Buletin keamanan

Halaman ini menjelaskan semua buletin keamanan yang terkait dengan Google Cloud Observability.

GCP-2026-009

Dipublikasikan: 13-02-2026

Deskripsi	Keparahan	Catatan
Versi antarmuka pengguna Log Analytics sebelum Januari 2026 dapat dikonfigurasi untuk otomatis menjalankan kueri SQL. Kerentanan dapat memungkinkan penyerang membuat URL kueri yang, jika dibuka oleh seseorang dengan kredensial, dapat mengakses konten tabel atau menimbulkan biaya kueri. Apa yang sebaiknya saya lakukan? Pengguna tidak perlu melakukan tindakan apa pun. Kerentanan ini telah di-patch, dan antarmuka pengguna yang terpengaruh telah diupdate pada Januari 2026 untuk menyertakan titik intervensi guna mencegah SQL berbahaya berjalan tanpa kesempatan bagi pengguna untuk memeriksanya. Kerentanan apa yang ditangani? Kerentanan ini dapat memungkinkan penyerang mengakses konten terbatas dari tabel Log Analytics atau BigQuery target saat target menjalankan kueri SQL buatan penyerang. Kerentanan ini memanfaatkan log audit BigQuery untuk menyampaikan informasi tentang konten tabel target ke project Google Cloud yang dikontrol penyerang. Kerentanan ini diperparah oleh perilaku antarmuka Log Analytics yang otomatis menjalankan kueri yang disematkan dalam URL, yang mencegah target memeriksa kueri buatan penyerang sebelum mengeksekusinya dengan kredensial mereka.	Tinggi

Deskripsi

Keparahan

Catatan

Versi antarmuka pengguna Log Analytics sebelum Januari 2026 dapat dikonfigurasi untuk otomatis menjalankan kueri SQL. Kerentanan dapat memungkinkan penyerang membuat URL kueri yang, jika dibuka oleh seseorang dengan kredensial, dapat mengakses konten tabel atau menimbulkan biaya kueri.

Apa yang sebaiknya saya lakukan?

Pengguna tidak perlu melakukan tindakan apa pun. Kerentanan ini telah di-patch, dan antarmuka pengguna yang terpengaruh telah diupdate pada Januari 2026 untuk menyertakan titik intervensi guna mencegah SQL berbahaya berjalan tanpa kesempatan bagi pengguna untuk memeriksanya.

Kerentanan apa yang ditangani?

Kerentanan ini dapat memungkinkan penyerang mengakses konten terbatas dari tabel Log Analytics atau BigQuery target saat target menjalankan kueri SQL buatan penyerang.

Kerentanan ini memanfaatkan log audit BigQuery untuk menyampaikan informasi tentang konten tabel target ke project Google Cloud yang dikontrol penyerang. Kerentanan ini diperparah oleh perilaku antarmuka Log Analytics yang otomatis menjalankan kueri yang disematkan dalam URL, yang mencegah target memeriksa kueri buatan penyerang sebelum mengeksekusinya dengan kredensial mereka.

Tinggi

GCP-2026-005

Dipublikasikan: 28-01-2026

Deskripsi	Keparahan	Catatan
Kerentanan ini memengaruhi antarmuka Log Analytics dan antarmuka dashboard Cloud Monitoring versi sebelum Januari 2026. Apa yang sebaiknya saya lakukan? Pengguna tidak perlu melakukan tindakan apa pun. Antarmuka pengguna yang terpengaruh telah diperbarui pada Januari 2026 untuk menyertakan titik intervensi guna mencegah SQL berbahaya berjalan tanpa memberi pengguna kesempatan untuk memeriksanya. Kerentanan apa yang ditangani? Kerentanan ini memungkinkan penyerang mengakses konten terbatas dari Log Analytics atau tabel BigQuery target saat target melihat dasbor buatan penyerang. Kerentanan ini memanfaatkan saluran metadata BigQuery untuk menyampaikan informasi tentang konten tabel target ke project Google Cloud yang dikontrol penyerang. Kerentanan ini diperparah oleh perilaku antarmuka dasbor yang otomatis menjalankan kueri untuk mengisi widget yang didukung SQL, sehingga mencegah target memeriksa kueri buatan penyerang sebelum mengeksekusinya dengan kredensial mereka.	Tinggi

Deskripsi

Keparahan

Catatan

Kerentanan ini memengaruhi antarmuka Log Analytics dan antarmuka dashboard Cloud Monitoring versi sebelum Januari 2026.

Apa yang sebaiknya saya lakukan?

Pengguna tidak perlu melakukan tindakan apa pun. Antarmuka pengguna yang terpengaruh telah diperbarui pada Januari 2026 untuk menyertakan titik intervensi guna mencegah SQL berbahaya berjalan tanpa memberi pengguna kesempatan untuk memeriksanya.

Kerentanan apa yang ditangani?

Kerentanan ini memungkinkan penyerang mengakses konten terbatas dari Log Analytics atau tabel BigQuery target saat target melihat dasbor buatan penyerang.

Kerentanan ini memanfaatkan saluran metadata BigQuery untuk menyampaikan informasi tentang konten tabel target ke project Google Cloud yang dikontrol penyerang. Kerentanan ini diperparah oleh perilaku antarmuka dasbor yang otomatis menjalankan kueri untuk mengisi widget yang didukung SQL, sehingga mencegah target memeriksa kueri buatan penyerang sebelum mengeksekusinya dengan kredensial mereka.

Tinggi

Buletin keamanan Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

GCP-2026-009

GCP-2026-005

Buletin keamanan