בהמשך מפורטים כל עדכוני האבטחה הדחופים שקשורים ל-Developer Connect.
כדי לקבל את עדכוני האבטחה האחרונים, אפשר לבצע אחת מהפעולות הבאות:
- מוסיפים את כתובת ה-URL של הדף הזה לקורא הפידים.
- מוסיפים את כתובת ה-URL של הפיד ישירות לקורא הפידים.
GCP-2026-048
תאריך פרסום: 13 ביולי 2026
תיאור
| תיאור | רמת סיכון | הערות |
|---|---|---|
|
כשיוצרים או מעדכנים קישורים למאגרים, Developer Connect משתמש בסודות של Secret Manager כדי לבצע אימות מול ספקי Git של צד שלישי. בחיבורים ל-GitLab Enterprise (GLE) ול-Bitbucket Data Center (BBDC), סודות שמוזכרים בהפניה אוחזרו בעבר על ידי סוכן השירות Developer Connect (P4SA) בשמכם. המשמעות היא שבוצעו בדיקות הרשאות מול פרטי הכניסה של P4SA ולא מול פרטי הכניסה של הגורם המבצע את הקריאה. הדבר עלול לאפשר לישות עם הרשאות מוגבלות לקרוא סודות של Secret Manager שאליהם יש הפניה, על ידי הפניית מארח ה-URI של חיבור המאגר לנקודת קצה שנשלטת על ידי תוקף. כדי לצמצם את הפגיעות הזו ולפעול בהתאם לעקרון האבטחה של הרשאה מינימלית, Developer Connect בודק עכשיו את ההרשאות גם מול פרטי הכניסה של הגורם המבצע (באמצעות פרטי כניסה של משתמש קצה) וגם מול P4SA כשמתבצעת קריאה למאגרי חיבורים של GitLab Enterprise (GLE) ו-Bitbucket Data Center (BBDC). השרת בודק עכשיו שלשירות המפעיל ול-P4SA יש את הרשאת ה-IAM פעולות מומלצות לא נדרשת כל פעולה לגבי חיבורים קיימים למאגרי מידע. אם נתקלים בשגיאות הרשאה כשיוצרים או מעדכנים חיבורים למאגרים של GitLab Enterprise (GLE) או Bitbucket Data Center (BBDC), צריך להעניק למשתמש או לחשבון השירות שיוצרים או מעדכנים את החיבורים את התפקיד Secret Manager Secret Accessor ( אילו נקודות חולשה טופלו במסגרת התיקון הזה? הפגיעות הזו אפשרה למשתמשים עם גישת אדמין לחיבור למאגר לקרוא סודות של Secret Manager שהייתה אליהם הפניה, כי בדיקות ההרשאות בוצעו רק מול פרטי הכניסה של P4SA. כדי להשתמש בחיבורים למאגרי GitLab Enterprise (GLE) ו-Bitbucket Data Center (BBDC), צריך לבצע בדיקות הרשאות גם מול הגורם הקורא (באמצעות פרטי הכניסה של משתמש הקצה) וגם מול P4SA. כך, רק משתמשים שהורשו עם הרשאת IAM |
בינוני |