影響

この脆弱性は、zabbix または nagios_nsca の出力が有効になった 1.4.2 よりも前の Elasticsearch Logstash のバージョンを実行しているすべての Compute Engine インスタンスに影響を及ぼします。攻撃を防ぐために、次のいずれかを実行できます。

Logstash 1.4.2 にアップグレードする
バージョン 1.3.x のパッチを適用する
zabbix と nagios_nsca の出力を無効にします。

詳しくは、Logstash ブログをご覧ください。

Elasticsearch では、信頼できない IP によるリモートアクセスを防ぐためにファイアウォールを使用することも推奨しています。

高

CVE-2014-4326

公開日: 2014 年 6 月 18 日

説明	重大度	メモ
Google Cloudで実行されている Docker コンテナのセキュリティについてお客様が抱く可能性のある懸念事項について、ここで説明します。これには、Docker コンテナ、コンテナ最適化仮想マシン、オープンソースの Kubernetes スケジューラをサポートする App Engine 拡張機能を使用しているお客様が含まれます。 Docker はこの問題に適切に対応しており、それに関するブログ記事をこちらで確認できます。記事で説明されているように、明らかになった問題は本番環境版前の古いバージョンである Docker 0.11 にのみ該当することに注意してください。コンテナのセキュリティについて世界中で検討されていますが、 Google Cloudでは、Linux アプリケーションコンテナベースのソリューション（特に Docker コンテナ）は完全な仮想マシン（Compute Engine）で実行されることにご注意ください。Google では、Linux アプリケーションコンテナスタックを強化する Docker コミュニティの努力を支持していますが、このテクノロジーは新しく、境界面が大きいことを認識しています。現時点では、完全なハイパーバイザ（仮想マシン）はよりコンパクトで防御しやすい境界面を提供すると Google は考えています。仮想マシンは、悪意のあるワークロードを分離し、コードバグの可能性と影響を最小限に抑えるように設計されています。お客様は、お客様と第三者（悪意のあるコードの可能性を含む）の間に完全なハイパーバイザ境界が存在することを確認できます。Linux アプリケーションコンテナスタックが十分に堅牢でマルチテナントワークロードをサポートできると考えられる段階になった場合には、Google はコミュニティに報告します。現時点では、Linux アプリケーションコンテナは仮想マシンに代わるものではありません。これにより、より多くの情報を取得できます。	低	Docker ブログ投稿

説明

重大度

メモ

Google Cloudで実行されている Docker コンテナのセキュリティについてお客様が抱く可能性のある懸念事項について、ここで説明します。これには、Docker コンテナ、コンテナ最適化仮想マシン、オープンソースの Kubernetes スケジューラをサポートする App Engine 拡張機能を使用しているお客様が含まれます。

Docker はこの問題に適切に対応しており、それに関するブログ記事をこちらで確認できます。記事で説明されているように、明らかになった問題は本番環境版前の古いバージョンである Docker 0.11 にのみ該当することに注意してください。

コンテナのセキュリティについて世界中で検討されていますが、 Google Cloudでは、Linux アプリケーションコンテナベースのソリューション（特に Docker コンテナ）は完全な仮想マシン（Compute Engine）で実行されることにご注意ください。Google では、Linux アプリケーションコンテナスタックを強化する Docker コミュニティの努力を支持していますが、このテクノロジーは新しく、境界面が大きいことを認識しています。現時点では、完全なハイパーバイザ（仮想マシン）はよりコンパクトで防御しやすい境界面を提供すると Google は考えています。仮想マシンは、悪意のあるワークロードを分離し、コードバグの可能性と影響を最小限に抑えるように設計されています。

お客様は、お客様と第三者（悪意のあるコードの可能性を含む）の間に完全なハイパーバイザ境界が存在することを確認できます。Linux アプリケーションコンテナスタックが十分に堅牢でマルチテナントワークロードをサポートできると考えられる段階になった場合には、Google はコミュニティに報告します。現時点では、Linux アプリケーションコンテナは仮想マシンに代わるものではありません。これにより、より多くの情報を取得できます。

低

Docker ブログ投稿

公開日: 2014 年 6 月 5 日

最終更新日: 2014 年 6 月 9 日

説明重大度メモ

説明	重大度	メモ
OpenSSL には、`ChangeCipherSpec` メッセージがハンドシェイク状態マシンに正しくバインドされないという問題があります。これにより、handshake への早期の注入が可能となります。攻撃者は、巧妙に細工した handshake を使用して、OpenSSL SSL/TLS クライアントとサーバーで弱いキーイングマテリアルの使用を強制できます。これは中間者（PITM）攻撃によって悪用される可能性があり、攻撃者は攻撃対象のクライアントとサーバーからのトラフィックを復号して変更できます。この問題は CVE-2014-0224 として識別されています。OpenSSL チームは、この問題を修正済みであり、OpenSSL を更新するよう OpenSSL コミュニティに注意を喚起しています。 Compute Engine への影響この脆弱性は、Debian、CentOS、Red Hat Enterprise Linux、SUSE Linux Enterprise Server など、OpenSSL を使用するすべての Compute Engine インスタンスに影響を及ぼします。新しいイメージでインスタンスを再作成するか、インスタンスのパッケージを手動で更新することで、インスタンスを更新できます。更新（2014 年 6 月 9 日）: 新しいイメージで SUSE Linux Enterprise Server を実行しているインスタンスを更新するには、次のバージョン以上のイメージを使用して、インスタンスを再作成します。 `sles-11-sp3-v20140609` 元の投稿: 新しいイメージを使用して Debian インスタンスと CentOS インスタンスを更新するには、次のバージョン以上のいずれかのイメージを使用してインスタンスを再作成します。 `debian-7-wheezy-v20140605` `backports-debian-7-wheezy-v20140605` `centos-6-v20140605` `rhel-6-v20140605` インスタンス上の OpenSSL を手動で更新するには、次のコマンドを実行して適切なパッケージを更新します。CentOS と RHEL を実行するインスタンスの場合、インスタンスでこれらのコマンドを実行して、OpenSSL を更新できます。 user@my-instance:~$ sudo yum -y update user@my-instance:~$ sudo reboot Debian を実行するインスタンスの場合、インスタンスで次のコマンドを実行して、OpenSSL を更新できます。 user@my-instance:~$ sudo apt-get update user@my-instance:~$ sudo apt-get -y upgrade user@my-instance:~$ sudo reboot SUSE Linux Enterprise Server を実行するインスタンスの場合、インスタンスでこれらのコマンドを実行して、OpenSSL を最新の状態できます。 user@my-instance:~$ sudo zypper --non-interactive up user@my-instance:~$ sudo reboot	中	CVE-2014-0224

OpenSSL には、ChangeCipherSpec メッセージがハンドシェイク状態マシンに正しくバインドされないという問題があります。これにより、handshake への早期の注入が可能となります。攻撃者は、巧妙に細工した handshake を使用して、OpenSSL SSL/TLS クライアントとサーバーで弱いキーイングマテリアルの使用を強制できます。これは中間者（PITM）攻撃によって悪用される可能性があり、攻撃者は攻撃対象のクライアントとサーバーからのトラフィックを復号して変更できます。

この問題は CVE-2014-0224 として識別されています。OpenSSL チームは、この問題を修正済みであり、OpenSSL を更新するよう OpenSSL コミュニティに注意を喚起しています。

Compute Engine への影響

この脆弱性は、Debian、CentOS、Red Hat Enterprise Linux、SUSE Linux Enterprise Server など、OpenSSL を使用するすべての Compute Engine インスタンスに影響を及ぼします。新しいイメージでインスタンスを再作成するか、インスタンスのパッケージを手動で更新することで、インスタンスを更新できます。

更新（2014 年 6 月 9 日）: 新しいイメージで SUSE Linux Enterprise Server を実行しているインスタンスを更新するには、次のバージョン以上のイメージを使用して、インスタンスを再作成します。

sles-11-sp3-v20140609

元の投稿:

新しいイメージを使用して Debian インスタンスと CentOS インスタンスを更新するには、次のバージョン以上のいずれかのイメージを使用してインスタンスを再作成します。

debian-7-wheezy-v20140605
backports-debian-7-wheezy-v20140605
centos-6-v20140605
rhel-6-v20140605

インスタンス上の OpenSSL を手動で更新するには、次のコマンドを実行して適切なパッケージを更新します。CentOS と RHEL を実行するインスタンスの場合、インスタンスでこれらのコマンドを実行して、OpenSSL を更新できます。

user@my-instance:~$ sudo yum -y update
user@my-instance:~$ sudo reboot

Debian を実行するインスタンスの場合、インスタンスで次のコマンドを実行して、OpenSSL を更新できます。

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade
user@my-instance:~$ sudo reboot

SUSE Linux Enterprise Server を実行するインスタンスの場合、インスタンスでこれらのコマンドを実行して、OpenSSL を最新の状態できます。

user@my-instance:~$ sudo zypper --non-interactive up
user@my-instance:~$ sudo reboot

中

CVE-2014-0224

公開日: 2014 年 4 月 8 日

説明重大度メモ

説明	重大度	メモ
OpenSSL 1.0.1 から 1.0.1g までの (1) TLS と (2) DTLS の実装では、Heartbeat Extension パケットが適切に処理されません。これにより、リモートの攻撃者が、バッファの過剰読み取りをトリガーする細工されたパケットを使用して、プロセスメモリから機密情報を取得する可能性があります。これは、`d1_both.c` と `t1_lib.c` に関連する秘密鍵の読み取りで実証されています。この脆弱性は Heartbleed バグとも呼ばれます。 Compute Engine への影響この脆弱性は、OpenSSL の最新バージョンを使用していないすべての Compute Engine Debian、RHEL、CentOS インスタンスに影響を及ぼします。新しいイメージでインスタンスを再作成するか、インスタンスのパッケージを手動で更新することで、インスタンスを更新できます。新しいイメージを使用してインスタンスを更新するには、次のバージョン以上のいずれかのイメージを使用してインスタンスを再作成します。 `debian-7-wheezy-v20140408` `backports-debian-7-wheezy-v20140408` `centos-6-v20140408` `rhel-6-v20140408` インスタンス上の OpenSSL を手動で更新するには、次のコマンドを実行して適切なパッケージを更新します。CentOS と RHEL を実行するインスタンスの場合、インスタンスでこれらのコマンドを実行して、OpenSSL を最新の状態にできます。 user@my-instance:~$ sudo yum update user@my-instance:~$ sudo reboot Debian を実行するインスタンスの場合、インスタンスで次のコマンドを実行して、OpenSSL を更新できます。 user@my-instance:~$ sudo apt-get update user@my-instance:~$ sudo apt-get upgrade user@my-instance:~$ sudo reboot SUSE Linux を実行しているインスタンスは影響を受けません。 2014 年 4 月 14 日更新: Heartbleed バグを使用して鍵を抽出する新しい研究を踏まえ、Compute Engine では、影響を受ける SSL サービスについて新しい鍵を作成することをおすすめします。	中	CVE-2014-0160

OpenSSL 1.0.1 から 1.0.1g までの (1) TLS と (2) DTLS の実装では、Heartbeat Extension パケットが適切に処理されません。これにより、リモートの攻撃者が、バッファの過剰読み取りをトリガーする細工されたパケットを使用して、プロセスメモリから機密情報を取得する可能性があります。これは、d1_both.c と t1_lib.c に関連する秘密鍵の読み取りで実証されています。この脆弱性は Heartbleed バグとも呼ばれます。

Compute Engine への影響

この脆弱性は、OpenSSL の最新バージョンを使用していないすべての Compute Engine Debian、RHEL、CentOS インスタンスに影響を及ぼします。新しいイメージでインスタンスを再作成するか、インスタンスのパッケージを手動で更新することで、インスタンスを更新できます。

新しいイメージを使用してインスタンスを更新するには、次のバージョン以上のいずれかのイメージを使用してインスタンスを再作成します。

debian-7-wheezy-v20140408
backports-debian-7-wheezy-v20140408
centos-6-v20140408
rhel-6-v20140408

インスタンス上の OpenSSL を手動で更新するには、次のコマンドを実行して適切なパッケージを更新します。CentOS と RHEL を実行するインスタンスの場合、インスタンスでこれらのコマンドを実行して、OpenSSL を最新の状態にできます。

user@my-instance:~$ sudo yum update
user@my-instance:~$ sudo reboot

Debian を実行するインスタンスの場合、インスタンスで次のコマンドを実行して、OpenSSL を更新できます。

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get upgrade
user@my-instance:~$ sudo reboot

SUSE Linux を実行しているインスタンスは影響を受けません。

2014 年 4 月 14 日更新: Heartbleed バグを使用して鍵を抽出する新しい研究を踏まえ、Compute Engine では、影響を受ける SSL サービスについて新しい鍵を作成することをおすすめします。

中

CVE-2014-0160

公開日: 2013 年 6 月 7 日

説明重大度メモ

説明	重大度	メモ
注: この脆弱性は、API バージョン v1 以降で非推奨となり削除されたカーネルにのみ適用されます。 3.9.4 までの Linux カーネルの Broadcom B43 ワイヤレスドライバの `drivers/net/wireless/b43/main.c` の `b43_request_firmware` 関数に書式文字列の脆弱性があるため、ローカルユーザーはルートアクセスを利用し、`fwpostfix` modprobe パラメータに書式文字列指定子を含めることで権限を取得できます。これにより、エラーメッセージが不適切に構築されます。 Compute Engine への影響この脆弱性は、`gcg-3.3.8-201305291443` よりも前のすべての Compute Engine カーネルに影響を及ぼします。これに対応して、Compute Engine は以前のすべてのカーネルを非推奨とし、ユーザーがインスタンスとイメージを更新して Compute Engine カーネル `gce-v20130603` を使用することを推奨しています。`gce-v20130603` には、この脆弱性のパッチを含むカーネル `gcg-3.3.8-201305291443` が含まれています。自分のインスタンスが使用しているカーネルのバージョンを確認するには: ssh を使用してインスタンスに接続する `uname -r` を実行する	中	CVE-2013-2852

注: この脆弱性は、API バージョン v1 以降で非推奨となり削除されたカーネルにのみ適用されます。

3.9.4 までの Linux カーネルの Broadcom B43 ワイヤレスドライバの drivers/net/wireless/b43/main.c の b43_request_firmware 関数に書式文字列の脆弱性があるため、ローカルユーザーはルートアクセスを利用し、fwpostfix modprobe パラメータに書式文字列指定子を含めることで権限を取得できます。これにより、エラーメッセージが不適切に構築されます。

Compute Engine への影響

この脆弱性は、gcg-3.3.8-201305291443 よりも前のすべての Compute Engine カーネルに影響を及ぼします。これに対応して、Compute Engine は以前のすべてのカーネルを非推奨とし、ユーザーがインスタンスとイメージを更新して Compute Engine カーネル gce-v20130603 を使用することを推奨しています。gce-v20130603 には、この脆弱性のパッチを含むカーネル gcg-3.3.8-201305291443 が含まれています。

自分のインスタンスが使用しているカーネルのバージョンを確認するには:

ssh を使用してインスタンスに接続する
uname -r を実行する

中

CVE-2013-2852

公開日: 2013 年 6 月 7 日

説明重大度メモ

説明	重大度	メモ
注: この脆弱性は、API バージョン v1 以降で非推奨となり削除されたカーネルにのみ適用されます。 3.9.4 までの Linux カーネルの `block/genhd.c` の register_disk 関数における書式文字列の脆弱性により、ローカルユーザーは root アクセスを利用して `/sys/module/md_mod/parameters/new_array` に書式文字列指定子を書き込み、細工した `/dev/md` デバイス名を作成することで権限を取得できます。 Compute Engine への影響この脆弱性は、`gcg-3.3.8-201305291443` よりも前のすべての Compute Engine カーネルに影響を及ぼします。これに対応して、Compute Engine は以前のすべてのカーネルを非推奨とし、ユーザーがインスタンスとイメージを更新して Compute Engine カーネル `gce-v20130603` を使用することを推奨しています。`gce-v20130603` には、この脆弱性のパッチを含むカーネル `gcg-3.3.8-201305291443` が含まれています。自分のインスタンスが使用しているカーネルのバージョンを確認するには: ssh を使用してインスタンスに接続する `uname -r` を実行する	中	CVE-2013-2851

注: この脆弱性は、API バージョン v1 以降で非推奨となり削除されたカーネルにのみ適用されます。

3.9.4 までの Linux カーネルの block/genhd.c の register_disk 関数における書式文字列の脆弱性により、ローカルユーザーは root アクセスを利用して /sys/module/md_mod/parameters/new_array に書式文字列指定子を書き込み、細工した /dev/md デバイス名を作成することで権限を取得できます。

Compute Engine への影響

自分のインスタンスが使用しているカーネルのバージョンを確認するには:

ssh を使用してインスタンスに接続する
uname -r を実行する

中

CVE-2013-2851

公開日: 2013 年 5 月 14 日

説明重大度メモ

説明	重大度	メモ
注: この脆弱性は、API バージョン v1 以降で非推奨となり削除されたカーネルにのみ適用されます。 3.8.9 よりも前の Linux カーネルの `kernel/events/core.c` の perf_swevent_init 関数では、不適切な `integer` データ型を使用しており、細工した `perf_event_open` システム呼び出しを使用してローカルユーザーが権限を取得できます。 Compute Engine への影響この脆弱性は、`gcg-3.3.8-201305211623` よりも前のすべての Compute Engine カーネルに影響を及ぼします。これに対応して、Compute Engine は以前のすべてのカーネルを非推奨とし、ユーザーがインスタンスとイメージを更新して Compute Engine カーネル `gce-v20130521` を使用することを推奨しています。`gce-v20130521` には、この脆弱性のパッチを含むカーネル `gcg-3.3.8-201305211623` が含まれています。自分のインスタンスが使用しているカーネルのバージョンを確認するには: ssh を使用してインスタンスに接続する `uname -r` を実行する	高	CVE-2013-2094

注: この脆弱性は、API バージョン v1 以降で非推奨となり削除されたカーネルにのみ適用されます。

3.8.9 よりも前の Linux カーネルの kernel/events/core.c の perf_swevent_init 関数では、不適切な integer データ型を使用しており、細工した perf_event_open システム呼び出しを使用してローカルユーザーが権限を取得できます。

Compute Engine への影響

この脆弱性は、gcg-3.3.8-201305211623 よりも前のすべての Compute Engine カーネルに影響を及ぼします。これに対応して、Compute Engine は以前のすべてのカーネルを非推奨とし、ユーザーがインスタンスとイメージを更新して Compute Engine カーネル gce-v20130521 を使用することを推奨しています。gce-v20130521 には、この脆弱性のパッチを含むカーネル gcg-3.3.8-201305211623 が含まれています。

自分のインスタンスが使用しているカーネルのバージョンを確認するには:

ssh を使用してインスタンスに接続する
uname -r を実行する

高

CVE-2013-2094

公開日: 2013 年 2 月 18 日

説明重大度メモ

説明	重大度	メモ
注: この脆弱性は、API バージョン v1 以降で非推奨となり削除されたカーネルにのみ適用されます。 3.7.5 よりも前の Linux カーネルの ptrace 機能の競合状態により、細工したアプリケーションでの `PTRACE_SETREGS ptrace` システム呼び出しを介してローカルユーザーが権限を取得できます。 Compute Engine への影響この脆弱性は、Compute Engine カーネル `2.6.x-gcg-<date>` に影響を及ぼします。これに対応して、Compute Engine は 2.6.x カーネルを非推奨とし、Compute Engine カーネル `gce-v20130225` を使用するようにインスタンスとイメージを更新することを推奨しています。`gce-v20130225` には、この脆弱性のパッチを含むカーネル `3.3.8-gcg-201302081521` が含まれています。自分のインスタンスが使用しているカーネルのバージョンを確認するには: ssh を使用してインスタンスに接続する `uname -r` を実行する	中	CVE-2013-0871

注: この脆弱性は、API バージョン v1 以降で非推奨となり削除されたカーネルにのみ適用されます。

3.7.5 よりも前の Linux カーネルの ptrace 機能の競合状態により、細工したアプリケーションでの PTRACE_SETREGS ptrace システム呼び出しを介してローカルユーザーが権限を取得できます。

Compute Engine への影響

この脆弱性は、Compute Engine カーネル 2.6.x-gcg-<date> に影響を及ぼします。これに対応して、Compute Engine は 2.6.x カーネルを非推奨とし、Compute Engine カーネル gce-v20130225 を使用するようにインスタンスとイメージを更新することを推奨しています。gce-v20130225 には、この脆弱性のパッチを含むカーネル 3.3.8-gcg-201302081521 が含まれています。

自分のインスタンスが使用しているカーネルのバージョンを確認するには:

ssh を使用してインスタンスに接続する
uname -r を実行する

中

CVE-2013-0871

セキュリティに関する公開情報 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

GCP-2025-058

説明

必要な対策

対処されている脆弱性

GCP-2025-044

説明

必要な対策

対処されている脆弱性

GCP-2025-042

説明

必要な対策

対処されている脆弱性

GCP-2025-031

説明

必要な対策

対処されている脆弱性

GCP-2025-025

説明

必要な対策

対処されている脆弱性

サポートのご案内

GCP-2025-024

説明

必要な対策

対処されている脆弱性

GCP-2024-040

必要な対策

GCP-2024-021

必要な対策

対処されている脆弱性

GCP-2024-001

必要な対策

このパッチで対処される脆弱性

GCP-2023-44

必要な対策

このパッチで対処される脆弱性

GCP-2023-004

必要な対策

このパッチで対処される脆弱性

CVE-2023-1017

CVE-2023-1018

GCP-2021-026

必要な対策

GCP-2021-001

Compute Engine への影響

公開日: 2020 年 8 月 27 日

脆弱性

Compute Engine への影響

パッチ適用済みイメージとベンダーのリソース

公開日: 2020 年 6 月 19 日

脆弱性

パッチ適用済みイメージと修正

公開日: 2020 年 1 月 21 日

Compute Engine への影響

パッチ適用済みイメージとベンダーのリソース

公開日: 2019 年 11 月 12 日

Compute Engine への影響

CVE-2019-11135

CVE-2018-12207

公開日: 2019 年 6 月 18 日

Compute Engine への影響

パッチ適用済みイメージとベンダーのリソース

公開日: 2019 年 5 月 14 日

Compute Engine への影響

パッチ適用済みイメージとベンダーのリソース

Container-Optimized OS

公開日: 2018 年 8 月 14 日

説明

Compute Engine への影響

パッチ適用済みイメージとベンダーのリソース

公開日: 2018 年 8 月 6 日

2018 年 9 月 5 日更新

説明

Compute Engine への影響

パッチ適用済みイメージとベンダーのリソース

公開日: 2018 年 1 月 3 日

2018 年 5 月 21 日更新

説明

Compute Engine への影響

セキュリティに関する公開情報

ハードウェアベンダーが提供するパッチ