Boletins de segurança

20/08/2024: inclusão de patches para TPUs. Aplique as atualizações das distribuições Linux à medida que ficam disponíveis. Consulte as orientações das distribuições Linux. Se estiver a usar TPUs, atualize para uma das seguintes versões corrigidas:

• tpu-ubuntu2204-base
• v2-alpha-tpuv5
• v2-alpha-tpuv5-lite

Foi descoberta uma vulnerabilidade (CVE-2024-6387) no OpenSSH. A exploração bem-sucedida desta vulnerabilidade permite que um atacante remoto não autenticado execute código arbitrário como raiz na máquina de destino.

Recomendamos que todas as VMs do Compute Engine que usam uma distribuição do Linux baseada em glibc e que têm o OpenSSH exposto sejam analisadas quanto às versões vulneráveis.

O que devo fazer?

1. Aplique as atualizações das distribuições Linux à medida que ficam disponíveis. Consulte as orientações das distribuições Linux. Para o SO otimizado para contentores da Google, atualize para uma das seguintes versões corrigidas:
   • cos-113-18244-85-49
   • cos-109-17800-218-69
   • cos-105-17412-370-67
   • cos-101-17162-463-55
   Se estiver a usar o SO otimizado para contentores através de um serviço gerido pela Google (por exemplo, GKE), consulte o boletim de segurança desse serviço para verificar a disponibilidade de patches.
2. Se não for possível fazer a atualização, considere desativar o OpenSSH até que seja possível aplicar o patch. A rede predefinida é pré-preenchida com uma regra de firewall default-allow-ssh para permitir o acesso SSH a partir da Internet pública. Para remover este acesso, os clientes podem:
   1. Opcionalmente, crie regras para permitir qualquer acesso SSH de que necessite de redes fidedignas para nós do GKE ou outras VMs do Compute Engine no projeto. Em seguida:
   2. Desative a regra de firewall predefinida com o seguinte comando:

      gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT
            

   Se tiver criado outras regras de firewall que possam permitir o SSH através do TCP na porta 22, desative-as ou limite os IPs de origem a redes fidedignas.
   
   Verifique se já não consegue estabelecer ligação SSH às suas VMs a partir da Internet. Esta configuração da firewall mitiga a vulnerabilidade.
3. Se o OpenSSH tiver de permanecer ativado, também pode executar uma atualização de configuração que elimina a condição de corrida para a exploração. Esta é uma mitigação de tempo de execução. Para aplicar as alterações na configuração do sshd, este script reinicia o serviço sshd.

   #!/bin/bash
   set -e
   
   SSHD_CONFIG_FILE=/etc/ssh/sshd_config
   # -c: count the matches
   # -q: don't print to console
   # -i: sshd_config keywords are case insensitive.
   if [[ "$(grep -ci '^LoginGraceTime' $SSHD_CONFIG_FILE)" -eq 0 ]]; then
       echo "LoginGraceTime 0" >> "$SSHD_CONFIG_FILE"
       echo "Set the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   else
       sed -i 's/^LoginGraceTime.*$/LoginGraceTime 0/' /etc/ssh/sshd_config
       echo "Changed the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   fi
   # Restart the sshd service to apply the new config.
   systemctl restart sshd
       

4. Por fim, monitorize qualquer atividade de rede invulgar que envolva servidores SSH.

O Compute Engine não é afetado pela CVE-2024-3094, que afeta as versões 5.6.0 e 5.6.1 do pacote xz-utils na biblioteca liblzma e pode levar à comprometimento da utilidade OpenSSH.

O que devo fazer?

As imagens públicas suportadas e oferecidas pelo Compute Engine não são afetadas por esta CVE. Se usar imagens públicas do Compute Engine para as suas VMs, não tem de fazer nada.

Pode estar em risco se tiver criado uma imagem personalizada que usou as versões 5.6.0 e 5.6.1 do pacote xz-utils, como os seguintes sistemas operativos:

• Fedora 41 e Fedora Rawhide
• Debian testing/unstable
• openSUSE tumbleweed

Para mitigar este risco, pare todas as VMs que usam estes sistemas operativos ou outros que possam ter usado sistemas operativos afetados. Se tiver VMs criadas a partir de imagens personalizadas de outros sistemas operativos, contacte o fornecedor do SO para saber se as suas VMs são afetadas.

Que vulnerabilidades estão a ser abordadas?

CVE-2024-3094

Foram descobertas várias vulnerabilidades no firmware UEFI TianoCore EDK II. Este firmware é usado em VMs do Google Compute Engine. Se forem exploradas, as vulnerabilidades podem permitir uma ignorância do arranque seguro, o que forneceria medições falsas no processo de arranque seguro, inclusive quando usadas em VMs protegidas.

O que devo fazer?

Não é necessária qualquer ação da sua parte. A Google corrigiu esta vulnerabilidade no Compute Engine e todas as VMs estão protegidas contra esta vulnerabilidade.

Que vulnerabilidades são abordadas por esta correção?

A correção mitigou as seguintes vulnerabilidades:

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

A 14 de novembro, a AMD divulgou várias vulnerabilidades que afetam várias CPUs de servidor da AMD. Especificamente, as vulnerabilidades afetam as CPUs do servidor EPYC que usam a geração 2 do núcleo Zen "Rome", a geração 3 "Milan" e a geração 4 "Genoa".

A Google aplicou correções aos recursos afetados, incluindo Google Cloud, para garantir que os clientes estão protegidos. Atualmente, não foram encontradas nem comunicadas à Google provas de exploração.

O que devo fazer?

Não é necessária nenhuma ação do cliente.

As correções já foram aplicadas à frota de servidores da Google para o Google Cloud, incluindo o Google Compute Engine.

Que vulnerabilidades são abordadas por esta correção?

A correção mitigou as seguintes vulnerabilidades:

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2023-20521
• CVE-2021-46766
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

Para mais informações, consulte o aviso de segurança da AMD AMD-SN-3005: "AMD INVD Instruction Security Notice", também publicado como CacheWarp, e AMD-SN-3002: "AMD Server Vulnerabilities – November 2023".

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

Foram descobertas duas vulnerabilidades (CVE-2023-1017 e CVE-2023-1018) no Trusted Platform Module (TPM) 2.0.

As vulnerabilidades poderiam ter permitido que um atacante sofisticado explorasse uma leitura/escrita fora dos limites de 2 bytes em determinadas VMs do Compute Engine.

O que devo fazer?

Foi aplicado automaticamente um patch a todas as VMs vulneráveis. Não é necessária nenhuma ação do cliente.

Que vulnerabilidades são abordadas por esta correção?

A correção mitigou as seguintes vulnerabilidades:

CVE-2023-1017

Com a CVE-2023-2017, pode ser acionado um estouro de buffer na rotina de desencriptação do parâmetro vTPM. Um atacante local que esteja a ser executado numa VM vulnerável pode usar isto para acionar uma negação de serviço ou, possivelmente, executar código arbitrário no contexto do vTPM.

CVE-2023-1018

Com o CVE-2023-2018, existia uma leitura fora dos limites na rotina de desencriptação do parâmetro vTPM. Um atacante local que esteja a ser executado numa VM vulnerável pode usar isto para divulgar indiretamente dados limitados do contexto do vTPM.

• CVE-2023-1017
• CVE-2023-1018

O utilitário Apache Log4j é um componente frequentemente utilizado para registar pedidos. A 9 de dezembro de 2021, foi comunicada uma vulnerabilidade que pode permitir que um sistema com a versão 2.14.1 ou inferior do Apache Log4j seja comprometido e que um atacante execute código arbitrário.

A 10 de dezembro de 2021, o NIST publicou um alerta de vulnerabilidades e exposições comuns críticas, CVE-2021-44228. Mais especificamente, as funcionalidades da Java Naming Directory Interface (JNDI) usadas na configuração, nas mensagens de registo e nos parâmetros não protegem contra o LDAP controlado pelo atacante e outros pontos finais relacionados com a JNDI. Um atacante que possa controlar mensagens de registo ou parâmetros de mensagens de registo pode executar código arbitrário carregado a partir de servidores remotos quando a substituição de procura de mensagens está ativada.

O que devo fazer?

• M4CE v4.x: a equipa do Migrate for Compute Engine (M4CE) disponibilizou uma nova versão a 13 de dezembro de 2021. Os gestores de projetos têm de substituir a implementação existente pela nova versão, incluindo o gestor M4CE na nuvem e o back-end M4CE "no local". Consulte o guia de instruções para ver detalhes sobre a implementação da versão 4.11.
• M2VMs v5.x: os M2VMs v5.0 e superiores foram corrigidos e não é necessária nenhuma ação.

• CVE-2021-44228

Foi recentemente descoberta uma vulnerabilidade na utilidade do Linux sudo, descrita em CVE-2021-3156, que pode permitir que um atacante com acesso à shell local sem privilégios num sistema com o sudo instalado aumente os respetivos privilégios para root no sistema.

Impacto do Compute Engine

A infraestrutura subjacente que executa o Compute Engine não é afetada por esta vulnerabilidade. As VMs do Compute Engine com Linux devem considerar atualizar o respetivo sistema operativo convidado. Por exemplo, se usar um SO otimizado para contentores, recomendamos que atualize para uma das seguintes imagens: cos-85-13310-1209-7, cos-81-12871-1245-6, cos-dev-89-16091-0-0 ou posterior.

• CVE-2021-3156

A Eclypsium divulgou o seguinte CVE: CVE-2020-10713.

Vulnerabilidades

Em resposta ao relatório de vulnerabilidade inicial, foi aplicada uma análise mais detalhada ao código GRUB2 e a Canonical descobriu as seguintes vulnerabilidades adicionais:

• CVE-2020-14308
• CVE-2020-14309
• CVE-2020-14310
• CVE-2020-14311
• CVE-2020-15705
• CVE-2020-15706
• CVE-2020-15707

Estas vulnerabilidades, denominadas coletivamente BootHole, permitem que os atacantes com privilégios administrativos carreguem binários não assinados, desativando assim a aplicação do arranque seguro.

Impacto do Compute Engine

A infraestrutura do anfitrião que executa o Compute Engine está protegida contra ataques conhecidos.

Recomendamos que os clientes do Compute Engine que usam o arranque seguro atualizem os sistemas operativos convidados nas respetivas instâncias para evitar a possibilidade de exploração nos respetivos ambientes convidados. Para ver detalhes, consulte a mitigação recomendada pelo fornecedor do SO convidado.

Imagens corrigidas e recursos do fornecedor

Vamos disponibilizar aqui links para informações de patches de cada fornecedor do sistema operativo à medida que ficam disponíveis. As versões anteriores destas imagens públicas não contêm estas correções e não mitigam potenciais ataques:

• Projeto centos-cloud: informações sobre patches do CentOS
  • centos-7-v20200811
  • centos-8-v20200811
• Projeto cos-cloud:
  • cos-77-12371-1072-0
  • cos-81-12871-1185-0
  • cos-rc-85-13310-1028-0
  • cos-dev-86-15103-0-0

  Se estiver a usar o COS através de um serviço gerido (por exemplo, o GKE), siga as orientações desse serviço para aplicar atualizações.

• Project debian-cloud: DSA-4753
  • debian-10-buster-v20200805
• Projeto coreos-cloud:
  • coreos-alpha-2163-2-1-v20190617
  • coreos-beta-2135-3-1-v20190617
  • coreos-stable-2079-6-0-v20190617
• Projeto rhel-cloud/rhel-sap-cloud: Red Hat Vulnerability Response
  • rhel-7-v20200811
  • rhel-7-4-sap-v20200811
  • rhel-7-6-sap-v20200811
  • rhel-7-7-sap-v20200811
  • rhel-8-v20200811
• Projeto suse-cloud/suse-sap-cloud:: SUSE KB
  • sles-12-sp5-v20200813
  • sles-15-sp2-v20200804
  • sles-12-sp4-sap-v20200804
  • sles-12-sp5-sap-v20200813
  • sles-15-sap-v20200803
  • sles-15-sp1-sap-v20200803
  • Sles-15-sp2-sap-v20200804
• Projeto ubuntu-os-cloud: Ubuntu Wiki
  • ubuntu-1604-xenial-v20200729
  • ubuntu-1804-bionic-v20200729
  • ubuntu-2004-focal-v20200729

• CVE-2020-10713
• CVE-2020-14308
• CVE-2020-14309
• CVE-2020-14310
• CVE-2020-14311
• CVE-2020-15705
• CVE-2020-15706
• CVE-2020-15707

As VMs com o início de sessão do SO ativado podem ser suscetíveis a vulnerabilidades de escalamento de privilégios. Estas vulnerabilidades dão aos utilizadores que têm autorizações de início de sessão no SO (mas não têm acesso de administrador) a capacidade de escalar para acesso de raiz na VM.

Vulnerabilidades

Foram identificadas as seguintes três vulnerabilidades nas imagens do Compute Engine, que se devem a associações de grupos predefinidas excessivamente permissivas:

• CVE-2020-8903: ao usar o utilizador adm, pode tirar partido do DHCP XID para obter privilégios administrativos.
• CVE-2020-8907: ao usar o utilizador docker, pode montar e modificar o sistema de ficheiros do SO anfitrião para obter privilégios administrativos.
• CVE-2020-8933: Ao usar o utilizador lxd, pode anexar sistemas de ficheiros do SO do anfitrião e obter privilégios administrativos.

Imagens corrigidas e correções

Todas as imagens públicas do Compute Engine criadas após v20200506 têm patches.

Se precisar de corrigir este problema sem atualizar para uma versão posterior da sua imagem, pode editar o ficheiro /etc/security/group.conf e remover os utilizadores adm, lxd e docker da entrada de Início de sessão do SO predefinida.

• CVE-2020-8903
• CVE-2020-8907
• CVE-2020-8933

A Microsoft divulgou a seguinte vulnerabilidade:

• CVE-2020-0601: esta vulnerabilidade também é conhecida como a vulnerabilidade de roubo de identidade da API Windows Crypto e pode ser explorada para fazer com que os ficheiros executáveis maliciosos pareçam fidedignos ou permitir que o atacante realize ataques man-in-the-middle e desencripte informações confidenciais nas ligações dos utilizadores ao software afetado.

Impacto do Compute Engine

A infraestrutura subjacente que executa o Compute Engine não é afetada por esta vulnerabilidade. A menos que esteja a executar o Windows Server na sua máquina virtual do Compute Engine, não é necessária nenhuma ação adicional. Os clientes que usam VMs do Compute Engine com o Windows Server devem garantir que as respetivas instâncias têm o patch do Windows mais recente.

Imagens corrigidas e recursos do fornecedor

As versões anteriores das imagens públicas do Windows não contêm as seguintes correções e não mitigam potenciais ataques:

• Projetos windows-cloud e windows-sql-cloud
  • Todas as imagens públicas do Windows Server e SQL Server a partir de v20200114

• CVE-2020-0601

A Intel divulgou as seguintes CVEs:

• CVE-2019-11135: esta CVE também é conhecida como TSX Async Abort (TAA). A TAA oferece outra via para a exfiltração de dados através das mesmas estruturas de dados microarquitetónicas que foram exploradas pela amostragem de dados microarquitetónicos (MDS).
• CVE-2018-12207: este CVE também é conhecido como "Machine Check Error on Page Size Change". Esta é uma vulnerabilidade de negação de serviço (DoS) que afeta os anfitriões de máquinas virtuais, permitindo que um convidado malicioso provoque uma falha num anfitrião não protegido.

Impacto do Compute Engine

CVE-2019-11135

A infraestrutura de anfitrião que executa o Compute Engine isola as cargas de trabalho dos clientes. A menos que esteja a executar código não fidedigno em VMs N2, C2 ou M2, não é necessária nenhuma ação adicional.

Os clientes N2, C2 ou M2 que executam código não fidedigno nos respetivos serviços multiinquilinos em máquinas virtuais do Compute Engine devem parar e iniciar as respetivas VMs para garantir que têm as mitigações de segurança mais recentes. Um reinício, sem parar/iniciar, não é suficiente. Estas orientações pressupõem que já aplicou as atualizações publicadas anteriormente que abrangem a vulnerabilidade MDS. Caso contrário, siga as instruções para aplicar as atualizações adequadas.

Para os clientes que executam tipos de máquinas N1, não é necessária nenhuma ação, uma vez que esta vulnerabilidade não representa uma nova exposição além das vulnerabilidades MDS divulgadas anteriormente.

CVE-2018-12207

A infraestrutura do anfitrião que executa o Compute Engine está protegida contra esta vulnerabilidade. Não é necessária nenhuma ação adicional.

• CVE-2019-11135
• CVE-2018-12207

Recentemente, a Netflix divulgou três vulnerabilidades de TCP nos kernels do Linux:

• CVE-2019-11477
• CVE-2019-11478
• CVE-2019-11479

Estas CVEs são coletivamente denominadas NFLX-2019-001.

Impacto do Compute Engine

A infraestrutura que aloja o Compute Engine está protegida contra esta vulnerabilidade.

As VMs do Compute Engine que executam sistemas operativos Linux sem patches que enviam/recebem tráfego de rede não fidedigno são vulneráveis a este ataque DoS. Considere atualizar estas instâncias de VM assim que os patches estiverem disponíveis para os respetivos sistemas operativos.

Os balanceadores de carga que fecham as ligações TCP foram corrigidos contra esta vulnerabilidade. As instâncias do Compute Engine que recebem apenas tráfego não fidedigno através destes equilibradores de carga não são vulneráveis. Isto inclui balanceadores de carga HTTP, balanceadores de carga de proxy SSL e balanceadores de carga de proxy TCP.

Os balanceadores de carga de rede e os balanceadores de carga internos não fecham as ligações TCP. As instâncias do Compute Engine sem patches que recebem tráfego não fidedigno através destes equilibradores de carga são vulneráveis.

Imagens corrigidas e recursos do fornecedor

Vamos disponibilizar aqui links para informações de patches de cada fornecedor do sistema operativo à medida que ficarem disponíveis, incluindo o estado de cada CVE. As versões anteriores destas imagens públicas não contêm estas correções e não mitigam potenciais ataques:

• Projeto debian-cloud:
  • debian-9-stretch-v20190618
• Projeto centos-cloud:
  • centos-6-v20190619
  • centos-7-v20190619
• Projeto cos-cloud:
  • cos-dev-77-12293-0-0
  • cos-beta-76-12239-21-0
  • cos-stable-75-12105-77-0
  • cos-73-11647-217-0
  • cos-69-10895-277-0
• Projeto coreos-cloud:
  • coreos-alpha-2163-2-1-v20190617
  • coreos-beta-2135-3-1-v20190617
  • coreos-stable-2079-6-0-v20190617
• Projeto rhel-cloud:
  • rhel-6-v20190618
  • rhel-7-v20190618
  • rhel-8-v20190618
• Projeto rhel-sap-cloud:
  • rhel-7-4-sap-v20190618
  • rhel-7-6-sap-v20190618
• Projeto suse-cloud:
  • sles-12-sp4-v20190617
  • sles-15-v20190617
• Projeto suse-sap-cloud:
  • sles-12-sp1-sap-v20190617
  • sles-12-sp2-sap-v20190617
  • sles-12-sp3-sap-v20190617
  • sles-12-sp4-sap-v20190617
  • sles-15-sap-v20190617
• Projeto ubuntu-cloud:
  • ubuntu-1604-xenial-v20190617
  • ubuntu-1804-bionic-v20190617
  • ubuntu-1810-cosmic-v20190618
  • ubuntu-1904-disco-v20190619
  • ubuntu-minimal-1604-xenial-v20190618
  • ubuntu-minimal-1804-bionic-v20190617
  • ubuntu-minimal-1810-cosmic-v20190618
  • ubuntu-minimal-1904-disco-v20190618

• CVE-2019-11477
• CVE-2019-11478
• CVE-2019-11479

A Intel divulgou as seguintes CVEs:

• CVE-2018-12126
• CVE-2018-12127
• CVE-2018-12130
• CVE-2019-11091

Estas CVEs são coletivamente denominadas amostragem de dados microarquitetónicos (MDS). Estas vulnerabilidades permitem potencialmente que os dados sejam expostos através da interação da execução especulativa com o estado microarquitetónico.

Impacto do Compute Engine

A infraestrutura de anfitrião que executa o Compute Engine isola as cargas de trabalho dos clientes entre si. A menos que esteja a executar código não fidedigno nas suas VMs, não é necessária nenhuma ação adicional.

Para os clientes que executam código não fidedigno nos respetivos serviços multiinquilinos em máquinas virtuais do Compute Engine, consulte a mitigação recomendada pelo fornecedor do SO convidado, que pode incluir a utilização das caraterísticas de mitigação de microcódigo da Intel. Implementámos o acesso direto de convidados à nova funcionalidade de limpeza. Segue-se um resumo dos passos de mitigação disponíveis para imagens de hóspedes comuns.

Imagens corrigidas e recursos do fornecedor

Vamos disponibilizar aqui links para informações de patches de cada fornecedor do sistema operativo à medida que ficarem disponíveis, incluindo o estado de cada CVE. Use estas imagens para recriar instâncias de VM. As versões anteriores destas imagens públicas não contêm estas correções e não mitigam potenciais ataques:

• Projeto centos-cloud: CESA-2019:1169, CESA-2019:1168
• centos-6-v20190515
• centos-7-v20190515
• Projeto coreos-cloud: mitigações de MDS para o CoreOS Container Linux
• coreos-stable-2079-4-0-v20190515
• coreos-beta-2107-3-0-v20190515
• coreos-alpha-2135-1-0-v20190515
• Projeto cos-cloud
• cos-69-10895-242-0
• cos-73-11647-182-0
• Projeto debian-cloud: DSA-4444
• debian-9-stretch-v20190514
• Projeto rhel-cloud: Artigo de conhecimentos do Red Hat MDS
• rhel-6-v20190515
• rhel-7-v20190517
• rhel-8-v20190515
• Projeto rhel-sap-cloud: Artigo de conhecimentos do Red Hat MDS
• rhel-7-4-sap-v20190515
• rhel-7-6-sap-v20190517
• Projeto suse-cloud: SUSE MDS KB
• sles-12-sp4-v20190520
• sles-15-v20190520
• Projeto suse-sap-cloud
• sles-12-sp4-sap-v20190520
• sles-15-sap-v20190520
• Projeto ubuntu-os-cloud: Ubuntu MDS Wiki
• ubuntu-1404-trusty-v20190514
• ubuntu-1604-xenial-v20190514
• ubuntu-1804-bionic-v20190514
• ubuntu-1810-cosmic-v20190514
• ubuntu-1904-disco-v20190514
• ubuntu-minimal-1604-xenial-v20190514
• ubuntu-minimal-1804-bionic-v20190514
• ubuntu-minimal-1810-cosmic-v20190514
• ubuntu-minimal-1904-disco-v20190514
• Projetos windows-cloud e windows-sql-cloud: Microsoft ADV190013
• Todas as imagens públicas do Windows Server e SQL Server com o número de versão v20190514.
• Projeto gce-uefi-images
• centos-7-v20190515
• cos-69-10895-242-0
• cos-73-11647-182-0
• rhel-7-v20190517
• ubuntu-1804-bionic-v20190514
• Todas as imagens públicas do Windows Server com o número de versão v20190514.

SO otimizado para contentores

Se estiver a usar o SO otimizado para contentores (COS) como SO convidado e estiver a executar cargas de trabalho não fidedignas e multiinquilinas na sua máquina virtual, recomendamos que:

1. Desative a funcionalidade Hyper-Threading definindo nosmt na linha de comandos do kernel.
   

   Nas VMs do COS existentes, pode modificar o grub.cfg da seguinte forma para definir a opção nosmt e, em seguida, reiniciar o sistema:

   # Run as root:
   dir="$(mktemp -d)"
   mount /dev/sda12 "${dir}"
   sed -i -e "s|cros_efi|cros_efi nosmt|g" "${dir}/efi/boot/grub.cfg"
   umount "${dir}"
   rmdir "${dir}"
   
   reboot

   Para sua conveniência, pode executar o script abaixo para alcançar o mesmo resultado que a execução dos comandos anteriores. Recomendamos que torne este script parte da sua configuração na nuvem, scripts de arranque ou modelos de instâncias para garantir que as novas VMs usam este novo parâmetro. Segue-se um exemplo de cloud-config que executa este script.

   Aviso: este comando resulta num reinício imediato da instância quando executado pela primeira vez. As execuções subsequentes do comando numa instância com Hyper-Threading já desativado não têm efeito.

   # Run as root
   /bin/bash <(curl -s https://storage.googleapis.com/cos-tools/scripts/disable_smt.sh)
   

   Para incluir isto como parte da sua cloud-config:

   #cloud-config
   
   bootcmd:
   - /bin/bash -c "/bin/bash <(curl -s https://storage.googleapis.com/cos-tools/scripts/disable_smt.sh)"
   

   Para confirmar se o Hyper-Threading está desativado na sua instância, consulte o resultado dos ficheiros /sys/devices/system/cpu/smt/active e /sys/devices/system/cpu/smt/control. Se devolver 0 para active e off para control, a funcionalidade Hyper-Threading está desativada:

   cat /sys/devices/system/cpu/smt/active
   cat /sys/devices/system/cpu/smt/control
   

   Nota: se tiver ativado o arranque seguro UEFI na sua instância, tem de recriar a instância com o arranque seguro UEFI desativado, executar o comando acima com o arranque seguro UEFI desativado e, em seguida, ativar o arranque seguro UEFI na nova instância.

2. Usar nova versão da imagem do COS
   

   Além de desativar a funcionalidade Hyper-Threading, conforme descrito acima, também deve recriar as instâncias com as imagens atualizadas indicadas acima ou versões mais recentes (quando disponíveis) das imagens do SO otimizado para contentores para ficar totalmente protegido contra a vulnerabilidade.

• CVE-2018-12126
• CVE-2018-12127
• CVE-2018-12130
• CVE-2019-11091

Descrição

A Intel divulgou as seguintes CVEs:

• CVE-2018-3615 (para SGX)
• CVE-2018-3620 (para sistemas operativos e SMT)
• CVE-2018-3646 (para virtualização)

Estas CVEs são coletivamente denominadas "Falha do terminal L1 (L1TF)".

Estas vulnerabilidades L1TF exploram a execução especulativa atacando a configuração das estruturas de dados ao nível do processador. "L1" refere-se à cache de dados de nível 1 (L1D), um pequeno recurso no núcleo usado para acelerar o acesso à memória.

Leia a Google Cloud publicação no blogue para ver mais detalhes sobre estas vulnerabilidades e as mitigações do Compute Engine.

Impacto do Compute Engine

A infraestrutura de anfitrião que executa o Compute Engine e isola as cargas de trabalho dos clientes entre si está protegida contra ataques conhecidos.

Recomendamos que os clientes do Compute Engine atualizem as respetivas imagens para evitar a possibilidade de exploração indireta nos respetivos ambientes de convidados. Isto é particularmente importante para os clientes que executam os seus próprios serviços multiinquilinos em máquinas virtuais do Compute Engine.

Os clientes do Compute Engine podem atualizar os sistemas operativos convidados nas respetivas instâncias através de uma das seguintes opções:

• Use imagens públicas corrigidas para recriar instâncias de VM existentes.
• Nas instâncias existentes, instale patches fornecidos pelo fornecedor do sistema operativo e reinicie as instâncias com patches.

Imagens corrigidas e recursos do fornecedor

Vamos disponibilizar aqui links para informações de patches de cada fornecedor do sistema operativo à medida que ficarem disponíveis, incluindo o estado de ambas as CVEs. Use estas imagens para recriar instâncias de VM. As versões anteriores destas imagens públicas não contêm estas correções e não mitigam potenciais ataques:

• Projeto centos-cloud:
  • centos-7-v20180815
  • centos-6-v20180815
• Projeto coreos-cloud:
  • coreos-stable-1800-7-0-v20180816
  • coreos-beta-1855-2-0-v20180816
  • coreos-alpha-1871-0-0-v20180816
• Projeto cos-cloud:
  • cos-stable-66-10452-110-0
  • cos-stable-67-10575-66-0
  • cos-beta-68-10718-81-0
  • cos-dev-69-10895-23-0
• Projeto debian-cloud:
  • debian-9-stretch-v20180820
• Projeto rhel-cloud:
  • rhel-7-v20180814
  • rhel-6-v20180814
• Projeto rhel-sap-cloud:
  • rhel-7-sap-apps-v20180814
  • rhel-7-sap-hana-v20180814
• Projeto suse-cloud:
  • sles-15-v20180816
  • sles-12-sp3-v20180814
  • sles-11-sp4-v20180816
• Projeto suse-sap-cloud:
  • sles-15-sap-v20180816
  • sles-12-sp3-sap-v20180814
  • sles-12-sp2-sap-v20180816
• Projeto ubuntu-os-cloud:
  • ubuntu-1804-bionic-v20180814
  • ubuntu-1604-xenial-v20180814
  • ubuntu-1404-trusty-v20180814
  • ubuntu-minimal-1804-bionic-v20180814
  • ubuntu-minimal-1604-xenial-v20180814
• Projetos windows-cloud gce-uefi-images e windows-sql-cloud:
  • Todas as imagens públicas do Windows Server e do SQL Server com o número de versão -v201800814 e posterior incluem patches.

• CVE-2018-3615
• CVE-2018-3620
• CVE-2018-3646

Atualização de 05-09-2018

A vulnerabilidade CVE-2018-5391 foi divulgada a 14/08/2018 pelo US-CERT. Tal como com a vulnerabilidade CVE-2018-5390, esta é uma vulnerabilidade de rede ao nível do kernel que aumenta a eficácia dos ataques de negação de serviço (DoS) contra sistemas vulneráveis. A principal diferença é que a CVE-2018-5391 é explorável através de ligações IP. Atualizámos este boletim para abranger ambas as vulnerabilidades.

Descrição

CVE-2018-5390 ("SegmentSmack") descreve uma vulnerabilidade de rede ao nível do kernel que aumenta a eficácia dos ataques de negação de serviço (DoS) contra sistemas vulneráveis através de ligações TCP.

CVE-2018-5391 ("FragmentSmack") descreve uma vulnerabilidade de rede ao nível do kernel que aumenta a eficácia dos ataques de negação de serviço (DoS) contra sistemas vulneráveis através de ligações IP.

Impacto do Compute Engine

A infraestrutura do anfitrião que executa as VMs do Compute Engine não está em risco. A infraestrutura de rede que processa o tráfego de e para as VMs do Compute Engine está protegida contra esta vulnerabilidade. As VMs do Compute Engine que apenas enviam/recebem tráfego de rede não fidedigno através de HTTP(S), SSL ou balanceadores de carga TCP estão protegidas contra esta vulnerabilidade.

As VMs do Compute Engine que executam sistemas operativos sem patches que enviam/recebem tráfego de rede não fidedigno diretamente ou através de equilibradores de carga de rede, são vulneráveis a este ataque DoS.

Considere atualizar as suas instâncias de VM assim que os patches estiverem disponíveis para os respetivos sistemas operativos.

Os clientes do Compute Engine podem atualizar os sistemas operativos convidados nas respetivas instâncias através de uma das seguintes opções:

• Use imagens públicas corrigidas para recriar instâncias de VM existentes. Consulte a lista de imagens públicas corrigidas abaixo.
• Nas instâncias existentes, instale patches fornecidos pelo fornecedor do sistema operativo e reinicie as instâncias com patches.

Imagens corrigidas e recursos do fornecedor

Vamos disponibilizar aqui links para informações de patches de cada fornecedor do sistema operativo à medida que ficarem disponíveis.

• Projeto centos-cloud (apenas CVE-2018-5390):
  • centos-7-v20180815
  • centos-6-v20180815
• Project coreos-cloud (CVE-2018-5390 e CVE-2018-5391):
  • coreos-stable-1800-7-0-v20180816
  • coreos-beta-1855-2-0-v20180816
  • coreos-alpha-1871-0-0-v20180816
• Project cos-cloud (CVE-2018-5390 e CVE-2018-5391):
  • cos-stable-65-10323-98-0
  • cos-stable-66-10452-109-0
  • cos-stable-67-10575-65-0
  • cos-beta-68-10718-76-0
  • cos-dev-69-10895-16-0
• Project debian-cloud (CVE-2018-5390 e CVE-2018-5391):
  • debian-9-stretch-v20180814
• Projeto rhel-cloud (apenas CVE-2018-5390):
  • rhel-7-v20180814
  • rhel-6-v20180814
• Project suse-cloud (CVE-2018-5390 e CVE-2018-5391):
  • sles-15-v20180816
  • sles-12-sp3-v20180814
• Project suse-sap-cloud (CVE-2018-5390 e CVE-2018-5391):
  • sles-15-sap-v20180816
  • sles-12-sp3-sap-v20180814
  • sles-12-sp2-sap-v20180816
• Project ubuntu-os-cloud (CVE-2018-5390 e CVE-2018-5391):
  • ubuntu-1804-bionic-v20180814
  • ubuntu-1604-xenial-v20180814
  • ubuntu-1404-trusty-v20180814
  • ubuntu-minimal-1804-bionic-v20180814
  • ubuntu-minimal-1604-xenial-v20180814

• CVE-2018-5390
• CVE-2018-5391

Atualização de 21-05-2018

CVE-2018-3640 e CVE-2018-3639, as variantes 3a e 4, respetivamente, foram divulgadas pela Intel. Tal como acontece com as três primeiras variantes do Spectre e do Meltdown, a infraestrutura que executa as instâncias de VM do Compute Engine está protegida, e as instâncias de VM dos clientes estão isoladas e protegidas entre si. Além disso, o Compute Engine planeia implementar patches de microcódigo da Intel na nossa infraestrutura, o que vai permitir que os clientes que executam cargas de trabalho não fidedignas ou multi-inquilino numa única instância de VM ativem mitigações intra-VM adicionais quando essas mitigações são fornecidas por fornecedores e vendedores de sistemas operativos. O Compute Engine implementa os patches de microcódigo assim que a Intel os certificar e depois de o Compute Engine os testar e qualificar para o nosso ambiente de produção. Vamos disponibilizar cronogramas e atualizações mais detalhados nesta página à medida que estiverem disponíveis.

Descrição

Estas CVEs são variantes de uma nova classe de ataque que explora a tecnologia de execução especulativa disponível em muitos processadores. Esta classe de ataque pode permitir o acesso não autorizado só de leitura a dados de memória em várias circunstâncias.

O Compute Engine usou a tecnologia de migração em direto de VMs para realizar atualizações do sistema anfitrião e do hipervisor sem impacto no utilizador, sem janelas de manutenção forçadas e sem necessidade de reinícios em massa. No entanto, todos os sistemas operativos e versões convidados têm de ser corrigidos para proteção contra esta nova classe de ataque, independentemente de onde esses sistemas são executados.

Leia a publicação no blogue do Project Zero para ver detalhes técnicos completos sobre este método de ataque. Leia a publicação no blogue de segurança da Google para ver detalhes completos sobre as mitigações da Google, incluindo todas as informações específicas do produto.

Impacto do Compute Engine

A infraestrutura que executa o Compute Engine e isola as instâncias de VM dos clientes entre si está protegida contra ataques conhecidos. As nossas mitigações impedem o acesso não autorizado aos nossos sistemas de anfitrião a partir de aplicações em execução em instâncias de VM. Estas mitigações também impedem o acesso não autorizado entre instâncias de VM executadas no mesmo sistema anfitrião.

Para impedir o acesso não autorizado nas instâncias de máquinas virtuais, tem de atualizar os sistemas operativos convidados nessas instâncias através de uma das seguintes opções:

• Use imagens públicas corrigidas para recriar as suas instâncias de VM existentes. Consulte a lista de imagens públicas corrigidas abaixo.
• Nas instâncias existentes, instale patches fornecidos pelo fornecedor do sistema operativo para a sua distribuição e reinicie as instâncias com patches. Consulte os links para informações de patches de cada fornecedor do sistema operativo abaixo.

Imagens corrigidas e recursos do fornecedor

Nota: as imagens corrigidas podem não incluir correções para todas as CVEs indicadas neste aviso de boletim de segurança. Além disso, diferentes imagens podem incluir diferentes métodos para impedir estes tipos de ataques. Consulte o fornecedor do seu sistema operativo para confirmar que CVEs aborda nos respetivos patches e que métodos de prevenção usa.

• Projeto cos-cloud: inclui patches que evitam ataques da Variante 2 (CVE-2017-5715) e da Variante 3 (CVE-2017-5754). A Google usou o Retpoline nestas imagens para mitigar os ataques da Variante 2.
  • cos-stable-63-10032-71-0 ou família de imagens cos-stable
• Projeto centos-cloud: Informações do patch do CentOS
  • centos-7-v20180104 ou família de imagens centos-7
  • centos-6-v20180104 ou família de imagens centos-6
• Projeto coreos-cloud: Informações do patch do CoreOS
  • coreos-stable-1576-5-0-v20180105 ou família de imagens coreos-stable
  • coreos-beta-1632-1-0-v20180105 ou família de imagens coreos-beta
  • coreos-alpha-1649-0-0-v20180105 ou família de imagens coreos-alpha
• Projeto debian-cloud: Informações do patch do Debian
  • debian-9-stretch-v20180105 ou família de imagens debian-9
  • debian-8-jessie-v20180109 ou família de imagens debian-8
• Projeto rhel-cloud: Informações do patch do RHEL
  • rhel-7-v20180104 ou família de imagens rhel-7
  • rhel-6-v20180104 ou família de imagens rhel-6
• Projeto suse-cloud: Informações do patch SUSE
  • sles-12-sp3-v20180104 ou família de imagens sles-12
  • sles-11-sp4-v20180104 ou família de imagens sles-11
• Projeto suse-sap-cloud: Informações do patch SUSE
  • sles-12-sp3-sap-v20180104 ou família de imagens sles-12-sp3-sap
  • sles-12-sp2-sap-v20180104 ou família de imagens sles-12-sp2-sap
• Projeto ubuntu-os-cloud: Informações do patch do Ubuntu
  • ubuntu-1710-artful-v20180109 ou família de imagens ubuntu-1710
  • ubuntu-1604-xenial-v20180109 ou família de imagens ubuntu-1604-lts
  • ubuntu-1404-trusty-v20180110 ou família de imagens ubuntu-1404-lts
• Projetos windows-cloud e windows-sql-cloud:
  • Todas as imagens públicas do Windows Server e do SQL Server com o número de versão -v20180109 e posterior incluem patches. No entanto, tem de seguir as ações recomendadas fornecidas pela Microsoft no boletim de apoio técnico Windows Server guidance para ativar e validar estas mitigações nas instâncias existentes e nas instâncias recém-criadas.

Use estas imagens para recriar as suas instâncias de VM. As versões anteriores destas imagens públicas não contêm estas correções e não mitigam potenciais ataques.

Patches de fornecedores de hardware

A NVIDIA fornece controladores corrigidos para mitigar potenciais ataques contra sistemas que tenham o software de controlador NVIDIA® instalado. Para saber que versões dos controladores têm patches, leia o boletim de segurança Atualizações de segurança do controlador de visualização da GPU NVIDIA da NVIDIA.

Histórico de revisões:

• 21-05-2018 às 14:00 PST: foram adicionadas informações sobre 2 novas variantes divulgadas a 21 de maio de 2018.
• 10/01/2018 às 15:00 PST: foram adicionadas informações sobre imagens públicas corrigidas do Windows Server e do SQL Server.
• 10/01/2018 às 10:15 PST: foram adicionadas várias imagens do Ubuntu à lista de imagens públicas corrigidas.
• 10/01/2018 às 09:50 PST: foram adicionadas orientações para patches de fornecedores de hardware.
• 03/01/2018 a 09/01/2018: foram feitas várias revisões à lista de imagens públicas corrigidas.

• CVE-2017-5753
• CVE-2017-5715
• CVE-2017-5754
• CVE-2018-3640
• CVE-2018-3639

Dnsmasq oferece funcionalidade para publicar DNS, DHCP, anúncios de routers e arranque de rede. Este software é normalmente instalado em sistemas tão variados como distribuições Linux para computadores (como o Ubuntu), routers domésticos e dispositivos de IoT. O Dnsmasq é amplamente utilizado na Internet aberta e internamente em redes privadas.

A Google descobriu sete problemas distintos ao longo das nossas avaliações de segurança internas regulares. Depois de determinarmos a gravidade destes problemas, trabalhámos para investigar o respetivo impacto e capacidade de exploração e, em seguida, produzimos provas de conceito internas para cada um deles. Também trabalhámos com o responsável pela manutenção do Dnsmasq, Simon Kelly, para produzir patches adequados e mitigar o problema.

Durante a nossa revisão, a equipa encontrou três potenciais execuções de código remoto, uma fuga de informações e três vulnerabilidades de negação de serviço que afetam a versão mais recente no servidor git do projeto a partir de 5 de setembro de 2017.

Estas correções são enviadas para montante e consolidadas no repositório Git do projeto.

Impacto do Compute Engine

Por predefinição, o Dnsmasq só é instalado em imagens que usam o NetworkManager e está inativo por predefinição. As seguintes imagens públicas do Compute Engine têm o Dnsmasq instalado:

• Ubuntu 16.04, 16.10 e 17.04
• CentOS 7
• RHEL 7

No entanto, outras imagens podem ter o Dnsmasq instalado como uma dependência para outros pacotes. Recomendamos que atualize as suas instâncias do Debian, Ubuntu, CentOS, RHEL, SLES e OpenSuse para usar a imagem do sistema operativo mais recente. O CoreOS e o SO otimizado para contentores não são afetados. As imagens do Windows também não são afetadas.

Para instâncias que executam o Debian e o Ubuntu, pode fazer uma atualização executando os seguintes comandos na sua instância:

sudo apt-get -y update

sudo apt-get -y dist-upgrade

Para instâncias do Red Hat Enterprise Linux e CentOS, execute:

sudo yum -y upgrade

Para imagens do SLES e OpenSUSE, execute:

sudo zypper up

Em alternativa à execução dos comandos de atualização manual, pode recriar instâncias de VMs com as famílias de imagens do respetivo sistema operativo.

• CVE-2017-14491
• CVE-2017-14492
• CVE-2017-14493
• CVE-2017-14494
• CVE-2017-14495
• CVE-2017-14496
• CVE-2017-13704

CVE-2016-5195 é uma condição de corrida na forma como o subsistema de memória do kernel do Linux processava a quebra da situação de COW de mapeamentos privados só de leitura no acesso de escrita.

Um utilizador local sem privilégios pode usar esta falha para obter acesso de escrita a mapeamentos de memória que, de outra forma, seriam apenas de leitura e, assim, aumentar os respetivos privilégios no sistema.

Para mais informações, consulte as Perguntas frequentes sobre o Dirty COW.

Impacto do Compute Engine

Todas as distribuições e versões do Linux no Compute Engine são afetadas. A maioria das instâncias transfere e instala automaticamente um kernel mais recente. No entanto, é necessário reiniciar para aplicar uma correção ao sistema em execução.

As instâncias novas ou recriadas com base nas seguintes imagens do Compute Engine já têm kernels corrigidos instalados.

• centos-6-v20161026
• centos-7-v20161025
• coreos-alpha-1192-2-0-v20161021
• coreos-beta-1185-2-0-v20161021
• coreos-stable-1122-3-0-v20161021
• debian-8-jessie-v20161020
• rhel-6-v20161026
• rhel-7-v20161024
• sles-11-sp4-v20161021
• sles-12-sp1-v20161021
• ubuntu-1204-precise-v20161020
• ubuntu-1404-trusty-v20161020
• ubuntu-1604-xenial-v20161020
• ubuntu-1610-yakkety-v20161020

A CVE-2015-7547 é uma vulnerabilidade em que o resolvedor do lado do cliente DNS glibc torna o software vulnerável a um overflow de buffer baseado na pilha quando usa a função da biblioteca getaddrinfo(). Um atacante pode tirar partido do software que usa a função para explorar esta vulnerabilidade com nomes de domínios controlados pelo atacante, servidores DNS controlados pelo atacante ou através de um ataque man-in-the-middle.

Para mais detalhes, consulte a publicação no blogue sobre segurança da Google ou a base de dados de vulnerabilidades e exposições comuns (CVE).

Impacto do Compute Engine

Atualização (22/02/2016):

Agora, pode recriar as suas instâncias com as seguintes imagens do CoreOS, SLES e OpenSUSE:

• coreos-alpha-962-0-0-v20160218
• coreos-beta-899-7-0-v20160218
• coreos-stable-835-13-0-v20160218
• opensuse-13-2-v20160222
• opensuse-leap-42-1-v20160222
• sles-11-sp4-v20160222
• sles-12-sp1-v20160222

Atualização (17/02/2016):

Agora, pode fazer uma atualização nas instâncias do Ubuntu 12.04 LTS, Ubuntu 14.04 LTS e Ubuntu 15.10 executando os seguintes comandos:

1. user@my-instance:~$ sudo apt-get -y update
2. user@my-instance:~$ sudo apt-get -y dist-upgrade
3. user@my-instance:~$ sudo reboot

Em alternativa à execução dos comandos de atualização manual, pode recriar as respetivas instâncias com as seguintes novas imagens:

• backports-debian-7-wheezy-v20160216
• centos-6-v20160216
• centos-7-v20160216
• debian-7-wheezy-v20160216
• debian-8-jessie-v20160216
• rhel-6-v20160216
• rhel-7-v20160216
• ubuntu-1204-precise-v20160217a
• ubuntu-1404-trusty-v20160217a
• ubuntu-1510-wily-v20160217

Não temos conhecimento de métodos que possam explorar esta vulnerabilidade através dos resolvedores de DNS do Compute Engine com a configuração glibc predefinida. Recomendamos que aplique patches às instâncias de máquinas virtuais assim que possível, uma vez que, tal como acontece com qualquer nova vulnerabilidade, podem ser descobertos novos métodos de exploração ao longo do tempo. Se ativou o edns0 (desativado por predefinição), deve desativá-lo até que as suas instâncias sejam corrigidas.

Boletim original:

A sua distribuição do Linux pode estar vulnerável. Os clientes do Compute Engine têm de atualizar as imagens do SO das respetivas instâncias para eliminar esta vulnerabilidade se estiverem a executar um SO Linux.

Para instâncias que executam o Debian, pode fazer uma atualização executando os seguintes comandos na sua instância:

1. user@my-instance:~$ sudo apt-get -y update
2. user@my-instance:~$ sudo apt-get -y dist-upgrade
3. user@my-instance:~$ sudo reboot

Também recomendamos a instalação de UnattendedUpgrades para as suas instâncias do Debian.

Para instâncias do Red Hat Enterprise Linux:

• user@my-instance:~$ sudo yum -y upgrade
• user@my-instance:~$ sudo reboot

Vamos continuar a atualizar este boletim à medida que outros responsáveis pela manutenção do sistema operativo publicam patches para esta vulnerabilidade e o Compute Engine lança imagens de SO atualizadas.

CVE-2015-1427 é uma vulnerabilidade em que o motor de scripting Groovy no Elasticsearch antes da versão 1.3.8 e de quaisquer versões 1.4.x antes da 1.4.3, permite que atacantes remotos contornem o mecanismo de proteção de isolamento de processos e executem comandos de shell arbitrários.

Para mais detalhes, consulte a base de dados nacional de vulnerabilidades (NVD) ou a base de dados de vulnerabilidades e exposições comuns (CVE).

Impacto do Compute Engine

Se estiver a executar o Elasticsearch nas instâncias do Compute Engine, deve atualizar a versão do Elasticsearch para 1.4.3 ou superior. Se já atualizou o seu software Elasticsearch, está protegido contra esta vulnerabilidade.

Se não atualizou o Elasticsearch 1.4.3 ou superior, pode fazer uma atualização contínua.

Se implementou o Elasticsearch através da opção Click-to-deploy no Google Cloud console, pode eliminar a implementação para remover instâncias que executam o Elasticsearch.

A equipa Google Cloud está a trabalhar numa correção para implementar uma versão atualizada do Elasticsearch. No entanto, a correção ainda não está disponível para a funcionalidade de implementação com um clique no Google Cloud console.

CVE-2015-0235 (Ghost) é uma vulnerabilidade na biblioteca glibc.

Os clientes do App Engine, Cloud Storage, BigQuery e Cloud SQL não têm de fazer nada. Os servidores Google foram atualizados e estão protegidos contra esta vulnerabilidade.

Os clientes do Compute Engine podem ter de atualizar as respetivas imagens do SO.

Impacto do Compute Engine

A sua distribuição Linux pode estar vulnerável. Os clientes do Compute Engine têm de atualizar as imagens do SO das respetivas instâncias para eliminar esta vulnerabilidade se estiverem a executar o Debian 7, o Debian 7 backports, o Ubuntu 12.04 LTS, o Red Hat Enterprise Linux, o CentOS ou o SUSE Linux Enterprise Server 11 SP3.

Esta vulnerabilidade não afeta o Ubuntu 14.04 LTS, o Ubuntu 14.10 nem o SUSE Linux Enterprise Server 12.

Recomendamos que atualize as suas distribuições do Linux. Para instâncias com o Debian 7, o Debian 7 backports ou o Ubuntu 12.04 LTS, pode fazer uma atualização executando os seguintes comandos na sua instância:

1. user@my-instance:~$ sudo apt-get update
2. user@my-instance:~$ sudo apt-get -y upgrade
3. user@my-instance:~$ sudo reboot

Para instâncias do Red Hat Enterprise Linux ou CentOS:

1. user@my-instance:~$ sudo yum -y upgrade
2. user@my-instance:~$ sudo reboot

Para instâncias do SUSE Linux Enterprise Server 11 SP3:

1. user@my-instance:~$ sudo zypper --non-interactive up
2. user@my-instance:~$ sudo reboot

Em alternativa à execução dos comandos de atualização manual acima, os utilizadores podem agora recriar as respetivas instâncias com as seguintes novas imagens:

• debian-7-wheezy-v20150127
• backports-debian-7-wheezy-v20150127
• centos-6-v20150127
• centos-7-v20150127
• rhel-6-v20150127
• rhel-7-v20150127
• sles-11-sp3-v20150127
• ubuntu-1204-precise-v20150127

Impacto da VM gerida pela Google

Os utilizadores de VMs geridas que usam o gcloud preview app deploy têm de atualizar os respetivos contentores Docker base com o gcloud preview app setup-managed-vms e reimplantar cada uma das respetivas apps em execução com o gcloud preview app deploy. Os utilizadores que implementam com appcfg não têm de fazer nada e serão atualizados automaticamente.

O CVE-2014-3566 (também conhecido como POODLE) é uma vulnerabilidade no design da versão 3.0 do SSL. Esta vulnerabilidade permite que o texto simples das ligações seguras seja calculado por um atacante de rede. Para ver detalhes, consulte a nossa publicação no blogue sobre a vulnerabilidade.

Os clientes do App Engine, Cloud Storage, BigQuery e Cloud SQL não têm de fazer nada. Os servidores Google foram atualizados e estão protegidos contra esta vulnerabilidade. Os clientes do Compute Engine têm de atualizar as respetivas imagens do SO.

Impacto do Compute Engine

Atualizado (17-10-2014):

Pode estar vulnerável se estiver a usar o SSLv3. Os clientes do Compute Engine têm de atualizar as imagens do SO das respetivas instâncias para eliminar esta vulnerabilidade.

Recomendamos que atualize as suas distribuições do Linux. Para instâncias com o Debian, pode fazer uma atualização executando os seguintes comandos na sua instância:

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade
user@my-instance:~$ sudo reboot

Para instâncias do CentOS:

user@my-instance:~$ sudo yum -y upgrade
user@my-instance:~$ sudo reboot

Em alternativa à execução dos comandos de atualização manual acima, os utilizadores podem agora recriar as respetivas instâncias com as seguintes novas imagens para recriar as suas instâncias:

• centos-6-v20141016
• centos-7-v20141016
• debian-7-wheezy-v20141017
• backports-debian-7-wheezy-v20141017

Vamos atualizar o boletim para imagens do RHEL e SLES assim que as tivermos. Entretanto, os utilizadores do RHEL podem consultar a Red Hat diretamente para mais informações.

Boletim original:

Os clientes do Compute Engine têm de atualizar as imagens do SO das respetivas instâncias para eliminar esta vulnerabilidade. Vamos atualizar este boletim de segurança com instruções assim que estiverem disponíveis novas imagens do SO.

Existe um erro no bash (CVE-2014-6271) que permite a execução de código remoto com base na análise de quaisquer variáveis de ambiente controladas por um atacante. O vetor de exploração mais provável é a utilização de pedidos HTTP maliciosos feitos a scripts CGI expostos num servidor Web. Para mais informações, consulte a descrição do erro.

Os erros do bash foram mitigados para os Google Cloud produtos exceto para as imagens do SO convidado do Compute Engine com data anterior a 20140926. Consulte abaixo os passos para mitigar os erros nas suas imagens do Compute Engine.

Impacto do Compute Engine

Este erro pode afetar praticamente todos os Websites que usam scripts CGI. Além disso, é provável que afete os Websites que dependem de PHP, Perl, Python, SSI, Java, C++ e servlets semelhantes que invoquem comandos de shell usando chamadas como popen, system, shell_exec ou APIs semelhantes. Também pode afetar sistemas que tentam permitir o acesso de início de sessão controlado a utilizadores restritos através de mecanismos como a limitação de comandos SSH ou a shell restrita do bash.

Atualização (29/09/2014):

Em alternativa à execução dos comandos de atualização manual abaixo, os utilizadores podem agora recriar as respetivas instâncias com imagens que mitigam vulnerabilidades adicionais relacionadas com o erro de segurança do bash, incluindo CVE-2014-7169, CVE-2014-6277, CVE-2014-6278, CVE-2014-7186, e CVE-2014-7187. Use as novas imagens seguintes para recriar as suas instâncias:

• centos-6-v20140926
• centos-7-v20140926
• debian-7-wheezy-v20140926
• backports-debian-7-wheezy-v20140926
• rhel-6-v20140926

Atualização (25/09/2014):

Agora, os utilizadores podem optar por recriar as respetivas instâncias em vez de fazer uma atualização manual. Para recriar as suas instâncias, use as seguintes novas imagens, que contêm correções para este erro de segurança:

• backports-debian-7-wheezy-v20140924
• debian-7-wheezy-v20140924
• rhel-6-v20140924
• centos-6-v20140924
• centos-7-v20140924

Para imagens do RHEL e SUSE, também pode fazer atualizações manualmente executando os seguintes comandos nas suas instâncias:

# RHEL instances
user@my-instance:~$ sudo yum -y upgrade

# SUSE instances
user@my-instance:~$ sudo zypper --non-interactive up

Boletim original:

Recomendamos que atualize as suas distribuições do Linux. Para instâncias com o Debian, pode fazer uma atualização executando os seguintes comandos na sua instância:

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade

Para instâncias do CentOS:

user@my-instance:~$ sudo yum -y upgrade

Para informações detalhadas, reveja o anúncio da respetiva distribuição do Linux:

• Patches originais: http://ftp.gnu.org/gnu/bash/ (consulte a última entrada em *-patches para a versão adequada)
• Debian: [SECURITY] [DSA 3032-1] bash security update
• RHEL:
  • RHSA-2014:1293-01
  • RHSA-2014:1294-01
• CentOS 5: [CentOS-announce] CESA-2014:1293
• CentOS 6: [CentOS-announce] CESA-2014:1293
• CentOS 7: [CentOS-announce] CESA-2014:1293

O Elasticsearch Logstash é vulnerável à injeção de comandos do SO que pode permitir a modificação e a divulgação não autorizadas de dados. Um atacante pode enviar eventos criados para qualquer uma das origens de dados do Logstash, o que lhe permite executar comandos com as autorizações do processo do Logstash.

Impacto do Compute Engine

Esta vulnerabilidade afeta todas as instâncias do Compute Engine que executam versões do Elasticsearch Logstash anteriores à 1.4.2 com saídas zabbix ou nagios_nsca ativadas. Para evitar o ataque, pode:

• Atualize para o Logstash 1.4.2
• Aplique o patch para as versões 1.3.x
• Desative as saídas zabbix e nagios_nsca.

Leia mais no blogue Logstash.

O Elasticsearch também recomenda usar uma firewall para impedir o acesso remoto por IPs não fidedignos.

Gostaríamos de dedicar algum tempo a responder a possíveis preocupações que os clientes tenham acerca da segurança dos contentores Docker quando executados no Google Cloud. Isto inclui clientes que usam as nossas extensões do App Engine que suportam contentores Docker, máquinas virtuais otimizadas para contentores ou o programador Kubernetes de código aberto.

A Docker fez um excelente trabalho ao responder ao problema e pode ver a resposta no respetivo blogue aqui. Tenha em atenção que, como afirmam na respetiva resposta, o problema revelado aplica-se apenas ao Docker 0.11, uma versão mais antiga, de pré-produção.

Enquanto o mundo pensa na segurança dos contentores, gostaríamos de salientar que, no Google Cloud, as soluções baseadas em contentores de aplicações Linux (especificamente contentores Docker) são executadas em máquinas virtuais completas (Compute Engine). Embora apoiemos os esforços da comunidade do Docker para reforçar a pilha de contentores de aplicações Linux, reconhecemos que a tecnologia é nova e a área de superfície é grande. Acreditamos que, por agora, os hipervisores completos (máquinas virtuais) oferecem uma área de superfície mais compacta e defensável. As máquinas virtuais foram concebidas desde o início para isolar cargas de trabalho maliciosas e minimizar a probabilidade e o impacto de um erro de código.

Os nossos clientes podem ter a certeza de que existe um limite de hipervisor completo entre eles e qualquer código de terceiros potencialmente malicioso. Se chegarmos a um ponto em que consideremos a pilha do contentor de aplicações Linux suficientemente robusta para suportar cargas de trabalho multi-inquilinos, informaremos a comunidade. Por agora, o contentor de aplicações Linux não substitui a máquina virtual. É uma forma de tirar muito mais partido dele.

O OpenSSL tem um problema em que as mensagens ChangeCipherSpec não estão corretamente associadas à máquina de estados de handshake. Isto permite que sejam injetados cedo na negociação. Um atacante que use um handshake cuidadosamente elaborado pode forçar a utilização de material de chaves fraco em clientes e servidores SSL/TLS do OpenSSL. Isto pode ser explorado por um ataque de intruso (PITM) em que o atacante pode desencriptar e modificar o tráfego do cliente e do servidor atacados.

Este problema é identificado como CVE-2014-0224. A equipa do OpenSSL corrigiu o problema e alertou a comunidade do OpenSSL para atualizar o OpenSSL.

Impacto do Compute Engine

Esta vulnerabilidade afeta todas as instâncias do Compute Engine que usam o OpenSSL, incluindo o Debian, o CentOS, o Red Hat Enterprise Linux e o SUSE Linux Enterprise Server. Pode atualizar as suas instâncias recriando-as com novas imagens ou atualizando manualmente os pacotes nas suas instâncias.

Atualização (09/06/2014): para atualizar as suas instâncias que executam o SUSE Linux Enterprise Server com novas imagens, recrie as suas instâncias com as seguintes versões de imagens ou superiores:

• sles-11-sp3-v20140609

Publicação original:

Para atualizar instâncias do Debian e CentOS com novas imagens, recrie as suas instâncias com qualquer uma das seguintes versões de imagens ou superior:

• debian-7-wheezy-v20140605
• backports-debian-7-wheezy-v20140605
• centos-6-v20140605
• rhel-6-v20140605

Para atualizar manualmente o OpenSSL nas suas instâncias, execute os seguintes comandos para atualizar os pacotes adequados. Para instâncias que executam o CentOS e o RHEL, pode atualizar o OpenSSL executando estes comandos na sua instância:

user@my-instance:~$ sudo yum -y update
user@my-instance:~$ sudo reboot

Para instâncias que executam o Debian, pode atualizar o OpenSSL executando os seguintes comandos na sua instância:

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade
user@my-instance:~$ sudo reboot

Para instâncias que executam o SUSE Linux Enterprise Server, pode garantir que o OpenSSL está atualizado executando estes comandos na instância:

user@my-instance:~$ sudo zypper --non-interactive up
user@my-instance:~$ sudo reboot

As implementações (1) TLS e (2) DTLS no OpenSSL 1.0.1 antes de 1.0.1g não processam corretamente os pacotes de extensão Heartbeat, o que permite que os atacantes remotos obtenham informações confidenciais da memória do processo através de pacotes criados que acionam uma leitura excessiva do buffer, conforme demonstrado pela leitura de chaves privadas, relacionadas com d1_both.c e t1_lib.c, também conhecido como o erro Heartbleed.

Impacto do Compute Engine

Esta vulnerabilidade afeta todas as instâncias do Compute Engine Debian, RHEL e CentOS que não tenham a versão mais atualizada do OpenSSL. Pode atualizar as suas instâncias recriando-as com novas imagens ou atualizando manualmente os pacotes nas suas instâncias.

Para atualizar as suas instâncias com novas imagens, recrie as instâncias com qualquer uma das seguintes versões de imagem ou superior:

• debian-7-wheezy-v20140408
• backports-debian-7-wheezy-v20140408
• centos-6-v20140408
• rhel-6-v20140408

Para atualizar manualmente o OpenSSL nas suas instâncias, execute os seguintes comandos para atualizar os pacotes adequados. Para instâncias que executam o CentOS e o RHEL, pode garantir que o OpenSSL está atualizado executando estes comandos na instância:

user@my-instance:~$ sudo yum update
user@my-instance:~$ sudo reboot

Para instâncias que executam o Debian, pode atualizar o OpenSSL executando os seguintes comandos na sua instância:

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get upgrade
user@my-instance:~$ sudo reboot

As instâncias que executam o SUSE Linux não são afetadas.

Atualização de 14 de abril de 2014: à luz de novas investigações sobre a extração de chaves através do erro Heartbleed, o Compute Engine recomenda que os clientes do Compute Engine criem novas chaves para todos os serviços SSL afetados.

Nota: esta vulnerabilidade só se aplica a kernels, que foram descontinuados e removidos desde a versão v1 da API.

A vulnerabilidade da string de formato na função b43_request_firmware em drivers/net/wireless/b43/main.c no controlador sem fios Broadcom B43 no kernel do Linux até 3.9.4 permite que os utilizadores locais obtenham privilégios através da utilização do acesso de administrador e da inclusão de especificadores de string de formato num parâmetro fwpostfix modprobe, o que leva à construção inadequada de uma mensagem de erro.

Impacto do Compute Engine

Esta vulnerabilidade afeta todos os kernels do Compute Engine anteriores a gcg-3.3.8-201305291443. Em resposta, o Compute Engine descontinuou todos os kernels anteriores e recomenda que os utilizadores atualizem as respetivas instâncias e imagens para usarem o kernel do Compute Engine gce-v20130603. gce-v20130603 contém o kernel gcg-3.3.8-201305291443, que tem a correção para esta vulnerabilidade.

Para saber que versão do kernel a sua instância está a usar:

1. Ligue-se à sua instância através de SSH
2. Execução uname -r

Nota: esta vulnerabilidade só se aplica a kernels, que foram descontinuados e removidos desde a versão v1 da API.

A vulnerabilidade de string de formato na função register_disk em block/genhd.c no kernel do Linux até à versão 3.9.4 permite que os utilizadores locais obtenham privilégios através do aproveitamento do acesso de raiz e da escrita de especificadores de string de formato em /sys/module/md_mod/parameters/new_array para criar um nome de dispositivo /dev/md criado.

Impacto do Compute Engine

Esta vulnerabilidade afeta todos os kernels do Compute Engine anteriores a gcg-3.3.8-201305291443. Em resposta, o Compute Engine descontinuou todos os kernels anteriores e recomenda que os utilizadores atualizem as respetivas instâncias e imagens para usarem o kernel do Compute Engine gce-v20130603. gce-v20130603 contém o kernel gcg-3.3.8-201305291443, que tem a correção para esta vulnerabilidade.

Para saber que versão do kernel a sua instância está a usar:

1. Ligue-se à sua instância através de SSH
2. Execução uname -r

Nota: esta vulnerabilidade só se aplica a kernels, que foram descontinuados e removidos desde a versão v1 da API.

A função perf_swevent_init em kernel/events/core.c no kernel do Linux antes da versão 3.8.9 usa um tipo de dados integer incorreto, o que permite que os utilizadores locais obtenham privilégios através de uma chamada de sistema perf_event_open criada.

Impacto do Compute Engine

Esta vulnerabilidade afeta todos os kernels do Compute Engine anteriores a gcg-3.3.8-201305211623. Em resposta, o Compute Engine descontinuou todos os kernels anteriores e recomenda que os utilizadores atualizem as respetivas instâncias e imagens para usarem o kernel do Compute Engine gce-v20130521. gce-v20130521 contém o kernel gcg-3.3.8-201305211623, que tem a correção para esta vulnerabilidade.

Para saber que versão do kernel a sua instância está a usar:

1. Ligue-se à sua instância através de SSH
2. Execução uname -r

Nota: esta vulnerabilidade só se aplica a kernels, que foram descontinuados e removidos desde a versão v1 da API.

A condição de corrida na funcionalidade ptrace no kernel do Linux antes de 3.7.5 permite que os utilizadores locais obtenham privilégios através de uma chamada de sistema PTRACE_SETREGS ptrace numa aplicação criada.

Impacto do Compute Engine

Esta vulnerabilidade afeta os kernels do Compute Engine 2.6.x-gcg-<date>. Em resposta, o Compute Engine descontinuou os kernels 2.6.x e recomenda que os utilizadores atualizem as respetivas instâncias e imagens para usarem o kernel do Compute Engine gce-v20130225. gce-v20130225 contém o kernel 3.3.8-gcg-201302081521, que tem a correção para esta vulnerabilidade.

Para saber que versão do kernel a sua instância está a usar:

1. Ligue-se à sua instância através de SSH
2. Execução uname -r