Boletins de segurança

20/08/2024: inclusão de patches para TPUs. Aplique atualizações das distribuições do Linux assim que elas forem disponibilizadas. Consulte as orientações das distribuições do Linux. Se você estiver usando TPUs, atualize para uma das seguintes versões com patch:

• tpu-ubuntu2204-base
• v2-alpha-tpuv5
• v2-alpha-tpuv5-lite

Uma vulnerabilidade (CVE-2024-6387) foi descoberta no OpenSSH. Se explorada, essa vulnerabilidade permite que um invasor remoto e não autenticado execute código arbitrário como raiz na máquina invadida.

Recomendamos analisar todas as VMs do Compute Engine que usam uma distribuição Linux baseada em glibc e têm o OpenSSH exposto para verificar as versões vulneráveis.

O que devo fazer?

1. Aplique atualizações das distribuições do Linux assim que elas forem disponibilizadas. Consulte as orientações das distribuições do Linux. Para o Container-Optimized OS do Google, atualize para uma das seguintes versões corrigidas:
   • cos-113-18244-85-49
   • cos-109-17800-218-69
   • cos-105-17412-370-67
   • cos-101-17162-463-55
   Se você estiver usando o Container-Optimized OS por um serviço gerenciado do Google (por exemplo, GKE), consulte o boletim de segurança desse serviço para saber a disponibilidade de patches.
2. Se não for possível atualizar, desative o OpenSSH até que ele possa ser corrigido. A rede padrão é preenchida previamente com uma regra de firewall default-allow-ssh para permitir o acesso SSH pela Internet pública. Para remover esse acesso, os clientes podem:
   1. Opcionalmente, crie regras para permitir qualquer acesso SSH necessário de redes confiáveis aos nós do GKE ou a outras VMs do Compute Engine no projeto. Em seguida,
   2. Desative a regra de firewall padrão com o seguinte comando:

      gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT
            

   Se você criou outras regras de firewall que permitem o SSH pelo TCP na porta 22, desative-as ou limite os IPs de origem a redes confiáveis.
   
   Verifique se não é mais possível acessar as VMs usando SSH pela Internet. Essa configuração de firewall mitiga a vulnerabilidade.
3. Se o OpenSSH precisar ficar ativado, execute uma atualização de configuração que elimine a condição de disputa para o exploit. Essa é uma mitigação de tempo de execução. Para aplicar as mudanças na configuração do sshd, este script vai reiniciar o serviço sshd.

   #!/bin/bash
   set -e
   
   SSHD_CONFIG_FILE=/etc/ssh/sshd_config
   # -c: count the matches
   # -q: don't print to console
   # -i: sshd_config keywords are case insensitive.
   if [[ "$(grep -ci '^LoginGraceTime' $SSHD_CONFIG_FILE)" -eq 0 ]]; then
       echo "LoginGraceTime 0" >> "$SSHD_CONFIG_FILE"
       echo "Set the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   else
       sed -i 's/^LoginGraceTime.*$/LoginGraceTime 0/' /etc/ssh/sshd_config
       echo "Changed the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   fi
   # Restart the sshd service to apply the new config.
   systemctl restart sshd
       

4. Por fim, monitore qualquer atividade de rede incomum envolvendo servidores SSH.

O Compute Engine não é afetado pela CVE-2024-3094, que impacta as versões 5.6.0 e 5.6.1 do pacote xz-utils na biblioteca liblzma e pode comprometer o utilitário OpenSSH.

O que devo fazer?

As imagens públicas com suporte e oferecidas pelo Compute Engine não são afetadas por essa CVE. Se você usa imagens públicas do Compute Engine para suas VMs, não é necessário fazer nada.

Você pode estar em risco se tiver criado uma imagem personalizada que usou as versões 5.6.0 e 5.6.1 do pacote xz-utils, como os seguintes sistemas operacionais:

• Fedora 41 e Fedora Rawhide
• Testes/instável do Debian
• openSUSE tumbleweed

Para mitigar esse risco, pare todas as VMs que usam esses sistemas operacionais ou outros que poderiam ter usado sistemas operacionais afetados. Se você tiver VMs criadas com imagens personalizadas de outros sistemas operacionais, verifique com o fornecedor do SO se as VMs foram afetadas.

Quais vulnerabilidades estão sendo abordadas?

CVE-2024-3094

Várias vulnerabilidades foram descobertas no firmware UEFI TianoCore EDK II. Esse firmware é usado em VMs do Google Compute Engine. Se exploradas, as vulnerabilidades podem permitir uma violação da inicialização segura, o que forneceria medições falsas no processo de inicialização segura, inclusive quando usadas em VMs protegidas.

O que devo fazer?

Você não precisa fazer nada. O Google corrigiu essa vulnerabilidade no Compute Engine, e todas as VMs estão protegidas contra ela.

Quais vulnerabilidades são corrigidas por esse patch?

O patch mitigou as seguintes vulnerabilidades:

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

Em 14 de novembro, a AMD divulgou várias vulnerabilidades que afetam várias CPUs de servidor da AMD. Especificamente, as vulnerabilidades afetam as CPUs de servidor EPYC que usam a geração 2 "Rome", a geração 3 "Milan" e a geração 4 "Genoa" do Zen Core.

O Google aplicou correções aos recursos afetados, incluindo Google Cloud, para garantir a proteção dos clientes. Até o momento, não foram encontradas ou informadas ao Google evidências de exploração.

O que devo fazer?

Nenhuma ação do cliente é necessária.

As correções já foram aplicadas à frota de servidores do Google para Google Cloud, incluindo o Google Compute Engine.

Quais vulnerabilidades são corrigidas por esse patch?

O patch mitigou as seguintes vulnerabilidades:

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2023-20521
• CVE-2021-46766
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

Para mais informações, consulte o aviso de segurança da AMD AMD-SN-3005: "Aviso de segurança da instrução INVD da AMD", também publicado como CacheWarp, e AMD-SN-3002: "Vulnerabilidades do servidor AMD – novembro de 2023".

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

Duas vulnerabilidades (CVE-2023-1017 e CVE-2023-1018) foram descobertas no módulo de plataforma confiável (TPM, na sigla em inglês) 2.0.

Elas poderiam permitir que um invasor sofisticado explorasse uma leitura/gravação de 2 bytes fora dos limites em determinadas VMs do Compute Engine.

O que devo fazer?

Um patch foi aplicado automaticamente a todas as VMs vulneráveis. Nenhuma ação do cliente é necessária.

Quais vulnerabilidades são corrigidas por esse patch?

O patch mitigou as seguintes vulnerabilidades:

CVE-2023-1017

Com a CVE-2023-2017, uma sobrecarga de buffer pode ser acionada na rotina de descriptografia de parâmetros do vTPM. Um invasor local em uma VM vulnerável pode usar isso para acionar uma negação de serviço ou possivelmente executar código arbitrário no contexto do vTPM.

CVE-2023-1018

Com a CVE-2023-2018, havia uma leitura fora dos limites na rotina de descriptografia do parâmetro vTPM. Um invasor local executando uma VM vulnerável pode usar isso para vazar indiretamente dados limitados do contexto do vTPM.

• CVE-2023-1017
• CVE-2023-1018

O utilitário Apache Log4j é um componente usado com frequência para registrar solicitações. Em 9 de dezembro de 2021, encontramos uma vulnerabilidade que permitia que um sistema executando a versão 2.14.1 ou anterior do Apache Log4j fosse comprometida e que um invasor executasse códigos arbitrários.

Em 10 de dezembro de 2021, o NIST publicou um alerta crítico de vulnerabilidades e exposições comuns, CVE-2021-44228. Em especial, os recursos do Java Naming Directory Interface (JNDI) usados na configuração, mensagens de registro e parâmetros não geram uma proteção contra um LDAP controlado por um invasor e outros endpoints relacionados a JNDI. Um invasor que controla mensagens de registro ou parâmetros de mensagens de registro pode executar códigos arbitrários carregados em servidores remotos quando a substituição de pesquisa de mensagem estiver ativada.

O que devo fazer?

• M4CE v4.x:a equipe do Migrate for Compute Engine (M4CE) lançou uma nova versão em 13 de dezembro de 2021. Os gerentes de projeto precisam substituir a implantação atual pela nova versão, incluindo o M4CE Manager na nuvem e o back-end "local" do M4CE. Consulte o guia de instruções para mais detalhes sobre a implantação da versão 4.11.
• M2VMs v5.x:as M2VMs v5.0 e mais recentes foram corrigidas, e nenhuma ação é necessária.

• CVE-2021-44228

Uma vulnerabilidade foi descoberta recentemente no utilitário sudo do Linux, descrito em CVE-2021-3156, que pode permitir que um invasor com acesso shell local não privilegiado em um sistema com o sudo instalado encaminhe os privilégios à raiz do sistema.

Impacto no Compute Engine

A infraestrutura subjacente que executa o Compute Engine não é afetada por essa vulnerabilidade. As VMs do Compute Engine que executam o Linux precisam atualizar o sistema operacional convidado. Por exemplo, se você usa um Container-Optimized OS, recomendamos atualizar para uma das seguintes imagens: cos-85-13310-1209-7, cos-81-12871-1245-6, cos-dev-89-16091-0-0 ou mais recente.

• CVE-2021-3156

A Eclypsium divulgou a seguinte CVE: CVE-2020-10713.

Vulnerabilidades

Em resposta ao relatório inicial de vulnerabilidade, foi aplicada uma análise mais detalhada ao código GRUB2, e a Canonical descobriu as seguintes vulnerabilidades adicionais:

• CVE-2020-14308
• CVE-2020-14309
• CVE-2020-14310
• CVE-2020-14311
• CVE-2020-15705
• CVE-2020-15706
• CVE-2020-15707

Essas vulnerabilidades, chamadas coletivamente de BootHole, permitem que binários não assinados sejam carregados por invasores com privilégios administrativos, desativando a aplicação da inicialização segura.

Impacto no Compute Engine

A infraestrutura de host que executa o Compute Engine é protegida contra ataques conhecidos.

Os clientes do Compute Engine que usam a Inicialização segura precisam atualizar os sistemas operacionais convidados nas instâncias para evitar a possibilidade de exploração nos ambientes convidados. Para mais detalhes, consulte a mitigação recomendada pelo fornecedor do SO convidado.

Imagens que receberam patch e recursos do fornecedor

Vamos enviar links com informações sobre os patches de cada fornecedor de sistema operacional assim que elas estiverem disponíveis. As versões anteriores dessas imagens públicas não contêm esses patches e não reduzem o risco de possíveis ataques:

• Projeto centos-cloud: informações de patch do CentOS
  • centos-7-v20200811
  • centos-8-v20200811
• Projeto cos-cloud:
  • cos-77-12371-1072-0
  • cos-81-12871-1185-0
  • cos-rc-85-13310-1028-0
  • cos-dev-86-15103-0-0

  Se você estiver usando o COS por um serviço gerenciado (por exemplo, GKE), siga as orientações desse serviço para aplicar atualizações.

• Projeto debian-cloud: DSA-4753
  • debian-10-buster-v20200805
• Projeto coreos-cloud:
  • coreos-alpha-2163-2-1-v20190617
  • coreos-beta-2135-3-1-v20190617
  • coreos-stable-2079-6-0-v20190617
• Projeto rhel-cloud/rhel-sap-cloud: Red Hat Vulnerability Response
  • rhel-7-v20200811
  • rhel-7-4-sap-v20200811
  • rhel-7-6-sap-v20200811
  • rhel-7-7-sap-v20200811
  • rhel-8-v20200811
• Projeto suse-cloud/suse-sap-cloud:: base de conhecimento do SUSE
  • sles-12-sp5-v20200813
  • sles-15-sp2-v20200804
  • sles-12-sp4-sap-v20200804
  • sles-12-sp5-sap-v20200813
  • sles-15-sap-v20200803
  • sles-15-sp1-sap-v20200803
  • Sles-15-sp2-sap-v20200804
• Projeto ubuntu-os-cloud: Wiki do Ubuntu
  • ubuntu-1604-xenial-v20200729
  • ubuntu-1804-bionic-v20200729
  • ubuntu-2004-focal-v20200729

• CVE-2020-10713
• CVE-2020-14308
• CVE-2020-14309
• CVE-2020-14310
• CVE-2020-14311
• CVE-2020-15705
• CVE-2020-15706
• CVE-2020-15707

As VMs com o Login do SO ativado podem ser suscetíveis a vulnerabilidades de escalonamento de privilégios. Com essas vulnerabilidades, os usuários que têm permissões de login do SO sem acesso de administrador podem encaminhar para o acesso raiz na VM.

Vulnerabilidades

As três vulnerabilidades a seguir, que são causadas por associações de grupo padrão excessivamente permissivas, foram identificadas para imagens do Compute Engine:

• CVE-2020-8903: ao usar o usuário adm, você pode aproveitar o XID do DHCP para obter privilégios administrativos.
• CVE-2020-8907: usando o usuário docker, é possível montar e modificar o sistema de arquivos do SO host para obter privilégios administrativos.
• CVE-2020-8933: ao usar o usuário lxd, é possível anexar sistemas de arquivos do SO host e obter privilégios administrativos.

Imagens e correções que receberam patch

Todas as imagens públicas do Compute Engine criadas após v20200506 recebem patches.

Se você precisar corrigir esse problema sem atualizar para uma versão mais recente da imagem, edite o arquivo /etc/security/group.conf e remova os usuários adm, lxd e docker da entrada padrão de login do SO.

• CVE-2020-8903
• CVE-2020-8907
• CVE-2020-8933

A Microsoft divulgou a seguinte vulnerabilidade:

• CVE-2020-0601: essa vulnerabilidade também é conhecida como a vulnerabilidade de spoofing da API Windows Crypto e pode ser explorada para fazer executáveis maliciosos parecerem confiáveis ou permitir que o invasor realize ataques "man-in-the-middle" e descriptografe informações confidenciais nas conexões do usuário com o software afetado.

Impacto no Compute Engine

A infraestrutura subjacente que executa o Compute Engine não é afetada por essa vulnerabilidade. Nenhuma ação extra é necessária a menos que você esteja executando o Windows Server na máquina virtual do Compute Engine. Os clientes que usam VMs do Compute Engine que executam o Windows Server precisam garantir que as instâncias tenham o patch mais recente do Windows.

Imagens que receberam patch e recursos do fornecedor

As versões anteriores das imagens públicas do Windows não contêm os seguintes patches e não reduzem o risco de possíveis ataques:

• Projetos windows-cloud e windows-sql-cloud
  • Todas as imagens públicas do Windows Server e do SQL Server a partir da v20200114

• CVE-2020-0601

A Intel divulgou as CVEs a seguir:

• CVE-2019-11135: também é conhecida como TSX Async Abort (TAA). Ela oferece outra via para a exfiltração de dados, usando as mesmas estruturas da microarquitetura de dados exploradas pela amostragem de dados de microarquitetura (MDS, na sigla em inglês).
• CVE-2018-12207: esse CVE também é conhecido como "Erro de verificação de máquina na alteração do tamanho da página". Essa é uma vulnerabilidade de negação de serviço (DoS) que afeta hosts de máquinas virtuais, permitindo que um convidado mal-intencionado cause uma falha em um host desprotegido.

Impacto no Compute Engine

CVE-2019-11135

A infraestrutura de host que executa o Compute Engine isola as cargas de trabalho do cliente. Nenhuma outra ação é necessária, a menos que você esteja executando código não confiável em VMs N2, C2 ou M2.

Os clientes N2, C2 ou M2 que executam código não confiável nos próprios serviços com vários locatários em máquinas virtuais do Compute Engine precisam encerrar e iniciar as VMs para garantir que elas tenham as mitigações de segurança mais recentes. Uma reinicialização sem interrupção/início não é suficiente. Estas orientações pressupõem que você já aplicou atualizações lançadas anteriormente que cobrem a vulnerabilidade do MDS. Caso contrário, siga as instruções para aplicar as atualizações adequadas.

Para clientes que executam tipos de máquinas N1, nenhuma ação é necessária, já que essa vulnerabilidade não representa uma nova exposição além das vulnerabilidades de MDS divulgadas anteriormente.

CVE-2018-12207

A infraestrutura de host que executa o Compute Engine tem proteção contra essa vulnerabilidade. Você não precisa fazer mais nada.

• CVE-2019-11135
• CVE-2018-12207

A Netflix divulgou recentemente três vulnerabilidades do TCP nos kernels do Linux:

• CVE-2019-11477
• CVE-2019-11478
• CVE-2019-11479

Essas CVEs são coletivamente denominadas NFLX-2019-001 (em inglês).

Impacto no Compute Engine

A infraestrutura que hospeda o Compute Engine tem proteção contra essa vulnerabilidade.

As VMs do Compute Engine que executam sistemas operacionais Linux sem patches e enviam/recebem tráfego de rede não confiável são vulneráveis a esse ataque de DoS. É recomendado atualizar essas instâncias de VM assim que os patches forem disponibilizados para os respectivos sistemas operacionais.

Os balanceadores de carga que encerram conexões TCP receberam um patch que corrige essa vulnerabilidade. As instâncias do Compute Engine que recebem somente tráfego não confiável por meio desses balanceadores não estão vulneráveis. Isso inclui balanceadores de carga HTTP, SSL Proxy e TCP Proxy.

Balanceadores de carga internos e de rede não fecham conexões TCP. As instâncias do Compute Engine sem patches que recebem tráfego não confiável por meio desses balanceadores de carga estão vulneráveis.

Imagens que receberam patch e recursos do fornecedor

Vamos fornecer links com informações sobre os patches de cada fornecedor de sistema operacional assim que elas estiverem disponíveis, incluindo o status de cada CVE. As versões anteriores dessas imagens públicas não contêm esses patches e não reduzem o risco de possíveis ataques:

• Projeto debian-cloud:
  • debian-9-stretch-v20190618
• Projeto centos-cloud:
  • centos-6-v20190619
  • centos-7-v20190619
• Projeto cos-cloud:
  • cos-dev-77-12293-0-0
  • cos-beta-76-12239-21-0
  • cos-stable-75-12105-77-0
  • cos-73-11647-217-0
  • cos-69-10895-277-0
• Projeto coreos-cloud:
  • coreos-alpha-2163-2-1-v20190617
  • coreos-beta-2135-3-1-v20190617
  • coreos-stable-2079-6-0-v20190617
• Projeto rhel-cloud:
  • rhel-6-v20190618
  • rhel-7-v20190618
  • rhel-8-v20190618
• Projeto rhel-sap-cloud:
  • rhel-7-4-sap-v20190618
  • rhel-7-6-sap-v20190618
• Projeto suse-cloud:
  • sles-12-sp4-v20190617
  • sles-15-v20190617
• Projeto suse-sap-cloud:
  • sles-12-sp1-sap-v20190617
  • sles-12-sp2-sap-v20190617
  • sles-12-sp3-sap-v20190617
  • sles-12-sp4-sap-v20190617
  • sles-15-sap-v20190617
• Projeto ubuntu-cloud:
  • ubuntu-1604-xenial-v20190617
  • ubuntu-1804-bionic-v20190617
  • ubuntu-1810-cosmic-v20190618
  • ubuntu-1904-disco-v20190619
  • ubuntu-minimal-1604-xenial-v20190618
  • ubuntu-minimal-1804-bionic-v20190617
  • ubuntu-minimal-1810-cosmic-v20190618
  • ubuntu-minimal-1904-disco-v20190618

• CVE-2019-11477
• CVE-2019-11478
• CVE-2019-11479

A Intel divulgou as CVEs a seguir:

• CVE-2018-12126
• CVE-2018-12127
• CVE-2018-12130
• CVE-2019-11091

Essas CVEs são coletivamente denominadas "amostragem de dados de microarquitetura (MDS, na sigla em inglês)". Com essas vulnerabilidades, os dados ficam em risco de exposição por meio da interação da execução especulativa com o estado de microarquitetura.

Impacto no Compute Engine

A infraestrutura de host que executa o Compute Engine isola as cargas de trabalho do cliente umas das outras. Nenhuma ação extra é necessária a menos que você esteja executando código não confiável nas VMs.

Os clientes que executam código não confiável nos serviços de vários locatários em máquinas virtuais do Compute Engine precisam consultar as informações de mitigação recomendadas do fornecedor do SO convidado. Elas podem incluir o uso dos recursos de mitigação de microcódigo da Intel. Implantamos o acesso de passagem de convidado na nova funcionalidade de liberação. Veja a seguir um resumo das etapas de mitigação disponíveis para imagens comuns de convidado.

Imagens que receberam patch e recursos do fornecedor

Enviaremos links com informações sobre os patches de cada fornecedor do sistema operacional assim que elas estiverem disponíveis, incluindo o status de cada CVE. Use essas imagens para recriar instâncias de VM. As versões anteriores dessas imagens públicas não contêm esses patches e não reduzem o risco de possíveis ataques:

• Projeto centos-cloud: CESA-2019:1169, CESA-2019:1168 (em inglês)
• centos-6-v20190515
• centos-7-v20190515
• Projeto coreos-cloud: mitigações de MDS para CoreOS Container Linux (em inglês)
• coreos-stable-2079-4-0-v20190515
• coreos-beta-2107-3-0-v20190515
• coreos-alpha-2135-1-0-v20190515
• Projeto cos-cloud
• cos-69-10895-242-0
• cos-73-11647-182-0
• Projeto debian-cloud: DSA-4444 (em inglês)
• debian-9-stretch-v20190514
• Projeto rhel-cloud: artigo de informações de MDS do Red Hat (em inglês)
• rhel-6-v20190515
• rhel-7-v20190517
• rhel-8-v20190515
• Projeto rhel-sap-cloud: artigo de informações de MDS do Red Hat (em inglês)
• rhel-7-4-sap-v20190515
• rhel-7-6-sap-v20190517
• Projeto suse-cloud: base de conhecimento de MDS do SUSE (em inglês)
• sles-12-sp4-v20190520
• sles-15-v20190520
• Projeto suse-sap-cloud
• sles-12-sp4-sap-v20190520
• sles-15-sap-v20190520
• Projeto ubuntu-os-cloud: Wiki de MDS do Ubuntu (em inglês)
• ubuntu-1404-trusty-v20190514
• ubuntu-1604-xenial-v20190514
• ubuntu-1804-bionic-v20190514
• ubuntu-1810-cosmic-v20190514
• ubuntu-1904-disco-v20190514
• ubuntu-minimal-1604-xenial-v20190514
• ubuntu-minimal-1804-bionic-v20190514
• ubuntu-minimal-1810-cosmic-v20190514
• ubuntu-minimal-1904-disco-v20190514
• Projetos windows-cloud e windows-sql-cloud: Microsoft ADV190013 (em inglês)
• Todas as imagens públicas do Windows Server e do SQL Server com o número de versão v20190514.
• Projeto gce-uefi-images
• centos-7-v20190515
• cos-69-10895-242-0
• cos-73-11647-182-0
• rhel-7-v20190517
• ubuntu-1804-bionic-v20190514
• Todas as imagens públicas do Windows Server com o número de versão v20190514.

Container-Optimized OS

Se você usa o Container Optimized OS (COS) como SO convidado e está executando cargas de trabalho não confiáveis de vários locatários na máquina virtual, é recomendado o seguinte:

1. Configure nosmt na linha de comando do kernel para desativar o Hyper-Threading.
   

   Nas VMs atuais do COS, modifique o grub.cfg como mostrado a seguir para definir a opção nosmt e reinicializar o sistema:

   # Run as root:
   dir="$(mktemp -d)"
   mount /dev/sda12 "${dir}"
   sed -i -e "s|cros_efi|cros_efi nosmt|g" "${dir}/efi/boot/grub.cfg"
   umount "${dir}"
   rmdir "${dir}"
   
   reboot

   Por questões de conveniência, é possível executar o script abaixo para ter os mesmos resultados que os comandos anteriores. Recomendamos que você o inclua nos modelos de instância, scripts de inicialização e cloud-config para garantir que as novas VMs usem esse novo parâmetro. Veja abaixo um exemplo de cloud-config que executa o script.

   Aviso: esse comando ativa a reinicialização imediata da instância quando executado pela primeira vez. As próximas execuções do comando em uma instância com o Hyper-Threading já desativado não terão efeito.

   # Run as root
   /bin/bash <(curl -s https://storage.googleapis.com/cos-tools/scripts/disable_smt.sh)
   

   Para incluir esse comando como parte do cloud-config:

   #cloud-config
   
   bootcmd:
   - /bin/bash -c "/bin/bash <(curl -s https://storage.googleapis.com/cos-tools/scripts/disable_smt.sh)"
   

   Para confirmar se o Hyper-Threading está desativado na instância, verifique a saída dos arquivos /sys/devices/system/cpu/smt/active e /sys/devices/system/cpu/smt/control. Se o valor de active for 0 e o de control for off, o Hyper-Threading estará desativado:

   cat /sys/devices/system/cpu/smt/active
   cat /sys/devices/system/cpu/smt/control
   

   Observação: se a inicialização segura UEFI estiver ativada na instância, será necessário recriá-la com esse recurso desativado. Depois, você precisará executar o comando acima com a inicialização segura UEFI desativada e ativar esse recurso na nova instância.

2. Use a nova versão da imagem do COS.
   

   Além de desativar o Hyper-Threading como descrito acima, você também precisa recriar as instâncias com as imagens atualizadas listadas acima ou com versões mais recentes disponíveis das imagens do Container-Optimized SO. Só assim você terá proteção total contra a vulnerabilidade.

• CVE-2018-12126
• CVE-2018-12127
• CVE-2018-12130
• CVE-2019-11091

Descrição

A Intel divulgou as CVEs a seguir:

• CVE-2018-3615 (para SGX)
• CVE-2018-3620 (para sistemas operacionais e SMT)
• CVE-2018-3646 para virtualização (em inglês)

Essas CVEs são coletivamente denominadas "L1 Terminal Fault (L1TF)".

As vulnerabilidades desse tipo atacam a configuração de estruturas de dados no nível do processador para explorar a execução especulativa. "L1" se refere ao cache de dados de nível 1 (L1D), um pequeno recurso dos núcleos usado para acelerar o acesso à memória.

Leia a postagem do blog doGoogle Cloud para mais detalhes sobre essas vulnerabilidades e as mitigações do Compute Engine.

Impacto no Compute Engine

A infraestrutura de host que executa o Compute Engine e isola as cargas de trabalho do cliente umas das outras é protegida contra ataques conhecidos.

Recomendamos que os clientes do Compute Engine atualizem as imagens para evitar a possibilidade de exploração indireta nos ambientes convidados deles. Isso é importante principalmente para os clientes que executam os próprios serviços de vários locatários nas máquinas virtuais do Compute Engine.

Os clientes do Compute Engine podem atualizar os sistemas operacionais convidados nas instâncias usando uma das seguintes opções:

• Use imagens públicas que receberam patch para recriar instâncias de VM.
• Em instâncias atuais, instalar os patches cedidos pelo fornecedor do sistema operacional e reinicie as instâncias que receberam patch.

Imagens que receberam patch e recursos do fornecedor

Enviaremos links com informações sobre os patches de cada fornecedor do sistema operacional assim que estiverem disponíveis, incluindo o status de ambas as CVEs. Use essas imagens para recriar instâncias de VM. As versões anteriores dessas imagens públicas não contêm esses patches e não reduzem o risco de possíveis ataques:

• Projeto centos-cloud:
  • centos-7-v20180815
  • centos-6-v20180815
• Projeto coreos-cloud:
  • coreos-stable-1800-7-0-v20180816
  • coreos-beta-1855-2-0-v20180816
  • coreos-alpha-1871-0-0-v20180816
• Projeto cos-cloud:
  • cos-stable-66-10452-110-0
  • cos-stable-67-10575-66-0
  • cos-beta-68-10718-81-0
  • cos-dev-69-10895-23-0
• Projeto debian-cloud:
  • debian-9-stretch-v20180820
• Projeto rhel-cloud:
  • rhel-7-v20180814
  • rhel-6-v20180814
• Projeto rhel-sap-cloud:
  • rhel-7-sap-apps-v20180814
  • rhel-7-sap-hana-v20180814
• Projeto suse-cloud:
  • sles-15-v20180816
  • sles-12-sp3-v20180814
  • sles-11-sp4-v20180816
• Projeto suse-sap-cloud:
  • sles-15-sap-v20180816
  • sles-12-sp3-sap-v20180814
  • sles-12-sp2-sap-v20180816
• Projeto ubuntu-os-cloud:
  • ubuntu-1804-bionic-v20180814
  • ubuntu-1604-xenial-v20180814
  • ubuntu-1404-trusty-v20180814
  • ubuntu-minimal-1804-bionic-v20180814
  • ubuntu-minimal-1604-xenial-v20180814
• Projetos windows-cloud gce-uefi-images e windows-sql-cloud:
  • Todas as imagens públicas do Windows Server e do SQL Server com o número de versão -v201800814 e posterior têm patches.

• CVE-2018-3615
• CVE-2018-3620
• CVE-2018-3646

Atualização: 05/09/2018

A CVE-2018-5391 foi publicada em 14/08/2018 pela US-CERT. Assim como a CVE-2018-5390, é uma vulnerabilidade de rede no nível do kernel que aumenta a eficiência de ataques de negação de serviço (DoS) contra sistemas vulneráveis. A principal diferença é que a CVE-2018-5391 pode ser explorada em conexões IP. Atualizamos este boletim para cobrir as duas vulnerabilidades.

Descrição

Na CVE-2018-5390 ("SegmentSmack"), há a descrição de uma vulnerabilidade de rede no nível do kernel que aumenta a eficácia de ataques de negação de serviço (DoS) em sistemas vulneráveis com conexões TCP.

Na CVE-2018-5391 ("FragmentSmack"), há a descrição de uma vulnerabilidade de rede no nível do kernel que aumenta a eficácia de ataques de negação de serviço (DoS) em sistemas vulneráveis sobre conexões IP.

Impacto no Compute Engine

A infraestrutura de host que executa VMs do Compute Engine não está em risco. A infraestrutura de rede que processa o tráfego com origem e destino nas VMs do Compute Engine está protegida contra essa vulnerabilidade. As VMs do Compute Engine que apenas enviam/recebem tráfego de rede não confiável usando balanceadores de carga HTTP(S), SSL ou TCP estão protegidas contra essa vulnerabilidade.

As VMs do Compute Engine que executam sistemas operacionais sem patches que enviam/recebem tráfego de rede não confiável diretamente ou usando balanceadores de carga de rede estão vulneráveis a esse ataque de DoS.

Recomendamos atualizar suas instâncias de VM assim que os patches forem disponibilizados para os respectivos sistemas operacionais.

Os clientes do Compute Engine podem atualizar os sistemas operacionais convidados nas instâncias usando uma das seguintes opções:

• Use imagens públicas que receberam patch para recriar instâncias de VM. Veja a seguir a lista de imagens públicas que receberam patch.
• Em instâncias, instale os patches cedidos pelo fornecedor do sistema operacional e reinicie as instâncias que receberam patch.

Imagens que receberam patch e recursos do fornecedor

Enviaremos links com informações de patches de cada fornecedor de sistema operacional, assim que estiverem disponíveis.

• Projeto centos-cloud (somente CVE-2018-5390):
  • centos-7-v20180815
  • centos-6-v20180815
• Projeto coreos-cloud (CVE-2018-5390 e CVE-2018-5391):
  • coreos-stable-1800-7-0-v20180816
  • coreos-beta-1855-2-0-v20180816
  • coreos-alpha-1871-0-0-v20180816
• Projeto cos-cloud (CVE-2018-5390 e CVE-2018-5391):
  • cos-stable-65-10323-98-0
  • cos-stable-66-10452-109-0
  • cos-stable-67-10575-65-0
  • cos-beta-68-10718-76-0
  • cos-dev-69-10895-16-0
• Projeto debian-cloud (CVE-2018-5390 e CVE-2018-5391):
  • debian-9-stretch-v20180814
• Projeto rhel-cloud (somente CVE-2018-5390):
  • rhel-7-v20180814
  • rhel-6-v20180814
• Projeto suse-cloud (CVE-2018-5390 e CVE-2018-5391):
  • sles-15-v20180816
  • sles-12-sp3-v20180814
• Projeto suse-sap-cloud (CVE-2018-5390 e CVE-2018-5391):
  • sles-15-sap-v20180816
  • sles-12-sp3-sap-v20180814
  • sles-12-sp2-sap-v20180816
• Projeto ubuntu-os-cloud (CVE-2018-5390 e CVE-2018-5391):
  • ubuntu-1804-bionic-v20180814
  • ubuntu-1604-xenial-v20180814
  • ubuntu-1404-trusty-v20180814
  • ubuntu-minimal-1804-bionic-v20180814
  • ubuntu-minimal-1604-xenial-v20180814

• CVE-2018-5390
• CVE-2018-5391

Atualização: 21/05/2018

A CVE-2018-3640 e a CVE-2018-3639, variantes 3a e 4, respectivamente, foram divulgadas pela Intel (links em inglês). Assim como no caso das primeiras três variantes do Spectre e do Meltdown, a infraestrutura em que as instâncias de VM do Compute Engine são executadas está protegida, e as instâncias de VM de clientes estão isoladas e protegidas umas das outras. Além disso, a equipe do Compute Engine planeja implantar patches de microcódigo da Intel na nossa infraestrutura. Isso permitirá que os clientes que executam cargas de trabalho não confiáveis ou multilocatárias em uma única instância de VM habilitem mitigações na própria VM quando essas mitigações forem disponibilizadas pelos fornecedores de sistemas operacionais. A equipe do Compute Engine implantará os patches de microcódigo após a certificação da Intel, depois de testá-los e qualificá-los para nosso ambiente de produção. Apresentaremos cronogramas e atualizações mais detalhados nesta página quando eles estiverem disponíveis.

Descrição

Essas CVEs são variantes de uma nova classe de ataque. Elas exploram a tecnologia de execução especulativa disponível em muitos processadores. Essa classe de ataque pode permitir acesso somente leitura não autorizado aos dados da memória em diversas circunstâncias.

O Google Compute Engine usou a tecnologia VM Live Migration para executar atualizações no sistema host e no hipervisor sem impacto ao usuário, sem janelas de manutenção forçadas e sem a necessidade de uma reinicialização geral. No entanto, é preciso corrigir todos os sistemas operacionais convidados e versões para fins de proteção contra essa nova classe de ataque, independentemente do lugar de execução desses sistemas.

Leia a postagem do blog Project Zero para saber detalhes técnicos completos sobre esse método de ataque. Leia a postagem do blog de segurança do Google (em inglês) para saber detalhes completos sobre as mitigações do Google, incluindo todas as informações específicas de produto.

Impacto no Compute Engine

A infraestrutura que executa o Compute Engine e isola as instâncias de VM do cliente umas das outras é protegida contra ataques conhecidos. Nossas ações de redução de danos impedem o acesso não autorizado a nossos sistemas host de aplicativos que estão sendo executados em instâncias de VM. Essas ações também impedem o acesso não autorizado entre instâncias de VM que funcionam no mesmo sistema host.

Para evitar o acesso não autorizado nas instâncias da máquina virtual, é necessário atualizar os sistemas operacionais convidados nessas instâncias usando uma das seguintes opções:

• Use imagens públicas que receberam patch para recriar suas instâncias de VM. Veja a seguir a lista de imagens públicas que receberam patch.
• Em suas instâncias, instale os patches cedidos pelo fornecedor do sistema operacional para sua distribuição e reinicie as instâncias que receberam patch. Veja a seguir links para informações sobre os patches de cada fornecedor do sistema operacional.

Imagens que receberam patch e recursos do fornecedor

Observação: as imagens que receberam patch podem não incluir correções para todas as CVEs listadas neste aviso do boletim de segurança. Além disso, imagens diferentes podem incluir diferentes métodos para prevenir esses tipos de ataques. Entre em contato com o fornecedor do sistema operacional para confirmar quais CVEs eles abordam nos respectivos patches e quais métodos de prevenção eles usam.

• Projeto cos-cloud: inclui patches que impedem os ataques da variante 2 (CVE-2017-5715) e da variante 3 (CVE-2017-5754). O Google usou a Retpoline nessas imagens para mitigar ataques da Variante 2.
  • cos-stable-63-10032-71-0 ou família de imagens cos-stable
• Projeto centos-cloud: informações de patch do CentOS
  • centos-7-v20180104 ou família de imagens centos-7
  • centos-6-v20180104 ou família de imagens centos-6
• Projeto coreos-cloud: informações de patch do CoreOS
  • coreos-stable-1576-5-0-v20180105 ou família de imagens coreos-stable
  • coreos-beta-1632-1-0-v20180105 ou família de imagens coreos-beta
  • coreos-alpha-1649-0-0-v20180105 ou família de imagens coreos-alpha
• Projeto debian-cloud: informações de patch do Debian
  • debian-9-stretch-v20180105 ou família de imagens debian-9
  • debian-8-jessie-v20180109 ou família de imagens debian-8
• Projeto rhel-cloud: informações de patch do RHEL
  • rhel-7-v20180104 ou família de imagens rhel-7
  • rhel-6-v20180104 ou família de imagens rhel-6
• Projeto suse-cloud: informações de patch do SUSE
  • sles-12-sp3-v20180104 ou família de imagens sles-12
  • sles-11-sp4-v20180104 ou família de imagens sles-11
• Projeto suse-sap-cloud: informações de patch do SUSE
  • sles-12-sp3-sap-v20180104 ou família de imagens sles-12-sp3-sap
  • sles-12-sp2-sap-v20180104 ou família de imagens sles-12-sp2-sap
• Projeto ubuntu-os-cloud: Informações de patch do Ubuntu
  • ubuntu-1710-artful-v20180109 ou família de imagens ubuntu-1710
  • ubuntu-1604-xenial-v20180109 ou família de imagens ubuntu-1604-lts
  • ubuntu-1404-trusty-v20180110 ou família de imagens ubuntu-1404-lts
• Projetos windows-cloud e windows-sql-cloud:
  • Todas as imagens públicas do Windows Server e do SQL Server com número de versão -v20180109 e posterior têm patches. No entanto, você precisa seguir as ações recomendadas fornecidas pela Microsoft no boletim de suporte de orientação do Windows Server para habilitar e verificar essas ações de redução em suas instâncias e instâncias criadas recentemente.

Use essas imagens para recriar suas instâncias de VMs. As versões anteriores dessas imagens públicas não contêm esses patches e não reduzem o risco de possíveis ataques.

Patches de fornecedores de hardware

A NVIDIA fornece drivers de patch para reduzir possíveis ataques contra sistemas com o software do driver da NVIDIA® instalado. Para saber quais versões de driver são corrigidas, leia o boletim de segurança Atualizações de segurança no driver de exibição da GPU da NVIDIA (em inglês) da NVIDIA.

Histórico de revisão:

• 21/05/2018 T 14h PST: informações adicionadas sobre duas novas variantes divulgadas em 21 de maio de 2018.
• 10/01/2018 T 15h PST: informações adicionadas sobre imagens públicas do Windows Server e do SQL Server corrigidas.
• 10/01/2018 T 10h15 PST: várias imagens Ubuntu adicionadas à lista de imagens públicas corrigidas.
• 10/01/2018 T 09h50 PST: fornecedores de hardware adicionaram orientações para correções.
• 03/01/2018 a 29/01/2018: várias revisões realizadas na lista de imagens públicas corrigidas.

• CVE-2017-5753
• CVE-2017-5715
• CVE-2017-5754
• CVE-2018-3640
• CVE-2018-3639

O Dnsmasq fornece funcionalidades para veicular DNS, DHCP, anúncios de roteadores e inicialização de rede. Normalmente, esse software é instalado em sistemas tão variados quanto distribuições Linux para desktop (como Ubuntu), roteadores domésticos e dispositivos IoT. O Dnsmasq é amplamente utilizado, tanto na Internet aberta quanto internamente em redes privadas.

O Google descobriu sete problemas diferentes ao longo de nossas avaliações de segurança interna regulares. Depois de determinarmos a gravidade desses problemas, trabalhamos para investigar o impacto e a capacidade de exploração deles e, em seguida, produzimos provas internas de conceito para cada um deles. Também trabalhamos com o mantenedor do Dnsmasq, Simon Kelly, para produzir os patches adequados e mitigar o problema.

Durante nossa revisão, a equipe encontrou três possíveis execuções de código remoto, um vazamento de informações e três vulnerabilidades de negação de serviço que afetam a versão mais recente no servidor git do projeto em 5 de setembro de 2017.

Esses patches são encaminhados e inseridos no repositório Git do projeto (em inglês).

Impacto no Compute Engine

Por padrão, o Dnsmasq só é instalado em imagens que usam NetworkManager (em inglês) e fica inativo por padrão. As imagens públicas do Compute Engine a seguir têm o Dnsmasq instalado:

• Ubuntu 16.04, 16.10, 17.04
• CentOS 7
• RHEL 7

No entanto, outras imagens podem ter o Dnsmasq instalado como uma dependência de outros pacotes. Recomendamos que você atualize suas instâncias Debian, Ubuntu, CentOS, RHEL, SLES e OpenSuse para que elas usem a imagem mais recente do sistema operacional. O CoreOS e o Container-Optimized SO não são afetados. As imagens do Windows também não são afetadas.

Para instâncias com o Debian e Ubuntu, execute uma atualização com os seguintes comandos em sua instância:

sudo apt-get -y update

sudo apt-get -y dist-upgrade

Para instâncias do Red Hat Enterprise Linux e CentOS, execute:

sudo yum -y upgrade

Para imagens SLES e OpenSUSE, execute:

sudo zypper up

Como alternativa à execução dos comandos de atualização manual, recrie instâncias de VM usando as famílias de imagens do respectivo sistema operacional.

• CVE-2017-14491
• CVE-2017-14492
• CVE-2017-14493
• CVE-2017-14494
• CVE-2017-14495
• CVE-2017-14496
• CVE-2017-13704

A CVE-2016-5195 é uma disputa encontrada quando o subsistema de memória do kernel Linux manipulava a quebra da cópia na gravação (COW, na sigla em inglês) do mapeamento de memória particular somente de leitura.

Um usuário local sem privilégios pode usar essa falha para ter acesso de gravação a mapeamentos de memória somente de leitura e, assim, aumentar os privilégios dele no sistema.

Para mais informações, consulte Perguntas frequentes sobre Dirty COW (em inglês).

Impacto no Compute Engine

Todas as distribuições e versões do Linux no Compute Engine são afetadas. A maioria das instâncias faz o download e a instalação de um kernel mais recente automaticamente. No entanto, é necessário reinicializar para corrigir o sistema em execução.

Instâncias novas ou recriadas com base nas seguintes imagens do Compute Engine têm kernels com patches já instalados.

• centos-6-v20161026
• centos-7-v20161025
• coreos-alpha-1192-2-0-v20161021
• coreos-beta-1185-2-0-v20161021
• coreos-stable-1122-3-0-v20161021
• debian-8-jessie-v20161020
• rhel-6-v20161026
• rhel-7-v20161024
• sles-11-sp4-v20161021
• sles-12-sp1-v20161021
• ubuntu-1204-precise-v20161020
• ubuntu-1404-trusty-v20161020
• ubuntu-1604-xenial-v20161020
• ubuntu-1610-yakkety-v20161020

A CVE-2015-7547 é uma vulnerabilidade na qual o resolvedor do cliente DNS glibc deixa o software vulnerável a um estouro de buffer baseado em pilha, quando se usa a função da biblioteca getaddrinfo(). Um invasor se beneficia do software usando a função para explorar essa vulnerabilidade, com nomes de domínio e servidores DNS controlados pelo invasor, ou por meio de um ataque indireto.

Para mais detalhes, consulte a postagem do blog de segurança do Google ou o banco de dados Common Vulnerabilities and Exposures (CVE) (links em inglês).

Impacto no Compute Engine

Atualização em 22/02/2016:

Agora é possível recriar suas instâncias usando as seguintes imagens do CoreOS, SLES e OpenSUSE:

• coreos-alpha-962-0-0-v20160218
• coreos-beta-899-7-0-v20160218
• coreos-stable-835-13-0-v20160218
• opensuse-13-2-v20160222
• opensuse-leap-42-1-v20160222
• sles-11-sp4-v20160222
• sles-12-sp1-v20160222

Atualização (17/02/2016):

Agora é possível fazer uma atualização nas instâncias do Ubuntu 12.04 LTS, Ubuntu 14.04 LTS e Ubuntu 15.10 executando os seguintes comandos:

1. user@my-instance:~$ sudo apt-get -y update
2. user@my-instance:~$ sudo apt-get -y dist-upgrade
3. user@my-instance:~$ sudo reboot

Como alternativa para executar comandos de atualização manual, recrie as instâncias com estas imagens novas:

• backports-debian-7-wheezy-v20160216
• centos-6-v20160216
• centos-7-v20160216
• debian-7-wheezy-v20160216
• debian-8-jessie-v20160216
• rhel-6-v20160216
• rhel-7-v20160216
• ubuntu-1204-precise-v20160217a
• ubuntu-1404-trusty-v20160217a
• ubuntu-1510-wily-v20160217

Desconhecemos métodos que possam explorar essa vulnerabilidade por meio dos resolvedores DNS do Compute Engine com a configuração glibc padrão. Recomendamos que você corrija as instâncias de máquina virtual assim que possível, já que, como em qualquer nova vulnerabilidade, novos métodos de exploração podem ser descobertos com o tempo. Se você ativou o edns0 (desativado por padrão), é necessário desabilitá-lo até que os patches sejam aplicados às suas instâncias.

Boletim original:

É possível que sua distribuição Linux esteja vulnerável. Clientes do Compute Engine precisam atualizar as imagens do sistema operacional das instâncias deles para eliminar essa vulnerabilidade, caso estejam executando um SO Linux.

Para instâncias que executam o Debian, atualize com os seguintes comandos:

1. user@my-instance:~$ sudo apt-get -y update
2. user@my-instance:~$ sudo apt-get -y dist-upgrade
3. user@my-instance:~$ sudo reboot

Recomendamos também a instalação de UnattendedUpgrades para suas instâncias do Debian.

Para instâncias do Red Hat Enterprise Linux:

• user@my-instance:~$ sudo yum -y upgrade
• user@my-instance:~$ sudo reboot

Atualizaremos esse boletim assim que outros responsáveis pela manutenção de sistemas operacionais publicarem patches para essa vulnerabilidade, e o Compute Engine liberar imagens atualizadas desses sistemas.

A CVE-2015-1427 é uma vulnerabilidade em que o mecanismo de script Groovy no Elasticsearch anterior à versão 1.3.8 e outras versões 1.4.x anteriores à 1.4.3 permite que invasores remotos ignorem o mecanismo de proteção sandbox e executem os comandos shell que quiserem.

Para mais detalhes, consulte o National Vulnerability Database (NVD) ou o banco de dados Common Vulnerabilities and Exposures (CVE) (links em inglês).

Impacto no Compute Engine

Se você está executando o Elasticsearch nas suas instâncias do Compute Engine, faça upgrade do Elasticsearch para a versão 1.4.3 ou posterior. Se o upgrade já foi feito, você está protegido contra essa vulnerabilidade.

Se você não fez o upgrade do Elasticsearch 1.4.3 ou superior, é possível fazer um upgrade contínuo.

Se você implantou o Elasticsearch usando o recurso click-to-deploy no Google Cloud console, é possível excluir a implantação para remover instâncias que executem o Elasticsearch.

A equipe do Google Cloud está trabalhando em uma correção para implantar uma versão atualizada do Elasticsearch. No entanto, a correção ainda não está disponível para o recurso de clique para implantação no Google Cloud console.

A CVE-2015-0235 (Ghost) é uma vulnerabilidade na biblioteca glibc.

Não é necessária nenhuma ação de clientes do App Engine, Cloud Storage, BigQuery e Cloud SQL. Os servidores do Google foram atualizados e estão protegidos contra essa vulnerabilidade.

Talvez os clientes do Compute Engine precisem atualizar as imagens do SO.

Impacto no Compute Engine

É possível que sua distribuição Linux esteja vulnerável. Clientes do Compute Engine precisam atualizar as imagens do sistema operacional das instâncias deles para eliminar essa vulnerabilidade, caso estejam executando o Debian 7, Debian 7 backports, Ubuntu 12.04 LTS, Red Hat Enterprise Linux, CentOS ou o SUSE Linux Enterprise Server 11 SP3.

Essa vulnerabilidade não afeta o Ubuntu 14.04 LTS, o Ubuntu 14.10 nem o SUSE Linux Enterprise Server 12.

Recomendamos que você faça o upgrade das suas distribuições Linux. Para instâncias que executam o Debian 7, Debian 7 backports ou Ubuntu 12.04 LTS, atualize com os seguintes comandos:

1. user@my-instance:~$ sudo apt-get update
2. user@my-instance:~$ sudo apt-get -y upgrade
3. user@my-instance:~$ sudo reboot

Para instâncias do Red Hat Enterprise Linux ou CentOS:

1. user@my-instance:~$ sudo yum -y upgrade
2. user@my-instance:~$ sudo reboot

Para instâncias do SUSE Linux Enterprise Server 11 SP3:

1. user@my-instance:~$ sudo zypper --non-interactive up
2. user@my-instance:~$ sudo reboot

Como alternativa para executar os comandos de atualização manual acima, os usuários recriam as instâncias deles com estas imagens novas:

• debian-7-wheezy-v20150127
• backports-debian-7-wheezy-v20150127
• centos-6-v20150127
• centos-7-v20150127
• rhel-6-v20150127
• rhel-7-v20150127
• sles-11-sp3-v20150127
• ubuntu-1204-precise-v20150127

Impacto na VM gerenciada do Google

Os usuários de VMs gerenciadas que usam gcloud preview app deploy precisam atualizar os contêineres Docker básicos com gcloud preview app setup-managed-vms e reimplantar cada um dos apps em execução usando gcloud preview app deploy. Os usuários que implantam com appcfg não precisam fazer nada e serão atualizados automaticamente.

A CVE-2014-3566 (também conhecida como POODLE) é uma vulnerabilidade na concepção do SSL, versão 3.0. Essa vulnerabilidade permite que o plaintext de conexões seguras seja calculado por um invasor de rede. Para mais detalhes, confira nossa postagem do blog sobre a vulnerabilidade.

Não é necessária nenhuma ação de clientes do App Engine, Cloud Storage, BigQuery e Cloud SQL. Os servidores do Google foram atualizados e estão protegidos contra essa vulnerabilidade. Os clientes do Compute Engine precisam atualizar as imagens do SO.

Impacto no Compute Engine

Atualizado em 17/10/2014:

Se você está usando o SSLv3, é possível que esteja vulnerável. Clientes do Compute Engine precisam atualizar as imagens do SO das instâncias deles para eliminar essa vulnerabilidade.

Recomendamos que você faça o upgrade das suas distribuições Linux. Para instâncias que executam o Debian, atualize com os seguintes comandos:

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade
user@my-instance:~$ sudo reboot

Para instâncias do CentOS:

user@my-instance:~$ sudo yum -y upgrade
user@my-instance:~$ sudo reboot

Como alternativa para executar os comandos de atualização manual acima, os usuários recriam as instâncias deles com estas imagens novas:

• centos-6-v20141016
• centos-7-v20141016
• debian-7-wheezy-v20141017
• backports-debian-7-wheezy-v20141017

Vamos atualizar o boletim para imagens RHEL e SLES assim que tivermos as imagens. Enquanto isso, os usuários do RHEL podem consultar a Red Hat para mais informações.

Boletim original:

Os clientes do Compute Engine precisam atualizar as imagens do SO das instâncias deles para eliminar essa vulnerabilidade. Esse boletim de segurança será atualizado com instruções assim que novas imagens do SO estiverem disponíveis.

Há um bug no bash (CVE-2014-6271) que permite a execução remota do código baseado em análise de qualquer variável de ambiente controlada pelo invasor. O vetor mais provável de exploração ocorre por meio de solicitações HTTP mal-intencionadas feitas para scripts CGI (Common Gateway Interface) expostos em um servidor da Web. Para mais informações, consulte a descrição do bug.

Os bugs do bash foram minimizados para produtos do Google Cloud , exceto para imagens do SO convidado do Compute Engine com data anterior a 26/09/2014. Consulte abaixo as etapas para mitigar os bugs das suas imagens do Compute Engine.

Impacto no Compute Engine

Esse bug afeta quase todos os sites que usam scripts CGI. Além disso, é provável que ele afete sites que dependem de PHP, Perl, Python, SSI, Java, C++ e servlets semelhantes que invocam comandos de shell usando chamadas como popen, system, shell_exec ou APIs semelhantes. Também pode afetar sistemas que tentam permitir acesso de login controlado a usuários restritos usando mecanismos como limitação de comandos SSH ou o shell restrito do bash.

Atualização (29/09/2014):

Como alternativa à execução dos comandos de atualização manual abaixo, os usuários agora podem recriar as instâncias com imagens que mitigam outras vulnerabilidades relacionadas ao bug de segurança do bash, incluindo CVE-2014-7169, CVE-2014-6277, CVE-2014-6278, CVE-2014-7186, e CVE-2014-7187. Use estas imagens novas para recriar suas instâncias:

• centos-6-v20140926
• centos-7-v20140926
• debian-7-wheezy-v20140926
• backports-debian-7-wheezy-v20140926
• rhel-6-v20140926

Atualização (25/09/2014):

Os usuários agora podem recriar as instâncias deles em vez de executar uma atualização manual. Para recriar suas instâncias, use estas imagens novas que contêm correções para este bug de segurança:

• backports-debian-7-wheezy-v20140924
• debian-7-wheezy-v20140924
• rhel-6-v20140924
• centos-6-v20140924
• centos-7-v20140924

Para imagens RHEL e SUSE, faça as atualizações manualmente executando os seguintes comandos em suas instâncias:

# RHEL instances
user@my-instance:~$ sudo yum -y upgrade

# SUSE instances
user@my-instance:~$ sudo zypper --non-interactive up

Boletim original:

Recomendamos que você faça o upgrade das suas distribuições Linux. Para instâncias com o Debian, execute os seguintes comandos:

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade

Para instâncias do CentOS:

user@my-instance:~$ sudo yum -y upgrade

Para mais informações, analise o anúncio da respectiva distribuição Linux:

• Patches originais: http://ftp.gnu.org/gnu/bash/, consulte a última entrada em *-patches para a versão apropriada
• Debian: [SECURITY] [DSA 3032-1] atualização de segurança do bash
• RHEL:
  • RHSA-2014:1293-01
  • RHSA-2014:1294-01
• CentOS 5: [CentOS-announce] CESA-2014:1293
• CentOS 6: [CentOS-announce] CESA-2014:1293
• CentOS 7: [CentOS-announce] CESA-2014:1293

O Elasticsearch Logstash é vulnerável à injeção de comando do SO que permite modificação e divulgação não autorizadas de dados. Um invasor envia eventos elaborados para qualquer uma das fontes de dados do Logstash, possibilitando a execução de comandos com permissões do processo do Logstash.

Impacto no Compute Engine

Essa vulnerabilidade afeta todas as instâncias do Compute Engine que executam versões do Elasticsearch Logstash anteriores à 1.4.2 com saídas Zabbix ou nagios_nsca ativadas. Para evitar o ataque, siga estas etapas:

• Faça o upgrade para Logstash 1.4.2.
• Aplique o patch nas versões 1.3.x.
• Desative as saídas zabbix e nagios_nsca.

Leia mais sobre no blog Logstash.

O Elasticsearch também recomenda o uso de um firewall para impedir o acesso remoto de IPs não confiáveis.

Durante execução no Google Cloud, vamos reservar um momento para responder a eventuais dúvidas dos clientes sobre segurança de contêineres do Docker. Isso inclui clientes que utilizam as extensões do App Engine que suportam contêineres do Docker, máquinas virtuais otimizadas de contêiner ou programador de Kubernetes de código aberto.

O excelente trabalho feito pelo Docker em resposta aos problemas está no blog. Clique aqui e confira. Observe que, como diz a resposta, o problema revelado só se aplica ao Docker 0.11, uma versão antiga de pré-produção.

Com a preocupação mundial sobre segurança de contêiner, queremos observar que, no Google Cloud, as soluções baseadas em contêiner de aplicativo do Linux (especificamente contêineres do Docker) são executadas em máquinas virtuais completas (Compute Engine). Mesmo com nosso apoio aos esforços da comunidade do Docker para fortalecer a pilha de contêineres de aplicativos do Linux, reconhecemos que a tecnologia é nova e a área de superfície é grande. Acreditamos que, por enquanto, hipervisores completos (máquinas virtuais) oferecem uma área de superfície mais compacta e justificável. As máquinas virtuais foram projetadas desde o início para isolar cargas de trabalho mal-intencionadas e minimizar a probabilidade e o impacto de um bug de código.

Nossos clientes podem ter certeza de que existe um limite de hipervisor completo entre eles e qualquer código potencialmente mal-intencionado de terceiros. Quando considerarmos a pilha de contêineres de aplicativos do Linux robusta o suficiente para suportar cargas de trabalho com hospedagem múltipla, informaremos à comunidade. Por enquanto, o contêiner de aplicativos do Linux não substitui a máquina virtual. É uma maneira de ter um desempenho ainda melhor.

O OpenSSL tem um problema em que as mensagens ChangeCipherSpec não são vinculadas corretamente à máquina de estado de handshake. Isso permite que elas sejam inseridas antecipadamente no handshake. Um invasor que usa um handshake bem desenvolvido força o uso de material de chave fraca em clientes e servidores do OpenSSL SSL/TLS. Isso pode ser explorado por um ataque person-in-the-middle (PITM), em que o invasor pode descriptografar e modificar o tráfego do cliente e do servidor atacados.

Esse problema é identificado como CVE-2014-0224. A equipe do OpenSSL corrigiu o problema e alertou a comunidade do OpenSSL para atualizá-lo.

Impacto no Compute Engine

Essa vulnerabilidade afeta todas as instâncias do Compute Engine que usam OpenSSL, inclusive Debian, CentOS, Red Hat Enterprise Linux e SUSE Linux Enterprise Server. Atualize suas instâncias recriando-as com novas imagens ou atualizando manualmente os pacotes.

Atualização em 09/06/2014: para atualizar as instâncias que executam o SUSE Linux Enterprise Server com novas imagens, recrie-as usando as seguintes versões de imagem ou superiores:

• sles-11-sp3-v20140609

Postagem original:

Para atualizar instâncias do Debian e do CentOS usando novas imagens, recrie suas instâncias usando uma das seguintes versões de imagem ou superiores:

• debian-7-wheezy-v20140605
• backports-debian-7-wheezy-v20140605
• centos-6-v20140605
• rhel-6-v20140605

Para atualizar manualmente o OpenSSL em suas instâncias, execute os seguintes comandos para atualizar os pacotes apropriados. Para instâncias com o CentOS e o RHEL, atualize o OpenSSL executando estes comandos:

user@my-instance:~$ sudo yum -y update
user@my-instance:~$ sudo reboot

Para instâncias que executam o Debian, atualize o OpenSSL com os seguintes comandos:

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade
user@my-instance:~$ sudo reboot

Para instâncias com o SUSE Linux Enterprise Server, garanta a atualização do OpenSSL executando estes comandos:

user@my-instance:~$ sudo zypper --non-interactive up
user@my-instance:~$ sudo reboot

As implementações (1) TLS e (2) DTLS no OpenSSL 1.0.1 antes da 1.0.1g não processam corretamente pacotes de extensão de pulsação, o que permite que invasores remotos obtenham informações sensíveis da memória de processo usando pacotes criados que acionam uma leitura excessiva de buffer, conforme demonstrado pela leitura de chaves privadas, relacionada a d1_both.c e t1_lib.c, também conhecido como o bug Heartbleed.

Impacto no Compute Engine

Essa vulnerabilidade afeta todas as instâncias de Debian, RHEL e CentOS do Compute Engine que não têm a versão mais atualizada do OpenSSL. É possível atualizar as instâncias recriando-as com novas imagens ou atualizando manualmente os pacotes nelas.

Para atualizar suas instâncias usando novas imagens, recrie-as usando qualquer uma das seguintes versões de imagem ou superiores:

• debian-7-wheezy-v20140408
• backports-debian-7-wheezy-v20140408
• centos-6-v20140408
• rhel-6-v20140408

Para atualizar manualmente o OpenSSL em suas instâncias, execute os seguintes comandos para atualizar os pacotes apropriados. Para instâncias com o CentOS e o RHEL, garanta a atualização do OpenSSL executando estes comandos:

user@my-instance:~$ sudo yum update
user@my-instance:~$ sudo reboot

Para instâncias que executam o Debian, atualize o OpenSSL com os seguintes comandos:

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get upgrade
user@my-instance:~$ sudo reboot

Instâncias que executam o SUSE Linux não são afetadas.

Atualização em 14 de abril de 2014: segundo o critério de novas pesquisas sobre extração de chaves usando o bug Heartbleed, o Compute Engine recomenda que seus clientes criem novas chaves para qualquer serviço SSL afetado.

Observação: essa vulnerabilidade só é aplicável a kernels obsoletos e removidos desde a versão v1 da API.

Uma vulnerabilidade de string de formato na função b43_request_firmware em drivers/net/wireless/b43/main.c no driver sem fio Broadcom B43 no kernel do Linux até a versão 3.9.4 permite que usuários locais recebam privilégios aproveitando o acesso root e incluindo especificadores de string de formato em um parâmetro fwpostfix modprobe, resultando na construção inadequada de uma mensagem de erro.

Impacto no Compute Engine

Essa vulnerabilidade afeta todos os kernels do Compute Engine anteriores a gcg-3.3.8-201305291443. Em resposta, o Compute Engine descontinuou todos os kernels anteriores e recomenda que os usuários atualizem as instâncias e imagens para usar o kernel do Compute Engine gce-v20130603. gce-v20130603 contém o kernel gcg-3.3.8-201305291443, que tem o patch para essa vulnerabilidade.

Para saber qual versão do kernel a instância está usando, faça o seguinte:

1. Conectar-se à instância usando SSH
2. Executar uname -r

Observação: essa vulnerabilidade só é aplicável a kernels obsoletos e removidos desde a versão v1 da API.

Uma vulnerabilidade de string de formato na função register_disk em block/genhd.c no kernel do Linux até a versão 3.9.4 permite que usuários locais recebam privilégios aproveitando o acesso root e gravando especificadores de string de formato em /sys/module/md_mod/parameters/new_array para criar um nome de dispositivo /dev/md elaborado.

Impacto no Compute Engine

Essa vulnerabilidade afeta todos os kernels do Compute Engine anteriores a gcg-3.3.8-201305291443. Em resposta, o Compute Engine descontinuou todos os kernels anteriores e recomenda que os usuários atualizem as instâncias e imagens para usar o kernel do Compute Engine gce-v20130603. gce-v20130603 contém o kernel gcg-3.3.8-201305291443, que tem o patch para essa vulnerabilidade.

Para saber qual versão do kernel a instância está usando, faça o seguinte:

1. Conectar-se à instância usando SSH
2. Executar uname -r

Observação: essa vulnerabilidade só é aplicável a kernels obsoletos e removidos desde a versão v1 da API.

A função perf_swevent_init em kernel/events/core.c no kernel do Linux anterior ao 3.8.9 usa um tipo de dados integer incorreto, que permite aos usuários locais receber privilégios usando uma chamada de sistema perf_event_open elaborada.

Impacto no Compute Engine

Essa vulnerabilidade afeta todos os kernels do Compute Engine anteriores a gcg-3.3.8-201305211623. Em resposta, o Compute Engine descontinuou todos os kernels anteriores e recomenda que os usuários atualizem as instâncias e imagens para usar o kernel do Compute Engine gce-v20130521. gce-v20130521 contém o kernel gcg-3.3.8-201305211623, que tem o patch para essa vulnerabilidade.

Para saber qual versão do kernel a instância está usando, faça o seguinte:

1. Conectar-se à instância usando SSH
2. Executar uname -r

Observação: essa vulnerabilidade só é aplicável a kernels obsoletos e removidos desde a versão v1 da API.

A disputa na funcionalidade ptrace no kernel do Linux anterior ao 3.7.5 permite aos usuários locais receber privilégios usando uma chamada de sistema PTRACE_SETREGS ptrace em um aplicativo elaborado.

Impacto no Compute Engine

Essa vulnerabilidade afeta os kernels 2.6.x-gcg-<date> do Compute Engine. Em resposta, o Compute Engine descontinuou os kernels 2.6.x e recomenda que os usuários atualizem as instâncias e imagens para usar o kernel do Compute Engine gce-v20130225. gce-v20130225 contém o kernel 3.3.8-gcg-201302081521, que tem o patch para essa vulnerabilidade.

Para saber qual versão do kernel a instância está usando, faça o seguinte:

1. Conectar-se à instância usando SSH
2. Executar uname -r