Sicherheitsbulletins

Im Folgenden werden alle Sicherheitsbulletins im Zusammenhang mit Developer Connect beschrieben.

Sie haben folgende Möglichkeiten, um die neuesten Sicherheitsbulletins zu erhalten:

  • Fügen Sie Ihrem Feed-Reader die URL dieser Seite hinzu.
  • Fügen Sie die Feed-URL direkt Ihrem Feedreader hinzu.

GCP-2026-048

Veröffentlicht: 13.07.2026

Beschreibung

Beschreibung Schweregrad Hinweise

Wenn Sie Repository-Verbindungen erstellen oder aktualisieren, verwendet Developer Connect Secret Manager-Secrets, um sich bei Git-Drittanbietern zu authentifizieren. Bei Verbindungen zu GitLab Enterprise (GLE) und Bitbucket Data Center (BBDC) wurden diese referenzierten Secrets zuvor vom Developer Connect-Dienst-Agent (P4SA) in Ihrem Namen abgerufen. Das bedeutet, dass Berechtigungsprüfungen anhand der Anmeldedaten des P4SA und nicht anhand der Anmeldedaten des aufrufenden Principals durchgeführt wurden. Dadurch könnte ein Prinzipal mit eingeschränkten Berechtigungen referenzierte Secret Manager-Secrets lesen, indem er die Host-URI der Repository-Verbindung auf einen vom Angreifer kontrollierten Endpunkt verweist.

Um diese Sicherheitslücke zu schließen und das Sicherheitsprinzip der geringsten Berechtigung einzuhalten, prüft Developer Connect jetzt Berechtigungen anhand der Anmeldedaten des aufrufenden Principals (mit Endnutzeranmeldedaten) und des P4SA, wenn Repository-Verbindungs-APIs für GitLab Enterprise (GLE) und Bitbucket Data Center (BBDC) aufgerufen werden. Der Server prüft jetzt, ob sowohl der Aufrufer als auch das P4SA die IAM-Berechtigung secretmanager.versions.access für die referenzierten Secret Manager-Secrets haben.

Was soll ich tun?

Für bestehende Repository-Verbindungen ist keine Aktion erforderlich. Wenn beim Erstellen oder Aktualisieren von Repository-Verbindungen für GitLab Enterprise (GLE) oder Bitbucket Data Center (BBDC) Berechtigungsfehler auftreten, weisen Sie dem Nutzer oder Dienstkonto, der bzw. das die Verbindungen erstellt oder aktualisiert, die Rolle „Secret Manager Secret Accessor“ (roles/secretmanager.secretAccessor) für die referenzierten Secrets zu.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Diese Sicherheitslücke ermöglichte es Nutzern mit Administratorzugriff auf die Repository-Verbindung, referenzierte Secret Manager-Secrets zu lesen, da die Berechtigungsprüfungen nur anhand der Anmeldedaten des P4SA durchgeführt wurden. Da Berechtigungsprüfungen sowohl für den aufrufenden Prinzipal (mit Endnutzeranmeldedaten) als auch für das P4SA für GitLab Enterprise (GLE) und Bitbucket Data Center (BBDC) erforderlich sind, können nur Nutzer, die mit der IAM-Berechtigung secretmanager.versions.access für die Secrets autorisiert sind (zusätzlich zum P4SA selbst), diese in Repository-Verbindungen verwenden.

Mittel