עדכוני אבטחה דחופים

בדף הזה מתוארים כל עדכוני האבטחה הדחופים שקשורים ל-Google Cloud Observability.

GCP-2026-039

תאריך פרסום: 22 ביוני 2026

תיאור רמת סיכון הערות

פגיעות ב-Cloud Logging עלולה הייתה לאפשר לתוקפים לחטוף יעדים של מאגרי יומנים על ידי יצירה מחדש של קטגוריית היעד ב-Cloud Storage בפרויקט שנשלט על ידי התוקף. הבעיה הזו עלולה לגרום להעברה רציפה של יומנים רגישים לצד שלישי לא מורשה.

פעולות מומלצות

לא נדרשת שום פעולה. עדכנו את Cloud Logging כדי לטפל בפגיעות הזו. לכן, מעכשיו, יעד ליומן יחזיר שגיאה אם הפרויקט הראשי של יעד של קטגוריה של Cloud Storage השתנה מאז ההגדרה הראשונית. כדי לשחזר את ייצוא היומנים, המשתמשים צריכים למחוק את sink היומן המושפע וליצור אותו מחדש.

השיטה המומלצת היא למחוק תמיד את יעד הניקוז של היומן שמשויך למשאב היעד לפני שמסירים את משאב היעד, כדי למנוע יעד ניקוז לא פעיל.

אילו נקודות חולשה טופלו?

נקודת החולשה הזו עלולה לאפשר לתוקף אופורטוניסטי לפגוע בייצוא יומנים שהוגדר ל-Cloud Storage.

בעבר, שקעי Cloud Logging הסתמכו רק על שם הקטגוריה הייחודי גלובלית ב-Cloud Storage כדי לנתב יומנים. כך שחקן זדוני יכול ליצור מחדש קטגוריה שנמחקה עם אותו שם בפרויקט שנשלט על ידי התוקף. אם יש יעד פעיל להעברת יומנים, הייצוא יתחדש אוטומטית, יומנים רגישים ינותבו לדלי של התוקף ותתבצע חדירה רציפה לא מורשית של נתונים.

כדי לבצע את המתקפה הזו, הגורם הזדוני היה צריך לדעת מראש את השם של קטגוריית היעד ב-Cloud Storage, וקטגוריית Cloud Storage הייתה צריכה להימחק.

התיקון שיישמנו מצמצם את נקודת החולשה הזו. הוא מבטיח שקטגוריית היעד נמצאת באותו פרויקט אב שהוגדר כשנוצר ה-sink. ‫Cloud Logging מבצע עכשיו את הבדיקה הזו באופן רציף בזמן שהוא כותב את נתוני היומן לקטגוריית Cloud Storage.

בינוני

GCP-2026-009

תאריך פרסום: 13 בפברואר 2026

תיאור רמת סיכון הערות

אפשר להגדיר גרסאות של ממשק המשתמש של Observability Analytics מלפני ינואר 2026 כך שיפעילו באופן אוטומטי שאילתות SQL. פגיעות יכולה לאפשר לתוקף ליצור כתובת URL של שאילתה, שאם מישהו עם פרטי כניסה יפתח אותה, הוא יוכל לגשת לתוכן של טבלה או לשלם עלות של שאילתה.

פעולות מומלצות

לא נדרשת פעולה מצד המשתמש. הפגיעות תוקנה, וממשקי המשתמש המושפעים עודכנו בינואר 2026 כדי לכלול נקודות התערבות שימנעו הפעלה של SQL זדוני בלי שהמשתמש יוכל לבדוק אותו.

אילו נקודות חולשה טופלו?

הפגיעות יכולה לאפשר לתוקף לגשת לתוכן מוגבל של ניתוח נתונים של יכולת התבוננות או לטבלאות BigQuery של יעד, כאשר היעד מריץ שאילתת SQL שנוצרה על ידי התוקף.

הפגיעות מנצלת את יומני הביקורת של BigQuery כדי להעביר מידע על תוכן הטבלה של היעד לפרויקט Google Cloud בשליטת התוקף. הפגיעות מחמירה בגלל ההתנהגות של ממשקי ניתוח הנתונים של Observability, שמבצעים באופן אוטומטי שאילתות שמוטמעות בכתובת ה-URL, מה שמונע מהיעד לבדוק את השאילתה שיצר התוקף לפני שהוא מבצע אותה עם פרטי הכניסה שלו.

גבוהה

GCP-2026-005

תאריך פרסום: 28 בינואר 2026

תיאור רמת סיכון הערות

נקודת החולשה הזו משפיעה על ממשק Observability Analytics ועל ממשק לוחות הבקרה של Cloud Monitoring בגרסאות שקדמו לינואר 2026.

פעולות מומלצות

לא נדרשת פעולה מצד המשתמש. ממשקי המשתמש המושפעים עודכנו בינואר 2026 כדי לכלול נקודות התערבות שימנעו הפעלה של SQL זדוני בלי שהמשתמש יוכל לבדוק אותו.

אילו נקודות חולשה טופלו?

נקודת החולשה מאפשרת לתוקף לגשת לתוכן מוגבל של ניתוח נתונים של ניראות (observability) או לטבלאות BigQuery של יעד, כשהיעד צופה בלוח בקרה שנוצר על ידי התוקף.

הפגיעות הזו מאפשרת להעביר מידע על תוכן הטבלה של היעד לפרויקט Google Cloud שנשלט על ידי התוקף באמצעות ערוצי מטא-נתונים של BigQuery. הפגיעות מחמירה בגלל התנהגות הממשקים של לוחות הבקרה, שמבצעים אוטומטית שאילתות כדי לאכלס ווידג'טים שמגובים ב-SQL. כך, היעד לא יכול לבדוק את השאילתה שנוצרה על ידי התוקף לפני שהוא מבצע אותה באמצעות פרטי הכניסה שלו.

גבוהה