安全性公告

我們在 Apigee 平台中發現一項安全漏洞，如果惡意行為人在自己的 Apigee 環境中擁有管理員或開發人員層級的權限，就可能藉此提升權限，並存取跨租戶資料。

具體來說，Apigee X 的沙箱技術存在安全漏洞，導致使用者可透過連結本機端點，存取客戶租戶專案中的服務帳戶權杖 (P4SA)。理論上，攻擊者可以利用這個身分，讀取其他 Apigee 機構 (租戶) 的分析中繼資料，或竄改內部監控記錄。

我該怎麼做？

顧客無須採取任何行動。Google 已實施多層級的緩解策略，以解決這個問題：

• 權杖遭濫用問題的解決方法：我們已解決執行階段 Pod 中 Apigee 服務帳戶權杖的濫用問題。
• 最小權限原則：Apigee 服務帳戶權限受到限制，可防止未經授權的修改。
• 資料隔離：已移除資料夾層級服務帳戶對多租戶 Google Cloud Storage 值區的存取權。

Google 已確認，雖然理論上可以存取內部監控記錄，但這些記錄僅供 Google 內部使用，不會影響 Apigee 中客戶資料的安全性或完整性。

2026 年 1 月之前的 Log Analytics 使用者介面版本可設定為自動執行 SQL 查詢。攻擊者可利用這項漏洞製作查詢網址，如果有人以憑證開啟該網址，攻擊者就能存取表格內容或產生查詢費用。

詳情請參閱 Google Cloud Observability 安全性公告。

Intel® TDX 韌體受到一組安全漏洞影響。這些漏洞涵蓋各種缺陷，包括競爭條件 (CVE-2025-30513、CVE-2025-31944)、超出範圍的讀取 (CVE-2025-32007、CVE-2025-27940)、使用未初始化的變數 (CVE-2025-32467)，以及在暫時執行期間暴露機密資訊 (CVE-2025-27572)。這些問題可能導致資訊外洩、權限提升或阻斷服務。利用漏洞通常需要系統上的特殊使用者存取權。

我該怎麼做？

顧客無須採取任何行動。所有相關修正程式都已套用至 Google 伺服器叢集。詳情請參閱 Intel PSIRT 技術諮詢 INTEL-TA-01397。

• CVE-2025-30513
• CVE-2025-31944
• CVE-2025-32007
• CVE-2025-32467
• CVE-2025-27572
• CVE-2025-27940

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2025-40297

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

OpenSSL 程式庫中發現多項安全漏洞。其中最重大的發現是 CVE-2025-15467，這項重大安全漏洞可能允許透過網路型向量進行遠端程式碼執行 (RCE) 或阻斷服務 (DoS) 攻擊。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

這項安全漏洞會影響 2026 年 1 月前的 Log Analytics 介面和 Cloud Monitoring 資訊主頁介面版本。

詳情請參閱 Google Cloud Observability 安全性公告。

Compute Engine 發現特定 Arm 處理器存在安全漏洞，會影響 C4A 和 A4X VM：

• CVE-2025-0647

如需操作說明和更多詳細資料，請參閱 Compute Engine 安全性公告。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2025-39964

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2025-40215

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2025-40214

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

Cloud Data Fusion 發現下列安全漏洞：

• CVE-2025-9571

如需操作說明和更多詳細資料，請參閱 Cloud Data Fusion 安全性公告。

Google Security Operations SOAR 的自訂整合功能存在安全漏洞，通過驗證且具備 IDE 角色的使用者可能因此在伺服器上執行遠端程式碼 (RCE)。這項漏洞是因 Python 套件程式碼驗證不足所致，導致攻擊者可上傳含有惡意 setup.py 檔案的套件。安裝期間可能會執行這個檔案，導致伺服器遭到入侵。

我該怎麼做？

顧客無須採取任何行動。所有客戶都已自動升級至修正版本：6.3.64 以上。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2025-39965

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

Envoy Proxy 發現下列安全漏洞：

• CVE-2025-66220
• CVE-2025-64527
• CVE-2025-64763

如需操作說明和詳細資料，請參閱 Cloud Service Mesh 安全性公告。

• CVE-2025-66220
• CVE-2025-64527
• CVE-2025-64763

2025 年 12 月 4 日更新：網頁應用程式防火牆規則現已推出。

開放原始碼的 React 和 Next.js 架構中發現遠端程式碼執行漏洞。雖然 Google Cloud 本身沒有安全漏洞，但如果使用者在 Google Cloud 上執行這些架構，可能就會受到影響。

下列架構版本會受到這個安全漏洞影響：

• React 19.0、19.1.0、19.1.1 和 19.2.0
• Next.js 15.x、Next.js 16.x，以及 Next.js 14.3.0-canary.77 和後續的初期測試版

下列架構版本包含此安全漏洞的修正措施：

• React 19.0.1、19.1.2 和 19.2.1
• Next.js 15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7、15.6.0-canary.58 和 16.0.7

如要進一步瞭解這些安全漏洞，請參閱 React 建議和 Vercel 建議。

客戶應立即採取行動，重新部署工作負載並更新依附元件，保護工作負載。

Google 能幫上什麼忙？

我們已提供 Cloud Armor 網頁應用程式防火牆 (WAF) 規則，可偵測及封鎖相關的攻擊嘗試。這項新規則旨在保護使用全域或區域應用程式負載平衡器的網際網路連線應用程式和服務。建議您在更新工作負載時，暫時部署這項規則，以降低風險。如需套用這項規則的操作說明，請參閱這篇網誌文章。

如果您使用 App Engine Standard、Cloud Functions、Cloud Run Functions、Cloud Run、Firebase Hosting 或 Firebase App Hosting，系統已強制執行一項規則，限制透過對自訂和預設網域提出要求來進行濫用。

使用構件分析的客戶會收到新構件和現有構件的這些安全漏洞通知，有助於識別有風險的工作負載。

如有新資訊，我們會更新這則安全公告。

2025 年 12 月 11 日更新： 新增 GDC (VMware) 的修補程式版本和嚴重程度評等。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2025-40019

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2025 年 12 月 11 日更新： 新增 GDC (VMware) 的修補程式版本和嚴重程度評等。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2025-40018

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

runc 是用於執行容器的開放原始碼軟體元件，最近發現多項安全問題。這些安全漏洞 (CVE-2025-31133、CVE-2025-52565 和 CVE-2025-52881) 揭露的攻擊手法，可讓攻擊者在 Cloud Run 工作站集區和作業中，執行完整的容器突破，導致容器外的 Root 權限遭到提升，進入沙箱執行個體。有權部署惡意容器映像檔的行為人，可以利用這些安全漏洞，取得 Cloud Run 沙箱執行個體中其他容器的存取權。

• CVE-2025-31133
• CVE-2025-52565
• CVE-2025-52881

工作站集區、工作和尚未更新的少數服務都可能受到影響。

我們正在準備更新，預計於 1 月初推出。推出作業完成後，這則公告也會隨之更新。

如要回報與這項安全漏洞相關的問題，請透過 g.co/vrp 向 Cloud 安全漏洞獎勵計畫回報。

• CVE-2025-31133
• CVE-2025-52565
• CVE-2025-52881

Looker 修正了一項安全漏洞，如果攻擊者在 Looker 中擁有檢視者權限，就能製作惡意網址，並在 Looker 管理員開啟該網址時執行攻擊者提供的指令碼。如要使用，執行個體必須至少安裝一個 Looker 擴充功能。

我們發現託管於 Looker 和自行託管的執行個體都有安全漏洞。

託管於 Looker 的執行個體已解決這個問題。

我該怎麼做？

Looker 代管的執行個體：

顧客無須採取任何行動。

僅限自行代管的 Looker 執行個體：

如果 Looker 執行個體是自行代管，建議盡快升級 Looker 執行個體。對於自架主機執行個體，所有支援的 Looker 版本都已修復這項安全漏洞。下列版本均已更新，可防範這個安全漏洞：

• 25.16.0 和所有後續版本
• 25.12.7+
• 25.6.66+
• 25.0.79+
• 24.18.201+

您可以在 Looker 下載頁面下載這些 Looker 版本：https://download.looker.com/

Looker 修正了一項安全性漏洞，該漏洞可能導致攻擊者在設定 OIDC 驗證的 Looker 執行個體中，因電子郵件地址字串正規化而接管 Looker 帳戶。

我們發現託管於 Looker 和自行託管的執行個體都有安全漏洞。

託管於 Looker 的執行個體已解決這個問題。

我該怎麼做？

Looker 代管的執行個體：

顧客無須採取任何行動。

僅限自行代管的 Looker 執行個體：

如果您的 Looker 執行個體是自行代管，建議盡快將 Looker 執行個體升級至下列其中一個版本：

• 25.10.22+
• 25.8.39+
• 25.6.57+
• 25.0.69+
• 24.18.193+
• 24.12.100+

您可以在 Looker 下載頁面下載這些 Looker 版本：https://download.looker.com/

注意：25.12 以上版本不會受到這個安全問題影響。

2025 年 11 月 27 日更新：新增 GKE 和 GDC (裸機) 的修補程式版本。

在 runc 中發現一組三個容器逃逸漏洞，這是 GKE 的預設低階容器執行階段。這些安全漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點上的權限提升：

• CVE-2025-31133
• CVE-2025-52565
• CVE-2025-52881

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

• CVE-2025-31133
• CVE-2025-52565
• CVE-2025-52881

研究人員在 AMD Milan 電腦的 AMD SEV-SNP (安全巢狀分頁) 中發現安全漏洞。

攻擊者可藉此操縱 RMP 初始化值，導致 AMD SEV-SNP 客戶端記憶體完整性可能遭到破壞。

Google 已推出緩解措施，防止這個問題發生。

該怎麼辦？

客戶無須採取任何行動，搭載 AMD SEV-SNP 的機密 VM 執行個體已套用緩解措施。

不過，採用 AMD SEV-SNP 的機密 VM 執行個體現在使用第 4 版的驗證格式。如果客戶使用 go-sev-guest 程式庫剖析認證報告，請更新至 go-sev-guest v0.14.0 以上版本。

如果客戶使用自己的剖析器，認證報告格式會由 SEV 安全巢狀分頁韌體 ABI 規格定義。

這個修補程式修正了哪些安全漏洞？

詳情請參閱 AMD 諮詢 AMD-SB-3020。

Envoy Proxy 發現下列安全漏洞：

• CVE-2025-62504
• CVE-2025-62409

如需操作說明和詳細資料，請參閱 Cloud Service Mesh 安全性公告。

• CVE-2025-62504
• CVE-2025-62409

2025 年 11 月 17 日更新： 新增 Ubuntu GKE 節點的修補程式版本。

2025 年 10 月 30 日更新：新增適用於 VMware 的 GDC 軟體修補程式版本和嚴重程度評估

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2025-39682

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2025 年 10 月 30 日更新：新增 GKE Ubuntu 節點的修補程式版本，以及 VMware 適用的 GDC 軟體修補程式版本和嚴重程度評等

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2024-58240

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

我們在開放原始碼 Valkey 和 Redis 中發現遠端程式碼執行漏洞。因此，Memorystore for Redis、Memorystore for Redis Cluster 和 Memorystore for Valkey 支援的所有版本都會受到影響。

根據預設，Google Cloud 的 Memorystore 資產不會公開在網際網路上，因此對於遵循 Google Cloud 安全性最佳做法的 Memorystore 使用者而言，這項安全漏洞的風險為低。

請問您該怎麼做？

Google 已開始自動套用修補程式，預計於 2025 年 11 月 6 日完成。您不需要採取任何行動，即可獲得這項修正。

如要在 2025 年 11 月 6 日前將這些修補程式套用至 Memorystore 叢集或執行個體，請使用自助式維護功能完成下列動作：

1. 查看 Memorystore for Redis 執行個體、 Memorystore for Redis Cluster 中的叢集，或 Memorystore for Valkey 執行個體的目前維護版本。
2. 確認版本是否為最新修補版本。
3. 如果版本不是最新維護版本，請使用 Memorystore for Redis、Memorystore for Redis Cluster 和 Memorystore for Valkey 的自助式維護功能，將執行個體或叢集更新至最新維護版本。

Oracle 發布安全警報，確認 Oracle E-Business Suite (EBS) 存在未經驗證的攻擊漏洞。

該怎麼辦？

Google 並未使用 Oracle EBS，因此不受這項安全漏洞影響。 Google Cloud

2025 年 10 月 22 日更新：新增 CVE 連結。

2025 年 9 月 23 日，我們發現 Vertex AI API 發生技術問題，導致使用串流要求時，特定第三方模型的回覆會誤傳給其他收件者。這項問題現已解決。 Google 模型 (例如 Gemini) 未受影響。

部分內部 Proxy 無法正確處理含有 Expect: 100-continue 標頭的 HTTP 要求，導致串流回應連線發生不同步情形，也就是說，原本要針對某項要求傳送的回應，卻傳送給後續要求。

我該怎麼做？

我們已採取修正措施，妥善處理 Expect: 100-continue 標頭，並防止此問題再次發生。我們也新增了測試、監控和警示功能，以便快速偵測到這個問題，防止迴歸。客戶目前無法採取任何行動，避免發生非預期的行為。

我們已在不同時間為不同模型推出修正程式，其中 Anthropic 模型已於太平洋時間 9 月 26 日凌晨 12 點 45 分修正完畢，所有平台則於太平洋時間 9 月 28 日下午 7 點 10 分修正完畢。以下列出 Vertex AI API 中受影響的模型，以及解決問題的時間：

• Anthropic 合作夥伴模型即服務模型 (Claude)

  • 這項問題已於太平洋夏令時間 2025 年 9 月 26 日凌晨 12 點 45 分修正。

• 所有開放式模型即服務模型，包括：DeepSeek (R1-0528 和 V3.1)、OpenAI (gpt-oss-120b 和 gpt-oss-20b)、Qwen (Next Instruct 80B、Next Thinking 80B、Qwen 3 Coder 和 Qwen 3 235B)、Llama (Maverick、Scout、3.3、3.2、3.1 405b、3.1 70b 和 3.1 8b)

  • 這項問題已於太平洋夏令時間 2025 年 9 月 28 日凌晨 2 點 43 分修正完畢。

• Mistral 和 AI21 合作夥伴 模型即服務模型

  • 這項問題已於 2025 年 9 月 28 日太平洋夏令時間上午 11:00 修正。

• 自行部署的模型，透過公開端點呼叫「StreamRawPredict」、「ChatCompletions」、「GenerateContent」或「StreamGenerateContent」方法

  • 這項問題已於 2025 年 9 月 28 日太平洋夏令時間下午 7 點 10 分修正完畢。

  • 專屬 (Model Garden 上的預設值) 和私人端點皆未受到影響。

AMD Zen 5 處理器 (Turin) 的 RDSEED 指令發現瑕疵。這項指令用於產生加密編譯隨機數字。在特定系統負載條件下，16 位元和 32 位元的 RDSEED 版本可能會無聲無息地失敗，進而影響依賴隨機數產生功能的應用程式。使用 64 位元版本 RDSEED 的客戶不受影響。

該怎麼辦？

AMD 正在調查這項安全漏洞。

請注意，64 位元 Linux 核心會使用安全 64 位元版本的 RDSEED 指令，並提供從 /dev/[u]random 取得的隨機數字。這些隨機數字不會受到這項安全漏洞影響。

如果您有應用程式程式碼會使用 RDSEED 指令自行合成隨機數字，請注意，該指令的 16 位元和 32 位元版本並不安全。64 位元版本的指令是安全的。

這個修補程式修正了哪些安全漏洞？

攻擊者可利用這項漏洞，導致 RDSEED 無聲無息地失敗，進而可能危害應用程式中的隨機數產生作業。

2025 年 11 月 11 日更新： 新增 GKE 中 Ubuntu 節點集區的修補程式版本。

2025 年 10 月 27 日更新：新增 VMware 適用的 GDC 軟體修補程式版本和嚴重程度評等。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2025-38618

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2025 年 11 月 13 日更新：新增適用於 VMware 的 GDC 軟體修補程式版本。將 GDC 軟體 (適用於 VMware) 的嚴重程度更新為「高」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2025-39946

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2025 年 11 月 11 日更新： 新增 GKE 中 Ubuntu 節點集區的修補程式版本。

2025 年 10 月 16 日更新：新增適用於 VMware 的 GDC 軟體修補程式版本和嚴重程度評等

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2025-38617

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

根據 VMware 安全性諮詢 VMSA-2025-0015，VMware Aria Operations 和 VMware Tools 中有多項安全漏洞已私下回報給 Broadcom。Broadcom 已提供修補程式，可修正受影響產品中的這些安全漏洞。

我該怎麼做？

建議您升級至 VMware Aria Automation 8.18.5 和 VMware Tools 13.0.5。

• VMSA-2025-0015
• CVE-2025-41244
• CVE-2025-41245
• CVE-2025-41246

Looker Studio 已修正外部研究人員透過 Google 和 Alphabet 安全漏洞獎勵計畫 (VRP) 回報的安全漏洞，但未發現任何遭濫用的證據。這些問題現已解決，使用者無需採取任何行動。

我該怎麼做？

顧客無須採取任何行動。

這個修補程式修正了哪些安全漏洞？

未經授權的使用者可透過共用報表、具備檢視者憑證的資料來源、Studio Linking API 和對話式數據分析，存取資料。

Looker 已修正外部研究人員透過 Google 和 Alphabet 安全漏洞獎勵計畫 (VRP) 回報的安全漏洞，但未發現任何遭濫用的證據。這些問題現已解決，Looker (Google Cloud Core) 和 Looker (原始版本) 的 Looker 代管客戶無須採取任何行動。建議自行代管的 Looker 執行個體更新至最新支援版本。

我該怎麼做？

Looker 代管的執行個體：Looker (Google Cloud Core) 和 Looker (原始版本) 執行個體

顧客無須採取任何行動。

僅限自行代管的 Looker 執行個體

如果 Looker 執行個體是自行代管，建議將 Looker 執行個體升級至下列其中一個版本：

• 25.12.30+
• 25.10.54+
• 25.6.79+
• 25.0.89+
• 24.18.209+

注意：25.14 以上版本不會受到這些安全問題影響。

這個修補程式修正了哪些安全漏洞？

這些漏洞導致 Looker 中具備開發人員權限的使用者，能夠存取 Looker 基礎系統和內部資料庫。

研究人員發現影響 Intel CPU 和所有 AMD Zen CPU 的安全漏洞。攻擊者可能會利用已知的推測執行漏洞，讀取機密資料。

我該怎麼做？

Google 已對受影響的資產套用修正程式，包括 Google Cloud，因此目前不需要採取任何行動，即可在整個機群中以不中斷的方式解決問題。

這個修補程式修正了哪些安全漏洞？

詳情請參閱 COMSEC 網誌文章。

2025 年 11 月 11 日更新： 新增 GKE 中 Ubuntu 節點集區的修補程式版本。

2025 年 10 月 15 日更新： 新增適用於 VMware 的 GDC 軟體修補程式版本和嚴重程度評分。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2025-38500

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

Google Security Operations SOAR 6.3.54.0 和 6.3.53.2 版發現重大安全漏洞。如果已通過驗證的使用者有權上傳 ZIP 檔案 (例如匯入用途)，就能上傳 ZIP 封存檔，並將檔案寫入伺服器檔案系統的任意位置。

從 ZIP 封存檔擷取檔案的系統無法防止封存檔中的檔案寫入預定目的地資料夾以外的位置。這也稱為目錄遍歷或 Zip Slip 安全漏洞。

我該怎麼做？

顧客無須採取任何行動。所有客戶都已自動升級至修正版本或更新版本：6.3.54.1 或 6.3.53.3

這個修補程式修正了哪些安全漏洞？

攻擊者可能會利用這項安全漏洞覆寫應用程式檔案。攻擊者可以覆寫報表產生功能使用的 JavaScript 檔案，在 Google SecOps SOAR 執行個體上執行遠端程式碼 (RCE)。攻擊者可能會在伺服器上執行自己的程式碼。

詳情請參閱 Google SecOps GCP-2025-049 安全性公告。

Envoy Proxy 發現下列安全漏洞：

• CVE-2025-54588

如需操作說明和詳細資料，請參閱 Cloud Service Mesh 安全性公告。

2025 年 9 月 25 日更新：新增 GKE 上 Ubuntu 節點集區的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2025-38350

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2025 年 11 月 11 日更新： 新增 GKE 中 Ubuntu 節點集區的修補程式版本。

2025 年 10 月 15 日更新： 新增適用於 VMware 的 GDC 軟體修補程式版本和嚴重程度評分。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2025-38477

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

外部研究人員透過 Google 和 Alphabet 漏洞獎勵計畫 (VRP)，回報了 Dataform API 的安全漏洞。這項安全漏洞可能會導致未經授權的存取，讓使用者存取客戶的程式碼存放區和資料。Google 迅速修正了這個問題，並在所有地區發布修正程式。目前沒有任何證據顯示有人利用此漏洞，也沒有人向 Google 回報相關情況。

該怎麼辦？

顧客無須採取任何行動。Google 已對所有受影響的產品和服務採取緩解措施。

這個修補程式修正了哪些安全漏洞？

詳情請參閱 CVE-2025-9118。

Intel 已通知 Google 有兩個新的安全漏洞。

CVE-2025-21090：這個安全漏洞會影響下列 Intel 處理器：

• Sapphire Rapids：C3、Z3、H3、A3、v5p VM 系列
• Emerald Rapids：N4、C4、M4、A3 Ultra、A4 VM 系列
• Granite Rapids：N4、C4 VM 系列

CVE-2025-22840：這個安全漏洞會影響下列 Intel 處理器：

• Granite Rapids：N4、C4 VM 系列

該怎麼辦？

客戶無須針對任一漏洞採取行動。Google 會在標準和排定的維護期間，主動更新您的系統。目前沒有任何證據顯示有人利用此漏洞，也沒有人向 Google 回報這類情況。

這個修補程式修正了哪些安全漏洞？

這個安全漏洞 (CVE-2025-21090) 允許沒有權限的行為人使用 AMX CPU 指令，搭配 AVX CPU 指令，導致主機無法運作。

這個安全漏洞 (CVE-2025-22840) 允許未獲授權的行為人使用 prefetchit CPU 指令載入記憶體內容，否則他們無法存取這些內容，進而可能導致遠端程式碼執行。

• CVE-2025-21090
• CVE-2025-22840

protobuf-python 的純 Python 實作中存在潛在的阻斷服務 (DoS) 安全漏洞。攻擊者可傳送特製訊息，導致服務當機。

影響

如果您在專案中直接或間接匯入 protobuf-python，就可能受到影響。請注意，Python 適用的 Cloud 用戶端程式庫會使用 protobuf-python 做為依附元件。如果您使用這些程式庫，請務必使用下一節中提及的 protobuf-python 版本。

該怎麼辦？

請確認您使用的是下列軟體套件最新版本：

• protobuf-python (4.25.8、5.29.5、6.31.1)

這個修補程式修正了哪些安全漏洞？

這個修補程式可有效降低下列安全漏洞的風險：

當純 Python 後端剖析特定通訊協定緩衝區訊息時，會發生無界限遞迴，進而導致這項安全漏洞。未經驗證的攻擊者可以傳送含有深層巢狀遞迴群組、訊息或一系列 SGROUP 標記的訊息。這項輸入內容會導致 Python 解譯器超過遞迴深度上限，觸發 RecursionError 導致服務當機，造成阻斷服務。如果專案使用受影響的後端剖析不受信任的資料，就會有風險。

詳情請參閱 Protobuf 安全性諮詢。

高

CVSS v4.0

分數：8.2

這項問題只會影響 python Protobuf 實作後端。

無論檢查 Protobuf 實作後端時傳回的值為何，都建議升級，因為環境變數 PROTOCOL_BUFFERS_PYTHON_IMPLEMENTATION 可以在執行階段變更 Protobuf 實作後端。

研究人員發現特定 Intel CPU (包括以 Skylake、Broadwell 和 Haswell 微架構為基礎的 CPU) 存在安全漏洞。攻擊者可利用這項漏洞，直接從 CPU 的 L1 快取讀取未經授權存取的機密資料。

這項安全漏洞最初是在 2018 年的 CVE-2018-3646 中揭露。Google 發現這項安全漏洞後，立即採取緩解措施，解決已知風險。當時已發布有關這項安全漏洞和初步修正的通訊內容。自此，我們一直在研究剩餘風險，並與上游 Linux 社群合作，以解決這項風險。

我們最近與學術界的安全性研究人員合作，評估 CPU 安全性緩解措施的最新技術，以及 2018 年未考慮到的潛在攻擊技術。

Google 已對受影響的資產套用修正項目，包括 Google Cloud，以減輕問題影響。

該怎麼辦？

顧客無須採取任何行動。Google 伺服器機群已套用緩解措施。

這個修補程式修正了哪些安全漏洞？

詳情請參閱 Intel 諮詢 INTEL-SA-00161 和 CVE-2018-3646。

2025 年 11 月 10 日更新：新增 VMware 適用的 GDC 軟體修補程式版本。將 GDC 軟體 (適用於 VMware) 的嚴重程度更新為「高」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Ubuntu 節點上的權限遭到提升：

• CVE-2025-37890

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

根據 VMSA-2025-0013 諮詢，VMware ESXi 中的多個安全漏洞已私下向 Broadcom 回報。

我們已修補這些安全漏洞，或正在套用 Broadcom 提供的必要修補程式。目前沒有已知的解決方法可因應這些回報的安全漏洞。

修補完成後，VMware Engine 部署作業應會執行 ESXi 7.0U3w 或 ESXi 8.0U3f 以上版本。

該怎麼辦？

Google 建議客戶監控 VMware Engine 上的工作負載，查看是否有任何異常活動。

• VMSA-2025-0013
• CVE-2025-41236
• CVE-2025-41237
• CVE-2025-41238
• CVE-2025-41239

2025 年 11 月 10 日更新：新增 VMware 適用的 GDC 軟體修補程式版本。將 GDC 軟體 (適用於 VMware) 的嚴重程度更新為「高」。

2025 年 8 月 28 日更新：新增 GKE 上 Ubuntu 節點集區的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2025-38083

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2025 年 9 月 25 日更新：新增 GKE 上 Ubuntu 節點集區的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2025-37752

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

AMD 揭露了兩項影響 AMD EPYC 第 2 代 (Rome)、第 3 代 (Milan) 和第 4 代 (Genoa) CPU 的安全漏洞。攻擊者可利用這些安全漏洞，從先前的儲存空間或 L1D 快取推斷資料，可能導致機密資訊外洩。

Google 已推出防護措施，避免 VM 之間發生資訊洩漏。

單一 VM 中的程序仍有可能利用這些安全漏洞。

該怎麼辦？

2025 年 7 月 8 日後，下列 VM 將提供客層級緩解措施，防範客層內攻擊：

• 首次啟動的 VM。
• 完全停止並重新啟動的 VM。重新啟動作業系統不會啟用緩解措施，必須完整重新啟動 VM 本身，緩解措施才會生效。訪客作業系統核心必須支援這項緩解措施，才能發揮效用。

詳情請參閱 AMD 安全性公告 AMD-SB-7029。

• CVE-2024-36350
• CVE-2024-36357

2025 年 11 月 10 日更新：新增 VMware 適用的 GDC 軟體修補程式版本。將 GDC 軟體 (適用於 VMware) 的嚴重程度更新為「高」。

2025 年 7 月 21 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2025-38001

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2025 年 11 月 10 日更新：新增 VMware 適用的 GDC 軟體修補程式版本。將 GDC 軟體 (適用於 VMware) 的嚴重程度更新為「高」。

2025 年 7 月 21 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2025-37997

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2025 年 7 月 21 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2025-38000

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

我們發現一項安全性問題，攻擊者可能可以規避 GKE 叢集的工作負載隔離限制。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2025 年 7 月 21 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2025-37798

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2025 年 8 月 26 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2025-37797

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

根據 VMware 安全性諮詢 VMSA-2024-0017，有人向 VMware 私下回報 VMware Aria Automation 的 SQL 注入漏洞。VMware 已提供修補程式，可修復受影響產品中的這項安全漏洞。

該怎麼辦？

建議您升級至 VMware Aria Automation KB325790。

• VMSA-2024-0017
• CVE-2024-22280

根據 VMware 安全性諮詢 VMSA-2025-0006，VMware Aria Operations 中的本機權限提升漏洞已向 VMware 負責地回報。VMware 已提供修補程式，可修復受影響產品中的這項安全漏洞。

該怎麼辦？

建議升級至 VMware Aria Operations 8.18 HF5。

• VMSA-2025-0006
• CVE-2025-22231

根據 VMware 安全性諮詢 VMSA-2025-0003，VMware Aria Operations for Logs 和 VMware Aria Operations 中有多項安全漏洞已私下回報給 VMware。VMware 已提供修補程式，可修復受影響產品中的這項安全漏洞。

該怎麼辦？

建議您將 VMware Aria Operations for Logs 升級至 8.18.3 版，並將 VMware Aria Operations 升級至 8.18.3 版。

• VMSA-2025-0003
• CVE-2025-22218
• CVE-2025-22219
• CVE-2025-22220
• CVE-2025-22221
• CVE-2025-22222

在 2025 年 4 月 26 日前，傳統版應用程式負載平衡器服務偵測到安全漏洞。

該怎麼辦？

顧客無須採取任何行動。這項問題已於 2025 年 4 月 26 日在傳統版應用程式負載平衡器服務中解決。

這個修補程式修正了哪些安全漏洞？

CVE-2025-4600 允許攻擊者將要求夾帶至傳統版應用程式負載平衡器，這是因為系統對過大的區塊主體進行剖析時發生錯誤。使用分塊傳輸編碼剖析 HTTP 要求的請求主體時，傳統型應用程式負載平衡器允許過大的分塊主體。因此，可以將位元組隱藏在遭忽略的尾端資料中，而上游 HTTP 伺服器可能會誤將這些位元組解讀為行終止符。我們已於 2025 年 4 月 26 日，在傳統版應用程式負載平衡器服務中解決這項安全漏洞，方法是改善輸入驗證和剖析邏輯。

我們很樂意提供協助

如有任何疑問或需要協助，請與 Cloud Customer Care 團隊聯絡。

根據 VMware 安全性諮詢 VMSA-2025-0008，VMware Aria Automation 中基於 DOM 的跨網站指令碼 (XSS) 安全漏洞已私下回報給 VMware。VMware 已提供修補程式，可修復受影響產品中的這項安全漏洞。

該怎麼辦？

建議您升級至 VMware Aria Automation 8.18.1 修補程式 2。

• VMSA-2025-0008
• CVE-2025-22249

Intel 已通知 Google，新的側通道安全漏洞會影響下列 Intel 處理器：CascadeLake、Ice Lake XeonSP、Ice Lake XeonD、Sapphire Rapids 和 Emerald Rapids。

Google 已對受影響的資產套用修正程式，包括 Google Cloud，確保客戶受到保護。目前沒有任何證據顯示有人利用此漏洞，也沒有人向 Google 回報這類情況。

該怎麼辦？

顧客無須採取任何行動。我們已在 Google 伺服器群組套用修正程式，保護客戶安全。

這個修補程式修正了哪些安全漏洞？

CVE-2024-45332。 詳情請參閱 Intel 諮詢 INTEL-SA-01247。

我們很樂意提供協助

如有任何疑問或需要協助，請與 Cloud 客戶服務聯絡，並註明問題編號 417536835。

2025 年 5 月 13 日更新：如有任何疑問或需要協助，請與 Cloud Customer Care 團隊聯絡，並註明問題編號 417458390。

Intel 已通知 Google，Intel Cascade Lake 和 Intel Ice Lake 處理器受到新的推測執行弱點影響。

Google 已對受影響的資產套用修正程式，包括 Google Cloud，確保客戶受到保護。目前沒有任何證據顯示有人利用此漏洞，Google 也未接獲相關回報。

該怎麼辦？

顧客無須採取任何行動。Google 伺服器機群已套用緩解措施。

Intel 原始設備製造商 (OEM) 和其他作業系統合作夥伴將盡快部署進一步的緩解措施，以減輕同模式間接目標選取 (ITS) 漏洞的影響。

套用作業系統的緩解措施後，如果客戶的第 3 代或更新的 VM 執行時間較長，可能會發生非預期的效能降低情形

這個修補程式修正了哪些安全漏洞？

CVE-2024-28956。詳情請參閱 Intel 安全性公告 INTEL-SA-01153。

我們發現並修正了 JavaCallout 和 PythonScript 政策中可能存在的安全漏洞，這些漏洞可能會遭到有心人士利用。

如需操作說明和詳細資訊，請參閱 Apigee 安全性公告。

2025 年 5 月 22 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2025-21702

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2025 年 6 月 2 日更新：新增 GKE 上 Ubuntu 節點集區的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2025-21971

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

Looker 的安全漏洞允許擁有管理員權限 (具體來說是 manage_project_connections_restricted) 的使用者，從基礎主機檔案系統讀取檔案，並查詢內部網路端點。目前問題已解決，使用 Looker (Google Cloud Core) 和 Looker (原始版本) 的 Looker 代管客戶無需採取任何行動。建議自行代管的 Looker 執行個體更新至最新支援版本。

我們已在所有支援的客戶代管 Looker 版本中修復這項安全漏洞，這些版本可從 Looker 下載頁面取得。

該怎麼辦？

• 對於所有 Looker 代管的執行個體 (包括 Looker (Google Cloud Core) 和 Looker (原始版本) 執行個體)，您都不需要採取任何行動。
• 如果是 Looker 客戶代管的執行個體，請盡快更新至最新支援的 Looker 版本。以下版本均已更新，可防範這個安全漏洞。您可以在 Looker 下載頁面下載這些版本：
  • 25.4 -> 25.4.29 以上版本
  • 25.2 -> 25.2.34 以上版本
  • 25.0 -> 25.0.55 以上版本
  • 24.18 -> 24.18.185 以上版本
  • 24.12 -> 24.12.95 以上版本
  • 24.6 -> 24.6.107 以上版本

2025 年 6 月 26 日更新：新增 VMware 適用的 GDC 軟體修補程式版本。

2025 年 5 月 22 日更新：新增 GKE 上 Ubuntu 節點集區的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2025-21701

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2025 年 10 月 9 日更新：新增 GKE Ubuntu 節點的修補程式版本

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2025-40364

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2025 年 5 月 22 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本。

2025 年 5 月 5 日更新：新增 VMware 適用的 GDC 軟體修補程式版本。將 GDC 軟體 (適用於 VMware) 的嚴重程度更新為「高」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2025-21756

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2025 年 5 月 22 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本。

2025 年 4 月 29 日更新： 新增適用於 VMware 的 GDC 軟體修補程式版本。將 VMware 適用的 GDC 軟體嚴重程度更新為「高」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2023-52927

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2025 年 5 月 22 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本。

2025 年 4 月 17 日更新：新增 GDC (VMware) 的修補程式版本。將 GDC (VMware) 的嚴重程度從「待處理」更新為「高」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2025-21700

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2025 年 5 月 22 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本。

2025 年 5 月 5 日更新：新增 VMware 適用的 GDC 軟體修補程式版本。將 GDC 軟體 (適用於 VMware) 的嚴重程度更新為「高」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2025-21703

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

NGINX Ingress Controller (ingress-nginx) 發現多項安全性問題。這個開放原始碼軟體元件會在 Kubernetes 叢集內執行，協助管理進入叢集的網路流量。其中最嚴重的是 CVE-2025-1974。如需完整詳細資料和完整清單，請參閱 Kubernetes CVE 動態饋給。

這些問題會影響 ingress-nginx。如果叢集未安裝 ingress-nginx，就不會受到影響。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2025 年 4 月 10 日更新： 新增 Ubuntu GKE 節點和 VMware 適用的 GDC 軟體修補程式版本。將 VMware 適用的 GDC 軟體嚴重程度更新為「高」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2024-53164

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

VMware 在 VMSA-2025-0004 中揭露多項安全漏洞，這些漏洞會影響客戶環境中部署的 ESXi 元件。

對 VMware Engine 的影響

您的私有雲已修補完畢，或正在更新以解決安全漏洞。所有客戶都會獲得專屬的裸機主機，以及與其他硬體實體隔離的本機附加磁碟，這是 VMware Engine 服務的一部分。也就是說，這項安全漏洞只會影響特定私有雲中的客體 VM。

您的私有雲將更新至 7.0u3s，版本號碼為 24534642。這相當於 7.0U3s：版本號碼 24585291。

該怎麼辦？

請按照 Broadcom 和安全廠商的說明，處理這個安全漏洞。

• VMSA-2025-0004
• CVE-2025-22224
• CVE-2025-22225
• CVE-2025-22226

2025 年 6 月 2 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本。

2025 年 4 月 10 日更新： 新增適用於 VMware 的 GDC 軟體修補程式版本。將 VMware 適用的 GDC 軟體嚴重程度更新為「高」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2024-56770

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

Envoy 專案最近發布了多項新的安全漏洞 (CVE-2024-53269、CVE-2024-53270 和 CVE-2024-53271)，攻擊者可藉此導致 Envoy 停止運作。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

• CVE-2024-53269
• CVE-2024-53270
• CVE-2024-53271

2025 年 4 月 10 日更新： 新增適用於 VMware 的 GDC 軟體修補程式版本。將 VMware 適用的 GDC 軟體嚴重程度更新為「高」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-53141

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

Google 發現 AMD Zen 架構 CPU 存在安全漏洞，會影響啟用 AMD SEV-SNP 的 Confidential VM 執行個體。攻擊者可利用這項漏洞，在實體電腦中取得根存取權，進而破壞機密 VM 執行個體的機密性和完整性。

Google 已對受影響的資產套用修正程式，包括 Google Cloud，確保客戶受到保護。目前沒有任何證據顯示有人利用此漏洞，Google 也未接獲相關回報。

我該怎麼做？

顧客無須採取任何行動。如要驗證修正內容，客戶可以透過 AMD SEV-SNP，在機密 VM 執行個體的認證報告中查看可信賴運算基礎 (TCB) 版本。可有效降低此安全漏洞風險的最低版本如下：

SNP TCB SVN: 0x18 0d24
tcb_version {
  psp_bootloader_version: 4
  snp_firmware_version: 24 (0x18)
  microcode_version: 219
}

詳情請參閱 AMD 安全性公告 AMD-SB-3019。

CVE-2024-56161

Google Secret Manager Provider for Secret Store CSI Driver 的漏洞，可讓在命名空間中擁有 Pod 和 Secret 建立權限的攻擊者，透過在 Pod 上掛接惡意磁碟區，外洩 CSI 驅動程式的 Kubernetes 服務帳戶權杖。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

如果伺服器使用 Google 驗證程式庫和 Cloud 用戶端程式庫，透過攻擊者控管的憑證設定進行驗證，就可能遭受伺服器端要求偽造攻擊，並遭到任意檔案讀取。 Google Cloud

該怎麼辦？

如果您接受外部來源提供的憑證設定 (憑證 JSON、檔案或串流)，用於驗證 Google Cloud，請務必先驗證憑證，再提供給 Google 驗證程式庫或 Cloud 用戶端程式庫。如果提供未經驗證的憑證設定給 Google 程式庫，系統和資料的安全性可能會受到影響。詳情請參閱「 驗證外部來源的憑證設定」。

這個修補程式修正了哪些安全漏洞？

部分憑證設定包括端點和檔案路徑，驗證程式庫會使用這些設定取得權杖。如果服務或應用程式接受外部來源的憑證設定，並搭配 Google 驗證程式庫或 Cloud 用戶端程式庫使用，但未經過驗證，攻擊者就能提供含有惡意端點或路徑的憑證設定。攻擊者可藉此從服務或服務執行的機器中竊取資料或權杖。為避免發生這種情況，請按照「 驗證外部來源的憑證設定」一文所述，驗證外部來源的憑證設定。

為通知應用程式開發人員，我們已更新文件，說明接受從外部來源取得的憑證設定時，應執行的驗證。

根據 VMware 安全性諮詢 VMSA-2025-0001，VMware Aria Automation 中存在伺服器端偽造要求 (SSRF) 安全漏洞，已由相關人員向 VMware 回報。VMware 已提供修補程式，可修復受影響產品中的這項安全漏洞。

該怎麼辦？

建議您升級至 VMware Aria Automation 8.18.2 HF。

• VMSA-2025-0001
• CVE-2025-22215

2025 年 1 月 23 日更新：新增 GKE 上 Ubuntu 節點集區的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2024-50264

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2025 年 1 月 23 日更新：新增 GKE 上 Ubuntu 節點集區的修補程式版本。

2025 年 1 月 22 日更新：新增 GDC (VMware) 的修補程式版本。將 GDC (VMware) 的嚴重程度更新為「中」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2024-53057

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2025 年 1 月 23 日更新：更新 GKE 分頁中的「受影響的資源」部分。

2025 年 1 月 8 日更新：修正問題開始日期和時間。

安全問題影響了已設定 GKE 多叢集閘道 (MCG) 的 VPC 資源。MCG 是選用功能，僅供少數 GKE 客戶使用。我們已個別通知在該期間啟用這項功能的客戶。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

下列 CVE 會使 Cloud Service Mesh 暴露於可遭利用的安全漏洞：

• CVE-2024-53269：Happy Eyeballs：驗證 additional_address 是否為 IP 位址，而非在排序時當機。
• CVE-2024-53270：HTTP/1：如果事先重設要求，傳送過多資料會導致當機。
• CVE-2024-53271：envoy.reloadable_features.http1_balsa_delay_reset 的 HTTP/1.1 多項問題。

如需操作說明和更多詳細資料，請參閱 Cloud Service Mesh 安全性公告。

• CVE-2024-53269
  
• CVE-2024-53270
  
• CVE-2024-53271
  

根據 VMware 安全性諮詢 VMSA-2024-0022，VMware Aria Operations 中有多個安全漏洞已向 VMware 負責地回報。VMware 已推出更新，可修正受影響產品中的這些安全漏洞。

該怎麼辦？

建議您升級至 VMware Aria Operations 8.18.2。

• VMSA-2024-0022
• CVE-2024-38830
• CVE-2024-38831
• CVE-2024-38832
• CVE-2024-38833
• CVE-2024-38834

我們在 Vertex AI API 服務中發現一項安全漏洞，該服務可處理 Gemini 多模態要求，導致 VPC Service Controls 遭到規避。攻擊者可能會濫用 API 的 fileURI 參數，竊取資料。

我該怎麼做？

您不需要採取任何行動，我們已修正問題，當 fileUri 參數中指定媒體檔案網址，且啟用 VPC 服務控制項時，系統會傳回錯誤訊息。其他用途不受影響。

修正了哪些安全漏洞？

Cloud Support API 可處理 Gemini 多模態要求，您可以在 fileUri 參數中指定媒體檔案的網址，這項功能可用於規避 VPC Service Controls 範圍。服務範圍內的攻擊者可能會在 fileURI 參數中編碼機密資料，藉此規避服務範圍。

2025 年 1 月 22 日更新：新增 GDC (VMware) 的修補程式版本。將 GDC (VMware) 的嚴重程度從「待處理」更新為「高」。

2024 年 12 月 12 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-46800

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

Kubernetes 叢集中發現的安全問題可能會導致使用 gitRepo 磁碟區從遠端執行程式碼。如果惡意建構 Git 存放區，有權建立 Pod 並關聯 gitRepo 磁碟區的使用者，就能在容器邊界外執行任意指令。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

根據 VMware 安全性公告 VMSA-2024-0020，VMware NSX 中有多個安全漏洞已向 VMware 負責地回報。

VMware Engine 環境執行的 NSX-T 版本不會受到 CVE-2024-38815、CVE-2024-38818 或 CVE-2024-38817 影響。

該怎麼辦？

由於 VMware Engine 叢集不會受到這項安全漏洞影響，因此您不必採取進一步行動。

• VMSA-2024-0020
• CVE-2024-38815
• CVE-2024-38817
• CVE-2024-38818

根據 VMware 安全性諮詢 VMSA-2024-0021，VMware HCX 中經過驗證的 SQL 注入安全漏洞已私下回報給 VMware。

我們已套用 VMware 核准的緩解措施，以解決這項安全漏洞。這項修正解決了 CVE-2024-38814 所述的安全漏洞。目前，VMware Engine 私有雲中執行的映像檔版本不會反映任何變更，以指出套用的變更。您已安裝適當的緩解措施，環境不會受到這個安全漏洞影響。

該怎麼辦？

建議您升級至 VMware HCX 4.9.2 版。

• VMSA-2024-0021
• CVE-2024-38814

如要遷移至 Containers for Windows，您必須使用具有管理員權限的本機 m2cuser，如果使用者中斷 analyze 或 generate 指令，或是因內部錯誤導致系統略過刪除本機使用者 m2cuser 的動作，就會造成安全風險。

該怎麼辦？

下列 Windows 版 Migrate to Containers CLI 版本已更新程式碼，修正這個安全漏洞。建議您手動將 Migrate to Containers CLI 升級至下列版本或更新版本：

• 適用於 Windows 的 Migrate to Containers CLI 1.2.3 版於 2024 年 10 月 8 日發布 - Migrate to Containers CLI 版本資訊 | Google Cloud

這個修補程式修正了哪些安全漏洞？

CVE-2024-9858 安全漏洞會讓攻擊者使用 Migrate to Containers 軟體建立的本機管理員使用者，取得受影響 Windows 電腦的管理員存取權。

2024 年 11 月 19 日更新： 新增 GKE Ubuntu 節點集區的修補程式版本。

2024 年 10 月 15 日更新：新增 GDC (VMware) 的修補程式版本。更新 GKE 和 GDC (VMware) 嚴重程度。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-45016

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

在某些 Linux 發行版使用的 CUPS 列印系統中，我們發現一連串漏洞 (CVE-2024-47076、CVE-2024-47175、CVE-2024-47176、CVE-2024-47177)，可能導致遠端程式碼執行。如果 CUPS 服務正在監聽 UDP 連接埠 631，且攻擊者可以連線至該服務，就能利用這個漏洞。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

• CVE-2024-47076
• CVE-2024-47175
• CVE-2024-47176
• CVE-2024-47177

Looker 的 HTTP 要求走私漏洞，讓未經授權的攻擊者能擷取傳送給合法使用者的 HTTP 回應。

Looker 託管的 Looker 版本有兩種：

• 發現 Looker (Google Cloud Core) 存在安全漏洞。這個問題已獲得緩解，調查結果顯示沒有遭到濫用。
• Looker (原始版) 不會受到這個問題影響。

我們發現客戶代管的 Looker 執行個體有安全漏洞，因此必須升級至下列其中一個版本。

我們已在所有支援的客戶代管 Looker 版本中修復這項安全漏洞，這些版本可從 Looker 下載頁面取得。

該怎麼辦？

• 對於所有 Looker 代管執行個體 (包括 Looker (Google Cloud Core) 執行個體)，您都不需要採取任何行動。
• 如果是 Looker 客戶代管的執行個體，請盡快更新至最新支援的 Looker 版本。以下版本均已更新，可防範這個安全漏洞。您可以在 Looker 下載頁面下載這些版本：
  • 23.12 -> 23.12.123+
  • 23.18 -> 23.18.117 以上版本
  • 24.0 -> 24.0.92 以上版本
  • 24.6 -> 24.6.77 以上版本
  • 24.8 -> 24.8.66 以上版本
  • 24.10 -> 24.10.78 以上版本
  • 24.12 -> 24.12.56+
  • 24.14 -> 24.14.37 以上版本

這個修補程式修正了哪些安全漏洞？

攻擊者可利用 CVE-2024-8912 安全漏洞，將精心設計的 HTTP 要求標頭傳送至 Looker，進而攔截傳送給其他使用者的 HTTP 回應。

這些回覆可能含有私密資訊。

這項安全漏洞只會在特定設定下遭到利用。

我們發現 Kubernetes 叢集 (含 Windows 節點) 有安全問題，BUILTIN\Users 可能可以讀取容器記錄，NT AUTHORITY\Authenticated 使用者則可能修改容器記錄。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

在 Protobuf Java Full 和 Lite 程式庫中剖析不明欄位時，惡意製作的訊息可能會導致 StackOverflow 錯誤，進而造成程式當機。

我該怎麼做？

我們一直努力解決這個問題，目前已推出可用的解決方案。建議您使用下列軟體套件的最新版本：

• protobuf-java (3.25.5、4.27.5、4.28.2)
• protobuf-javalite (3.25.5、4.27.5、4.28.2)
• protobuf-kotlin (3.25.5、4.27.5、4.28.2)
• protobuf-kotlin-lite (3.25.5、4.27.5、4.28.2)
• com-protobuf [僅限 JRuby gem] (3.25.5、4.27.5、4.28.2)

這個修補程式修正了哪些安全漏洞？

這項安全漏洞可能會導致阻斷服務。

使用 DiscardUnknownFieldsParser 或 Java Protobuf Lite 剖析器，將巢狀群組剖析為不明欄位，或是針對 Protobuf 對應欄位剖析，會建立無界限的遞迴，攻擊者可能會濫用這類遞迴。

CVSS4.0 分數 8.7

高

下列 CVE 會使 Cloud Service Mesh 暴露於可遭利用的安全漏洞：

• CVE-2024-45807：oghttp2 在 OnBeginHeadersForStream 上當機
• CVE-2024-45808：透過存取記錄注入惡意記錄
• CVE-2024-45806：可能從外部來源操控 `x-envoy` 標頭
• CVE-2024-45809：使用遠端 JWK 時，JWT 篩選器會在清除路徑快取時當機
• CVE-2024-45810：http 非同步用戶端中的 LocalReply 導致 Envoy 損毀

如需操作說明和詳細資訊，請參閱 Cloud Service Mesh 安全性公告。

• CVE-2024-45807
  
• CVE-2024-45808
  
• CVE-2024-45806
  
• CVE-2024-45809
  
• CVE-2024-45810
  

VMware 在 VMSA-2024-0019 中揭露多項漏洞，這些漏洞會影響部署在客戶環境中的 vCenter 元件。

對 VMware Engine 的影響

• Google 已停用任何可能利用這個安全漏洞的行為。舉例來說，Google 已封鎖可能遭人利用這個安全漏洞的通訊埠。
• 此外，Google 也會確保日後部署的所有 vCenter 都不會受到這個安全漏洞影響。

該怎麼辦？

目前你無須採取進一步行動。

• CVE-2024-38812
• CVE-2024-38813

我們在 Windows 中發現新的遠端程式碼執行安全漏洞 (CVE-2024-38063)。攻擊者可將特製的 IPv6 封包傳送至主機，從遠端利用這個漏洞。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2024 年 11 月 1 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本。

2024 年 10 月 21 日更新：新增修補程式版本，並更新 GDC (VMware) 的嚴重程度。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-36978

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2024 年 10 月 30 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本。

2024 年 10 月 25 日更新：新增修補程式版本，並更新 GDC (VMware) 的嚴重程度。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-41009

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2024 年 10 月 30 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本。

2024 年 10 月 21 日更新：新增修補程式版本，並更新 GDC (VMware) 的嚴重程度。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-39503

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

AMD 已通知 Google，有 3 項新的韌體安全漏洞 (2 項中等風險、1 項高風險) 會影響 AMD EPYC 第 3 代 (Milan) 和第 4 代 (Genoa) CPU 的 SEV-SNP。

Google 已對受影響的資產套用修正程式，包括 Google Cloud，確保客戶受到保護。目前，Google 並未發現或接獲任何有關此漏洞遭濫用的回報。

我該怎麼做？

顧客無須採取任何行動。修正程式已套用至 Google 伺服器叢集。

詳情請參閱 AMD 安全性公告「AMD-SN-3011」。

CVE-2023-31355

CVE-2024-21978

CVE-2024-21980

2024 年 9 月 19 日更新： 新增 VMware 適用的 GDC 軟體修補程式版本。

2024 年 8 月 21 日更新：新增 GKE 上 Ubuntu 節點集區的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26925

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2024 年 10 月 30 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本。

2024 年 10 月 21 日更新：新增修補程式版本，並更新 GDC (VMware) 的嚴重程度。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-36972

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2024 年 10 月 2 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本。

2024 年 9 月 20 日更新： 新增 VMware 適用的 GDC 軟體修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26921

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2024 年 7 月 18 日更新：釐清預設設定的 Autopilot 叢集不受影響。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26809

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2024 年 9 月 16 日更新： 新增 VMware 適用的 GDC 軟體修補程式版本。

2024 年 7 月 19 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-52654
• CVE-2023-52656

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

• CVE-2023-52654
• CVE-2023-52656

2024 年 7 月 16 日更新：

部分無伺服器虛擬私有雲存取客戶可能受到 OpenSSH 安全漏洞 (CVE-2024-6387) 影響。如果攻擊得逞，遠端未經驗證的攻擊者就能在目標虛擬機器上以根層級身分執行任意程式碼。據信難以遭到濫用。舉例來說，客戶無法存取 VM，且 VM 沒有公開 IP。我們未發現任何利用此漏洞的嘗試。

我該怎麼做？

Google 已盡可能自動更新無伺服器 VPC 存取部署作業。不過，您應確認Google 管理的服務代理程式具備必要角色。 否則，無伺服器虛擬私有雲存取連接器可能仍有安全漏洞。建議您遷移至直接輸出至虛擬私有雲的功能，或部署新的連接器並刪除舊連接器，確保您已取得修正程式的必要更新。

2024 年 7 月 11 日更新：新增適用於 VMware 的 GDC 軟體、GKE on AWS 和 GKE on Azure 的修補程式版本。詳情請參閱 GKE 說明文件中的下列公告：

• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告

2024 年 7 月 10 日更新：

• 新增 Migrate to Virtual Machines 的安全公告。

2024 年 7 月 9 日更新：

部分 App Engine 彈性環境客戶可能受到 OpenSSH 安全漏洞 (CVE-2024-6387) 影響。如果攻擊者成功利用這個漏洞，就能在目標虛擬機器上以根層級身分執行任意程式碼，且不需要通過驗證。

我該怎麼做？

Google 已盡可能自動更新彈性環境部署作業。不過，部分停用 Google 管理的服務代理程式，或變更 Google Cloud API 或其他預設設定的客戶，可能無法更新，因此仍有安全漏洞。您應部署新版應用程式，以取得修正程式的更新。

請注意，更新後的部署作業會回報 SSH 版本 OpenSSH_9.6p1。這個版本已修補 CVE-2024-6387。

這個修補程式修正了哪些安全漏洞？

CVE-2024-6387 安全漏洞可讓未經身分驗證的遠端攻擊者，在目標電腦上以根層級身分執行任意程式碼。

2024 年 7 月 8 日更新：

如果 Google Compute Engine 上的 Dataproc 叢集執行的是映像檔 2.2 版 (所有作業系統) 和 2.1 版 (僅限 Debian)，就會受到 OpenSSH 安全漏洞 (CVE-2024-6387) 影響。如果攻擊者成功利用這個漏洞，就能以未經驗證的遠端身分，在目標電腦上以根使用者身分執行任意程式碼。

Google Compute Engine 上的 Dataproc 映像檔版本 2.0 和 1.5，以及未在 Debian 上執行的 Dataproc 映像檔版本 2.1，都不會受到影響。啟用個人驗證的 Dataproc 叢集不受影響。Dataproc Serverless 也不會受到影響。

我該怎麼做？

請將 Google Compute Engine 上的 Dataproc 叢集更新至下列其中一個版本：

• 2.2.24 以上版本
• 2.1.58 以上版本

如果無法將 Dataproc 叢集更新至上述任一版本，建議使用這個位置提供的初始化動作： gs://dataproc-initialization-actions/hotfixes/openssh-CVE-2024-6387-mitigation.sh

請按照這些操作說明為 Dataproc 指定初始化動作。請注意，對於現有叢集，初始化動作必須在每個節點 (主要節點和工作站節點) 上執行。

2024 年 7 月 3 日更新：

• 新增 GKE 的修補程式版本。
• 新增 GDC 連線的安全性公告。

2024 年 7 月 2 日更新：

• 明確指出 Autopilot 叢集會受到影響，且需要使用者採取行動。
• 針對 VMware 適用的 GDC 軟體、AWS 上的 GKE 和 Azure 上的 GKE，新增影響評估和緩解步驟。
• 修正裸機適用的 GDC 軟體安全公告，明確指出裸機適用的 GDC 軟體不會直接受到影響，且客戶應向 OS 供應商索取修補程式。

最近在 OpenSSH 中發現遠端程式碼執行安全漏洞 CVE-2024-6387。這個安全漏洞會利用競爭條件取得遠端殼層的存取權，讓攻擊者取得根存取權。發布時，我們認為利用這項弱點並不容易，而且每部受攻擊的機器都需要數小時。我們未發現任何濫用行為。

如需操作說明和更多詳細資訊，請參閱下列公告：

• Compute Engine 安全性公告
• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告
• Google Cloud VMware Engine 安全性公告
• Apigee 安全性公告
• Dataflow 安全性公告
• GDC connected 安全性公告
• Migrate to Virtual Machines 安全性公告

2024 年 9 月 25 日更新： 新增 VMware 適用的 GDC 軟體修補程式版本。

2024 年 8 月 20 日更新：新增 GKE 上 Ubuntu 節點集區的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26923

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

2024 年 9 月 17 日更新： 新增適用於 VMware 的 GDC 軟體修補程式版本。

2024 年 8 月 6 日更新：新增 GKE 上 Ubuntu 節點集區的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26924

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• 適用於 VMware 安全性公告的 GDC 軟體
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• 裸機適用的 GDC 軟體安全性公告

VMware 在 VMSA-2024-0012 中揭露多項安全漏洞，這些漏洞會影響客戶環境中部署的 vCenter 元件。

Google Cloud VMware Engine 的影響

• 只要存取 vCenter Server 中的特定連接埠，即可利用這項漏洞。Google 已封鎖 vCenter 伺服器上的安全漏洞通訊埠，防止任何潛在的惡意探索行為。
• 此外，Google 也會確保日後部署的所有 vCenter 都不會受到這個安全漏洞影響。

該怎麼辦？

目前你無須採取進一步行動。

• CVE-2024-37079
• CVE-2024-37080
• CVE-2024-37081

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2024-26584

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

2024 年 7 月 18 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本，並為 Container-Optimized OS 節點集區的 1.27 版新增修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26584

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

2024 年 7 月 10 日更新：新增執行次要版本 1.26 和 1.27 的 Container-Optimized OS 節點修補程式版本，並新增 Ubuntu 節點的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2024-26583

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

2024 年 9 月 26 日更新： 新增適用於 VMware 的 GDC 軟體修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點的權限遭到提升：

• CVE-2022-23222

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

下列 CVE 會使 Cloud Service Mesh 暴露於可遭利用的安全漏洞：

• CVE-2024-23326：Envoy 錯誤地接受 HTTP 200 回應，進入升級模式。
• CVE-2024-32974：EnvoyQuicServerStream::OnInitialHeadersComplete() 發生當機。
• CVE-2024-32975：QuicheDataReader::PeekVarInt62Length() 發生當機。
• CVE-2024-32976：使用額外輸入內容解壓縮 Brotli 資料時，發生無窮迴圈。
• CVE-2024-34362：EnvoyQuicServerStream 發生當機 (use-after-free)。
• CVE-2024-34363：因未擷取的 nlohmann JSON 例外狀況而導致當機。
• CVE-2024-34364：來自 HTTP 異步用戶端的 Envoy OOM 向量，具有無界限的鏡像回應緩衝區。

如需操作說明和詳細資訊，請參閱 Cloud Service Mesh 安全性公告。

• CVE-2024-23326
  
• CVE-2024-32974
  
• CVE-2024-32975
  
• CVE-2024-32976
  
• CVE-2024-34362
  
• CVE-2024-34363
  
• CVE-2024-34364
  

我們在 Fluent Bit 中發現一個新的安全漏洞 (CVE-2024-4323)，可能導致遠端程式碼執行。Fluent Bit 2.0.7 至 3.0.3 版都會受到影響。

GKE、GKE on VMware、GKE on AWS、GKE on Azure 和 GKE on Bare Metal 並未使用有安全漏洞的 Fluent Bit 版本，因此不受影響。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

2024 年 7 月 18 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-52620

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

2024 年 8 月 19 日更新：新增 GKE 上 Ubuntu 節點集區的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26642

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

2024 年 5 月 22 日更新：新增 Ubuntu 的修補程式版本

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26581

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

2024 年 9 月 25 日更新： 新增 VMware 適用的 GDC 軟體修補程式版本。

2024 年 5 月 15 日更新：新增 GKE Ubuntu 節點集區的修補程式版本。

2024 年 5 月 9 日更新：將嚴重程度從「中」修正為「高」，並說明預設設定的 GKE Autopilot 叢集不受影響。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26808

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

2024 年 8 月 6 日更新：新增 GKE 上 Ubuntu 節點集區的修補程式版本。

2024 年 5 月 9 日更新：將嚴重程度從「中」修正為「高」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26643

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

Looker 已修正外部研究人員透過 Google 和 Alphabet 安全漏洞獎勵計畫 (VRP) 回報的安全漏洞，但未發現任何遭濫用的證據。這些問題現已解決，Looker (Google Cloud Core) 和 Looker (原始版本) 的 Looker 代管客戶無須採取任何行動。建議自行代管的 Looker 執行個體更新至最新支援版本。

我該怎麼做？

Looker 代管的執行個體：Looker (Google Cloud Core) 和 Looker (原始版本) 執行個體

顧客無須採取任何行動。

僅限自行代管的 Looker 執行個體

如果 Looker 執行個體是自行代管，建議將 Looker 執行個體升級至下列其中一個版本：

• 24.6.12+
• 24.4.27+
• 24.2.58+
• 24.0.65+
• 23.18.100+
• 23.12.105+
• 23.6.163+

如何修正？

Google 已停用 Looker 應用程式的內部資料庫直接管理存取權，移除可跨租戶存取的提高權限，並輪替公開的密碼。此外，我們也修補了可能導致服務帳戶憑證外洩的路徑遍歷弱點。我們也正在全面審查程式碼和系統，找出並解決任何類似的潛在漏洞。

2024 年 7 月 18 日更新： 新增 GKE 上 Ubuntu 節點集區的修補程式版本

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26585

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

下列 CVE 會使 Cloud Service Mesh 暴露於可遭利用的安全漏洞：

• CVE-2024-27919：HTTP/2：因 CONTINUATION 框架氾濫而導致記憶體耗盡。
• CVE-2024-30255：HTTP/2：因 CONTINUATION 框架氾濫而導致 CPU 耗盡
• CVE-2024-32475：使用「auto_sni」和「:authority」標頭時，如果標頭長度超過 255 個字元，系統會異常終止。
• CVE-2023-45288：HTTP/2 CONTINUATION 框架可用於發動 DoS 攻擊。

如需操作說明和詳細資料，請參閱 Cloud Service Mesh 安全性公告。

• CVE-2024-27919
  
• CVE-2024-30255
  
• CVE-2024-32475
  
• CVE-2023-45288
  

2024 年 7 月 17 日更新：新增 GKE on VMware 的修補程式版本

2024 年 7 月 9 日更新：新增 GKE on Bare Metal 的修補程式版本

2024 年 4 月 24 日更新：新增 GKE 的修補程式版本。

最近在多個 HTTP/2 通訊協定實作項目中發現阻斷服務 (DoS) 安全漏洞 (CVE-2023-45288)，包括 Kubernetes 使用的 golang HTTP 伺服器。這個安全漏洞可能會導致 Google Kubernetes Engine (GKE) 控制層發生 DoS 攻擊。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

Compute Engine 不受 CVE-2024-3094 影響，這個漏洞會影響 liblzma 程式庫中 xz-utils 封裝的 5.6.0 和 5.6.1 版，可能導致 OpenSSH 公用程式遭到入侵。

詳情請參閱 Compute Engine 安全性公告。

研究人員在 Ray 中發現安全漏洞 (CVE-2023-48022)。Ray 是第三方開放原始碼工具，適用於 AI 工作負載。由於 Ray 不需要驗證，威脅行為人可以透過向公開顯示的執行個體提交工作，達到遠端執行程式碼的目的。Ray 的開發人員 Anyscale 已對這項安全漏洞提出爭議。Ray 認為這些功能是預期的核心產品功能，因此安全性必須在 Ray 叢集外部實作，因為 Ray 叢集任何非預期的網路曝光都可能導致遭到入侵。

根據回覆，這項 CVE 存在爭議，可能不會顯示在安全漏洞掃描器中。無論如何，這項漏洞已在實際環境中遭到積極利用，建議使用者按照下文說明設定使用方式。

我該怎麼做？

請遵循 Ray 最佳做法和指南，包括在受信任的網路中執行受信任的程式碼，確保 Ray 工作負載安全無虞。在客戶雲端執行個體中部署 ray.io 屬於共同責任模式。

Google Kubernetes Engine (GKE) 安全性團隊已發布網誌，說明如何強化 GKE 上的 Ray。

如要進一步瞭解如何為 Ray 服務新增驗證和授權，請參閱 Identity-Aware Proxy (IAP) 說明文件。GKE 使用者可以按照這份指南導入 IAP，也可以重新利用這篇網誌中連結的 Terraform 模組。

2024 年 5 月 6 日更新：新增 GKE Ubuntu 節點集區的修補程式版本。

2024 年 4 月 4 日更新：修正 GKE Container-Optimized OS 節點集區的最低版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-1085

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-3611

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

VMware 在 VMSA-2024-0006 中揭露多項安全漏洞，這些漏洞會影響部署在客戶環境中的 ESXi 元件。

Google Cloud VMware Engine 的影響

您的私有雲已更新，可解決安全漏洞。

該怎麼辦？

您無須採取任何行動。

• VMSA-2024-0006
• CVE-2024-22252
• CVE-2024-22253
• CVE-2024-22254
• CVE-2024-22255

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-3776

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-3610

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-0193

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-6932

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

2024 年 4 月 17 日更新：新增 GKE on VMware 的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-6931

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

2024 年 2 月 13 日，AMD 揭露了兩個安全漏洞，會影響以第三代「Milan」和第四代「Genoa」Zen 核心為基礎的 EPYC CPU 上的 SEV-SNP。攻擊者可利用這些漏洞，從訪客存取過時資料，或導致訪客完整性喪失。

Google 已對受影響的資產套用修正程式，包括 Google Cloud，確保客戶受到保護。目前沒有任何證據顯示有人利用此漏洞，也沒有人向 Google 回報這類情況。

我該怎麼做？

顧客無須採取任何行動。Google 伺服器機群 (包括 Compute Engine) 已套用 Google Cloud的修正程式。

詳情請參閱 AMD 安全性公告 AMD-SN-3007。

• CVE-2023-31346
• CVE-2023-31347

攻擊者可利用 CVE-2023-5528 在 Windows 節點上建立 Pod 和 PersistentVolume，進而提升這些節點的管理員權限。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

下列 CVE 會使 Cloud Service Mesh 暴露於可遭利用的安全漏洞：

• CVE-2024-23322：如果閒置時發生要求逾時重試，Envoy 會在輪詢間隔內當機。
• CVE-2024-23323：使用 regex 設定 URI 範本比對器時，CPU 使用率過高。
• CVE-2024-23324：當 Proxy 通訊協定篩選器設定無效的 UTF-8 中繼資料時，外部授權可能會遭到規避。
• 使用作業系統不支援的位址類型時，Envoy 會當機。
• CVE-2024-23327：當指令類型為 LOCAL 時，Proxy 通訊協定會當機。

如需操作說明和詳細資料，請參閱 Cloud Service Mesh 安全性公告。

• CVE-2024-23322
  
• CVE-2024-23323
  
• CVE-2024-23324
  
• CVE-2024-23325
  
• CVE-2024-23327
  

Apigee API 管理 Proxy 連線至目標端點或 目標伺服器時，預設不會對目標端點或目標伺服器提供的憑證執行主機名稱驗證。如果未使用下列任一選項啟用主機名稱驗證，連線至目標端點或目標伺服器的 Apigee Proxy 可能會遭到授權使用者發動的攔截式攻擊。詳情請參閱「從 Edge 到後端 (Cloud 和 Private Cloud) 設定 TLS」。

下列 Apigee 平台上的 Apigee Proxy 部署作業會受到影響：

• Apigee Edge Public Cloud
• Apigee Edge for Private Cloud

如需操作說明和詳細資訊，請參閱 Apigee 安全性公告。

2024 年 5 月 6 日更新：新增 AWS 上的 GKE 和 Azure 上的 GKE 的修補程式版本。

2024 年 4 月 2 日更新：新增 GKE on Bare Metal 的修補程式版本

2024 年 3 月 6 日更新：新增 VMware 中 GKE 的修補程式版本

2024 年 2 月 28 日更新：新增 Ubuntu 的修補程式版本

2024 年 2 月 15 日更新：2024 年 2 月 14 日更新中的 1.25 和 1.26 Ubuntu 修補程式版本可能會導致節點狀況不佳。

2024 年 2 月 14 日更新：新增 Ubuntu 的修補程式版本

2024 年 2 月 6 日更新： 新增 Container-Optimized OS 的修補程式版本。

我們在 runc 中發現 CVE-2024-21626 安全漏洞。如果使用者有權在 Container-Optimized OS 和 Ubuntu 節點上建立 Pod，就可能完全存取節點檔案系統。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

2024 年 2 月 7 日更新： 新增 Ubuntu 的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-6817

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

2024 年 1 月 26 日更新：釐清受影響的叢集數量，以及我們為減輕影響而採取的行動。詳情請參閱 GCP-2024-003 安全性公告。

我們發現有幾個叢集的使用者已將 Kubernetes 權限授予 system:authenticated 群組，該群組包含所有擁有 Google 帳戶的使用者。這類繫結不建議使用，因為這會違反最低權限原則，並將存取權授予非常龐大的使用者群組。如需如何尋找這類繫結的操作說明，請參閱「該怎麼辦」一節的指引。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告

2024 年 2 月 20 日更新：新增 GKE on VMware 的修補程式版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限遭到提升。

• CVE-2023-6111

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

我們在 TianoCore EDK II UEFI 韌體中發現多項安全漏洞。這個韌體用於 Google Compute Engine VM。如果遭到濫用，這些安全漏洞可能會規避安全啟動，進而在安全啟動程序中提供錯誤的測量結果，包括在受防護的 VM 中使用時。

該怎麼辦？

您無須採取任何行動，Google 已修補 Compute Engine 的這個安全漏洞，所有 VM 都不會受到影響。

這個修補程式修正了哪些安全漏洞？

這個修補程式可有效降低下列安全漏洞的風險：

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-3609

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-3389

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-3090

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

2023 年 12 月 21 日更新：釐清預設設定的 GKE Autopilot 叢集不受影響。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-3390

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

如果攻擊者入侵 Fluent Bit 記錄容器，就能結合該存取權和 Cloud Service Mesh (在已啟用該服務的叢集上) 所需的高權限，進而提升叢集中的權限。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

2024 年 3 月 4 日更新： 新增 VMware 中 GKE 的 GKE 版本。

2024 年 1 月 22 日更新：新增 Ubuntu 修補程式版本

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-5717

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• GKE on Bare Metal 安全性公告

2023 年 12 月 21 日更新：釐清預設設定的 GKE Autopilot 叢集不受影響。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-5197

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

11 月 14 日，AMD 揭露多項安全漏洞，這些漏洞會影響各種 AMD 伺服器 CPU。具體來說，這些安全漏洞會影響採用第 2 代「Rome」、第 3 代「Milan」和第 4 代「Genoa」Zen 核心架構的 EPYC 伺服器 CPU。

Google 已對受影響的資產 (包括 Google Cloud) 進行修正，確保客戶受到保護。目前沒有任何證據顯示有人利用此漏洞，Google 也未接獲相關回報。

我該怎麼做？

顧客無須採取任何行動。

Google Cloud (包括 Google Compute Engine) 的 Google 伺服器機群已套用修正程式。

這個修補程式修正了哪些安全漏洞？

這個修補程式可有效降低下列安全漏洞的風險：

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2023-20521
• CVE-2021-46766
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

詳情請參閱 AMD 的安全諮詢 AMD-SN-3005：「AMD INVD 指令安全注意事項」(也稱為 CacheWarp)，以及 AMD-SN-3002：「AMD 伺服器安全漏洞 - 2023 年 11 月」。

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

Intel 揭露了特定處理器的 CPU 安全漏洞。Google 已採取措施，降低伺服器機群 (包括 Google Compute Engine for Google Cloud和 ChromeOS 裝置) 的風險，確保客戶受到保護。

安全漏洞詳情：

• CVE-2023-23583

我該怎麼做？

顧客無須採取任何行動。

Intel 為受影響的處理器提供的緩解措施，已套用至 Google 伺服器叢集，包括 Google Compute Engine for Google Cloud。

目前，Google Distributed Cloud Edge 需要 OEM 更新。Google 會在更新推出後修復這項產品，並據此更新這則公告。

搭載受影響處理器的 ChromeOS 裝置已在 119、118 和 114 (LTS) 版中自動收到修正程式。

這個修補程式修正了哪些安全漏洞？

CVE-2023-23583。詳情請參閱 Intel 安全性諮詢 INTEL-SA-00950。

2023 年 11 月 15 日更新：釐清只有列出的子版本需要升級至對應的 GKE 修補版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-4147

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

2023 年 12 月 21 日更新：釐清預設設定的 GKE Autopilot 叢集不受影響。

2023 年 12 月 5 日更新：新增 Container-Optimized OS 節點集區的 GKE 版本。

2023 年 11 月 21 日更新：明確指出只有列出的子版本需要升級至對應的 GKE 修補版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-4004

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

2023 年 12 月 21 日更新：釐清預設設定的 GKE Autopilot 叢集不受影響。

2023 年 11 月 21 日更新：明確指出只有列出的子版本需要升級至對應的 GKE 修補版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-4921

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

2023 年 11 月 21 日更新：明確指出只有列出的子版本需要升級至對應的 GKE 修補版本。

2023 年 11 月 16 日更新：與本安全公告相關的安全漏洞為 CVE-2023-4622。在舊版安全公告中，CVE-2023-4623 誤列為安全漏洞。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-4623

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

2023 年 12 月 21 日更新：釐清預設設定的 GKE Autopilot 叢集不受影響。

2023 年 11 月 21 日更新：明確指出只有列出的子版本需要升級至對應的 GKE 修補版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-4623

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

2023 年 12 月 21 日更新：釐清預設設定的 GKE Autopilot 叢集不受影響。

2023 年 11 月 21 日更新：明確指出只有列出的子版本需要升級至對應的 GKE 修補版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-4015

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

深度學習 VM 映像檔是一系列預先封裝的虛擬機器映像檔，具備隨時可執行的深度學習架構。最近，我們在 `libwebp` 程式庫的 `ReadHuffmanCodes()` 函式中發現了越界寫入安全漏洞。使用這個程式庫的圖片可能會受到影響。

Google Cloud 會持續掃描公開發布的映像檔，並更新套件，確保最新版本包含修補程式的發行版本，供客戶採用。深度學習 VM 映像檔已更新，確保最新 VM 映像檔包含修補的發行版本。採用最新 VM 映像檔的客戶不會受到這個安全漏洞影響。

我該怎麼做？

Google Cloud 使用已發布 VM 映像檔的客戶應確保採用最新映像檔，並根據共同責任模式更新環境。

攻擊者可能會利用 CVE-2023-4863 執行任意程式碼。這項安全漏洞是在 116.0.5845.187 之前的 Google Chrome 版本，以及 1.3.2 之前的 `libwebp` 版本中發現，並列於 CVE-2023-4863 下。

2023 年 12 月 21 日更新：釐清預設設定的 GKE Autopilot 叢集不受影響。

2023 年 11 月 21 日更新：明確指出只有列出的子版本需要升級至對應的 GKE 修補版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

VMware 在 VMSA-2023-0023 中揭露多項漏洞，這些漏洞會影響部署在客戶環境中的 vCenter 元件。

Cloud Customer Care 的影響

• 只要存取 vCenter Server 中的特定連接埠，即可利用這項漏洞。這些通訊埠不會暴露在公開網際網路下。
• 如果不受信任的系統無法存取 vCenter 的 2012/tcp、2014/tcp 和 2020/tcp 連接埠，就不會受到這項安全漏洞影響。
• Google 已封鎖 vCenter 伺服器上的易受攻擊通訊埠，防止有人惡意探索這個安全漏洞。
• 此外，Google 會確保日後部署的所有 vCenter 伺服器都不會受到這個安全漏洞影響。
• 在發布公告時，VMware 並未發現任何「實際」的攻擊事件。 詳情請參閱 VMware 說明文件。

該怎麼辦？

目前不需要採取其他行動

2023 年 12 月 21 日更新：釐清預設設定中的 GKE Autopilot 叢集不受影響，GKE Sandbox 工作負載也不受影響。

2023 年 11 月 21 日更新：明確指出只有列出的子版本需要升級至對應的 GKE 修補版本。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-3777

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

2023 年 11 月 3 日更新：新增 Apigee Edge Private Cloud 的 已知問題。

最近在 HTTP/2 通訊協定的多項實作項目中發現阻斷服務 (DoS) 安全漏洞 (CVE-2023-44487)，包括 Apigee Ingress (Cloud Service Mesh) 服務，Apigee X 和 Apigee Hybrid 都會使用這項服務。這項安全漏洞可能會導致 Apigee API 管理功能發生 DoS 攻擊。

如需操作說明和詳細資訊，請參閱 Apigee 安全性公告。

使用 HTTP/2 通訊協定時，阻斷服務攻擊可能會影響資料平面。如需操作說明和詳細資訊，請參閱 Cloud Service Mesh 安全性公告。

2024 年 3 月 20 日更新：新增 GKE on AWS 和 GKE on Azure 的修補程式版本，其中包含 CVE-2023-44487 的最新修補程式。

2024 年 2 月 14 日更新：新增 GKE on VMware 的修補程式版本。

2023 年 11 月 9 日更新：新增 CVE-2023-39325。更新 GKE 版本，其中包含 CVE-2023-44487 和 CVE-2023-39325 的最新修補程式。

最近在多個 HTTP/2 通訊協定實作中發現阻斷服務 (DoS) 安全漏洞 (CVE-2023-44487)，包括 Kubernetes 使用的 golang HTTP 伺服器。這個安全漏洞可能會導致 Google Kubernetes Engine (GKE) 控制層發生 DoS 攻擊。設定授權網路的 GKE 叢集會受到保護，網路存取權會受到限制，但其他所有叢集都會受到影響。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

TorchServe 用於託管 PyTorch 機器學習模型，以進行線上預測。Vertex AI 提供預建的 PyTorch 模型服務容器，這些容器依附於 TorchServe。我們最近在 TorchServe 中發現安全漏洞，如果模型管理 API 遭到公開，攻擊者就能控管 TorchServe 部署作業。如果客戶已將 PyTorch 模型部署至 Vertex AI 線上預測，則不會受到這些安全漏洞影響，因為 Vertex AI 不會公開 TorchServe 的模型管理 API。如果客戶在 Vertex AI 以外使用 TorchServe，應採取預防措施，確保部署作業安全無虞。

我該怎麼做？

如果 Vertex AI 客戶已使用 Vertex AI 的預建 PyTorch 服務容器部署模型，則無須採取任何行動來解決這些安全漏洞，因為 Vertex AI 部署作業不會將 TorchServe 的管理伺服器公開至網際網路。

如果客戶在其他情境中使用預建的 PyTorch 容器，或是使用自訂建構或第三方發布的 TorchServe，請採取下列做法：

• 請確保 TorchServe 的模型管理 API 未對網際網路公開。只要確保 management_address 繫結至 127.0.0.1，即可將模型管理 API 限制為僅限本機存取。
• 使用 allowed_urls 設定，確保模型只能從預期來源載入。
• 請盡快將 TorchServe 升級至 0.8.2 版，該版本已包含此問題的因應措施。為防範風險，Vertex AI 將於 2023 年 10 月 13 日前發布修正後的預建容器。

這個修補程式修正了哪些安全漏洞？

在大多數 TorchServe Docker 映像檔 (包括 Vertex AI 發布的映像檔) 中，TorchServe 的管理 API 預設會繫結至 0.0.0.0，因此可供外部要求存取。在 TorchServe 0.8.2 中，管理 API 的預設 IP 位址已變更為 127.0.0.1，可減輕這個問題。

CVE-2023-43654 和 CVE-2022-1471 允許有權存取管理 API 的使用者從任意來源載入模型，並遠端執行程式碼。TorchServe 0.8.2 包含這兩項問題的解決方法：移除遠端程式碼執行路徑，並在採用 allowed_urls 的預設值時發出警告。

客戶可以設定 Google Security Operations，透過擷取動態饋給從客戶擁有的 Cloud Storage bucket 擷取資料。在最近之前，Google Security Operations 提供共用的服務帳戶，供客戶授予 bucket 權限。如果某位客戶的 Google Security Operations 執行個體設定為從另一位客戶的 Cloud Storage bucket 擷取資料，就會出現安全漏洞。執行影響分析後，我們發現目前或先前並無濫用此安全漏洞的行為。2023 年 9 月 19 日前，所有版本的 Google Security Operations 都存在這個安全漏洞。

我該怎麼做？

自 2023 年 9 月 19 日起，Google Security Operations 已更新，可解決這項安全漏洞。顧客無須採取任何行動。

這個修補程式修正了哪些安全漏洞？

過去，Google Security Operations 提供共用服務帳戶，供客戶授予 Bucket 權限。由於不同客戶將相同 Google Security Operations 服務帳戶的權限授予自己的儲存空間，因此存在可供利用的向量，讓某位客戶的動態消息在建立或修改時，存取另一位客戶的儲存空間。這個攻擊媒介需要知道 bucket URI。現在，在建立或修改資訊提供時，Google Security Operations 會為每位客戶使用專屬的服務帳戶。

VMware vCenter Server 更新解決多個記憶體損毀漏洞 (CVE-2023-20892、CVE-2023-20893、CVE-2023-20894、CVE-2023-20895、CVE-2023-20896)

Customer Care 影響

VMware vCenter Server (vCenter Server) 和 VMware Cloud Foundation (Cloud Foundation)。

該怎麼辦？

這項異動不會對客戶造成影響，因此無須採取任何行動。

• CVE-2023-20893

我們在 Kubernetes 中發現三個安全漏洞 (CVE-2023-3676、CVE-2023-3955、CVE-2023-3893)，如果使用者能在 Windows 節點上建立 Pod，可能就能在這些節點上取得管理員權限。這些安全漏洞會影響 Kubelet 和 Kubernetes CSI Proxy 的 Windows 版本。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

Intel 最近發布了 Intel 安全性諮詢 INTEL-SA-00828，指出部分處理器系列受到影響。建議您根據這項建議評估風險。

Google Cloud VMware Engine 的影響

我們的車隊使用受影響的處理器系列。在我們的部署作業中，整個伺服器專供一位客戶使用。因此，我們的部署模型不會為這項安全漏洞的評估作業增加任何額外風險。

我們正與合作夥伴合作取得必要修補程式，並會在接下來幾週內，使用標準升級程序，優先在整個機群中部署這些修補程式。

該怎麼辦？

您無須採取任何行動，我們會升級所有受影響的系統。

• CVE-2022-40982

2024 年 6 月 4 日更新：下列缺少的產品現已更新，可修正這項安全漏洞：

• Google Distributed Cloud Hosted
• Google Distributed Cloud Edge

2023 年 8 月 10 日更新：新增 ChromeOS LTS 版本號碼。

Intel 揭露了特定處理器中的安全漏洞 (CVE-2022-40982)。 Google 已採取措施，減輕伺服器機群 (包括 Google Cloud) 的影響，確保客戶受到保護。

安全漏洞詳情：

• CVE-2022-40982 (Intel IPU 2023.3，「GDS」又稱「Downfall」)

我該怎麼做？

顧客無須採取任何行動。

Google Cloud (包括 Google Compute Engine) 的 Google 伺服器機群已套用所有可用的修補程式。

目前，下列產品需要合作夥伴和供應商進行額外更新。

• Google Cloud VMware Engine
• Google Distributed Cloud Hosted
• Google Distributed Cloud Edge
• Google Cloud Bare Metal Solution
• Evolved Packet Core

Google 會在這些修補程式推出後修正這些產品，並據此更新本公告。

Google Chromebook 和 ChromeOS Flex 客戶已在穩定版 (115)、長期支援版 (108)、Beta 版 (116) 和 LTC 版 (114) 中，自動收到 Intel 提供的緩解措施。如果 Chromebook 和 ChromeOS Flex 客戶固定使用舊版，請考慮取消固定並改用穩定版或長期支援版，確保裝置能收到這項和其他安全漏洞修正。

這個修補程式修正了哪些安全漏洞？

CVE-2022-40982 - 詳情請參閱 Intel 安全性諮詢 INTEL-SA-00828。

AMD 揭露了特定處理器中的安全漏洞 (CVE-2023-20569)。 Google 已採取措施，減輕伺服器機群 (包括 Google Cloud) 的影響，確保客戶受到保護。

安全漏洞詳情：

• CVE-2023-20569 (AMD SB-7005，又稱「Inception」)

我該怎麼做？

如果使用者在 Compute Engine VM 中執行不受信任的程式碼，請考慮使用 OS 提供的緩解措施。建議客戶向作業系統供應商尋求更具體的指引。

Google Cloud (包括 Google Compute Engine) 的 Google 伺服器機群已套用修正程式。

這個修補程式修正了哪些安全漏洞？

CVE-2023-20569 - 詳情請參閱 AMD SB-7005。

Google 在 1.57 版發布前，發現 gRPC C++ 實作項目存在安全漏洞。這是 gRPC C++ 實作中的阻斷服務安全漏洞。這些問題已在 1.53.2、1.54.3、1.55.2、1.56.2 和 1.57 版中修正。

我該怎麼做？

請確認您使用的是下列軟體套件最新版本：

• gRPC (C++、Python、Ruby) 1.53、1.54、1.55 和 1.56 版需要升級至下列修補程式版本：
• 1.53.2
• 1.54.3
• 1.55.2
• 1.56.2
• gRPC (C++、Python、Ruby) 1.52 版和更早版本必須升級至核准的修補程式版本。例如 1.53.2、1.54.3、1.53.4 等。

這個修補程式修正了哪些安全漏洞？

這些修補程式可有效降低下列安全漏洞的風險：

• gRPC C++ 實作項目中的阻斷服務安全漏洞：特製要求可能會導致 Proxy 與後端之間的連線終止。

下列 CVE 會使 Cloud Service Mesh 暴露於可遭利用的安全漏洞：

• CVE-2023-35941：在某些特定情況下，惡意用戶端可以建構永久有效的憑證。舉例來說，HMAC 酬載中的主機和到期時間組合，在 OAuth2 篩選器的 HMAC 檢查中一律有效。
• CVE-2023-35942：使用接聽程式全域範圍的 gRPC 存取記錄器，可能會在接聽程式排空時導致釋放後使用當機。如果 LDS 更新的 gRPC 存取記錄檔設定相同，就會觸發這項作業。
• CVE-2023-35943：如果 origin 標頭設定為使用 request_headers_to_remove: origin 移除，CORS 篩選器會 segfault 並導致 Envoy 損毀。
• CVE-2023-35944：攻擊者可以傳送混合配置要求，略過 Envoy 中的配置檢查。舉例來說，如果含有混合配置 HTTP 的要求傳送至 OAuth2 篩選器，系統會因 HTTP 的完全相符檢查失敗，通知遠端端點配置為 HTTPS，因此可能會略過 HTTP 要求專用的 OAuth2 檢查。

如需操作說明和詳細資訊，請參閱 Cloud Service Mesh 安全性公告。

• CVE-2023-35941
  
• CVE-2023-35942
  
• CVE-2023-35943
  
• CVE-2023-35944
  

AMD 已發布微碼更新，解決硬體安全漏洞 (CVE-2023-20593)。Google 已為伺服器機群 (包括 Google Cloud Platform 的伺服器) 進行必要的修正，以解決這項安全漏洞。測試結果顯示，系統效能不會受到影響。

我該怎麼做？

Google Cloud Platform 的 Google 伺服器機群已套用修正程式，因此客戶不必採取任何行動。

這個修補程式修正了哪些安全漏洞？

CVE-2023-20593 解決了部分 AMD CPU 的安全漏洞。詳情請參閱這篇文章。

我們在 Envoy 中發現一個新漏洞 (CVE-2023-35945)，不受信任的上游服務可能會傳送特製回應，導致記憶體耗盡，造成阻斷服務。這是因為 Envoy 的 HTTP/2 編解碼器可能會在收到 RST_STREAM 後，立即從上游伺服器接收 GOAWAY 框架，導致標頭對映和記帳結構外洩。

如需操作說明和詳細資訊，請參閱 Cloud Service Mesh 安全性公告。

Linux 核心最近發現一個新安全漏洞 (CVE-2023-2235)，可能會導致節點權限提升。GKE Autopilot 叢集會受到影響，因為 GKE Autopilot 節點一律會使用 Container-Optimized OS 節點映像檔。執行 Container-Optimized OS 節點映像檔的 GKE Standard 叢集 (版本 1.25 以上) 會受到影響。

如果 GKE 叢集只執行 Ubuntu 節點映像檔、執行 1.25 之前的版本，或使用 GKE Sandbox，就不會受到影響。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

2023 年 7 月 11 日更新：新版 GKE 已更新，內含最新版 Ubuntu，可修補 CVE-2023-31436。

我們在 Linux 核心中發現一項新安全漏洞 (CVE-2023-31436)，可能會導致節點權限提升。包括 Autopilot 叢集在內的 GKE 叢集都會受到影響。使用 GKE Sandbox 的 GKE 叢集不受影響。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

我們在 Cloud Service Mesh 使用的 Envoy 中發現多個安全漏洞，惡意攻擊者可利用這些漏洞造成阻斷服務或 Envoy 當機。這些問題已在 GCP-2023-002 中分別回報。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

Linux 核心最近發現一個新安全漏洞 (CVE-2023-0468)。如果 io_poll_get_ownership 會在每次 io_poll_wake 時持續增加 req->poll_refs，然後溢位至 0，這項漏洞可能會允許未經授權的使用者將權限升級為根層級，進而導致 struct 檔案參照計數問題，因為這會導致 fput req->file 兩次。使用 Linux 核心 5.15 版的 Container-Optimized OS，包括 Autopilot 叢集在內的 GKE 叢集都會受到影響。使用 Ubuntu 映像檔或 GKE Sandbox 的 GKE 叢集不受影響。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

2023 年 8 月 11 日更新： 新增 GKE on VMware、GKE on AWS、GKE on Azure 和 Google Distributed Cloud Virtual for Bare Metal 的修補程式版本。

我們在 Kubernetes 中發現兩項新的安全性問題，使用者在使用臨時容器和 ImagePolicyWebhook (CVE-2023-2727) 或 ServiceAccount 許可外掛程式 (CVE-2023-2728) 時，可能會啟動容器，進而規避政策限制。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

在專案中啟用 Cloud Build API 時，Cloud Build 會自動建立預設服務帳戶，代表您執行建構作業。這個 Cloud Build 服務帳戶先前擁有 logging.privateLogEntries.list IAM 權限，因此建構作業預設可存取私人記錄。為遵守最低權限安全原則，這項權限已從 Cloud Build 服務帳戶撤銷。

如需操作說明和詳細資訊，請參閱 Cloud Build 安全性公告。

Google 在 gRPC C++ 實作中發現了三個新漏洞。這些漏洞很快就會公開發布，分別為 CVE-2023-1428、CVE-2023-32731 和 CVE-2023-32732。

我們在 4 月發現 1.53 和 1.54 版本有兩個安全漏洞，其中一個是 gRPC C++ 實作中的阻斷服務安全漏洞，另一個則是遠端資料外洩安全漏洞。這些問題已在 1.53.1、1.54.2 和後續版本中修正。

今年 3 月，內部團隊在執行例行模糊測試活動時，發現 gRPC 的 C++ 實作中存在阻斷服務安全漏洞。這個問題出現在 gRPC 1.52 版，並已在 1.52.2 和 1.53 版中修正。

該怎麼辦？

請確認您使用的是下列軟體套件最新版本：

• grpc (C++、Python、Ruby) 1.52、1.53 和 1.54 版需要升級至下列修補程式版本：
• 1.52.2
• 1.53.1
• 1.54.2
• grpc (C++、Python、Ruby) 1.51 以下版本不受影響，因此使用這些版本的使用者不必採取任何行動

這些修補程式修正了哪些安全漏洞？

這些修補程式可有效降低下列安全漏洞的風險：

• 1.53.1、1.54.2 和後續版本修正了 gRPC C++ 實作中的阻斷服務安全漏洞。精心設計的要求可能會導致 Proxy 與後端之間的連線終止。遠端資料外洩漏洞：由於標頭大小限制，HPACK 資料表中的不同步問題可能會導致 Proxy 後端洩漏連線至 Proxy 的其他用戶端標頭資料。
• 1.52.2、1.53 和後續版本修正了 gRPC C++ 實作中的阻斷服務安全漏洞。剖析特定格式的要求可能會導致伺服器當機。

建議您升級至上述軟體套件的最新版本。

我們在 secrets-store-csi-driver 中發現新的安全漏洞 (CVE-2023-2878)，如果攻擊者有權存取驅動程式記錄，就能觀察服務帳戶權杖。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

Linux 核心中發現新的安全漏洞 (CVE-2023-1872)，可能導致節點上的權限升級為 Root。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

最近我們發現 SQL Server 適用的 Cloud SQL 存在安全漏洞，導致客戶管理員帳戶可以在 tempdb 資料庫中建立觸發程序，並藉此取得執行個體中的 sysadmin 權限。sysadmin 權限會讓攻擊者存取系統資料庫，以及執行該 SQL Server 執行個體的電腦部分存取權。

Google Cloud 在 2023 年 3 月 1 日前修補安全漏洞，解決問題。 Google Cloud 未發現任何遭入侵的客戶執行個體。

如需操作說明和詳細資訊，請參閱 Cloud SQL 安全性公告。

2023 年 6 月 6 日更新：新版 GKE 已更新，內含最新版 Ubuntu，可修補 CVE-2023-1281 和 CVE-2023-1829。

Linux 核心最近發現兩個新漏洞 (CVE-2023-1281、CVE-2023-1829)，可能導致節點上的權限提升至 Root。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

可信任平台模組 (TPM) 2.0 中發現兩個安全漏洞 (CVE-2023-1017 和 CVE-2023-1018)。

如果遭到有心人士利用，這些安全漏洞可能會導致特定 Compute Engine VM 發生 2 位元組的超出界限讀取/寫入作業。

如需操作說明和更多詳細資料，請參閱 Compute Engine 安全性公告。

• CVE-2023-1017
• CVE-2023-1018

2023 年 12 月 21 日更新：釐清預設設定的 GKE Autopilot 叢集不受影響。

我們在 Linux 核心中發現兩個新安全漏洞 (CVE-2023-0240 和 CVE-2023-23586)，未經授權的使用者可能會利用這些漏洞升級權限。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

下列 CVE 會使 Cloud Service Mesh 暴露於可遭利用的安全漏洞：

• CVE-2023-27496：如果 Envoy 啟用 OAuth 篩選器並公開執行，惡意行為人可能會建構要求，導致 Envoy 崩潰，造成阻斷服務。
• CVE-2023-27488：攻擊者可利用這項弱點，在使用 ext_authz 時略過驗證檢查。
• CVE-2023-27493：Envoy 設定也必須包含選項，可新增使用要求輸入內容 (例如對等互連憑證 SAN) 產生的要求標頭。
• CVE-2023-27492：攻擊者可以針對啟用 Lua 篩選器的路徑傳送大型要求主體，並觸發當機。
• CVE-2023-27491：攻擊者可以傳送特別製作的 HTTP/2 或 HTTP/3 要求，在 HTTP/1 上游服務中觸發剖析錯誤。
• CVE-2023-27487：標頭 `x-envoy-original-path` 應為內部標頭，但 Envoy 不會從要求中移除這個標頭，即使要求是從不受信任的用戶端傳送，也會在要求處理程序開始時保留這個標頭。

如需操作說明和更多詳細資料，請參閱 Cloud Service Mesh 安全性公告：

• CVE-2023-27496
  
• CVE-2023-27488
  
• CVE-2023-27493
  
• CVE-2023-27492
  
• CVE-2023-27491
  
• CVE-2023-27487
  

2023 年 12 月 21 日更新：釐清預設設定的 GKE Autopilot 叢集不受影響。

Linux 核心最近發現一項新安全漏洞 (CVE-2022-4696)，可能導致節點權限提升。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

OpenSSL v3.0.6 最近發現兩個新安全漏洞 (CVE-2022-3786 和 CVE-2022-3602)，可能會導致當機。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

• CVE-2022-3786
• CVE-2022-3602

2023 年 12 月 21 日更新：釐清預設設定的 GKE Autopilot 叢集不受影響。

2023 年 1 月 19 日更新：新增 GKE 1.21.14-gke.14100 版的相關資訊。

OpenSSL v3.0.6 最近發現兩個新安全漏洞 (CVE-2022-3786 和 CVE-2022-3602)，可能會導致當機。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

• CVE-2022-3786
• CVE-2022-3602

2023 年 1 月 19 日更新：新增 GKE 1.21.14-gke.14100 版的相關資訊。

2022 年 12 月 16 日更新：新增 GKE 和 GKE on VMware 的修補程式版本。

Linux 核心最近發現兩個新安全漏洞 (CVE-2022-2585 和 CVE-2022-2588)，可能導致容器完全逃逸，並在節點上取得 Root 權限。

如需操作說明和更多詳細資料，請參閱：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

• CVE-2022-2585
• CVE-2022-2588

我們在 Cloud Service Mesh 使用的 Istio 中發現安全漏洞 CVE-2022-39278，惡意攻擊者可利用這個漏洞導致控制層當機。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

2022 年 12 月 14 日更新：新增 GKE 和 GKE on VMware 的修補程式版本。

我們最近在 Linux 核心中發現一個新安全漏洞 (CVE-2022-20409)，未經授權的使用者可能會利用這個漏洞，將權限提升至系統執行權限。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

2023 年 12 月 21 日更新：釐清預設設定的 GKE Autopilot 叢集不受影響。

2023 年 1 月 19 日更新：新增 GKE 1.21.14-gke.14100 版的相關資訊。

2022 年 12 月 15 日更新：更新資訊，指出 Google Kubernetes Engine 1.21.14-gke.9400 版即將推出，且可能會被更高版本取代。

2022 年 11 月 22 日更新：新增 GKE on VMware、GKE on AWS 和 GKE on Azure 的修補程式版本。

我們在 Linux 核心中發現新的安全漏洞 CVE-2022-3176，這個漏洞可能會導致本機權限提升。沒有權限的使用者可利用這個安全漏洞，在節點上完全突破容器限制，取得 Root 權限。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

Istio 控制層 istiod容易發生要求處理錯誤，如果叢集的驗證 Webhook 公開，惡意攻擊者就能傳送特製訊息，導致控制層當機。這個端點是透過 TLS 連接埠 15017 提供服務，但不需要攻擊者進行任何驗證。

如需操作說明和詳細資料，請參閱 Cloud Service Mesh 安全性公告。

ProtocolBuffer 的 C++ 和 Python 實作項目存在訊息剖析和記憶體管理漏洞，處理特製訊息時可能會觸發記憶體不足 (OOM) 失敗。這可能會導致使用程式庫的服務發生阻斷服務 (DoS) 攻擊。

該怎麼辦？

請確認您使用的是下列軟體套件的最新版本：

• protobuf-cpp (3.18.3、3.19.5、3.20.2、3.21.6)
• protobuf-python (3.18.3、3.19.5、3.20.2、4.21.6)

這個修補程式修正了哪些安全漏洞？

這個修補程式可有效降低下列安全漏洞的風險：

這種小型訊息經過特別建構，會導致執行中的服務分配大量 RAM。要求大小較小，表示可輕易利用這項安全漏洞，耗盡資源。如果 C++ 和 Python 系統使用不受信任的 protobuf，且 RPC 要求中含有 MessageSet 物件，就會容易遭受 DoS 攻擊。

2023 年 12 月 21 日更新：釐清預設設定的 GKE Autopilot 叢集不受影響。

2022 年 9 月 14 日更新：新增 GKE on VMware、GKE on AWS 和 GKE on Azure 的修補程式版本。

我們在 Linux 核心中發現一個新安全漏洞 (CVE-2022-2327)，可能導致本機權限提升。沒有權限的使用者可利用這項安全漏洞，完全突破容器限制，取得節點的 Root 權限。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

2022 年 11 月 22 日更新：使用 GKE Sandbox 的工作負載不會受到這些安全漏洞影響。

2022 年 7 月 21 日更新：新增 VMware 中 GKE 的相關資訊。

Linux 核心 5.10 和 5.11 版最近發現新的安全漏洞 (CVE-2022-1786)。這個漏洞會讓沒有權限的使用者在本機存取叢集時，完全突破容器限制，取得節點的根層級存取權。只有執行 Container-Optimized OS 的叢集會受到影響。GKE Ubuntu 版本使用核心 5.4 或 5.15 版，因此不受影響。

如需操作說明和更多詳細資料，請參閱：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

2022 年 11 月 22 日更新：Autopilot 叢集不會受到 CVE-2022-29581 影響，但容易受到 CVE-2022-29582 和 CVE-2022-1116 影響。

Linux 核心中發現了三個新的記憶體損毀安全漏洞 (CVE-2022-29581、CVE-2022-29582、CVE-2022-1116)。這些漏洞會讓沒有權限的使用者在本機存取叢集時，完全突破容器限制，取得節點的根層級存取權。所有 Linux 叢集 (Container-Optimized OS 和 Ubuntu) 都會受到影響。

如需操作說明和更多詳細資料，請參閱下列公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

• CVE-2022-29581
• CVE-2022-29582
• CVE-2022-1116

2022 年 6 月 10 日更新：Cloud Service Mesh 版本已更新。如需操作說明和詳細資訊，請參閱 Cloud Service Mesh 安全性公告。

下列 Envoy 和 Istio CVE 會讓 GKE 上的 Cloud Service Mesh 和 Istio 暴露於可從遠端利用的安全性漏洞：

• CVE-2022-31045：啟用中繼資料交換和統計資料擴充功能時，Istio 資料平面可能會以不安全的方式存取記憶體。
• CVE-2022-29225：如果惡意攻擊者傳遞小型高壓縮比的酬載 (zip bomb 攻擊)，資料可能會超過中繼緩衝區限制。
• CVE-2021-29224：GrpcHealthCheckerImpl 中可能出現空指標取消參照。
• CVE-2021-29226：OAuth 篩選器允許簡單的繞過行為。
• CVE-2022-29228：OAuth 篩選器可能會損毀記憶體 (舊版) 或觸發 ASSERT() (新版)。
• CVE-2022-29227：如果要求含有主體或尾部，內部重新導向會導致當機。

如需操作說明和詳細資訊，請參閱 Cloud Service Mesh 安全性公告。

• CVE-2022-31045
  
• CVE-2022-29225
  
• CVE-2021-29224
  
• CVE-2021-29226
  
• CVE-2022-29228
  
• CVE-2022-29227
  

2022 年 11 月 22 日更新：GKE Autopilot 叢集和在 GKE Sandbox 中執行的工作負載不受影響。

2022 年 5 月 12 日更新：GKE on AWS 和 GKE on Azure 版本已更新。如需操作說明和更多詳細資料，請參閱：

• GKE on AWS 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

---

Linux 核心中發現兩個安全漏洞：CVE-2022-1055 和 CVE-2022-27666。這兩種情況都可能導致本機攻擊者能夠執行容器突破、提升主機權限，或同時執行這兩項操作。所有 GKE 節點作業系統 (Container-Optimized OS 和 Ubuntu) 都會受到這些安全漏洞影響。如需操作說明和更多詳細資料，請參閱下列安全性公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

我們在 containerd 處理 OCI 映像檔磁碟區規格中的路徑遍歷時，發現安全漏洞 CVE-2022-23648。透過 containerd 的 CRI 實作項目啟動容器時，如果使用特別製作的映像檔設定，容器可能會取得主機上任意檔案和目錄的完整讀取權。這項安全漏洞可能會略過容器設定中任何以政策為準的強制執行措施 (包括 Kubernetes Pod 安全性政策)。

如需操作說明和更多詳細資料，請參閱下列安全性公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

2022 年 11 月 22 日更新：無論是 Standard 還是 Autopilot 模式，使用 GKE Sandbox 的工作負載都不會受到影響。

Linux 核心 5.8 以上版本最近發現安全漏洞 CVE-2022-0847，可能會將容器權限提升為 Root。這項安全漏洞會影響下列產品：

• 使用 Container-Optimized OS 映像檔 (Container-Optimized OS 93 以上版本) 的 GKE 節點集區 1.22 以上版本
• 適用於 Container-Optimized OS 映像檔的 VMware 上的 GKE v1.10
• GKE on AWS v1.21 和 GKE on AWS (舊版) v1.19、v1.20、v1.21，這些版本使用 Ubuntu
• 使用 Ubuntu 的 Azure 中 GKE v1.21 受管理叢集

如需操作說明和更多詳細資料，請參閱下列安全性公告：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

2022 年 8 月 11 日更新：新增多執行緒並行 (SMT) 設定的相關資訊。SMT 應停用，但已在列出的版本中啟用。

如果您手動為沙箱化節點集區啟用 SMT，即使發生這個問題，SMT 仍會保持手動啟用狀態。

GKE Sandbox 映像檔的多執行緒並行 (SMT) (又稱超執行緒) 設定有誤。設定錯誤可能會導致節點暴露於側通道攻擊，例如微架構資料取樣 (MDS) (如需更多背景資訊，請參閱 GKE Sandbox 說明文件)。我們不建議使用下列受影響的版本：

• 1.22.4-gke.1501
• 1.22.6-gke.300
• 1.23.2-gke.300
• 1.23.3-gke.600

如需操作說明和詳細資訊，請參閱 GKE 安全性公告。

下列 Istio CVE 會使 Cloud Service Mesh 暴露於可從遠端利用的安全漏洞：

• CVE-2022-24726：Istio 控制層 `istiod` 容易發生要求處理錯誤，因此當叢集的驗證 Webhook 公開暴露時，惡意攻擊者只要傳送特製訊息，就會導致控制層當機。這個端點是透過 TLS 連接埠 15017 提供服務，但不需要攻擊者進行任何驗證。

如需操作說明和更多詳細資料，請參閱下列安全性公告：

• Cloud Service Mesh 安全性公告。

• CVE-2022-24726

在 GKE Autopilot 叢集上，可能存在一些非預期的節點 VM 存取路徑，可用於提升叢集中的權限。這些問題已修正，你不需要採取任何行動。這些修正項目解決了透過安全漏洞獎勵計畫回報的問題。

如需操作說明和詳細資訊，請參閱 GKE 安全性公告。

2022 年 4 月 28 日更新： 新增可修正這些安全漏洞的 GKE on VMware 版本。詳情請參閱 GKE on VMware 安全性公告。

• CVE-2022-23606： 透過叢集探索服務 (CDS) 刪除叢集時，系統會中斷與該叢集端點建立的所有閒置連線。在 Envoy 1.19 版中，錯誤地將遞迴導入閒置連線的程序，導致叢集有大量閒置連線時，堆疊耗盡並異常終止程序。
• CVE-2022-21655： Envoy 的內部重新導向程式碼會假設有路由項目存在。如果內部重新導向至具有直接回應項目但沒有路徑項目的路徑，就會導致取消參照空指標並當機。
• CVE-2021-43826： 如果 Envoy 設定為使用 tcp_proxy (透過 HTTP 使用上游通道)，並終止下游 TLS，當下游用戶端在 TLS 交握期間中斷連線，而上游 HTTP 串流仍在建立中時，Envoy 就會當機。下游中斷連線可能是由用戶端或伺服器發起。用戶端可因任何原因中斷連線。舉例來說，如果伺服器沒有與用戶端相容的 TLS 加密方式或 TLS 通訊協定版本，就可能會中斷連線。在其他下游設定中，可能也會觸發這項當機問題。
• CVE-2021-43825： 傳送本機產生的回應時，必須停止進一步處理要求或回應資料。Envoy 會追蹤緩衝要求和回應資料量，如果緩衝資料量超過限制，就會傳送 413 或 500 回應，中止要求。不過，如果因為內部緩衝區溢位，導致在篩選器鏈處理回應時傳送本機產生的回應，作業可能無法正確中止，並導致存取已釋放的記憶體區塊。
• CVE-2021-43824： 使用 JWT 篩選器和「safe_regex」比對規則，以及「CONNECT host:port HTTP/1.1」等特製要求時，Envoy 會當機。抵達 JWT 篩選器時，「safe_regex」規則應評估網址路徑，但這裡沒有任何規則，因此 Envoy 會因區段錯誤而當機。
• CVE-2022-21654： 重新設定 mTLS 驗證設定後，Envoy 會錯誤地允許 TLS 會期續傳。如果舊設定允許使用用戶端憑證，但新設定不允許，即使目前的設定應禁止使用，用戶端仍可繼續先前的 TLS 工作階段。下列設定的變更會受到影響：
  • match_subject_alt_names
  • CRL 變更
  • allow_expired_certificate
  • Trust_chain_verification
  • only_verify_leaf_cert_crl
• CVE-2022-21657： 無論是 TLS 用戶端或 TLS 伺服器，Envoy 都不會限制從對等互連接受的憑證集，只接受包含必要 extendedKeyUsage (分別為 id-kp-serverAuth 和 id-kp-clientAuth) 的憑證。也就是說，對等互連裝置可以提供電子郵件憑證 (例如 id-kp-emailProtection)，無論是做為葉節點憑證或鏈結中的 CA，都會被 TLS 接受。如果與 CVE-2022-21656 搭配使用，情況會特別糟糕，因為這樣一來，原本只打算用於 S/MIME，因此免於稽核或監督的 Web PKI CA，就能核發 Envoy 會接受的 TLS 憑證。
• CVE-2022-21656： 用於實作預設憑證驗證常式的驗證器實作項目，在處理 subjectAltNames 時有「型別混淆」錯誤。舉例來說，這項處理作業可驗證 rfc822Name 或 uniformResourceIndicator 是否為網域名稱。這種混淆行為會導致基礎 OpenSSL/BoringSSL 實作項目處理 nameConstraints 時發生錯誤，進而導致 nameConstraints 遭到略過，任意伺服器遭到冒用的可能性也隨之提高。

• Cloud Service Mesh 安全性公告

• Istio on GKE 安全性公告

• GKE
• VMware 中的 GKE
• 適用於 Bare Metal 的 Google Distributed Cloud Virtual

下列 Envoy 和 Istio CVE 會使 Cloud Service Mesh 和 GKE 上的 Istio 暴露於可從遠端利用的安全性漏洞：

• CVE-2022-23635：Istiod 收到含有特別設計 authorization 標頭的要求時會當機。
• CVE-2021-43824：使用 JWT 篩選器 safe_regex 比對時，可能出現空指標取消參照
• CVE-2021-43825：當回應篩選器增加回應資料，且增加的資料超出下游緩衝區限制時，會發生釋放後使用 (use-after-free) 的情況。
• CVE-2021-43826：透過 HTTP 進行 TCP 管道傳輸時，如果下游在建立上游連線期間中斷連線，就會發生釋放後使用 (use-after-free) 的情況。
• CVE-2022-21654：設定處理方式有誤，導致驗證設定變更後，系統仍允許重複使用 mTLS 工作階段，而不會重新驗證。
• CVE-2022-21655：內部重新導向至具有直接回應項目的路徑時，處理方式有誤。
• CVE-2022-23606：透過叢集探索服務刪除叢集時，發生堆疊耗盡問題。

如需操作說明和更多詳細資料，請參閱下列安全性公告：

• Cloud Service Mesh 安全性公告。
• Istio on GKE 安全性公告。

• CVE-2022-23635
  
• CVE-2021-43824
  
• CVE-2021-43825
  
• CVE-2021-43826
  
• CVE-2022-21654
  
• CVE-2022-21655
  
• CVE-2022-23606
  

2022 年 5 月 16 日更新：已將 GKE 1.19.16-gke.7800 以上版本新增至清單，這些版本包含修正這個安全漏洞的程式碼。詳情請參閱 GKE 安全性公告。

2022 年 5 月 12 日更新：GKE、GKE on VMware、GKE on AWS 和 GKE on Azure 版本已更新。如需操作說明和更多詳細資料，請參閱：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告

Linux 核心的 cgroup_release_agent_write 函式中發現安全漏洞 CVE-2022-0492。這項攻擊會使用未獲授權的使用者命名空間，在特定情況下，這項安全漏洞可能會遭到利用，導致容器中斷。

如需操作說明和更多詳細資料，請參閱：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• GKE on Azure 安全性公告

凡是連結至 NSS (網路安全服務) 3.73 或 3.68.1 之前的版本，都可能含有 libnss3 的易受攻擊版本，因此會出現安全漏洞 (CVE-2021-43527)。如果應用程式使用 NSS 進行憑證驗證，或使用其他 TLS、X.509、OCSP 或 CRL 功能，可能會受到影響，具體情況取決於 NSS 的使用/設定方式。

如需操作說明和更多詳細資料，請參閱：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on Azure 安全性公告

我們在 Linux 政策套件 (polkit) 的 pkexec 中發現安全性漏洞 CVE-2021-4034，驗證過的使用者可藉此發動權限提升攻擊。PolicyKit 通常只用於 Linux 桌上型系統，允許非根使用者執行受政策控管的動作，例如重新啟動系統、安裝套件、重新啟動服務等。

如需操作說明和更多詳細資料，請參閱：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on Azure 安全性公告

2022 年 2 月 25 日更新：GKE 版本已更新。如需操作說明和詳細資訊，請參閱：

• GKE 安全性公告

2022 年 2 月 23 日更新： GKE 和 GKE on VMware 版本已更新。如需操作說明和詳細資訊，請參閱：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告

2022 年 2 月 4 日更新：GKE 修補程式版本已於 2 月 2 日開始推出。

Linux 核心中發現了三個安全漏洞：CVE-2021-4154、CVE-2021-22600 和 CVE-2022-0185。這些漏洞可能會導致容器突破限制、主機權限提升，或兩者皆是。這些安全漏洞會影響 GKE、GKE on VMware、GKE on AWS (目前和前幾代) 和 GKE on Azure 上的所有節點作業系統 (COS 和 Ubuntu)。使用 GKE Sandbox 的 Pod 不會受到這些安全漏洞影響。詳情請參閱 COS 版本資訊。

如需操作說明和更多詳細資料，請參閱：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告

• CVE-2021-4154
• CVE-2021-22600
• CVE-2022-0185

在二進位資料的剖析程序中，發現 protobuf-java 有潛在的阻斷服務問題。

我該怎麼做？

請確認您使用的是下列軟體套件最新版本：

• protobuf-java (3.16.1、3.18.2、3.19.2)
• protobuf-kotlin (3.18.2、3.19.2)
• google-protobuf [JRuby gem] (3.19.2)

Protobuf「javalite」使用者 (通常是 Android) 不受影響。

這個修補程式修正了哪些安全漏洞？

這個修補程式可有效降低下列安全漏洞的風險：

Java 中剖析不明欄位的方式存在實作弱點。惡意酬載 (約 800 KB) 會建立大量存留時間短暫的物件，導致頻繁重複的垃圾收集暫停，進而佔用剖析器數分鐘。

Kubernetes ingress-nginx 控制器中發現安全性問題 (CVE-2021-25742)。Ingress-nginx 自訂程式碼片段可讓您在所有命名空間中擷取 ingress-nginx 服務帳戶權杖和密鑰。

如需操作說明和更多詳細資料，請參閱：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

已知問題：使用 v1beta1 API 更新 BackendConfig 資源時，系統會從服務中移除有效的 Google Cloud Armor 安全性政策。

如需操作說明和詳細資訊，請參閱 GKE 安全性公告。

我們發現 GKE Enterprise Identity Service (AIS) 的 LDAP 模組存在安全性漏洞，在 GKE on VMware 1.8 和 1.8.1 版中，用於產生金鑰的種子金鑰可預測。有了這項漏洞，通過驗證的使用者就能新增任意聲明，並無限期提升權限。

如需操作說明和詳細資訊，請參閱 GKE on VMware 安全性公告。

Kubernetes 中發現安全漏洞 CVE-2020-8561，某些 Webhook 會將 kube-apiserver 要求重新導向至該 API 伺服器的私人網路。

如需操作說明和更多詳細資料，請參閱：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

根據 VMware 安全性諮詢 VMSA-2021-0020，VMware 收到 vCenter 多項安全漏洞的報告。VMware 已發布更新，可修復受影響 VMware 產品中的這些安全漏洞。

我們已根據 VMware 安全性諮詢，將 VMware 提供的 vSphere 堆疊修補程式套用至 Google Cloud VMware Engine。本次更新修正了 CVE-2021-22005、CVE-2021-22006、CVE-2021-22007、CVE-2021-22008 和 CVE-2021-22010 中所述的安全漏洞。其他非重大安全性問題將在即將進行的 VMware 堆疊升級中解決 (如 7 月發出的預先通知所述，我們將盡快提供升級的具體時間表)。

對 VMware Engine 的影響

根據我們的調查結果，沒有任何客戶受到影響。

該怎麼辦？

由於 VMware Engine 叢集不會受到這項安全漏洞影響，因此您不必採取進一步行動。

• VMSA-2021-0020
• CVE-2021-22005
• CVE-2021-22006
• CVE-2021-22007
• CVE-2021-22008
• CVE-2021-22010

在特定情況下，如果某些 Google Cloud 負載平衡器將流量路由至已啟用 Identity-Aware Proxy (IAP) 的後端服務，可能會遭到不受信任的第三方攻擊。這項更新修正了透過安全漏洞獎勵計畫回報的問題。

• HTTP(S) 負載平衡器和
• 使用預設後端或具有萬用字元主機對應規則的後端 (即 host="*")

此外，貴機構的使用者必須點選不受信任方傳送的特製連結。

這項問題現已解決。自 2021 年 9 月 17 日起，IAP 只會向授權主機發放 Cookie。如果主機與負載平衡器上安裝的其中一個憑證中，至少有一個主體別名 (SAN) 相符，即視為已授權。

建議行動

部分使用者嘗試存取應用程式或服務時，可能會收到 HTTP 401 Unauthorized 回應，並顯示 IAP 錯誤代碼 52。這個錯誤代碼表示用戶端傳送的 Host 標頭與負載平衡器 SSL 憑證相關聯的任何主體別名都不相符。負載平衡器管理員必須更新 SSL 憑證，確保主體別名 (SAN) 清單包含使用者存取 IAP 保護應用程式或服務的所有主機名稱。進一步瞭解 IAP 錯誤代碼。

我們在 Kubernetes 中發現安全問題 CVE-2021-25741，使用者可能可以建立含有子路徑磁碟區掛接項目的容器，存取磁碟區以外的檔案和目錄，包括主機檔案系統中的檔案和目錄。

如需操作說明和更多詳細資料，請參閱：

• GKE 安全性公告
• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告

2021 年 9 月 23 日更新： 在 GKE Sandbox 中執行的容器不會受到這個安全漏洞影響，因為攻擊是從容器內部發起。

我們在 Linux 核心中發現兩個安全漏洞 (CVE-2021-33909 和 CVE-2021-33910)，可能導致 OS 當機，或讓未經授權的使用者升級為 Root 權限。這個安全漏洞會影響所有 GKE 節點作業系統 (COS 和 Ubuntu)。

如需操作說明和更多詳細資料，請參閱下列安全性公告：

• GKE 安全性公告。
• GKE on AWS 安全性公告。

下列 Envoy 和 Istio CVE 會讓 GKE 上的 Cloud Service Mesh 和 Istio 暴露於可從遠端利用的安全性漏洞：

• CVE-2021-39156：URI 路徑中含有片段 (URI 結尾以 # 字元開頭的部分) 的 HTTP 要求，可能會略過 Istio 的 URI 路徑授權政策。
• CVE-2021-39155：使用以 hosts 或 notHosts 為依據的規則時，HTTP 要求可能會略過 Istio 授權政策。
• CVE-2021-32781：影響 Envoy 的 decompressor、json-transcoder 或 grpc-web 擴充功能，或修改及增加要求或回應主體大小的專有擴充功能。如果 Envoy 擴充功能的內文大小超出內部緩衝區大小，可能會導致 Envoy 存取已解除分配的記憶體，並異常終止。
• CVE-2021-32780：不受信任的上游服務可能會傳送 GOAWAY 框架，然後傳送 SETTINGS 框架，並將 SETTINGS_MAX_CONCURRENT_STREAMS 參數設為 0，導致 Envoy 異常終止。(不適用於 Istio on GKE)
• CVE-2021-32778：如果 Envoy 用戶端開啟大量 HTTP/2 要求，然後重設這些要求，可能會導致 CPU 使用量過高。(不適用於 Istio on GKE)
• CVE-2021-32777：使用 ext_authz 擴充功能時，含有多個值標頭的 HTTP 要求可能會進行不完整的授權政策檢查。

如需操作說明和更多詳細資料，請參閱下列安全性公告：

• Cloud Service Mesh 安全性公告。
• Istio on GKE 安全性公告。

• CVE-2021-39156
• CVE-2021-39155
• CVE-2021-32781
• CVE-2021-32780
• CVE-2021-32778
• CVE-2021-32777

我們最近發現一個新的安全漏洞 CVE-2021-22555，如果惡意行為人擁有 CAP_NET_ADMIN 權限，可能會導致容器突破限制，取得主機的 Root 權限。這個安全漏洞會影響執行 Linux 2.6.19 以上版本的所有 GKE 叢集和 GKE on VMware。

如需操作說明和更多詳細資料，請參閱下列安全性公告：

• GKE 安全性公告。
• VMware 中 GKE 的安全性公告。

Microsoft 發布了安全公告，說明遠端程式碼執行 (RCE) 安全漏洞 CVE-2021-34527，這個漏洞會影響 Windows 伺服器中的列印多工緩衝區。CERT 協調中心 (CERT/CC) 發布了相關安全漏洞的更新說明，該安全漏洞稱為「PrintNightmare」，也會影響 Windows 列印多工緩衝區 - PrintNightmare，Windows 列印多工緩衝區重大安全漏洞

如需操作說明和詳細資訊，請參閱 GKE 安全性公告。

Istio 專案最近宣布一項安全漏洞，指出可從不同命名空間存取 Gateway 和 DestinationRule credentialName 欄位中指定的憑證。

如需產品專屬操作說明和更多詳細資料，請參閱：

• Cloud Service Mesh 安全性公告。
• 請參閱 GKE Enterprise 安全性公告 GCP-2021-012，瞭解 Google Kubernetes Engine、Google Distributed Cloud Virtual for Bare Metal 和 GKE on VMware 的相關資訊。

2021 年 10 月 19 日更新：

如需操作說明和更多詳細資料，請參閱下列安全性公告：

• VMware 上的 GKE 安全性公告
• GKE on AWS 安全性公告
• Google Distributed Cloud Virtual for Bare Metal 安全性公告