Sicherheitsbulletins

In Google Cloud Vertex AI wurde in Vertex AI Experiments in den Versionen 1.21.0 bis (aber nicht einschließlich) 1.133.0 eine Sicherheitslücke im Zusammenhang mit der vorhersehbaren Bucket-Benennung festgestellt.

Was soll ich tun?

Auf Kundenseite sind keine Maßnahmen erforderlich.

CVE-2026-2473 ermöglicht es einem nicht authentifizierten Remote-Angreifer, durch das Vorab-Erstellen von Cloud Storage-Buckets mit vorhersehbarer Namensgebung (Bucket Squatting) die Ausführung von Remote-Code über Mandanten hinweg, den Diebstahl von Modellen und das Poisoning zu erreichen. Diese Sicherheitslücke wurde in Vertex AI Experiments Version 1.21.0 identifiziert. Es wurden bereits Maßnahmen für Version 1.133.0 und höher ergriffen.

In Google google-cloud-aiplatform (Vertex AI Python SDK Visualization) auf Exclusively-Hosted-Service wurde eine gespeicherte Cross-Site-Scripting-Schwachstelle (XSS) in _genai/_evals_visualization identifiziert.

Was soll ich tun?

Kunden müssen ihr google-cloud-aiplatform Python SDK auf Version 1.131.0 (veröffentlicht am 16.12.2025) oder höher aktualisieren, um den Fix zu erhalten.

CVE-2026-2472 ermöglicht es einem nicht authentifizierten Remote-Angreifer, beliebigen JavaScript-Code in der Jupyter- oder Colab-Umgebung eines Opfers auszuführen, indem er Script-Escape-Sequenzen in die Ergebnisse der Modellbewertung oder in JSON-Daten des Datasets einfügt. Diese Sicherheitslücke wurde in Google google-cloud-aiplatform (Vertex AI Python SDK) vor Version 1.131.0 gefunden.

Auf der Apigee-Plattform wurde eine Sicherheitslücke entdeckt, die es einem böswilligen Akteur mit Administrator- oder Entwicklerberechtigungen in seiner eigenen Apigee-Umgebung ermöglicht hätte, Berechtigungen zu erweitern und auf mandantenübergreifende Daten zuzugreifen.

Konkret ermöglichte eine Sicherheitslücke in der Sandbox-Technologie von Apigee X die Verwendung eines Link-Local-Endpunkts für den Zugriff auf Dienstkontotokens (P4SA) in einem Kundenmandantenprojekt. Mit dieser Identität könnte ein Angreifer theoretisch Analysenmetadaten lesen oder interne Überwachungsdatensätze in anderen Apigee-Organisationen (Tenants) manipulieren.

Was soll ich tun?

Auf Kundenseite sind keine Maßnahmen erforderlich. Google hat eine mehrstufige Strategie zur Behebung dieses Problems implementiert:

• Schutz vor Token-Exploitation:Der Exploit-Vektor für das Apigee-Dienstkonto-Token in Laufzeit-Pods wurde entschärft.
• Prinzip der geringsten Berechtigung:Die Berechtigungen des Apigee-Dienstkontos wurden eingeschränkt, um unautorisierte Änderungen zu verhindern.
• Datenisolation:Der Zugriff für Dienstkonten auf Ordnerebene auf mehrmandantenfähige Google Cloud Storage-Buckets wurde entfernt.

Google hat bestätigt, dass interne Überwachungsdatensätze zwar theoretisch zugänglich waren, aber nur intern von Google verwendet werden. Ihre Offenlegung hat keine Auswirkungen auf die Sicherheit oder Integrität von Kundendaten in Apigee.

In Log Analytics-Benutzeroberflächenversionen vor Januar 2026 können SQL-Abfragen so konfiguriert werden, dass sie automatisch ausgeführt werden. Eine Sicherheitslücke kann es einem Angreifer ermöglichen, eine Abfrage-URL zu erstellen, über die beim Öffnen durch einen Nutzer mit Anmeldedaten auf Tabelleninhalte zugegriffen oder Abfragekosten verursacht werden können.

Weitere Informationen finden Sie im Google Cloud Observability-Sicherheitsbulletin.

Eine Reihe von Sicherheitslücken betrifft die Intel® TDX-Firmware. Diese Sicherheitslücken umfassen verschiedene Fehler, darunter Race Conditions (CVE-2025-30513, CVE-2025-31944), Out-of-Bounds-Lesevorgänge (CVE-2025-32007, CVE-2025-27940), die Verwendung einer nicht initialisierten Variablen (CVE-2025-32467) und die Offenlegung vertraulicher Informationen während der vorübergehenden Ausführung (CVE-2025-27572). Zusammen können diese Probleme zur Offenlegung von Informationen, zur Rechteausweitung oder zum Denial of Service führen. Für die Ausnutzung ist in der Regel ein privilegierter Nutzerzugriff auf das System erforderlich.

Was soll ich tun?

Auf Kundenseite sind keine Maßnahmen erforderlich. Alle relevanten Korrekturen wurden auf die Google-Serverflotte angewendet. Weitere Informationen finden Sie in der technischen Empfehlung INTEL-TA-01397 von Intel PSIRT.

• CVE-2025-30513
• CVE-2025-31944
• CVE-2025-32007
• CVE-2025-32467
• CVE-2025-27572
• CVE-2025-27940

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-40297

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Aktualisierung vom 20.02.2026: Patchversionen für GKE hinzugefügt.

In der OpenSSL-Bibliothek wurden mehrere Sicherheitslücken entdeckt. Das wichtigste Ergebnis ist CVE-2025-15467, eine kritische Sicherheitslücke, die möglicherweise die Ausführung von Remote-Code (RCE) oder DoS-Angriffe (Denial of Service) über netzwerkbasierte Vektoren ermöglicht.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Diese Sicherheitslücke betrifft die Log Analytics-Benutzeroberfläche und die Cloud Monitoring-Dashboarding-Benutzeroberfläche in Versionen vor Januar 2026.

Weitere Informationen finden Sie im Google Cloud Observability-Sicherheitsbulletin.

In Compute Engine wurde eine Sicherheitslücke in ausgewählten Arm-Prozessoren entdeckt, die sich auf C4A- und A4X-VMs auswirkt:

• CVE-2025-0647

Anleitungen und weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-39964

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-40215

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-40214

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Die folgende Sicherheitslücke wurde in Cloud Data Fusion entdeckt:

• CVE-2025-9571

Anleitungen und weitere Informationen finden Sie im Cloud Data Fusion-Sicherheitsbulletin.

Eine Sicherheitslücke in der Funktion für benutzerdefinierte Integrationen von Google Security Operations SOAR könnte es einem authentifizierten Nutzer mit einer IDE-Rolle ermöglichen, Remote Code Execution (RCE) auf dem Server auszuführen. Die Sicherheitslücke war auf eine unzureichende Validierung des Python-Paketcodes zurückzuführen. Dadurch konnte ein Angreifer ein Paket mit einer schädlichen setup.py-Datei hochladen. Diese Datei könnte dann während der Installation ausgeführt werden, wodurch der Server manipuliert wird.

Was soll ich tun?

Auf Kundenseite sind keine Maßnahmen erforderlich. Alle Kunden wurden automatisch auf die korrigierte Version 6.3.64 oder höher aktualisiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-39965

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Im Envoy-Proxy wurden die folgenden Sicherheitslücken entdeckt:

• CVE-2025-66220
• CVE-2025-64527
• CVE-2025-64763

Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

• CVE-2025-66220
• CVE-2025-64527
• CVE-2025-64763

Update vom 04.12.2025:Eine WAF-Regel (Web Application Firewall) ist jetzt verfügbar.

In den Open-Source-Frameworks React und Next.js wurde eine Sicherheitslücke bei der Remote-Codeausführung gefunden. Google Cloud selbst ist nicht anfällig, aber Nutzer dieser Frameworks, die auf Google Cloud ausgeführt werden, sind möglicherweise anfällig.

Die folgenden Framework-Versionen sind von dieser Sicherheitslücke betroffen:

• React 19.0, 19.1.0, 19.1.1 und 19.2.0
• Next.js 15.x, Next.js 16.x und Next.js 14.3.0-canary.77 und spätere Canary-Releases

Die folgenden Framework-Versionen enthalten Korrekturen für diese Sicherheitslücke:

• React 19.0.1, 19.1.2 und 19.2.1
• Next.js 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 15.6.0-canary.58 und 16.0.7

Weitere Informationen zu diesen Sicherheitslücken finden Sie in den React-Hinweisen und den Vercel-Hinweisen.

Kunden sollten umgehend Maßnahmen ergreifen, um ihre Arbeitslasten zu schützen, indem sie sie mit aktualisierten Abhängigkeiten noch einmal bereitstellen.

Wie kann Sie Google dabei unterstützen?

Es wurde eine Cloud Armor-WAF-Regel (Web Application Firewall) entwickelt, um entsprechende Exploits zu erkennen und zu blockieren. Diese neue Regel soll dazu beitragen, Ihre über das Internet zugänglichen Anwendungen und Dienste zu schützen, die globale oder regionale Application Load Balancer verwenden. Wir empfehlen, diese Regel als vorübergehende Maßnahme zu implementieren, während Sie Ihre Arbeitslasten aktualisieren. Eine Anleitung zum Anwenden dieser Regel finden Sie in diesem Blogpost.

Für Kunden, die App Engine Standard, Cloud Functions, Cloud Run Functions, Cloud Run, Firebase Hosting oder Firebase App Hosting verwenden, wird bereits eine Regel erzwungen, um die Ausnutzung durch Anfragen an benutzerdefinierte und Standarddomains einzuschränken.

Kunden, die die Artefaktanalyse verwenden, werden über diese Sicherheitslücken sowohl bei neuen als auch bei vorhandenen Artefakten benachrichtigt, damit sie gefährdete Arbeitslasten erkennen können.

Dieses Sicherheitsbulletin wird aktualisiert, sobald neue Informationen verfügbar sind.

Aktualisierung vom 11.12.2025: Patchversionen und ein Schweregrad für GDC (VMware) hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-40019

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Aktualisierung vom 11.12.2025: Patchversionen und ein Schweregrad für GDC (VMware) hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-40018

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

In runc, einer Open-Source-Softwarekomponente zum Ausführen von Containern, wurden mehrere Sicherheitsprobleme entdeckt. Die in diesen Sicherheitslücken (CVE-2025-31133, CVE-2025-52565 und CVE-2025-52881) offengelegten Angriffe ermöglichen es einem Angreifer, einen vollständigen Containerausbruch in Ihren Cloud Run-Worker-Pools und -Jobs auszuführen, was zu einer Eskalierung der Root-Berechtigungen aus dem Container in Ihre Sandbox-Instanz führt. Ein Akteur mit Berechtigungen zum Bereitstellen eines schädlichen Container-Images kann diese Sicherheitslücken ausnutzen, um Zugriff auf Ihre anderen Container in Ihrer Cloud Run-Sandbox-Instanz zu erhalten.

• CVE-2025-31133
• CVE-2025-52565
• CVE-2025-52881

Worker-Pools, Jobs und eine begrenzte Anzahl von Diensten, die noch nicht aktualisiert wurden, sind anfällig.

Ein Update wird vorbereitet und soll Anfang Januar eingeführt werden. Dieses Bulletin wird aktualisiert, sobald der Roll-out abgeschlossen ist.

Bitte melden Sie alle Probleme im Zusammenhang mit dieser Sicherheitslücke über das Cloud Vulnerability Rewards Program unter g.co/vrp.

• CVE-2025-31133
• CVE-2025-52565
• CVE-2025-52881

Looker hat eine Sicherheitslücke behoben, die es einem Angreifer mit Betrachterberechtigungen in Looker ermöglicht hätte, eine schädliche URL zu erstellen. Wenn ein Looker-Administrator diese URL geöffnet hätte, wäre ein vom Angreifer bereitgestelltes Skript ausgeführt worden. Für die Ausnutzung war mindestens eine Looker-Erweiterung erforderlich, die auf der Instanz installiert war.

Es wurde festgestellt, dass sowohl von Looker gehostete als auch selbst gehostete Instanzen anfällig sind.

Die Auswirkungen dieses Problems wurden für von Looker gehostete Instanzen bereits minimiert.

Was soll ich tun?

Von Looker gehostete Instanzen:

Auf Kundenseite sind keine Maßnahmen erforderlich.

Nur selbst gehostete Looker-Instanzen:

Wenn Ihre Looker-Instanz selbst gehostet wird, empfehlen wir, so schnell wie möglich ein Upgrade Ihrer Looker-Instanzen durchzuführen. Diese Sicherheitslücke wurde in allen unterstützten Versionen von Looker für selbst gehostete Instanzen behoben. Die folgenden Versionen wurden alle aktualisiert, um vor dieser Sicherheitslücke zu schützen:

• 25.16.0 und alle späteren Versionen
• 25.12.7+
• 25.6.66+
• 25.0.79+
• 24.18.201+

Sie können diese Looker-Versionen auf der Looker-Downloadseite herunterladen: https://download.looker.com/.

In Looker wurde eine Sicherheitslücke behoben, die es einem Angreifer ermöglicht hätte, ein Looker-Konto in einer Looker-Instanz zu übernehmen, die mit OIDC-Authentifizierung konfiguriert ist. Die Ursache war die Normalisierung von E-Mail-Adressen.

Es wurde festgestellt, dass sowohl von Looker gehostete als auch selbst gehostete Instanzen anfällig sind.

Die Auswirkungen dieses Problems wurden für von Looker gehostete Instanzen bereits minimiert.

Was soll ich tun?

Von Looker gehostete Instanzen:

Auf Kundenseite sind keine Maßnahmen erforderlich.

Nur selbst gehostete Looker-Instanzen:

Wenn Ihre Looker-Instanz selbst gehostet wird, empfehlen wir, ein Upgrade Ihrer Looker-Instanzen so bald wie möglich auf eine der folgenden Versionen durchzuführen:

• 25.10.22+
• 25.8.39+
• 25.6.57+
• 25.0.69+
• 24.18.193+
• 24.12.100+

Sie können diese Looker-Versionen auf der Looker-Downloadseite herunterladen: https://download.looker.com/.

Hinweis: Releases 25.12 und höher sind von diesem Sicherheitsproblem nicht betroffen.

Aktualisierung vom 27.11.2025:Patchversionen für GKE und GDC (Bare Metal) hinzugefügt.

In runc, der standardmäßigen Low-Level-Container-Laufzeit für GKE, wurden drei Container-Escape-Sicherheitslücken entdeckt. Die Sicherheitslücken können zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen:

• CVE-2025-31133
• CVE-2025-52565
• CVE-2025-52881

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

• CVE-2025-31133
• CVE-2025-52565
• CVE-2025-52881

Forscher haben eine Sicherheitslücke in AMD SEV-SNP (Secure Nested Paging) auf AMD Milan-Maschinen entdeckt.

Ein Angriff könnte es einem schädlichen Hypervisor ermöglichen, RMP-Initialisierungswerte zu manipulieren, was möglicherweise zu einem Verlust der AMD SEV-SNP-Gastarbeitsspeicherintegrität führt.

Google hat eine Maßnahme eingeführt, die dieses Problem verhindert.

Wie gehe ich am besten vor?

Auf Kundenseite sind keine Maßnahmen erforderlich. Es wurden bereits Maßnahmen für Confidential VM-Instanzen mit AMD SEV-SNP ergriffen.

Confidential VM-Instanzen mit AMD SEV-SNP verwenden jetzt jedoch das Bestätigungsformat v4. Kunden, die die Bibliothek go-sev-guest zum Parsen von Attestberichten verwenden, sollten auf go-sev-guest v0.14.0 oder höher aktualisieren.

Für Kunden, die eigene Parser verwenden, wird das Format des Attestberichts durch die SEV Secure Nested Paging Firmware ABI Specification definiert.

Welche Sicherheitslücken werden behoben?

Weitere Informationen finden Sie in der AMD-Empfehlung AMD-SB-3020.

Im Envoy-Proxy wurden die folgenden Sicherheitslücken entdeckt:

• CVE-2025-62504
• CVE-2025-62409

Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

• CVE-2025-62504
• CVE-2025-62409

Aktualisierung vom 17.11.2025: Patchversionen für Ubuntu-GKE-Knoten hinzugefügt.

Aktualisierung vom 30.10.2025: Patchversionen und ein Schweregrad für GDC-Software für VMware hinzugefügt

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-39682

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Aktualisierung vom 30.10.2025: Patchversionen für Ubuntu-Knoten in GKE sowie Patchversionen und ein Schweregrad für GDC-Software für VMware hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-58240

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

In der Open-Source-Software Valkey und Redis wurde eine Sicherheitslücke bei der Remote-Codeausführung gefunden. Daher sind alle Versionen betroffen, die von Memorystore for Redis, Memorystore for Redis Cluster und Memorystore for Valkey unterstützt werden.

Standardmäßig sind die Memorystore-Assets von Google Cloud nicht über das öffentliche Internet zugänglich. Das Risiko dieser Sicherheitslücke ist daher für Memorystore-Nutzer, die die Best Practices für die Sicherheit von Google Cloud befolgen, gering.

Was sollten Sie tun?

Google hat bereits mit dem automatischen Anwenden von Patches begonnen. Das voraussichtliche Abschlussdatum ist der 6. November 2025. Sie müssen nichts weiter unternehmen, um diesen Fix zu erhalten.

Wenn Sie diese Patches vor dem 6. November 2025 auf Ihre Memorystore-Cluster oder -Instanzen anwenden möchten, verwenden Sie die Self-Service-Wartung, um die folgenden Aktionen auszuführen:

1. Sie können die aktuelle Wartungsversion Ihrer Memorystore for Redis-Instanzen, Cluster in Memorystore for Redis Cluster oder Memorystore for Valkey-Instanzen aufrufen.
2. Prüfen Sie, ob die Version mit den neuesten gepatchten Versionen übereinstimmt.
3. Wenn die Version nicht die aktuelle Wartungsversion ist, aktualisieren Sie Ihre Instanzen oder Cluster mit der Self-Service-Wartung für Memorystore for Redis, Memorystore for Redis Cluster und Memorystore for Valkey auf die aktuelle Wartungsversion.

Oracle hat eine Sicherheitswarnung veröffentlicht, in der bestätigt wird, dass die Oracle E-Business Suite (EBS) anfällig für einen nicht authentifizierten Exploit ist.

Wie gehe ich am besten vor?

Oracle EBS wird von Google nicht verwendet und Google Cloud ist von dieser Sicherheitslücke nicht betroffen.

Aktualisierung vom 22.10.2025:Link zur CVE hinzugefügt.

Am 23. September 2025 haben wir ein technisches Problem in der Vertex AI API festgestellt, das dazu führte, dass eine begrenzte Anzahl von Antworten bei der Verwendung von Streaminganfragen für bestimmte Drittanbietermodelle falsch weitergeleitet wurde. Der Fehler wurde bereits behoben. Google-Modelle wie Gemini waren nicht betroffen.

Einige interne Proxys haben HTTP-Anfragen mit einem Expect: 100-continue-Header nicht richtig verarbeitet, was zu einer Desynchronisierung in einer Streaming-Antwortverbindung führte. Eine Antwort, die für eine Anfrage vorgesehen war, wurde stattdessen als Antwort für eine nachfolgende Anfrage gesendet.

Was soll ich tun?

Wir haben Korrekturen vorgenommen, um das Vorhandensein des Expect: 100-continue-Headers richtig zu berücksichtigen und ein erneutes Auftreten dieses Problems zu verhindern. Wir haben außerdem Tests, Monitoring und Benachrichtigungen hinzugefügt, damit wir das Problem schnell erkennen und Regressionen verhindern können. Kunden können derzeit nichts unternehmen, um das unbeabsichtigte Verhalten zu verhindern.

Die Korrekturen wurden für verschiedene Modelle zu unterschiedlichen Zeiten eingeführt. Die Anthropic-Modelle wurden bis zum 26. September, 12:45 Uhr PDT, und alle Oberflächen bis zum 28. September, 19:10 Uhr PDT, korrigiert. Die betroffenen Modelle in der Vertex AI API und der Zeitpunkt der Fehlerbehebung sind unten aufgeführt:

• Partner Model-as-a-Service-Modelle von Anthropic (Claude)

  • Das Problem wurde am 26. September 2025 um 09:45 Uhr behoben.

• Alle Open Model-as-a-Service-Modelle, einschließlich: DeepSeek (R1-0528 und V3.1), OpenAI (gpt-oss-120b und gpt-oss-20b), Qwen (Next Instruct 80B, Next Thinking 80B, Qwen 3 Coder und Qwen 3 235B), Llama (Maverick, Scout, 3.3, 3.2, 3.1 405b, 3.1 70b und 3.1 8b)

  • Das Problem wurde am 28. September 2025 um 2:43 Uhr PDT behoben.

• Mistral und AI21 Partner-Model-as-a-Service-Modelle

  • Das Problem wurde am 28. September 2025 um 20:00 Uhr MESZ behoben.

• Selbst bereitgestellte Modelle, für die die Methode „StreamRawPredict“, „ChatCompletions“, „GenerateContent“ oder „StreamGenerateContent“ über öffentliche Endpunkte aufgerufen wurde

  • Das Problem wurde am 29. September 2025 um 04:10 Uhr MESZ behoben.

  • Weder dedizierte (Standardeinstellung in Model Garden) noch private Endpunkte waren betroffen.

In der RDSEED-Anweisung in AMD Zen 5-Prozessoren (Turin) wurde ein Fehler entdeckt. Mit dieser Anweisung werden kryptografische Zufallszahlen generiert. Unter bestimmten Systemlastbedingungen können die 16- und 32-Bit-Versionen von RDSEED ohne Fehlermeldung fehlschlagen, was Anwendungen, die auf die Generierung von Zufallszahlen angewiesen sind, beeinträchtigen kann. Kunden, die die 64-Bit-Version von RDSEED verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

AMD untersucht die Sicherheitslücke.

Der 64-Bit-Linux-Kernel verwendet die sichere 64-Bit-Version des RDSEED-Befehls, der die Zufallszahlen aus /dev/[u]random liefert. Diese Zufallszahlen sind von dieser Sicherheitslücke nicht betroffen.

Wenn Sie Anwendungscode haben, der selbst Zufallszahlen mit dem RDSEED-Befehl generiert, sollten Sie beachten, dass die 16-Bit- und 32-Bit-Versionen des Befehls unsicher sind. Die 64-Bit-Version der Anweisung ist sicher.

Welche Sicherheitslücken werden behoben?

Diese Sicherheitslücke ermöglicht es einem Angreifer, RDSEED zum stillen Fehlschlagen zu bringen, wodurch möglicherweise die Zufallszahlengenerierung in Anwendungen beeinträchtigt wird.

Aktualisierung vom 11.11.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Aktualisierung vom 27.10.2025: Patchversionen und ein Schweregrad für GDC-Software für VMware hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-38618

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Aktualisierung vom 13.11.2025: Patchversionen für GDC-Software für VMware hinzugefügt. Der Schweregrad für GDC-Software für VMware wurde auf „Hoch“ aktualisiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-39946

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Aktualisierung vom 11.11.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Aktualisierung vom 16.10.2025:Patchversionen und ein Schweregrad für GDC-Software für VMware hinzugefügt

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-38617

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Gemäß der VMware-Sicherheitsempfehlung VMSA-2025-0015 wurden Broadcom privat mehrere Sicherheitslücken in VMware Aria Operations und VMware Tools gemeldet. Patches sind verfügbar, um diese Sicherheitslücken in den betroffenen Broadcom-Produkten zu beheben.

Was soll ich tun?

Wir empfehlen ein Upgrade auf VMware Aria Automation 8.18.5 und VMware Tools 13.0.5.

• VMSA-2025-0015
• CVE-2025-41244
• CVE-2025-41245
• CVE-2025-41246

Looker Studio hat Sicherheitslücken behoben, die von einem externen Forscher über das Google- und Alphabet-VRP-Programm (Prämienprogramm für die Meldung von Sicherheitslücken) gemeldet wurden. Es wurden jedoch keine Anzeichen für eine Ausnutzung gefunden. Diese Probleme wurden inzwischen behoben. Nutzer müssen nichts unternehmen.

Was soll ich tun?

Auf Kundenseite sind keine Maßnahmen erforderlich.

Welche Sicherheitslücken werden behoben?

Die Sicherheitslücken ermöglichten unbefugten Zugriff auf Daten über freigegebene Berichte, Datenquellen mit Betrachteranmeldedaten, die Studio Linking API und Conversational Analytics.

Looker hat Sicherheitslücken behoben, die von einem externen Forscher über das Google- und Alphabet-VRP-Programm (Prämienprogramm für die Meldung von Sicherheitslücken) gemeldet wurden. Es wurden jedoch keine Anzeichen für eine Ausnutzung gefunden. Diese Probleme wurden inzwischen behoben. Nutzer von Looker (Google Cloud Core) und Looker (Original), die von Looker gehostet werden, müssen nichts unternehmen. Für selbst gehostete Looker-Instanzen wird empfohlen, auf die neueste unterstützte Version zu aktualisieren.

Was soll ich tun?

Von Looker gehostete Instanzen: Looker (Google Cloud Core)- und Looker-Instanzen (Original)

Auf Kundenseite sind keine Maßnahmen erforderlich.

Nur selbst gehostete Looker-Instanzen

Wenn Ihre Looker-Instanz selbst gehostet wird, empfehlen wir, ein Upgrade Ihrer Looker-Instanzen auf eine der folgenden Versionen durchzuführen:

• 25.12.30+
• 25.10.54+
• 25.6.79+
• 25.0.89+
• 24.18.209+

Hinweis: Versionen 25.14 und höher sind von diesen Sicherheitsproblemen nicht betroffen.

Welche Sicherheitslücken werden behoben?

Die Sicherheitslücken ermöglichten es Nutzern mit Entwicklerberechtigungen in Looker, sowohl auf das zugrunde liegende System, auf dem Looker gehostet wird, als auch auf die interne Datenbank zuzugreifen.

Forscher haben eine Sicherheitslücke entdeckt, die sich auf Intel-CPUs und alle AMD Zen-CPUs auswirkt. Diese Sicherheitslücke ermöglicht es einem Angreifer, möglicherweise vertrauliche Daten zu lesen, indem er bekannte Sicherheitslücken bei der spekulativen Ausführung ausnutzt.

Was soll ich tun?

Sie müssen derzeit nichts weiter tun, da Google Korrekturen an den betroffenen Assets, einschließlich Google Cloud, vorgenommen hat, um das Problem ohne Unterbrechungen in der gesamten Flotte zu beheben.

Welche Sicherheitslücken werden behoben?

Weitere Informationen finden Sie im COMSEC-Blogpost.

Aktualisierung vom 11.11.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Aktualisierung vom 15.10.2025: Patchversionen und ein Schweregrad für die GDC-Software für VMware hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-38500

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

In Google Security Operations SOAR-Versionen 6.3.54.0 und 6.3.53.2 wurde eine kritische Sicherheitslücke gefunden. Ein authentifizierter Nutzer mit Berechtigungen zum Hochladen von ZIP-Dateien (z. B. beim Importieren von Anwendungsfällen) konnte ein ZIP-Archiv hochladen, mit dem Dateien an beliebige Orte im Dateisystem des Servers geschrieben werden können.

Das System zum Extrahieren von Dateien aus ZIP-Archiven konnte nicht verhindern, dass Dateien im Archiv außerhalb des vorgesehenen Zielordners geschrieben wurden. Dies wird auch als Directory Traversal- oder Zip Slip-Sicherheitslücke bezeichnet.

Was soll ich tun?

Auf Kundenseite sind keine Maßnahmen erforderlich. Alle Kunden wurden automatisch auf die korrigierte Version oder höher aktualisiert: 6.3.54.1 oder 6.3.53.3.

Welche Sicherheitslücken werden behoben?

Ein Angreifer könnte diese Sicherheitslücke ausnutzen, um Anwendungsdateien zu überschreiben. Durch das Überschreiben einer JavaScript-Datei, die von der Funktion zur Berichterstellung verwendet wird, konnte ein Angreifer Remote Code Execution (RCE) auf der Google SecOps SOAR-Instanz erreichen. Der Angreifer konnte eigenen Code auf dem Server ausführen.

Weitere Informationen finden Sie im Sicherheitsbulletin GCP-2025-049 von Google SecOps.

Im Envoy-Proxy wurde die folgende Sicherheitslücke entdeckt:

• CVE-2025-54588

Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

Aktualisierung vom 25.09.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-38350

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Aktualisierung vom 11.11.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Aktualisierung vom 15.10.2025: Patchversionen und ein Schweregrad für die GDC-Software für VMware hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-38477

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Ein externer Forscher hat über das Google- und Alphabet-VRP-Programm (Prämienprogramm für die Meldung von Sicherheitslücken) eine Sicherheitslücke in der Dataform API gemeldet. Diese Sicherheitslücke könnte potenziell unbefugten Zugriff auf Code-Repositories und Daten von Kunden ermöglichen. Google hat das Problem schnell behoben und die Korrektur in allen Regionen veröffentlicht. Derzeit gibt es keine Hinweise auf eine Ausnutzung oder entsprechende Meldungen an Google.

Wie gehe ich am besten vor?

Auf Kundenseite sind keine Maßnahmen erforderlich. Google hat bereits Maßnahmen für alle betroffenen Produkte und Dienste ergriffen.

Welche Sicherheitslücken werden behoben?

Weitere Informationen finden Sie unter CVE-2025-9118.

Intel hat Google über zwei neue Sicherheitslücken informiert.

CVE-2025-21090: Diese Sicherheitslücke betrifft die folgenden Intel-Prozessoren:

• Sapphire Rapids: VM-Familien C3, Z3, H3, A3, v5p
• Emerald Rapids: N4-, C4-, M4-, A3 Ultra- und A4-VM-Familien
• Granite Rapids: N4-, C4-VM-Familie

CVE-2025-22840: Diese Sicherheitslücke betrifft den folgenden Intel-Prozessor:

• Granite Rapids: N4-, C4-VM-Familie

Wie gehe ich am besten vor?

Für beide Sicherheitslücken sind keine Maßnahmen auf Kundenseite erforderlich. Google aktualisiert Ihre Systeme proaktiv während Ihrer standardmäßigen und geplanten Wartungsfenster. Derzeit gibt es keine Hinweise auf eine Ausnutzung oder entsprechende Meldungen an Google.

Welche Sicherheitslücken werden behoben?

Die Sicherheitslücke CVE-2025-21090 ermöglicht es einem nicht privilegierten Akteur, die AMX-CPU-Anweisung in Verbindung mit der AVX-CPU-Anweisung zu verwenden, um den Hostcomputer funktionsunfähig zu machen.

Die Sicherheitslücke CVE-2025-22840 ermöglicht es einem nicht privilegierten Akteur, mit dem CPU-Befehl „prefetchit“ Speicherinhalte zu laden, auf die er sonst keinen Zugriff hätte. Dies kann möglicherweise zur Ausführung von Remote-Code führen.

• CVE-2025-21090
• CVE-2025-22840

In der reinen Python-Implementierung von protobuf-python besteht eine potenzielle DoS-Sicherheitslücke (Denial of Service). Ein Angreifer kann einen Dienst zum Absturz bringen, indem er eine speziell entwickelte Nachricht sendet.

Auswirkungen

Sie sind möglicherweise betroffen, wenn Sie protobuf-python direkt oder transitiv in Ihre Projekte importieren. Die Cloud-Clientbibliotheken für Python verwenden protobuf-python als Abhängigkeit. Wenn Sie diese Bibliotheken verwenden, achten Sie darauf, dass Sie eine im folgenden Abschnitt erwähnte Version von protobuf-python verwenden.

Wie gehe ich am besten vor?

Achten Sie darauf, dass Sie die neuesten Versionen der folgenden Softwarepakete verwenden:

• protobuf-python (4.25.8, 5.29.5, 6.31.1)

Welche Sicherheitslücken werden mit diesem Patch behoben?

Dieser Patch minimiert die Auswirkungen der folgenden Sicherheitslücke:

Die Sicherheitslücke entsteht durch unbegrenzte Rekursion, wenn das Pure-Python-Backend bestimmte Protocol Buffers-Nachrichten parst. Ein nicht authentifizierter Angreifer kann eine Nachricht mit tief verschachtelten rekursiven Gruppen, Nachrichten oder einer Reihe von SGROUP-Tags senden. Diese Eingabe führt dazu, dass der Python-Interpreter seine maximale Rekursionstiefe überschreitet, was einen RecursionError auslöst, der den Dienst zum Absturz bringt und zu einem Denial of Service führt. Alle Projekte, in denen nicht vertrauenswürdige Daten mit dem betroffenen Backend geparst werden, sind gefährdet.

Weitere Informationen finden Sie im Protobuf Security Advisory.

Hoch

CVSS v4.0

Punktzahl: 8,2

Dieses Problem betrifft nur das python-Backend für die Protobuf-Implementierung.

Unabhängig vom Wert, der beim Prüfen des Protobuf-Implementierungs-Backends zurückgegeben wird, wird ein Upgrade empfohlen, da die Umgebungsvariable PROTOCOL_BUFFERS_PYTHON_IMPLEMENTATION das Protobuf-Implementierungs-Backend zur Laufzeit ändern kann.

Forscher haben eine Sicherheitslücke in bestimmten Intel-CPUs entdeckt, darunter solche, die auf den Mikroarchitekturen Skylake, Broadwell und Haswell basieren. Diese Sicherheitslücke ermöglicht es einem Angreifer, möglicherweise vertrauliche Daten direkt aus dem L1-Cache der CPU zu lesen, auf die er nicht zugreifen darf.

Diese Sicherheitslücke wurde 2018 erstmals in CVE-2018-3646 offengelegt. Nachdem diese Sicherheitslücke entdeckt wurde, hat Google sofort Maßnahmen ergriffen, um die bekannten Risiken zu minimieren. Die Kommunikation bezüglich der Sicherheitslücke und der ersten Korrekturen wurde zu diesem Zeitpunkt veröffentlicht. Seitdem untersuchen wir das Restrisiko und arbeiten mit der Upstream-Linux-Community zusammen, um es zu minimieren.

Vor Kurzem haben wir mit Sicherheitsforschern aus der Wissenschaft zusammengearbeitet, um den aktuellen Stand der CPU-Sicherheitsmaßnahmen und potenzielle Angriffstechniken zu bewerten, die 2018 noch nicht berücksichtigt wurden.

Google hat Korrekturen an den betroffenen Assets, einschließlich Google Cloud, vorgenommen, um das Problem zu beheben.

Wie gehe ich am besten vor?

Auf Kundenseite sind keine Maßnahmen erforderlich. Es wurden bereits Maßnahmen auf der Google-Serverflotte ergriffen.

Welche Sicherheitslücken werden behoben?

Weitere Informationen finden Sie in der Intel-Sicherheitsempfehlung INTEL-SA-00161 und unter CVE-2018-3646.

Aktualisierung vom 10.11.2025: Patchversionen für GDC-Software für VMware hinzugefügt. Der Schweregrad für GDC-Software für VMware wurde auf „Hoch“ aktualisiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Ubuntu-Knoten führen können:

• CVE-2025-37890

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Gemäß der Empfehlung VMSA-2025-0013 wurden Broadcom privat mehrere Sicherheitslücken in VMware ESXi gemeldet.

Wir haben diese Sicherheitslücken entweder bereits geschlossen oder sind dabei, die erforderlichen Patches von Broadcom anzuwenden. Für diese gemeldeten Sicherheitslücken sind keine Problemumgehungen bekannt.

Nach dem Patchen sollten auf Ihren VMware Engine-Bereitstellungen ESXi 7.0U3w oder ESXi 8.0U3f oder höher ausgeführt werden.

Was soll ich tun?

Google empfiehlt Kunden, ihre Arbeitslasten in VMware Engine auf ungewöhnliche Aktivitäten zu überwachen.

• VMSA-2025-0013
• CVE-2025-41236
• CVE-2025-41237
• CVE-2025-41238
• CVE-2025-41239

Aktualisierung vom 10.11.2025: Patchversionen für GDC-Software für VMware hinzugefügt. Der Schweregrad für GDC-Software für VMware wurde auf „Hoch“ aktualisiert.

Aktualisierung vom 28.08.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-38083

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Aktualisierung vom 25.09.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-37752

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

AMD hat zwei Sicherheitslücken offengelegt, die AMD EPYC-CPUs der 2. Generation (Rome), 3. Generation (Milan) und 4. Generation (Genoa) betreffen. Die Sicherheitslücken ermöglichen es einem Angreifer, Daten aus früheren Speichern oder dem L1D-Cache abzuleiten, was möglicherweise zum Verlust vertraulicher Informationen führt.

Google hat eine Maßnahme eingeführt, die dieses Leck von Informationen zwischen VMs verhindert.

Es besteht weiterhin die Möglichkeit, dass Prozesse innerhalb einer einzelnen VM diese Sicherheitslücken ausnutzen.

Was soll ich tun?

Ab dem 8. Juli 2025 ist für die folgenden VMs eine Sicherheitsmaßnahme auf Gastebene verfügbar, die vor Angriffen innerhalb des Gastsystems schützt:

• VMs, die zum ersten Mal gestartet werden.
• VMs, die vollständig beendet und neu gestartet wurden. Durch Neustarts des Betriebssystems wird die Sicherheitsmaßnahme nicht aktiviert. Die VM selbst muss vollständig neu gestartet werden, damit die Sicherheitsmaßnahme aktiviert wird. Die Kernel von Gastbetriebssystemen müssen diese Maßnahme unterstützen, damit sie wirksam ist.

Weitere Informationen finden Sie im AMD-Sicherheitsbulletin AMD-SB-7029.

• CVE-2024-36350
• CVE-2024-36357

Aktualisierung vom 10.11.2025: Patchversionen für GDC-Software für VMware hinzugefügt. Der Schweregrad für GDC-Software für VMware wurde auf „Hoch“ aktualisiert.

Aktualisierung vom 21.07.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-38001

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Aktualisierung vom 10.11.2025: Patchversionen für GDC-Software für VMware hinzugefügt. Der Schweregrad für GDC-Software für VMware wurde auf „Hoch“ aktualisiert.

Aktualisierung vom 21.07.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-37997

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Aktualisierung vom 21.07.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-38000

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Es wurde ein Sicherheitsproblem entdeckt, bei dem Angreifer möglicherweise die Einschränkungen der Arbeitslastisolation in GKE-Clustern umgehen können.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Aktualisierung vom 21.07.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-37798

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Aktualisierung vom 26.08.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-37797

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Gemäß der VMware-Sicherheitsempfehlung VMSA-2024-0017 wurde VMware privat über eine SQL-Injection-Sicherheitslücke in VMware Aria Automation informiert. Patches sind verfügbar, um diese Sicherheitslücke in den betroffenen VMware-Produkten zu beheben.

Was soll ich tun?

Wir empfehlen ein Upgrade auf VMware Aria Automation KB325790.

• VMSA-2024-0017
• CVE-2024-22280

Gemäß der VMware-Sicherheitsempfehlung VMSA-2025-0006 wurde VMware eine Sicherheitslücke zur lokalen Rechteausweitung in VMware Aria Operations gemeldet. Patches sind verfügbar, um diese Sicherheitslücke in den betroffenen VMware-Produkten zu beheben.

Was soll ich tun?

Wir empfehlen ein Upgrade auf VMware Aria Operations 8.18 HF5.

• VMSA-2025-0006
• CVE-2025-22231

Gemäß der VMware-Sicherheitsempfehlung VMSA-2025-0003 wurden mehrere Sicherheitslücken in VMware Aria Operations for Logs und VMware Aria Operations privat an VMware gemeldet. Patches sind verfügbar, um diese Sicherheitslücke in den betroffenen VMware-Produkten zu beheben.

Was soll ich tun?

Wir empfehlen ein Upgrade auf VMware Aria Operations for Logs 8.18.3 und VMware Aria Operations 8.18.3.

• VMSA-2025-0003
• CVE-2025-22218
• CVE-2025-22219
• CVE-2025-22220
• CVE-2025-22221
• CVE-2025-22222

Vor dem 26. April 2025 wurde im klassischen Application Load Balancer-Dienst eine Sicherheitslücke entdeckt.

Was soll ich tun?

Auf Kundenseite sind keine Maßnahmen erforderlich. Das Problem wurde am 26. April 2025 im klassischen Application Load Balancer-Dienst behoben.

Welche Sicherheitslücken werden behoben?

Durch die Sicherheitslücke CVE-2025-4600 konnten Angreifer Anfragen an klassische Application Load Balancer einschleusen, da übergroße Chunk-Bodies falsch geparst wurden. Beim Parsen des Anfragetexts einer HTTP-Anfrage mit einer aufgeteilten Transferverschlüsselung lässt der klassische Application Load Balancer überdimensionierte Chunk-Bodies zu. Daher war es möglich, innerhalb dieser ignorierten Enddaten Bytes zu verstecken, die ein vorgelagerter HTTP-Server fälschlicherweise als Zeilenendezeichen interpretieren könnte. Diese Sicherheitslücke wurde am 26. April 2025 im klassischen Application Load Balancer-Dienst durch eine verbesserte Eingabevalidierung und -analyse behoben.

Wir sind für Sie da

Wenn Sie Fragen haben oder Unterstützung benötigen, wenden Sie sich an Cloud Customer Care.

Gemäß der VMware-Sicherheitsempfehlung VMSA-2025-0008 wurde VMware privat über eine DOM-basierte Cross-Site-Scripting-Sicherheitslücke (XSS) in VMware Aria Automation informiert. Patches sind verfügbar, um diese Sicherheitslücke in den betroffenen VMware-Produkten zu beheben.

Was soll ich tun?

Wir empfehlen ein Upgrade auf VMware Aria Automation 8.18.1 Patch 2.

• VMSA-2025-0008
• CVE-2025-22249

Intel hat Google über eine neue Seitenkanal-Sicherheitslücke informiert, die die folgenden Intel-Prozessoren betrifft: CascadeLake, Ice Lake XeonSP, Ice Lake XeonD, Sapphire Rapids und Emerald Rapids.

Google hat Korrekturen an den betroffenen Assets, einschließlich Google Cloud, vorgenommen, um Kunden zu schützen. Derzeit gibt es keine Beweise für eine Ausnutzung oder Berichte darüber an Google.

Was soll ich tun?

Auf Kundenseite sind keine Maßnahmen erforderlich. Auf die Google-Serverflotte wurden bereits Korrekturen angewendet, um Kunden zu schützen.

Welche Sicherheitslücken werden behoben?

CVE-2024-45332. Weitere Informationen finden Sie in der Intel-Sicherheitsempfehlung INTEL-SA-01247.

Wir sind für Sie da

Wenn Sie Fragen haben oder Unterstützung benötigen, wenden Sie sich bitte an Cloud Customer Care. Geben Sie dabei die Referenznummer 417536835 an.

Aktualisierung vom 13.05.2025: Wenn Sie Fragen haben oder Unterstützung benötigen, wenden Sie sich an Cloud Customer Care und geben Sie die Referenznummer 417458390 an.

Intel hat Google über eine neue Sicherheitslücke bei der spekulativen Ausführung informiert, die Intel Cascade Lake- und Intel Ice Lake-Prozessoren betrifft.

Google hat Korrekturen an den betroffenen Assets, einschließlich Google Cloud, vorgenommen, um Kunden zu schützen. Derzeit gibt es keine Hinweise auf eine Ausnutzung oder Berichte darüber an Google.

Was soll ich tun?

Auf Kundenseite sind keine Maßnahmen erforderlich. Es wurden bereits Maßnahmen auf der Google-Serverflotte ergriffen.

Weitere Maßnahmen von Intel-Erstausrüstern (Original Equipment Manufacturers, OEMs) und anderen Betriebssystempartnern werden bereitgestellt, sobald sie verfügbar sind, um die Auswirkungen der Sicherheitslücke „Same-Mode Indirect Target Selection“ (ITS) zu minimieren.

Nachdem die Betriebssystem-Maßnahmen angewendet wurden, kann es bei Kunden mit VMs der 3. Generation oder höher, die lange ausgeführt werden, zu unbeabsichtigten Leistungseinbußen kommen.

Welche Sicherheitslücken werden behoben?

CVE-2024-28956. Weitere Informationen finden Sie in der Intel-Sicherheitsempfehlung INTEL-SA-01153.

Es wurden potenzielle Sicherheitslücken entdeckt und behoben, die ausgenutzt werden könnten, wenn sie nicht in den JavaCallout- und PythonScript-Richtlinien berücksichtigt werden.

Anleitungen und weitere Informationen finden Sie im Apigee-Sicherheitsbulletin.

Aktualisierung vom: 22.05.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-21702

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Aktualisierung vom 02.06.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-21971

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Eine Sicherheitslücke in Looker ermöglichte es Nutzern mit Administratorberechtigungen (insbesondere manage_project_connections_restricted) in Looker, Dateien aus dem zugrunde liegenden Hostdateisystem zu lesen und interne Netzwerkendpunkte abzufragen. Das Problem wurde inzwischen behoben. Von Looker gehostete Kunden, die Looker (Google Cloud Core) und Looker (Original) verwenden, müssen nichts weiter tun. Für selbst gehostete Looker-Instanzen wird empfohlen, auf die neueste unterstützte Version zu aktualisieren.

Diese Sicherheitslücke wurde in allen unterstützten Versionen von kundenseitig gehostetem Looker behoben. Die entsprechenden Versionen sind auf der Looker-Downloadseite verfügbar.

Was soll ich tun?

• Für alle von Looker gehosteten Instanzen, einschließlich Looker (Google Cloud Core)- und Looker (Original)-Instanzen, müssen Sie keine Maßnahmen ergreifen.
• Bei von Kunden gehosteten Looker-Instanzen sollten Sie so schnell wie möglich auf die neueste unterstützte Version von Looker aktualisieren. Die folgenden Versionen wurden alle aktualisiert, um vor dieser Sicherheitslücke zu schützen. Sie können diese Versionen auf der Looker-Downloadseite herunterladen:
  • 25.4 -> 25.4.29+
  • 25.2 -> 25.2.34+
  • 25.0 -> 25.0.55+
  • 24.18 -> 24.18.185+
  • 24.12 -> 24.12.95+
  • 24.6 -> 24.6.107+

Aktualisierung vom 26.06.2025: Patchversionen für GDC-Software für VMware hinzugefügt.

Aktualisierung vom 22.05.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2025-21701

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Aktualisierung vom 09.10.2025: Patchversionen für Ubuntu-Knoten in GKE hinzugefügt

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2025-40364

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Aktualisierung vom: 22.05.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Aktualisierung vom 05.05.2025: Patchversionen für GDC-Software für VMware hinzugefügt. Der Schweregrad für GDC-Software für VMware wurde auf „Hoch“ aktualisiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-21756

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Aktualisierung vom: 22.05.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Aktualisierung vom 29.04.2025: Patchversion für GDC-Software für VMware hinzugefügt. Der Schweregrad für GDC-Software für VMware wurde auf „Hoch“ aktualisiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2023-52927

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Aktualisierung vom 22.05.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Aktualisierung vom 17.04.2025:Patchversionen für GDC (VMware) hinzugefügt. Der Schweregrad von GDC (VMware) wurde von „Ausstehend“ auf „Hoch“ aktualisiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-21700

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Aktualisierung vom: 22.05.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Aktualisierung vom 05.05.2025: Patchversionen für GDC-Software für VMware hinzugefügt. Der Schweregrad für GDC-Software für VMware wurde auf „Hoch“ aktualisiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-21703

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Im NGINX Ingress Controller, ingress-nginx, einer Open-Source-Softwarekomponente, die in Kubernetes-Clustern ausgeführt wird, um den eingehenden Netzwerkverkehr in den Clustern zu verwalten, wurden mehrere Sicherheitsprobleme entdeckt. Das kritischste ist CVE-2025-1974. Ausführliche Informationen und eine vollständige Liste finden Sie im Kubernetes-CVE-Feed.

Diese Probleme wirken sich auf ingress-nginx aus. Wenn ingress-nginx nicht auf Ihrem Cluster installiert ist, sind Sie nicht betroffen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Aktualisierung vom 10.04.2025: Patchversionen für Ubuntu-GKE-Knoten und GDC-Software für VMware hinzugefügt. Der Schweregrad für GDC-Software für VMware wurde auf „Hoch“ aktualisiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-53164

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

VMware hat in VMSA-2025-0004 mehrere Sicherheitslücken offengelegt, die sich auf ESXi-Komponenten auswirken, die in Kundenumgebungen bereitgestellt werden.

Auswirkungen auf VMware Engine

Ihre privaten Clouds sind entweder bereits gepatcht oder werden gerade aktualisiert, um die Sicherheitslücke zu behandeln. Als Teil des VMware Engine-Dienstes erhalten alle Kunden dedizierte Bare-Metal-Hosts mit lokalen angehängten Laufwerken, die von anderer Hardware isoliert sind. Das bedeutet, dass die Sicherheitslücke nur für Gast-VMs in Ihrer spezifischen privaten Cloud gilt.

Ihre privaten Clouds werden auf 7.0u3s Build-Nummer 24534642 aktualisiert. Dies entspricht 7.0U3s: Build-Nummer 24585291.

Was soll ich tun?

Folgen Sie den Anweisungen von Broadcom und Ihren Sicherheitsanbietern in Bezug auf diese Sicherheitslücke.

• VMSA-2025-0004
• CVE-2025-22224
• CVE-2025-22225
• CVE-2025-22226

Aktualisierung vom 02.06.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Aktualisierung vom 10.04.2025: Patchversionen für GDC-Software für VMware hinzugefügt. Der Schweregrad für GDC-Software für VMware wurde auf „Hoch“ aktualisiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-56770

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Das Envoy-Projekt hat vor Kurzem mehrere neue Sicherheitslücken (CVE-2024-53269, CVE-2024-53270 und CVE-2024-53271) bekanntgegeben, die es einem Angreifer ermöglichen könnten, Envoy zum Absturz zu bringen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

• CVE-2024-53269
• CVE-2024-53270
• CVE-2024-53271

Aktualisierung vom 10.04.2025: Patchversionen für GDC-Software für VMware hinzugefügt. Der Schweregrad für GDC-Software für VMware wurde auf „Hoch“ aktualisiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-53141

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Google hat eine Sicherheitslücke in AMD Zen-basierten CPUs entdeckt, die sich auf Confidential VM-Instanzen mit aktiviertem AMD SEV-SNP auswirkt. Diese Sicherheitslücke ermöglicht es Angreifern mit Root-Zugriff auf eine physische Maschine, die Vertraulichkeit und Integrität der Confidential VM-Instanz zu gefährden.

Google hat Korrekturen an den betroffenen Assets, einschließlich Google Cloud, vorgenommen, um Kunden zu schützen. Derzeit gibt es keine Hinweise auf eine Ausnutzung oder Berichte darüber an Google.

Was soll ich tun?

Auf Kundenseite sind keine Maßnahmen erforderlich. Kunden, die die Problembehebung nachvollziehen möchten, können die TCB-Version (Trusted Computing Base) im Attestierungsbericht ihrer Confidential VM-Instanz mit AMD SEV-SNP prüfen. Verwenden Sie mindestens folgende Versionen, um die Auswirkungen dieser Sicherheitslücke zu minimieren:

SNP TCB SVN: 0x18 0d24
tcb_version {
  psp_bootloader_version: 4
  snp_firmware_version: 24 (0x18)
  microcode_version: 219
}

Weitere Informationen finden Sie im AMD-Sicherheitsbulletin AMD-SB-3019.

CVE-2024-56161

Eine Sicherheitslücke im Google Secret Manager-Anbieter für den CSI-Treiber für Secrets Store ermöglicht es einem Angreifer mit Berechtigungen zum Erstellen von Pods und Secrets in einem Namespace, das Kubernetes-Dienstkonto-Token des CSI-Treibers zu exfiltrieren, indem er ein schädliches Volume in einem Pod bereitstellt.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Server, die Google-Authentifizierungsbibliotheken und Cloud-Clientbibliotheken verwenden, um sich mit einer vom Angreifer kontrollierten Anmeldedatenkonfiguration bei Google Cloud zu authentifizieren, können anfällig für serverseitige Anfragefälschung und das Lesen beliebiger Dateien sein.

Was soll ich tun?

Wenn Sie eine Anmeldedatenkonfiguration (Anmeldedaten-JSON, Datei oder Stream) von einer externen Quelle zur Authentifizierung bei Google Cloud akzeptieren, müssen Sie sie validieren, bevor Sie sie an Google-Authentifizierungsbibliotheken oder Cloud-Clientbibliotheken übergeben. Wenn Sie Google-Bibliotheken eine nicht validierte Anmeldedatenkonfiguration zur Verfügung stellen, kann dies die Sicherheit Ihrer Systeme und Daten beeinträchtigen. Weitere Informationen finden Sie unter Anmeldedatenkonfigurationen aus externen Quellen validieren.

Welche Sicherheitslücken werden behoben?

Einige Arten von Anmeldedatenkonfigurationen enthalten Endpunkte und Dateipfade, die von den Authentifizierungsbibliotheken zum Abrufen eines Tokens verwendet werden. Wenn ein Dienst oder eine Anwendung extern bezogene Anmeldedatenkonfigurationen akzeptiert und sie ohne Validierung mit Google-Authentifizierungsbibliotheken oder Cloud-Clientbibliotheken verwendet, kann ein Angreifer eine Anmeldedatenkonfiguration mit einem schädlichen Endpunkt oder Pfad bereitstellen. So kann der Angreifer Daten oder Tokens aus dem Dienst oder dem Computer, auf dem der Dienst ausgeführt wird, exfiltrieren. Um dies zu verhindern, sollten Validierungen für die Konfiguration von Anmeldedaten aus externen Quellen, wie unter Konfigurationen von Anmeldedaten aus externen Quellen validieren beschrieben, durchgeführt werden.

Wir haben unsere Dokumentation aktualisiert und darin die Validierungen beschrieben, die bei der Annahme von Anmeldedatenkonfigurationen aus externen Quellen durchgeführt werden müssen.

Gemäß der VMware-Sicherheitsempfehlung VMSA-2025-0001 wurde VMware eine Sicherheitslücke in Form einer serverseitigen Anfragefälschung (SSRF) in VMware Aria Automation gemeldet. Patches sind verfügbar, um diese Sicherheitslücke in den betroffenen VMware-Produkten zu beheben.

Was soll ich tun?

Wir empfehlen ein Upgrade auf VMware Aria Automation 8.18.2 HF.

• VMSA-2025-0001
• CVE-2025-22215

Aktualisierung vom 23.01.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-50264

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Aktualisierung vom 23.01.2025: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Aktualisierung vom 22.01.2025: Patchversionen für GDC (VMware) hinzugefügt. Der Schweregrad für GDC (VMware) wurde auf „Mittel“ aktualisiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-53057

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Aktualisierung vom 23.01.2025: Abschnitt Betroffene Ressourcen auf dem Tab GKE aktualisiert.

Aktualisierung vom 08.01.2025: Startdatum und Startzeit des Problems korrigiert.

Ein Sicherheitsproblem hat sich auf Ressourcen in VPCs mit konfiguriertem GKE Multi-Cluster Gateway (MCG) ausgewirkt. MCG ist ein optionales Feature, das von einer kleinen Anzahl von GKE-Kunden verwendet wird. Wir benachrichtigen Kunden, die die Funktion in diesem Zeitraum aktiviert hatten, individuell.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Die folgenden CVEs betreffen Cloud Service Mesh und machen es anfällig für ausnutzbare Sicherheitslücken:

• CVE-2024-53269: Happy Eyeballs stürzt ab, wenn „additional_address“ keine gültigen IP-Adressen enthält. Der Sortieralgorithmus funktioniert nicht.
• CVE-2024-53270: HTTP/1: „Sending overload“ stürzt ab, wenn die Anfrage zuvor zurückgesetzt wird.
• CVE-2024-53271: HTTP/1.1: Mehrere Probleme mit envoy.reloadable_features.http1_balsa_delay_reset.

Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

• CVE-2024-53269
  
• CVE-2024-53270
  
• CVE-2024-53271
  

Gemäß der VMware-Sicherheitsempfehlung VMSA-2024-0022 wurden VMware mehrere Sicherheitslücken in VMware Aria Operations gemeldet. Es sind Updates verfügbar, um diese Sicherheitslücken im betroffenen VMware-Produkt zu beheben.

Was soll ich tun?

Wir empfehlen ein Upgrade auf VMware Aria Operations 8.18.2.

• VMSA-2024-0022
• CVE-2024-38830
• CVE-2024-38831
• CVE-2024-38832
• CVE-2024-38833
• CVE-2024-38834

In der Vertex AI API, die multimodale Gemini-Anfragen verarbeitet, wurde eine Sicherheitslücke entdeckt, die die Umgehung der VPC Service Controls ermöglicht. Ein Angreifer könnte den Parameter fileURI der API möglicherweise missbrauchen, um Daten zu exfiltrieren.

Was soll ich tun?

Es sind keine Maßnahmen erforderlich. Wir haben eine Korrektur implementiert, die eine Fehlermeldung zurückgibt, wenn im Parameter „fileUri“ eine Mediendatei-URL angegeben ist und die VPC Service Controls aktiviert sind. Andere Anwendungsfälle sind davon nicht betroffen.

Welche Sicherheitslücken werden behoben?

Mit der Cloud Support API für Gemini-Anfragen können Sie Mediendateien einfügen, indem Sie die URL der Mediendatei im Parameter fileUri angeben. Diese Funktion kann verwendet werden, um VPC Service Controls-Perimeter zu umgehen. Ein Angriff innerhalb des Dienstperimeters könnte sensible Daten im Parameter fileURI codieren, um den Dienstperimeter zu umgehen.

Aktualisierung vom 22.01.2025: Patchversionen für GDC (VMware) hinzugefügt. Der Schweregrad von GDC (VMware) wurde von „Ausstehend“ auf „Hoch“ aktualisiert.

Aktualisierung vom 12.12.2024: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-46800

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Ein Sicherheitsproblem in Kubernetes-Clustern kann zur Ausführung von Remote-Code über ein gitRepo-Volume führen. Wenn das Git-Repository böswillig erstellt wird, kann ein Nutzer, der einen Pod erstellen und ein gitRepo-Volume zuordnen kann, beliebige Befehle über die Containergrenze hinaus ausführen

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Gemäß der VMware-Sicherheitsempfehlung VMSA-2024-0020 wurden VMware verantwortungsvoll mehrere Sicherheitslücken in VMware NSX gemeldet.

Die Version von NSX-T, die in Ihrer VMware Engine-Umgebung ausgeführt wird, ist nicht von CVE-2024-38815, CVE-2024-38818 oder CVE-2024-38817 betroffen.

Was soll ich tun?

Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich.

• VMSA-2024-0020
• CVE-2024-38815
• CVE-2024-38817
• CVE-2024-38818

Gemäß der VMware-Sicherheitsempfehlung VMSA-2024-0021 wurde eine authentifizierte SQL-Injection-Sicherheitslücke in VMware HCX privat an VMware gemeldet.

Wir haben die von VMware genehmigte Maßnahme zur Behebung dieser Sicherheitslücke angewendet. Mit dieser Korrektur wird die Sicherheitslücke behoben, die in CVE-2024-38814 beschrieben ist. Die Image-Versionen, die in Ihrer VMware-Engine-Private-Cloud ausgeführt werden, zeigen derzeit keine Änderungen, die auf die angewendeten Anpassungen hinweisen. Es wurden entsprechende Maßnahmen ergriffen und Ihre Umgebung ist vor dieser Sicherheitslücke geschützt.

Was soll ich tun?

Wir empfehlen ein Upgrade auf VMware HCX Version 4.9.2.

• VMSA-2024-0021
• CVE-2024-38814

Bei Migrate to Containers für Windows-Versionen 1.1.0 bis 1.2.2 wurde ein lokaler m2cuser mit Administratorberechtigungen erstellt. Dies stellte ein Sicherheitsrisiko dar, wenn die Befehle analyze oder generate vom Nutzer oder aufgrund eines internen Fehlers unterbrochen wurden, wodurch die Aktion zum Löschen des lokalen Nutzers m2cuser übersprungen wurde.

Was soll ich tun?

Die folgenden Versionen der Migrate to Containers-Befehlszeile für Windows wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen, die Migrate to Containers-Befehlszeile manuell auf die folgende Version oder höher zu aktualisieren:

• Migrate to Containers-Befehlszeile für Windows 1.2.3, veröffentlicht am 8. Oktober 2024 – Versionshinweise zur Migrate to Containers-Befehlszeile | Google Cloud

Welche Sicherheitslücken werden behoben?

Die Sicherheitslücke CVE-2024-9858 ermöglicht es einem Angreifer, Administratorzugriff auf betroffene Windows-Computer zu erhalten, indem er den lokalen Administratornutzer verwendet, der von der Migrate to Containers-Software erstellt wurde.

Aktualisierung vom 19.11.2024: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Aktualisierung vom 15.10.2024: Patchversionen für GDC (VMware) hinzugefügt. Die Schweregrade für GKE und GDC (VMware) wurden aktualisiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-45016

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Im CUPS-Drucksystem, das von einigen Linux-Distributionen verwendet wird, wurde eine Kette von Sicherheitslücken (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) entdeckt, die zur Remote-Codeausführung führen könnte. Ein Angreifer kann diese Sicherheitslücke ausnutzen, wenn die CUPS-Dienste den UDP-Port 631 überwachen und er eine Verbindung dazu herstellen kann.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

• CVE-2024-47076
• CVE-2024-47175
• CVE-2024-47176
• CVE-2024-47177

Eine Sicherheitslücke beim Einschleusen manipulierter HTTP-Anfragen in Looker ermöglichte es einem nicht autorisierten Angreifer, HTTP-Antworten abzufangen, die für legitime Nutzer bestimmt waren.

Es gibt zwei von Looker gehostete Looker-Versionen:

• Es wurde eine Sicherheitslücke in Looker (Google Cloud Core) gefunden. Die Auswirkungen dieses Problems wurde bereits minimiert und bei unserer Untersuchung wurden keine Anzeichen für eine Ausnutzung gefunden.
• Looker (Original) war für dieses Problem nicht anfällig.

Es wurde festgestellt, dass von Kunden gehostete Looker-Instanzen anfällig sind und auf eine der unten aufgeführten Versionen aktualisiert werden müssen.

Diese Sicherheitslücke wurde in allen unterstützten Versionen von kundenseitig gehostetem Looker behoben. Die entsprechenden Versionen sind auf der Looker-Downloadseite verfügbar.

Was soll ich tun?

• Bei allen von Looker gehosteten Instanzen, einschließlich Looker (Google Cloud Core)-Instanzen, müssen Sie nichts weiter tun.
• Bei von Kunden gehosteten Looker-Instanzen sollten Sie so schnell wie möglich auf die neueste unterstützte Version von Looker aktualisieren. Die folgenden Versionen wurden alle aktualisiert, um vor dieser Sicherheitslücke zu schützen. Sie können diese Versionen auf der Looker-Downloadseite herunterladen:
  • 23.12 -> 23.12.123+
  • 23.18 -> 23.18.117+
  • 24.0 -> 24.0.92+
  • 24.6 -> 24.6.77+
  • 24.8 -> 24.8.66+
  • 24.10 -> 24.10.78+
  • 24.12 -> 24.12.56+
  • 24.14 -> 24.14.37+

Welche Sicherheitslücken werden behoben?

Die Sicherheitslücke CVE-2024-8912 ermöglicht es einem Angreifer, speziell entwickelte HTTP-Anfrageheader an Looker zu senden, was möglicherweise zum Abfangen von HTTP-Antworten führt, die für andere Nutzer bestimmt sind.

Diese Antworten können vertrauliche Informationen enthalten.

Diese Sicherheitslücke kann nur bei bestimmten Konfigurationen ausgenutzt werden.

In Kubernetes-Clustern mit Windows-Knoten wurde ein Sicherheitsproblem entdeckt, bei dem BUILTIN\Users möglicherweise Containerlogs lesen und NT AUTHORITY\Authenticated-Nutzer Containerlogs ändern können.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Beim Parsen unbekannter Felder in den Protobuf Java Full- und Lite-Bibliotheken kann eine schädlich gestaltete Nachricht einen StackOverflow-Fehler verursachen und zum Absturz des Programms führen.

Was soll ich tun?

Wir haben intensiv an einer Lösung dieses Problems gearbeitet und eine entsprechende Maßnahme veröffentlicht, die jetzt verfügbar ist. Wir empfehlen, die neuesten Versionen der folgenden Softwarepakete zu verwenden:

• Protobuf-java (3.25.5, 4.27.5, 4.28.2)
• Protobuf-javalite (3.25.5, 4.27.5, 4.28.2)
• Protobuf-kotlin (3.25.5, 4.27.5, 4.28.2)
• Protobuf-kotlin-lite (3.25.5, 4.27.5, 4.28.2)
• Com-protobuf [nur JRuby-Gem] (3.25.5, 4.27.5, 4.28.2)

Welche Sicherheitslücken werden mit diesem Patch behoben?

Diese Sicherheitslücke kann zu einem Denial of Service führen.

Das Parsen verschachtelter Gruppen als unbekannte Felder mit DiscardUnknownFieldsParser oder Java Protobuf Lite-Parser oder anhand von Protobuf-Map-Feldern führt zu unbegrenzten Rekursionen, die von einem Angreifer missbraucht werden können.

CVSS-Score 8,7

Hoch

Die folgenden CVEs betreffen Cloud Service Mesh und machen es anfällig für ausnutzbare Sicherheitslücken:

• CVE-2024-45807: oghttp2-Absturz bei OnBeginHeadersForStream
• CVE-2024-45808: Schädliche Log-Injektion über Zugriffslogs
• CVE-2024-45806: Potenzial zum Manipulieren von „x-envoy“-Headern aus externen Quellen
• CVE-2024-45809: JWT-Filter stürzt beim Leeren des Route-Cache mit Remote-JWKs ab
• CVE-2024-45810: Envoy stürzt bei LocalReply im asynchronen HTTP-Client ab

Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

• CVE-2024-45807
  
• CVE-2024-45808
  
• CVE-2024-45806
  
• CVE-2024-45809
  
• CVE-2024-45810
  

VMware hat in VMSA-2024-0019 mehrere Sicherheitslücken offengelegt, die sich auf vCenter-Komponenten auswirken, die in Kundenumgebungen bereitgestellt werden.

Auswirkungen auf VMware Engine

• Google hat bereits alle potenziellen Exploits dieser Sicherheitslücke deaktiviert. Google hat beispielsweise die Ports blockiert, über die diese Sicherheitslücke ausgenutzt werden könnte.
• Außerdem sorgt Google dafür, dass alle zukünftigen Bereitstellungen von vCenter nicht von dieser Sicherheitslücke betroffen sind.

Was soll ich tun?

Sie müssen vorerst nichts unternehmen.

• CVE-2024-38812
• CVE-2024-38813

In Windows wurde eine neue Sicherheitslücke bei der Remote-Codeausführung (CVE-2024-38063) entdeckt. Ein Angreifer kann diese Sicherheitslücke in einer aus der Ferne ausnutzen, indem er speziell entwickelte IPv6-Pakete an einen Host sendet.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Aktualisierung vom 01.11.2024: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Aktualisierung vom 21.10.2024: Patchversionen hinzugefügt und Schweregrad für GDC (VMware) aktualisiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-36978

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Aktualisierung vom 30.10.2024: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Aktualisierung vom 25.10.2024: Patchversionen hinzugefügt und Schweregrad für GDC (VMware) aktualisiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-41009

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Aktualisierung vom 30.10.2024: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Aktualisierung vom 21.10.2024: Patchversionen hinzugefügt und Schweregrad für GDC (VMware) aktualisiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-39503

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

AMD hat Google über drei neue Firmware-Sicherheitslücken (2 mit mittlerem Risiko, 1 mit hohem Risiko) informiert, die SEV-SNP in AMD EPYC-CPUs der 3. Generation (Milan) und der 4. Generation (Genoa) betreffen.

Google hat Korrekturen an den betroffenen Assets, einschließlich Google Cloud, vorgenommen, um Kunden zu schützen. Derzeit gibt es keine Hinweise auf eine Ausnutzung oder Berichte darüber an Google.

Was soll ich tun?

Auf Kundenseite sind keine Maßnahmen erforderlich. Die Korrekturen wurden bereits auf die Google-Serverflotte angewendet.

Weitere Informationen finden Sie im AMD-Sicherheitsbulletin AMD-SN-3011.

CVE-2023-31355

CVE-2024-21978

CVE-2024-21980

Aktualisierung vom 19.09.2024: Patchversionen für die GDC-Software für VMware hinzugefügt.

Aktualisierung vom 21.08.2024: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26925

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Aktualisierung vom 30.10.2024: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Aktualisierung vom 21.10.2024: Patchversionen hinzugefügt und Schweregrad für GDC (VMware) aktualisiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-36972

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Aktualisierung vom 02.10.2024: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Aktualisierung vom 20.09.2024: Patchversionen für GDC-Software für VMware hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26921

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Aktualisierung vom 18.07.2024: Es wurde klargestellt, dass Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26809

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Aktualisierung vom 16.09.2024: Patchversionen für die GDC-Software für VMware hinzugefügt.

Aktualisierung vom 19.07.2024: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-52654
• CVE-2023-52656

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

• CVE-2023-52654
• CVE-2023-52656

Aktualisierungen vom 16.07.2024:

Einige Kunden, die den serverlosen VPC-Zugriff nutzen, sind möglicherweise von einer Sicherheitslücke in OpenSSH (CVE-2024-6387) betroffen. Bei erfolgreichem Exploit könnte ein nicht authentifizierter Remote-Angreifer mit Root-Zugriff beliebigen Code auf der Ziel-VM ausführen. Die Ausnutzung wird als schwierig angesehen. Kunden können beispielsweise nicht auf die VMs zugreifen und die VMs haben keine öffentlichen IP-Adressen. Wir kennen keine Ausnutzungsversuche.

Was soll ich tun?

Bereitstellungen des Serverloser VPC-Zugriff wurden nach Möglichkeit automatisch von Google aktualisiert. Sie sollten jedoch prüfen, ob der von Google verwaltete Dienst-Agent die erforderliche Rolle hat. Andernfalls ist Ihr Connector für Serverloser VPC-Zugriff möglicherweise weiterhin anfällig. Wir empfehlen, dass Sie zu ausgehendem Direct VPC-Traffic migrieren oder einen neuen Connector bereitstellen und den alten Connector löschen. So erhalten Sie das erforderliche Update mit der Fehlerbehebung.

Aktualisierung vom 11.07.2024: Patchversionen für GDC-Software für VMware, GKE on AWS und GKE on Azure hinzugefügt. Weitere Informationen finden Sie in den folgenden Bulletins in der GKE-Dokumentation:

• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin

Aktualisierung vom 10.07.2024:

• Sicherheitsbulletin für Migrate to Virtual Machines hinzugefügt.

Aktualisierungen vom 09.07.2024:

Einige Kunden der flexiblen App Engine-Umgebung sind möglicherweise von einer Sicherheitslücke in OpenSSH (CVE-2024-6387) betroffen. Bei erfolgreichem Exploit könnte ein nicht authentifizierter Remote-Angreifer mit Root-Zugriff beliebigen Code auf der Ziel-VM ausführen.

Was soll ich tun?

Google hat flexible Umgebungsbereitstellungen bereits automatisch aktualisiert, sofern dies möglich war. Einige Kunden, die den von Google verwalteten Dienst-Agent deaktiviert oder Änderungen an den Google Cloud APIs oder anderen Standardkonfigurationen vorgenommen haben, konnten ihre Systeme jedoch nicht aktualisieren und sind möglicherweise weiterhin anfällig. Sie sollten eine neue Version Ihrer Anwendung bereitstellen, damit das Update mit der Fehlerbehebung übernommen wird.

Bei aktualisierten Bereitstellungen wird die SSH-Version OpenSSH_9.6p1 gemeldet. Diese Version wurde mit einer Fehlerbehebung für CVE-2024-6387 gepatcht.

Welche Sicherheitslücken werden behoben?

Die Sicherheitslücke CVE-2024-6387 ermöglicht es einem nicht authentifizierten Remote-Angreifer mit Root-Zugriff beliebigen Code auf dem Zielcomputer auszuführen.

Aktualisierungen vom 08.07.2024:

Dataproc-Cluster in Google Compute Engine, die mit der Image-Version 2.2 (alle Betriebssysteme) und 2.1 (nur Debian) ausgeführt werden, sind von einer Sicherheitslücke in OpenSSH (CVE-2024-6387) betroffen. Bei erfolgreichem Exploit könnte ein nicht authentifizierter Remote-Angreifer mit Root-Zugriff beliebigen Code auf dem Zielcomputer ausführen.

Dataproc-Image-Versionen 2.0 und 1.5 in Google Compute Engine sowie Dataproc-Images der Version 2.1, die nicht unter Debian ausgeführt werden, sind nicht betroffen. Dataproc-Cluster mit aktivierter persönlicher Authentifizierung sind nicht betroffen. Dataproc Serverless ist ebenfalls nicht betroffen.

Was soll ich tun?

Aktualisieren Sie Ihre Dataproc-Cluster in Google Compute Engine auf eine der folgenden Versionen:

• 2.2.24 oder höher
• 2.1.58 oder höher

Wenn Sie Ihre Dataproc-Cluster nicht auf eine der oben genannten Versionen aktualisieren können, empfehlen wir eine Initialisierungsaktion vorzunehmen, die unter folgendem Pfad verfügbar ist: gs://dataproc-initialization-actions/hotfixes/openssh-CVE-2024-6387-mitigation.sh

Folgen Sie dieser Anleitung zum Festlegen von Initialisierungsaktionen für Dataproc. Beachten Sie, dass die Initialisierungsaktion für bereits vorhandene Cluster auf jedem Knoten (Master und Worker) ausgeführt werden muss.

Aktualisierungen vom 03.07.2024:

• Patchversionen für GKE hinzugefügt.
• Sicherheitsbulletin für GDC-Verbindungen hinzugefügt.

Aktualisierungen vom 02.07.2024:

• Es wurde klargestellt, dass Autopilot-Cluster betroffen und Nutzeraktionen erforderlich sind.
• Es wurden Folgenabschätzungen und Maßnahmen zur Risikominimierung für GDC-Software für VMware, GKE on AWS und GKE on Azure hinzugefügt.
• Das Sicherheitsbulletin zur GDC-Software für Bare Metal wurde korrigiert, um klarzustellen, dass die GDC-Software für Bare Metal nicht direkt betroffen ist und dass Kunden sich wegen Patches an Betriebssystemanbieter wenden sollten.

Bei OpenSSH wurde vor Kurzem eine Sicherheitslücke in der Remote-Codeausführung, CVE-2024-6387, entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, mit der Zugriff auf eine Remote-Shell ermöglicht wird. Dadurch erhalten Angreifer Root-Zugriff. Zum Zeitpunkt der Veröffentlichung wurde die Ausnutzung als schwierig angesehen und dauert mehrere Stunden pro angegriffener Maschine. Wir kennen keine Ausnutzungsversuche.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• Compute Engine-Sicherheitsbulletin
• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin
• Google Cloud VMware Engine-Sicherheitsbulletin
• Apigee-Sicherheitsbulletin
• Dataflow-Sicherheitsbulletin
• GDC-Verbindungen-Sicherheitsbulletin
• Migrate to Virtual Machines-Sicherheitsbulletin

Aktualisierung vom 25.09.2024: Patchversionen für die GDC-Software für VMware hinzugefügt.

Aktualisierung vom 20.08.2024: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26923

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

Aktualisierung vom 17.09.2024: Patchversionen für die GDC-Software für VMware hinzugefügt.

Aktualisierung vom 06.08.2024: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26924

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare Metal-Sicherheitsbulletin

VMware hat mehrere Sicherheitslücken in VMSA-2024-0012 offengelegt, die sich auf vCenter-Komponenten auswirken, die in Kundenumgebungen bereitgestellt werden.

Auswirkungen auf Google Cloud VMware Engine

• Die Sicherheitslücke kann ausgenutzt werden, indem auf bestimmte Ports in vCenter-Server zugegriffen wird. Google hat die anfälligen Ports auf dem vCenter-Server bereits blockiert, um potenzielle Exploits dieser Sicherheitslücke zu verhindern.
• Außerdem sorgt Google dafür, dass alle zukünftigen Bereitstellungen von vCenter nicht von dieser Sicherheitslücke betroffen sind.

Was soll ich tun?

Sie müssen vorerst nichts unternehmen.

• CVE-2024-37079
• CVE-2024-37080
• CVE-2024-37081

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26584

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Aktualisierung vom 18.07.2024: Patchversionen für Ubuntu-Knotenpools in GKE und eine Patchversion für Version 1.27 in Container-Optimized OS-Knotenpools hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26584

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Aktualisierung vom 10.7.2024: Patchversionen für Container-Optimized OS-Knoten mit den Nebenversionen 1.26 und 1.27 sowie Patchversionen für Ubuntu-Knoten hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26583

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Aktualisierung vom 26.09.2024: Patchversionen für die GDC-Software für VMware hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2022-23222

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Die folgenden CVEs betreffen Cloud Service Mesh und machen es anfällig für ausnutzbare Sicherheitslücken:

• CVE-2024-23326: Envoy akzeptiert fälschlicherweise die HTTP-200-Antwort für den Wechsel in den Upgrademodus.
• CVE-2024-32974: Absturz in EnvoyQuicServerStream::OnInitialHeadersComplete().
• CVE-2024-32975: Absturz in QuicheDataReader::PeekVarInt62Length().
• CVE-2024-32976: Endlosschleife beim Dekomprimieren von Brotli-Daten mit zusätzlicher Eingabe.
• CVE-2024-34362: Absturz (Use-after-Free) in EnvoyQuicServerStream.
• CVE-2024-34363: Absturz aufgrund einer nicht abgefangenen nlohmann-JSON-Ausnahme.
• CVE-2024-34364: Envoy-OOM-Vektor vom asynchronen HTTP-Client mit unbegrenztem Antwort-Zwischenspeicher für die Spiegelungsantwort.

Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

• CVE-2024-23326
  
• CVE-2024-32974
  
• CVE-2024-32975
  
• CVE-2024-32976
  
• CVE-2024-34362
  
• CVE-2024-34363
  
• CVE-2024-34364
  

In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Codeausführung führen kann. Betroffen sind Fluent Bit-Versionen 2.0.7 bis 3.0.3.

GKE, GKE on VMware, GKE on AWS, GKE on Azure und GKE on Bare Metal verwenden keine anfällige Version von Fluent Bit und sind nicht betroffen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Aktualisierung vom 18.07.2024: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-52620

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Aktualisierung vom 19.08.2024: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26642

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Aktualisierung vom 22.05.2024: Patchversionen für Ubuntu hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26581

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Aktualisierung vom 25.09.2024: Patchversionen für die GDC-Software für VMware hinzugefügt.

Aktualisierung vom 15.05.2024: Patchversionen für GKE-Ubuntu-Knotenpools hinzugefügt.

Aktualisierung vom 09.05.2024: Schweregrad von „Mittel“ zu „Hoch“ korrigiert; klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26808

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Aktualisierung vom 06.08.2024: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Aktualisierung vom 09.05.2024: Schweregrad von „Mittel“ auf „Hoch“ korrigiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26643

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Looker hat Sicherheitslücken behoben, die von einem externen Forscher über das Google- und Alphabet-VRP-Programm (Prämienprogramm für die Meldung von Sicherheitslücken) gemeldet wurden. Es wurden jedoch keine Anzeichen für eine Ausnutzung gefunden. Diese Probleme wurden inzwischen behoben. Nutzer von Looker (Google Cloud Core) und Looker (Original), die von Looker gehostet werden, müssen nichts unternehmen. Für selbst gehostete Looker-Instanzen wird empfohlen, auf die neueste unterstützte Version zu aktualisieren.

Was soll ich tun?

Von Looker gehostete Instanzen: Looker (Google Cloud Core)- und Looker-Instanzen (Original)

Auf Kundenseite sind keine Maßnahmen erforderlich.

Nur selbst gehostete Looker-Instanzen

Wenn Ihre Looker-Instanz selbst gehostet wird, empfehlen wir, ein Upgrade Ihrer Looker-Instanzen auf eine der folgenden Versionen durchzuführen:

• 24.6.12+
• 24.4.27+
• 24.2.58+
• 24.0.65+
• 23.18.100+
• 23.12.105+
• 23.6.163+

Wie wurde das Problem behoben?

Google hat den direkten Administratorzugriff auf die interne Datenbank über die Looker-Anwendung deaktiviert, erhöhte Berechtigungen entfernt, die den mandantenübergreifenden Zugriff ermöglichten, und die verfügbar gemachten Secrets rotiert. Außerdem haben wir Sicherheitslücken im Zusammenhang mit Path Traversals behoben, durch die möglicherweise Anmeldedaten für Dienstkonten zugänglich wurden. Wir führen außerdem eine gründliche Überprüfung unseres Codes und unserer Systeme durch, um ähnliche potenzielle Sicherheitslücken zu identifizieren und zu beheben.

Aktualisierung vom 18.07.2024: Patchversionen für Ubuntu-Knotenpools in GKE hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26585

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Die folgenden CVEs betreffen Cloud Service Mesh und machen es anfällig für ausnutzbare Sicherheitslücken:

• CVE-2024-27919: HTTP/2: Erschöpfter Arbeitsspeicher aufgrund einer CONTINUATION-Frame-Überflutung.
• CVE-2024-30255: HTTP/2: CPU-Auslastung durch CONTINUATION-Frame-Überflutung
• CVE-2024-32475: Abnormaler Programmabbruch bei Verwendung von „auto_sni“ mit einem „:authority“-Header von mehr als 255 Zeichen.
• CVE-2023-45288: HTTP/2-CONTINUATION-Frames können für DoS-Angriffe verwendet werden.

Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

• CVE-2024-27919
  
• CVE-2024-30255
  
• CVE-2024-32475
  
• CVE-2023-45288
  

Aktualisierung vom 17.07.2024: Patchversionen für GKE on VMware hinzugefügt

Aktualisierung vom 09.07.2024: Patchversionen für GKE on Bare Metal hinzugefügt

Aktualisierung vom 24.04.2024: Patchversionen für GKE hinzugefügt.

In mehreren Implementierungen des HTTP/2-Protokolls wurde vor Kurzem eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) festgestellt, darunter auch auf dem von Kubernetes verwendeten Golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS der Google Kubernetes Engine-Steuerungsebene (GKE) führen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Compute Engine ist nicht von CVE-2024-3094 betroffen. Diese Sicherheitslücke betrifft die Versionen 5.6.0 und 5.6.1 des xz-utils-Pakets in der liblzma-Bibliothek und könnte zu einer Kompromittierung des OpenSSH-Dienstprogramms führen.

Weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.

Forscher haben eine Sicherheitslücke (CVE-2023-48022) in Ray entdeckt. Ray ist ein Open-Source-Tool von Drittanbietern für KI-Arbeitslasten. Da für Ray keine Authentifizierung erforderlich ist, können Bedrohungsakteure durch das Senden von Jobs an öffentlich zugängliche Instanzen die Ausführung von Remote-Code erreichen. Die Sicherheitslücke wurde von Anyscale, dem Entwickler von Ray, bestritten. Ray betont, dass seine Funktionen ein beabsichtigtes Kernproduktmerkmal seien und dass die Sicherheit außerhalb eines Ray-Clusters implementiert werden müsse, da jede unbeabsichtigte Netzwerkfreigabe des Ray-Clusters zu einer Gefährdung führen könne.

Basierend auf der Antwort wird diese CVE bestritten und deshalb möglicherweise nicht in Scannern auf Sicherheitslücken angezeigt. Unabhängig davon wird sie aktiv ausgenutzt und Nutzer sollten ihre Nutzung wie unten beschrieben konfigurieren.

Was soll ich tun?

Befolgen Sie die Best Practices und Richtlinien von Ray, einschließlich der Ausführung von vertrauenswürdigem Code in vertrauenswürdigen Netzwerken, um Ihre Ray-Arbeitslasten zu schützen. Die Bereitstellung von ray.io in Cloud-Instanzen von Kunden fällt unter das Modell der geteilten Verantwortung.

Das Sicherheitsteam von Google Kubernetes Engine (GKE) hat einen Blogbeitrag zur Härtung von Ray in GKE veröffentlicht.

Weitere Informationen zum Hinzufügen von Authentifizierung und Autorisierung zu Ray-Diensten finden Sie in der Dokumentation zum Identity-Aware Proxy (IAP). GKE-Nutzer können IAP gemäß dieser Anleitung implementieren oder Terraform-Module, die im Blog verlinkt sind, wiederverwenden.

Aktualisierung vom 06.05.2024: Patchversionen für GKE-Ubuntu-Knotenpools hinzugefügt.

Aktualisierung vom 04.04.2024: Mindestversionen für GKE Container-Optimized OS-Knotenpools korrigiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-1085

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3611

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

VMware hat in VMSA-2024-0006 mehrere Sicherheitslücken offengelegt, die sich auf ESXi-Komponenten auswirken, die in Kundenumgebungen bereitgestellt werden.

Auswirkungen auf Google Cloud VMware Engine

Ihre privaten Clouds wurden aktualisiert, um die Sicherheitslücke zu schließen.

Was soll ich tun?

Sie selbst brauchen nichts zu unternehmen.

• VMSA-2024-0006
• CVE-2024-22252
• CVE-2024-22253
• CVE-2024-22254
• CVE-2024-22255

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3776

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3610

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-0193

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-6932

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Aktualisierung vom 17.04.2024: Patchversionen für GKE on VMware hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-6931

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Am 13. Februar 2024 legte AMD zwei Sicherheitslücken offen, die SEV-SNP auf EPYC-CPUs betreffen, die auf Zen-Kernen der dritten Generation („Milan“) und der vierten Generation („Genoa“) basieren. Die Sicherheitslücken ermöglichen es Angreifern mit privilegierten Rechten, auf alte Daten von Gästen zuzugreifen oder die Integrität von Gästen zu beeinträchtigen.

Google hat Korrekturen für betroffene Assets, einschließlich Google Cloud, vorgenommen, um Kunden zu schützen. Derzeit gibt es keine Hinweise auf eine Ausnutzung oder entsprechende Meldungen an Google.

Was soll ich tun?

Auf Kundenseite sind keine Maßnahmen erforderlich. Die Korrekturen wurden bereits auf die Google-Serverflotte für Google Cloudangewendet, einschließlich Compute Engine.

Weitere Informationen finden Sie im AMD-Sicherheitsbulletin AMD-SN-3007.

• CVE-2023-31346
• CVE-2023-31347

CVE-2023-5528 ermöglicht es einem Angreifer, Pods und nichtflüchtige Volumes auf Windows-Knoten so zu erstellen, dass eine Rechteausweitung zu Administratorberechtigungen auf diesen Knoten möglich ist.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Die folgenden CVEs betreffen Cloud Service Mesh und machen es anfällig für ausnutzbare Sicherheitslücken:

• CVE-2024-23322: Envoy stürzt ab, wenn es inaktiv ist, und innerhalb des Backoff-Intervalls kommt es zu einer Zeitüberschreitung der Anfragen pro Versuch.
• CVE-2024-23323: Übermäßige CPU-Auslastung, wenn der URI-Vorlagenabgleich mit einem regulären Ausdruck konfiguriert wird.
• CVE-2024-23324: Externe Autorisierung kann umgangen werden, wenn der Proxy-Protokollfilter ungültige UTF‑8-Metadaten festlegt.
• Envoy stürzt ab, wenn ein Adresstyp verwendet wird, der vom Betriebssystem nicht unterstützt wird.
• CVE-2024-23327: Absturz im Proxy-Protokoll, wenn der Befehlstyp LOCAL ist.

Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

• CVE-2024-23322
  
• CVE-2024-23323
  
• CVE-2024-23324
  
• CVE-2024-23325
  
• CVE-2024-23327
  

Wenn ein Apigee API Management-Proxy eine Verbindung zu einem Zielendpunkt oder Zielserver herstellt, führt der Proxy standardmäßig keine Hostnamenvalidierung für das vom Zielendpunkt oder Zielserver bereitgestellte Zertifikat durch. Wenn die Hostnamenvalidierung nicht mit einer der folgenden Optionen aktiviert ist, besteht für Apigee-Proxys, die eine Verbindung zu einem Zielendpunkt oder Zielserver herstellen, das Risiko eines Man-in-the-Middle-Angriffs durch einen autorisierten Nutzer. Weitere Informationen finden Sie unter TLS von Edge mit dem Backend konfigurieren (Cloud und Private Cloud).

Apigee-Proxy-Bereitstellungen auf den folgenden Apigee-Plattformen sind betroffen:

• Apigee Edge for Public Cloud
• Apigee Edge for Private Cloud

Anleitungen und weitere Informationen finden Sie im Apigee-Sicherheitsbulletin.

Aktualisierung vom 06.05.2024: Patchversionen für GKE on AWS und GKE on Azure hinzugefügt.

Aktualisierung vom 02.04.2024: Patchversionen für GKE on Bare Metal hinzugefügt

Aktualisierung vom 06.03.2024: Patchversionen für GKE on VMware hinzugefügt

Aktualisierung vom 28.02.2024: Patchversionen für Ubuntu hinzugefügt

Aktualisierung vom 15.02.2024: Es wurde klargestellt, dass die Ubuntu-Patchversionen 1.25 und 1.26 in der Aktualisierung vom 14.02.2024 möglicherweise fehlerhafte Knoten verursachen.

Aktualisierung vom 14.02.2024: Patchversionen für Ubuntu hinzugefügt.

Aktualisierung vom 06.02.2024: Patchversionen für Container-Optimized OS hinzugefügt.

In runc wurde die Sicherheitslücke CVE-2024-21626 entdeckt, durch die ein Nutzer mit der Berechtigung zum Erstellen von Pods auf Container-Optimized OS- und Ubuntu-Knoten möglicherweise vollständigen Zugriff auf das Knotendateisystem erhalten kann.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Aktualisierung vom 07.02.2024: Patchversionen für Ubuntu hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-6817

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Aktualisierung vom 26.01.2024: Die Anzahl der betroffenen Cluster und ergriffene Maßnahmen zur Minimierung der Auswirkungen wurden präzisiert. Weitere Informationen finden Sie im Sicherheitsbulletin GCP-2024-003.

Wir haben mehrere Cluster identifiziert, in denen Nutzer der Gruppe system:authenticated Kubernetes-Berechtigungen gewährt haben. Diese Gruppe umfasst alle Nutzer mit einem Google-Konto. Diese Arten von Bindungen werden nicht empfohlen, da sie gegen das Prinzip der geringsten Berechtigung verstoßen und sehr großen Nutzergruppen Zugriff gewähren. Eine Anleitung zum Suchen nach diesen Bindungen finden Sie im Abschnitt Was kann ich tun?.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin

Aktualisierung vom 20.02.2024: Patchversionen für GKE on VMware hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können.

• CVE-2023-6111

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

In der TianoCore EDK II UEFI-Firmware wurden mehrere Sicherheitslücken entdeckt. Diese Firmware wird in Google Compute Engine-VMs verwendet. Wenn die Sicherheitslücken ausgenutzt werden, könnte Secure Boot umgangen werden, was zu falschen Bewertungen im Secure Boot-Prozess führen würde, auch bei der Verwendung von Shielded VMs.

Was soll ich tun?

Sie müssen nichts weiter tun. Google hat diese Sicherheitslücke in Compute Engine behoben und alle VMs sind vor dieser Sicherheitslücke geschützt.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Dieser Patch dient zur Minimierung der Auswirkungen folgender Sicherheitslücken:

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3609

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3389

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3090

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Aktualisierung vom 21.12.2023: Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3390

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Ein Angreifer, der den Fluent Bit-Logging-Container kompromittiert hat, könnte diesen Zugriff mit den hohen Berechtigungen kombinieren, die für Cloud Service Mesh (in Clustern, in denen es aktiviert ist) erforderlich sind, um die Berechtigungen im Cluster zu eskalieren.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Aktualisierung vom 04.03.2024: GKE-Versionen für GKE on VMware hinzugefügt.

Aktualisierung vom 22.01.2024: Ubuntu-Patchversionen hinzugefügt

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-5717

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Aktualisierung vom 21.12.2023: Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-5197

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

Am 14. November hat AMD mehrere Sicherheitslücken offengelegt, die sich auf verschiedene AMD-Server-CPUs auswirken. Die Sicherheitslücken betreffen insbesondere EPYC-Server-CPUs mit Zen-Core der 2. Generation („Rome“), der 3. Generation („Milan“) und der 4. Generation („Genoa“).

Google hat Fehlerbehebungen für betroffene Assets, einschließlich Google Cloud, vorgenommen, um Kunden zu schützen. Derzeit gibt es keine Hinweise auf eine Ausnutzung oder entsprechende Meldungen an Google.

Was soll ich tun?

Auf Kundenseite sind keine Maßnahmen erforderlich.

Die Fehlerbehebungen wurden bereits auf die Google-Serverflotte für Google Cloud, einschließlich Google Compute Engine, angewendet.

Welche Sicherheitslücken werden behoben?

Dieser Patch dient zur Minimierung der Auswirkungen folgender Sicherheitslücken:

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2023-20521
• CVE-2021-46766
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

Weitere Informationen finden Sie in der Sicherheitsempfehlung von AMD AMD-SN-3005: „AMD INVD Instruction Security Notice“, auch unter dem Namen „CacheWarp“ veröffentlicht, und AMD-SN-3002: „AMD Server Vulnerabilities – November 2023“.

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

Intel hat eine CPU-Sicherheitslücke in ausgewählten Prozessoren offengelegt. Google hat Maßnahmen ergriffen, um seine Serverflotte, einschließlich Google Compute Engine für Google Cloud, und ChromeOS-Geräte zu schützen und so für die Sicherheit der Kunden zu sorgen.

Details zur Sicherheitslücke:

• CVE-2023-23583

Was soll ich tun?

Auf Kundenseite sind keine Maßnahmen erforderlich.

Die von Intel für die betroffenen Prozessoren bereitgestellte Risikominimierung wurde auf die Google-Serverflotte angewendet, einschließlich Google Compute Engine für Google Cloud.

Derzeit ist für Google Distributed Cloud Edge eine Update vom OEM erforderlich. Google wird dieses Produkt korrigieren, sobald das Update verfügbar ist. Dieses Bulletin wird dann entsprechend aktualisiert.

ChromeOS-Geräte mit den betroffenen Prozessoren haben die Aktualisierung automatisch im Rahmen der Versionen 119, 118 und 114 (LTS) erhalten.

Welche Sicherheitslücken werden behoben?

CVE-2023-23583. Weitere Informationen finden Sie in der Intel-Sicherheitsempfehlung INTEL-SA-00950.

Aktualisierung vom 15.11.2023: Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende gepatchte Version für GKE aktualisiert werden müssen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4147

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

Aktualisierung vom 21.12.2023: Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Aktualisierung vom 05.12.2023: Zusätzliche GKE-Versionen für Container-Optimized OS-Knotenpools wurden hinzugefügt.

Aktualisierung vom 21.11.2023: Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende gepatchte Version für GKE aktualisiert werden müssen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4004

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

Aktualisierung vom 21.12.2023: Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Aktualisierung vom 21.11.2023: Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende gepatchte Version für GKE aktualisiert werden müssen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4921

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

Aktualisierung vom 21.11.2023: Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende gepatchte Version für GKE aktualisiert werden müssen.

Aktualisierung vom 16.11.2023: Die mit diesem Sicherheitsbulletin verknüpfte Sicherheitslücke ist CVE-2023-4622. CVE-2023-4623 wurde in einer früheren Version des Sicherheitsbulletins fälschlicherweise als Sicherheitslücke aufgeführt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4623

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

Aktualisierung vom 21.12.2023: Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Aktualisierung vom 21.11.2023: Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende gepatchte Version für GKE aktualisiert werden müssen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4623

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

Aktualisierung vom 21.12.2023: Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Aktualisierung vom 21.11.2023: Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende gepatchte Version für GKE aktualisiert werden müssen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4015

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

Deep Learning VM Images ist ein Satz vorgefertigter und sofort einsatzbereiter VM-Images mit einem Deep Learning Framework. Vor Kurzem wurde in der Funktion „ReadHuffmanCodes()“ der Bibliothek „libwebp“ eine Sicherheitslücke beim Schreiben außerhalb des zulässigen Bereichs entdeckt. Dies kann sich auf Images auswirken, die diese Bibliothek verwenden.

Google Cloud überprüft fortlaufend seine veröffentlichten Images und aktualisiert die Pakete, damit die neuesten Releases mit allen gepatchten Distributionen für die Kunden verfügbar sind. Deep Learning VM Images wurden aktualisiert, damit die neuesten VM-Images die gepatchten Distributionen enthalten. Kunden, die die neuesten VM-Images verwenden, sind von dieser Sicherheitslücke nicht betroffen.

Was soll ich tun?

Google Cloud Kunden, die veröffentlichte VM-Images nutzen, sollten darauf achten, immer die neuesten Images einzusetzen und ihre Umgebungen im Einklang mit dem Modell der geteilten Verantwortung aktuell zu halten.

CVE-2023-4863 könnte von einem Angreifer ausgenutzt werden, um beliebigen Code auszuführen. Diese Sicherheitslücke wurde in Google Chrome vor 116.0.5845.187 und in „libwebp“ vor 1.3.2 gefunden und ist unter CVE-2023-4863 aufgeführt.

Aktualisierung vom 21.12.2023: Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Aktualisierung vom 21.11.2023: Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende gepatchte Version für GKE aktualisiert werden müssen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

VMware hat mehrere Sicherheitslücken in VMSA-2023-0023 offengelegt, die sich auf vCenter-Komponenten auswirken, die in Kundenumgebungen bereitgestellt werden.

Auswirkungen auf Cloud Customer Care

• Die Sicherheitslücke kann ausgenutzt werden, indem auf bestimmte Ports in vCenter Server zugegriffen wird. Diese Ports sind nicht im öffentlichen Internet zugänglich.
• Wenn Ihre vCenter-Ports 2012/tcp, 2014/tcp und 2020/tcp nicht von nicht vertrauenswürdigen Systemen erreichbar sind, sind Sie von dieser Sicherheitslücke nicht betroffen.
• Google hat die anfälligen Ports auf dem vCenter-Server bereits blockiert, um eine potenzielle Ausnutzung dieser Sicherheitslücke zu verhindern.
• Außerdem wird Google dafür sorgen, dass alle zukünftigen Bereitstellungen von vCenter-Server nicht von dieser Sicherheitslücke betroffen sind.
• Zum Zeitpunkt der Veröffentlichung des Bulletins ist VMware keine Ausnutzung dieser Sicherheitslücke bekannt. Weitere Informationen finden Sie in der VMware-Dokumentation.

Was soll ich tun?

Sie müssen derzeit nichts weiter unternehmen.

Aktualisierung vom 21.12.2023: Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind und GKE Sandbox-Arbeitslasten nicht betroffen sind.

Aktualisierung vom 21.11.2023: Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende gepatchte Version für GKE aktualisiert werden müssen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3777

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

Aktualisierung vom 03.11.2023: Bekanntes Problem für Apigee Edge for Private Cloud hinzugefügt.

In mehreren Implementierungen des HTTP/2-Protokolls wurde vor Kurzem eine DoS-Sicherheitslücke (Denial of Service) festgestellt (CVE-2023-44487), darunter auch auf dem von Apigee X und Apigee Hybrid verwendeten Apigee Ingress-Dienst (Cloud Service Mesh). Die Sicherheitslücke könnte zu einem DoS der Apigee API-Verwaltungsfunktionen führen.

Anleitungen und weitere Informationen finden Sie im Apigee-Sicherheitsbulletin.

Ein DoS-Angriff (Denial-of-Service) kann sich auf die Datenebene auswirken, wenn das HTTP/2-Protokoll verwendet wird. Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

Aktualisierung vom 20.03.2024: Patchversionen für GKE on AWS und GKE on Azure mit den neuesten Patches für CVE-2023-44487 hinzugefügt.

Aktualisierung vom 14.02.2024: Patchversionen für GKE on VMware hinzugefügt.

Aktualisierung vom 09.11.2023: CVE-2023-39325 hinzugefügt. GKE-Versionen mit den neuesten Patches für CVE-2023-44487 und CVE-2023-39325 aktualisiert.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) festgestellt, darunter auch der von Kubernetes verwendete Golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS der Google Kubernetes Engine-Steuerungsebene (GKE) führen. GKE-Cluster mit konfigurierten autorisierten Netzwerken sind durch die Einschränkung des Netzwerkzugriffs geschützt. Alle anderen Cluster sind jedoch betroffen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

TorchServe wird verwendet, um PyTorch-Machine-Learning-Modelle für Onlinevorhersagen zu hosten. Vertex AI bietet vorkonfigurierte PyTorch-Modellbereitstellungs-Container, die auf TorchServe basieren. In TorchServe wurden kürzlich Sicherheitslücken erkannt, die es einem Angreifer ermöglichen würden, die Kontrolle über eine Bereitstellung von TorchServe zu übernehmen, wenn seine Modellverwaltungs-API offengelegt wird. Kunden mit PyTorch-Modellen, die für die Vertex AI-Onlinevorhersage bereitgestellt werden, sind von diesen Sicherheitslücken nicht betroffen, da Vertex AI die Modellverwaltungs-API von TorchServe nicht freigibt. Kunden, die TorchServe außerhalb von Vertex AI verwenden, sollten Vorkehrungen treffen, um ihre Bereitstellungen sicher einzurichten.

Was soll ich tun?

Vertex AI-Kunden mit bereitgestellten Modellen, die die vorkonfigurierten PyTorch-Modell-Serving-Container von Vertex AI verwenden, müssen keine Maßnahmen ergreifen, um die Sicherheitslücken zu schließen, da der Verwaltungsserver von TorchServe bei Vertex AI-Bereitstellungen nicht dem Internet ausgesetzt ist.

Kunden, die die vorkonfigurierten PyTorch-Container in anderen Kontexten verwenden oder eine benutzerdefinierte oder Drittanbieter-Distribution von TorchServe verwenden, sollten Folgendes tun:

• Achten Sie darauf, dass die Modellverwaltungs-API von TorchServe nicht dem Internet zugänglich ist. Die Modellverwaltungs-API kann auf den lokalen Zugriff beschränkt werden, indem management_address an 127.0.0.1 gebunden wird.
• Verwenden Sie die Einstellung allowed_urls, damit Modelle nur aus vorgesehenen Quellen geladen werden können.
• Führen Sie so bald wie möglich ein Upgrade von TorchServe auf Version 0.8.2 durch. Darin wird dieses Problem behoben. Als Vorsichtsmaßnahme wird Vertex AI bis zum 13.10.2023 feste vordefinierte Container veröffentlichen.

Welche Sicherheitslücken werden behoben?

Die Verwaltungs-API von TorchServe ist in den meisten TorchServe-Docker-Images standardmäßig an 0.0.0.0 gebunden, einschließlich der von Vertex AI veröffentlichten. Dadurch ist sie für externe Anfragen zugänglich. Die Standard-IP-Adresse für die Verwaltungs-API wird in TorchServe 0.8.2 in 127.0.0.1 geändert, um dieses Problem zu beheben.

Durch CVE-2023-43654 und CVE-2022-1471 können Nutzer mit Zugriff auf die Verwaltungs-API Modelle aus beliebigen Quellen laden und Code aus der Ferne ausführen. In TorchServe 0.8.2 sind Abhilfemaßnahmen für diese beiden Probleme enthalten: Der Remote-Codeausführungspfad wird entfernt und eine Warnung wird ausgegeben, wenn der Standardwert für allowed_urls verwendet wird.

Kunden können Google Security Operations so konfigurieren, dass Daten aus kundeneigenen Cloud Storage-Buckets über einen Datenaufnahme-Feed aufgenommen werden. Bis vor Kurzem wurde in Google Security Operations ein gemeinsames Dienstkonto bereitgestellt, mit dem Kunden dem Bucket Berechtigungen erteilen konnten. Es bestand die Möglichkeit, dass die Google Security Operations-Instanz eines Kunden so konfiguriert werden konnte, dass Daten aus dem Cloud Storage-Bucket eines anderen Kunden aufgenommen wurden. Nach einer Folgenabschätzung haben wir festgestellt, dass diese Sicherheitslücke derzeit oder in der Vergangenheit nicht ausgenutzt wurde. Die Sicherheitslücke war in allen Versionen von Google Security Operations vor dem 19. September 2023 vorhanden.

Was soll ich tun?

Am 19. September 2023 wurde Google Security Operations aktualisiert, um diese Sicherheitslücke zu schließen. Auf Kundenseite sind keine Maßnahmen erforderlich.

Welche Sicherheitslücken werden behoben?

Bisher stellte Google Security Operations ein gemeinsames Dienstkonto zur Verfügung, mit dem Kunden einem Bucket Berechtigungen erteilen konnten. Da verschiedene Kunden demselben Google Security Operations-Dienstkonto die Berechtigung für ihren Bucket erteilt haben, gab es einen Exploitation-Vektor, der es dem Feed eines Kunden ermöglichte, auf den Bucket eines anderen Kunden zuzugreifen, wenn ein Feed erstellt oder geändert wurde. Für diesen Exploitation-Vektor war die Kenntnis des Bucket-URI erforderlich. Bei der Erstellung oder Änderung von Feeds verwendet Google Security Operations jetzt eindeutige Dienstkonten für jeden Kunden.

VMware vCenter Server-Updates schließen mehrere Sicherheitslücken in Bezug auf Speicherbeschädigung (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896)

Auswirkungen auf Customer Care

VMware vCenter Server (vCenter Server) und VMware Cloud Foundation (Cloud Foundation).

Was soll ich tun?

Kunden sind nicht betroffen und müssen nichts weiter unternehmen.

• CVE-2023-20893

In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) entdeckt, bei denen ein Nutzer, der Pods auf Windows-Knoten erstellen kann, möglicherweise Administratorberechtigungen auf diesen Knoten erlangen kann. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und des Kubernetes-CSI-Proxys.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

Intel hat vor Kurzem die Intel-Sicherheitsempfehlung INTEL-SA-00828 veröffentlicht, die einige seiner Prozessorfamilien betrifft. Wir empfehlen Ihnen, Ihre Risiken auf Grundlage der Empfehlung zu bewerten.

Auswirkungen auf Google Cloud VMware Engine

In unserer Flotte werden die betroffenen Prozessorfamilien verwendet. Bei unserer Bereitstellung ist der gesamte Server einem Kunden zugeordnet. Unser Bereitstellungsmodell birgt daher kein zusätzliches Risiko für Ihre Bewertung dieser Sicherheitslücke.

Wir arbeiten mit unseren Partnern zusammen, um die erforderlichen Patches zu erhalten, und werden diese Patches in den nächsten Wochen vorrangig auf allen Geräten über den Standard-Upgrade-Prozess bereitstellen.

Was soll ich tun?

Sie müssen nichts weiter tun. Wir arbeiten daran, alle betroffenen Systeme zu aktualisieren.

• CVE-2022-40982

Aktualisierung vom 04.06.2024: Die folgenden fehlenden Produkte wurden jetzt aktualisiert, um diese Sicherheitslücke zu beheben:

• Google Distributed Cloud Hosted
• Google Distributed Cloud Edge

Aktualisierung vom 10.08.2023: ChromeOS-LTS-Versionsnummer hinzugefügt.

Intel hat eine Sicherheitslücke in ausgewählten Prozessoren offengelegt (CVE-2022-40982). Google hat Maßnahmen ergriffen, um die Auswirkungen auf seine Serverflotte, einschließlich Google Cloud, zu minimieren und so die Sicherheit der Kunden zu schützen.

Details zur Sicherheitslücke:

• CVE-2022-40982 (Intel IPU 2023.3, „GDS“, auch „Downfall“)

Was soll ich tun?

Auf Kundenseite sind keine Maßnahmen erforderlich.

Alle verfügbaren Patches wurden bereits auf die Google-Serverflotte für Google Cloud, einschließlich Google Compute Engine, angewendet.

Für die folgenden Produkte sind derzeit zusätzliche Aktualisierungen von Partnern und Anbietern erforderlich.

• Google Cloud VMware Engine
• Google Distributed Cloud Hosted
• Google Distributed Cloud Edge
• Bare-Metal-Lösung von Google Cloud
• Evolved Packet Core

Google wird diese Produkte korrigieren, sobald diese Patches verfügbar sind. Dieses Bulletin wird dann entsprechend aktualisiert.

Google Chromebook- und ChromeOS Flex-Kunden haben die von Intel bereitgestellten Maßnahmen automatisch in den Versionen „Stabil“ (115), „LTS“ (108), „Beta“ (116) und „LTC“ (114) erhalten. Chromebook- und ChromeOS Flex-Kunden, die eine ältere Version verwenden, sollten die Version nicht mehr verwenden und zur stabilen Version oder zur Version mit Langzeitsupport wechseln, um diese und andere Sicherheitslücken zu schließen.

Welche Sicherheitslücken werden behoben?

CVE-2022-40982: Weitere Informationen finden Sie in der Intel-Sicherheitsempfehlung INTEL-SA-00828.

AMD hat eine Sicherheitslücke in ausgewählten Prozessoren (CVE-2023-20569) offengelegt. Google hat Maßnahmen ergriffen, um die Auswirkungen auf seine Serverflotte, einschließlich Google Cloud, zu minimieren und so die Sicherheit der Kunden zu schützen.

Details zur Sicherheitslücke:

• CVE-2023-20569 (AMD SB-7005, auch bekannt als „Inception“)

Was soll ich tun?

Nutzer von Compute Engine-VMs sollten die vom Betriebssystem bereitgestellten Maßnahmen zur Risikominimierung in Betracht ziehen, wenn sie nicht vertrauenswürdigen Code innerhalb einer Instanz ausführen. Wir empfehlen Kunden, sich für genauere Informationen an ihre Betriebssystemanbieter zu wenden.

Die Korrekturen wurden bereits auf die Google-Serverflotte für Google Cloud, einschließlich Google Compute Engine, angewendet.

Welche Sicherheitslücken werden behoben?

CVE-2023-20569: Weitere Informationen finden Sie unter AMD SB-7005.

Google hat eine Sicherheitslücke in gRPC C++-Implementierungen vor der Version 1.57 erkannt. Dies war eine DoS-Sicherheitslücke (Denial of Service) in der C++-Implementierung von gRPC. Diese Probleme wurden in den Versionen 1.53.2, 1.54.3, 1.55.2, 1.56.2 und 1.57 behoben.

Was soll ich tun?

Achten Sie darauf, dass Sie die neuesten Versionen der folgenden Softwarepakete verwenden:

• gRPC-Versionen (C++, Python, Ruby) 1.53, 1.54, 1.55 und 1.56 müssen auf die folgenden Patchreleases aktualisiert werden:
• 1.53.2
• 1.54.3
• 1.55.2
• 1.56.2
• Für gRPC-Versionen (C++, Python, Ruby) 1.52 und früher ist ein Upgrade auf eine der genehmigten Patch-Versionen erforderlich. Zum Beispiel 1.53.2, 1.54.3, 1.53.4 usw.

Welche Sicherheitslücken werden behoben?

Diese Patches minimieren die Auswirkungen der folgenden Sicherheitslücken:

• Denial-of-Service-Sicherheitslücke in gRPC C++-Implementierungen: Speziell entwickelte Anfragen können dazu führen, dass die Verbindung zwischen einem Proxy und einem Backend beendet wird.

Die folgenden CVEs betreffen Cloud Service Mesh und machen es anfällig für ausnutzbare Sicherheitslücken:

• CVE-2023-35941: Ein schädlicher Client kann in bestimmten Szenarien Anmeldedaten mit dauerhafter Gültigkeit erstellen. Beispielsweise kann die Kombination aus Host und Ablaufzeit in der HMAC-Nutzlast immer im HMAC-Check des OAuth2-Filters gültig sein.
• CVE-2023-35942: gRPC-Zugriffs-Logger, die den globalen Bereich des Listeners verwenden, können zu einem „Use-after-Free“-Absturz führen, wenn der Listener entleert wird. Dies kann durch ein LDS-Update mit derselben gRPC-Zugriffslogkonfiguration ausgelöst werden.
• CVE-2023-35943: Wenn der origin-Header so konfiguriert ist, dass er mit request_headers_to_remove: origin entfernt wird, wird der CORS-Filter segfault und lässt Envoy abstürzen.
• CVE-2023-35944: Angreifer können Anfragen mit gemischten Schemata senden, um die Schema-Prüfungen in Envoy zu umgehen. Wenn beispielsweise eine Anfrage mit gemischtem HTTP-Schema an den OAuth2-Filter gesendet wird, wird sie die exakte Vergleichsprüfung für HTTP nicht bestehen. Der Remote-Endpunkt wird darüber informiert, dass das Schema HTTPS ist. Dadurch werden möglicherweise OAuth2-Prüfungen umgangen, die speziell für HTTP-Anfragen gelten.

Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

• CVE-2023-35941
  
• CVE-2023-35942
  
• CVE-2023-35943
  
• CVE-2023-35944
  

AMD hat eine Mikrocode-Aktualisierung veröffentlicht, mit dem eine Hardware-Sicherheitslücke (CVE-2023-20593) geschlossen wird. Google hat die erforderlichen Korrekturen für diese Sicherheitslücke auf seine Serverflotte angewendet, einschließlich der Server für die Google Cloud Platform. Tests haben ergeben, dass die Leistung der Systeme nicht beeinträchtigt wird.

Was soll ich tun?

Kunden müssen nichts weiter tun, da die Korrekturen bereits auf die Google-Serverflotte für die Google Cloud Platform angewendet wurden.

Welche Sicherheitslücken werden behoben?

CVE-2023-20593 bezieht sich auf eine Sicherheitslücke in einigen AMD-CPUs. Weitere Informationen

In Envoy wurde eine neue Sicherheitslücke (CVE-2023-35945) entdeckt, bei der eine speziell entwickelte Antwort von einem nicht vertrauenswürdigen Upstream-Dienst durch Speichererschöpfung zu einem Denial-of-Service führen kann. Dies wird durch den HTTP/2-Codec von Envoy verursacht, der beim Empfang von RST_STREAM unmittelbar gefolgt von GOAWAY-Frames eines Upstream-Servers, eine Header-Map und Verwaltungsstrukturen undicht werden lassen kann.

Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE Autopilot-Cluster sind betroffen, da GKE Autopilot-Knoten immer Container-Optimized OS-Knoten-Images verwenden. GKE Standard-Cluster mit Version 1.25 oder höher, auf denen Container-Optimized OS-Knoten-Images ausgeführt werden, sind betroffen.

GKE-Cluster sind nicht betroffen, wenn sie nur Ubuntu-Knoten-Images verwenden, Versionen vor 1.25 ausführen oder GKE Sandbox verwenden.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

Aktualisierung vom 11.07.2023: Neue GKE-Versionen aktualisiert, enthalten die neuesten Ubuntu-Versionen, die CVE-2023-31436 patchen.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE-Cluster, einschließlich Autopilot-Cluster, sind betroffen. GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

In Envoy, das in Cloud Service Mesh verwendet wird, wurden mehrere Sicherheitslücken entdeckt, die es einem böswilligen Angreifer ermöglichen, einen Denial of Service zu verursachen oder Envoy zum Absturz zu bringen. Diese wurden separat als GCP-2023-002 gemeldet.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt. Sie könnte es einem nicht privilegierten Nutzer ermöglichen, seine Berechtigungen auf die Root-Ebene auszuweiten, wenn „io_poll_get_ownership“ bei jedem „io_poll_wake“ kontinuierlich „req->poll_refs“ erhöht, bis ein Überlauf auf 0 erfolgt, wodurch „req->file“ zweimal freigegeben (fput) wird und ein Problem mit der Referenzzählung in „struct file“ entsteht. GKE-Cluster, einschließlich Autopilot-Cluster, mit Container-Optimized OS mit Linux-Kernelversion 5.15 sind betroffen. GKE-Cluster, die Ubuntu-Images verwenden oder GKE Sandbox nutzen, sind nicht betroffen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

Aktualisierung vom 11.08.2023: Patchversionen für GKE on VMware, GKE on AWS, GKE on Azure und Google Distributed Cloud Virtual for Bare Metal hinzugefügt.

In Kubernetes wurden zwei neue Sicherheitsprobleme entdeckt, bei denen Nutzer möglicherweise Container starten können, die Richtlinienbeschränkungen umgehen, wenn sie ephemere Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das ServiceAccount Admission Plugin (CVE-2023-2728) verwenden.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

Wenn Sie die Cloud Build API in einem Projekt aktivieren, erstellt Cloud Build automatisch ein Standarddienstkonto, um Builds in Ihrem Namen auszuführen. Dieses Cloud Build-Dienstkonto hatte zuvor die IAM-Berechtigung logging.privateLogEntries.list, die es Builds ermöglichte, standardmäßig auf private Logs zuzugreifen. Diese Berechtigung wurde dem Cloud Build-Dienstkonto entzogen, um dem „Prinzip der geringsten Berechtigung“ zu entsprechen.

Anleitungen und weitere Informationen finden Sie im Cloud Build-Sicherheitsbulletin.

Google hat drei neue Sicherheitslücken in der gRPC C++-Implementierung entdeckt. Diese werden in Kürze als CVE-2023-1428, CVE-2023-32731 und CVE-2023-32732 veröffentlicht.

Im April haben wir zwei Sicherheitslücken in den Versionen 1.53 und 1.54 entdeckt. Die eine war eine Denial-of-Service-Sicherheitslücke in der C++-Implementierung von gRPC und die andere eine Sicherheitslücke für die Remote-Daten-Exfiltration. Diese Probleme wurden in den Versionen 1.53.1, 1.54.2 und höher behoben.

Im März haben unsere internen Teams bei routinemäßigen Fuzzing-Aktivitäten eine Denial-of-Service-Sicherheitslücke in der C++-Implementierung von gRPC entdeckt. Das Problem wurde im gRPC-Release 1.52 gefunden und in den Releases 1.52.2 und 1.53 behoben.

Was soll ich tun?

Achten Sie darauf, dass Sie die neuesten Versionen der folgenden Softwarepakete verwenden:

• Für grpc (C++, Python, Ruby) Version 1.52, 1.53 und 1.54 ist ein Upgrade auf die folgenden Patchreleases erforderlich:
• 1.52.2
• 1.53.1
• 1.54.2
• grpc-Version 1.51 und früher (C++, Python, Ruby) sind nicht betroffen. Nutzer mit diesen Versionen müssen also nichts unternehmen.

Welche Sicherheitslücken werden mit diesen Patches behoben?

Diese Patches minimieren die Auswirkungen der folgenden Sicherheitslücken:

• In den Versionen 1.53.1, 1.54.2 und höher wird folgendes behoben: die DoS-Sicherheitslücke (Denial of Service) in der gRPC-C++-Implementierung. Durch speziell entwickelte Anfragen kann die Verbindung zwischen einem Proxy und einem Backend beendet werden. Sicherheitslücke bei Remote-Daten-Exfiltration: Eine Desynchronisierung in der HPACK-Tabelle aufgrund von Größenbeschränkungen der Header kann dazu führen, dass Proxy-Backends die Headerdaten von anderen Clients, die mit dem Proxy verbunden sind, preisgeben.
• In den Versionen 1.52.2, 1.53 und höher wird die DoS-Sicherheitslücke (Denial of Service) in der C++-Implementierung von gRPC behoben. Das Parsen bestimmter Anfragen kann zu einem Absturz führen, der sich auf einen Server auswirkt.

Wir empfehlen, ein Upgrade auf die oben aufgeführten neuesten Versionen der folgenden Softwarepakete durchzuführen.

Im CSI-Treiber für Secrets-Speicher wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt, bei der ein Akteur mit Zugriff auf die Treiberlogs Dienstkonto-Tokens beobachten kann.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf die Root-Ebene des Knotens führen kann.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

Vor Kurzem wurde in Cloud SQL for SQL Server eine Sicherheitslücke entdeckt, die es Administratorkonten von Kunden ermöglichte, Trigger in der tempdb-Datenbank zu erstellen und damit sysadmin-Berechtigungen in der Instanz zu erhalten. Die sysadmin-Berechtigungen gewährten dem Angreifer Zugriff auf Systemdatenbanken und einen Teilzugriff auf die Maschine, auf der diese SQL Server-Instanz ausgeführt wurde.

Google Cloud hat das Problem durch Schließen der Sicherheitslücke zum 1. März 2023 behoben. Google Cloud hat keine kompromittierten Kundeninstanzen gefunden.

Anleitungen und weitere Informationen finden Sie im Cloud SQL-Sicherheitsbulletin.

Aktualisierung vom 06.06.2023: Es wurden neue GKE-Versionen aktualisiert, die nun die neuesten Ubuntu-Versionen enthalten: CVE-2023-1281 und CVE-2023-1829 sind korrigiert.

Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281, CVE-2023-1829) entdeckt, die zu einer Rechteausweitung auf die Root-Ebene des Knotens führen können.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

Im Trusted Platform Module (TPM) 2.0 wurden zwei Sicherheitslücken entdeckt (CVE-2023-1017 und CVE-2023-1018).

Die Sicherheitslücken hätten es einem versierten Angreifer ermöglicht, einen 2-Byte-Lese-/Schreibvorgang außerhalb des zulässigen Bereichs auf bestimmten Compute Engine-VMs auszunutzen.

Anleitungen und weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.

• CVE-2023-1017
• CVE-2023-1018

Aktualisierung vom 21.12.2023: Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-0240 und CVE-2023-23586) entdeckt, die es einem nicht privilegierten Nutzer ermöglichen könnten, Rechte auszuweiten.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

Die folgenden CVEs betreffen Cloud Service Mesh und machen es anfällig für ausnutzbare Sicherheitslücken:

• CVE-2023-27496: Wenn Envoy mit aktiviertem OAuth-Filter ausgeführt wird, kann ein böswilliger Akteur eine Anfrage erstellen, die zu einem Denial of Service führt, indem Envoy abstürzt.
• CVE-2023-27488: Der Angreifer kann diese Sicherheitslücke nutzen, um Authentifizierungsprüfungen zu umgehen, wenn „ext_authz“ verwendet wird.
• CVE-2023-27493: Die Envoy-Konfiguration muss auch eine Option zum Hinzufügen von Anfrageheadern enthalten, die mit Eingaben aus der Anfrage generiert wurden, z. B. dem SAN des Peer-Zertifikats.
• CVE-2023-27492: Angreifer können große Anfragetexte für Routen mit aktiviertem Lua-Filter senden und Abstürze auslösen.
• CVE-2023-27491: Angreifer können speziell entwickelte HTTP/2- oder HTTP/3-Anfragen senden, um Parsing-Fehler im HTTP/1-Upstream-Dienst auszulösen.
• CVE-2023-27487: Der Header „x-envoy-original-path“ sollte ein interner Header sein. Envoy entfernt diesen Header jedoch nicht aus der Anfrage, wenn sie von einem nicht vertrauenswürdigen Client gesendet wird.

Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

• CVE-2023-27496
  
• CVE-2023-27488
  
• CVE-2023-27493
  
• CVE-2023-27492
  
• CVE-2023-27491
  
• CVE-2023-27487
  

Aktualisierung vom 21.12.2023: Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

In OpenSSL v3.0.6 wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) entdeckt, die möglicherweise zu einem Absturz führen können.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

• CVE-2022-3786
• CVE-2022-3602

Aktualisierung vom 21.12.2023: Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Aktualisierung vom 19.01.2023: Information hinzugefügt, dass die GKE-Version 1.21.14-gke.14100 verfügbar ist.

In OpenSSL v3.0.6 wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) entdeckt, die möglicherweise zu einem Absturz führen können.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

• CVE-2022-3786
• CVE-2022-3602

Aktualisierung vom 19.01.2023: Information hinzugefügt, dass die GKE-Version 1.21.14-gke.14100 verfügbar ist.

Aktualisierung vom 16.12.2022: Patchversionen für GKE und GKE on VMware hinzugefügt.

Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) entdeckt, die zu einem vollständigen Container-Breakout auf die Root-Ebene des Knotens führen können.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

• CVE-2022-2585
• CVE-2022-2588

In Istio, das in Cloud Service Mesh verwendet wird, wurde eine Sicherheitslücke (CVE-2022-39278) entdeckt, die es einem böswilligen Angreifer ermöglicht, die Steuerungsebene zum Absturz zu bringen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

Aktualisierung vom 14.12.2022: Patchversionen für GKE und GKE on VMware hinzugefügt.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-20409) entdeckt, die es einem nicht privilegierten Nutzer ermöglichen könnte, seine Berechtigung auf die Ebene der Systemausführung auszuweiten.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

Aktualisierung vom 21.12.2023: Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Aktualisierung vom 19.01.2023: Information hinzugefügt, dass die GKE-Version 1.21.14-gke.14100 verfügbar ist.

Aktualisierung vom 15.12.2022: Information aktualisiert, dass Version 1.21.14-gke.9400 von Google Kubernetes Engine gerade eingeführt wird und durch eine höhere Versionsnummer ersetzt werden könnte.

Aktualisierung vom 22.11.2022: Es wurden Patchversionen für GKE on VMware, GKE on AWS und GKE on Azure hinzugefügt.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-3176) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, vollständige Container-Breakouts auf die Root-Ebene des Knotens zu erreichen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

Die Istio-Steuerungsebene istiod ist anfällig für einen Fehler bei der Anfrageverarbeitung. Dadurch kann ein böswilliger Angreifer, der eine speziell entwickelte Nachricht sendet, einen Absturz der Steuerungsebene verursachen, wenn der Validierungs-Webhook für einen Cluster öffentlich zugänglich gemacht wird. Dieser Endpunkt wird über TLS-Port 15017 bereitgestellt, erfordert jedoch keine Authentifizierung durch den Angreifer.

Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

Eine Sicherheitslücke beim Parsen von Nachrichten und bei der Speicherverwaltung in den C++- und Python-Implementierungen von ProtocolBuffer kann beim Verarbeiten einer speziell entwickelten Nachricht einen Fehler aufgrund von unzureichendem Speicherplatz (Out-of-Memory, OOM) auslösen. Dies kann zu einem DoS-Angriff (Denial-of-Service) auf Dienste führen, die die Bibliotheken verwenden.

Was soll ich tun?

Achten Sie darauf, dass Sie die neuesten Versionen der folgenden Softwarepakete verwenden:

• Protobuf-cpp (3.18.3, 3.19.5, 3.20.2, 3.21.6)
• Protobuf-python (3.18.3, 3.19.5, 3.20.2, 4.21.6)

Welche Sicherheitslücken werden mit diesem Patch behoben?

Dieser Patch minimiert die Auswirkungen der folgenden Sicherheitslücke:

Eine speziell entwickelte kleine Nachricht, die dazu führt, dass der ausgeführte Dienst große Mengen an RAM zuweist. Aufgrund der geringen Größe der Anfrage ist es einfach, die Sicherheitslücke auszunutzen und Ressourcen zu erschöpfen. C++- und Python-Systeme, die nicht vertrauenswürdige Protobufs verwenden, wären anfällig für DoS-Angriffe, wenn sie ein MessageSet-Objekt in ihrer RPC-Anfrage enthalten.

Aktualisierung vom 21.12.2023: Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Aktualisierung vom 14.09.2022: Patchversionen für GKE on VMware, GKE on AWS und GKE on Azure hinzugefügt.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2327) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout auf die Root-Ebene des Knotens zu erreichen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

Aktualisierung vom 22.11.2022: Arbeitslasten, die GKE Sandbox verwenden, sind von diesen Sicherheitslücken nicht betroffen.

Aktualisierung vom 21.07.2022: Zusätzliche Informationen zu GKE on VMware.

Eine neue Sicherheitslücke (CVE-2022-1786) wurde in den Linux-Kernel-Versionen 5.10 und 5.11 entdeckt. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout auf die Root-Ebene des Knotens zu erreichen. Es sind nur Cluster betroffen, in denen Container-Optimized OS ausgeführt wird. GKE-Ubuntu-Versionen verwenden entweder Version 5.4 oder 5.15 des Kernels und sind nicht betroffen.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

Aktualisierung vom 22.11.2022: Autopilot-Cluster sind nicht von CVE-2022-29581 betroffen, aber anfällig für CVE-2022-29582 und CVE-2022-1116.

Im Linux-Kernel wurden drei neue Sicherheitslücken (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) erkannt, die zu Speicherschäden führen können. Diese Sicherheitslücken erlauben einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout auf die Root-Ebene das Knotens zu erreichen. Alle Linux-Cluster (Container-Optimized OS und Ubuntu) sind betroffen.

Anleitungen und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

• CVE-2022-29581
• CVE-2022-29582
• CVE-2022-1116

Aktualisierung vom 10.06.2022: Cloud Service Mesh-Versionen aktualisiert. Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

Folgende Envoy- und Istio-CVEs machen Cloud Service Mesh und Istio on GKE für Remote-Angriffe anfällig:

• CVE-2022-31045: Die Istio-Datenebene kann potenziell unsicher auf den Speicher zugreifen, wenn die Exchange- und Stats-Erweiterungen für Metadata aktiviert sind.
• CVE-2022-29225: Daten können die Limits der Zwischenspeicher überschreiten, wenn ein böswilliger Angreifer eine kleine, stark komprimierte Nutzlast (ZIP-Bomb-Angriff) übergibt.
• CVE-2021-29224: Potenzieller Nullzeigerverweis in GrpcHealthCheckerImpl.
• CVE-2021-29226: OAuth-Filter ermöglicht eine einfache Umgehung.
• CVE-2022-29228: Ein OAuth-Filter kann Arbeitsspeicher beschädigen (frühere Versionen) oder einen ASSERT() (spätere Versionen) auslösen.
• CVE-2022-29227: Interne Weiterleitungen schlagen bei Anfragen mit Text oder Anhängen fehl.

Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

• CVE-2022-31045
  
• CVE-2022-29225
  
• CVE-2021-29224
  
• CVE-2021-29226
  
• CVE-2022-29228
  
• CVE-2022-29227
  

Aktualisierung vom 22. November 2022: GKE Autopilot-Cluster und Arbeitslasten, die in der GKE Sandbox ausgeführt werden, sind nicht betroffen.

Aktualisierung vom 12.05.2022: Die Versionen von GKE on AWS und GKE on Azure aktualisiert. Eine Anleitung und weitere Informationen finden Sie unter:

• GKE on AWS-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

---

Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Container-Breakout und/oder eine Rechteausweitung auf dem Host durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu). Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke (CVE-2022-23648) entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten. Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

Aktualisierung vom 22.11.2022: Arbeitslasten, die GKE Sandbox verwenden, sind für GKE-Cluster in beiden Modi (Standard und Autopilot) nicht betroffen.

Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können. Diese Sicherheitslücke betrifft die folgenden Produkte:

• GKE-Knotenpoolversionen 1.22 und höher, die Container-Optimized OS-Images verwenden (Container-Optimized OS 93 und höher)
• GKE on VMware v1.10 für Container-Optimized OS-Images
• GKE on AWS v1.21 und GKE on AWS (vorherige Generation) v1.19, v1.20, v1.21, die Ubuntu verwenden
• Verwaltete Cluster von GKE on Azure v1.21, die Ubuntu verwenden

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

Aktualisierung vom 11.08.2022: Weitere Informationen zur Konfiguration des gleichzeitigen Multithreadings (Simultaneous Multi-Threading, SMT) hinzugefügt. SMT sollte deaktiviert sein, war aber in den aufgeführten Versionen aktiviert.

Wenn Sie SMT für einen Sandbox-Knotenpool manuell aktiviert haben, bleibt SMT trotz dieses Problems manuell aktiviert.

Es liegt eine Fehlkonfiguration mit Simultaneous Multi-Threading (SMT), auch bekannt als Hyperthreading, auf GKE Sandbox-Images vor. Durch die Fehlkonfiguration sind Knoten potenziell anfällig für Seitenkanalangriffe wie Microarchitectural Data Sampling (MDS). Weitere Informationen finden Sie in der GKE Sandbox-Dokumentation. Wir raten davon ab, die folgenden betroffenen Versionen zu verwenden:

• 1.22.4-gke.1501
• 1.22.6-gke.300
• 1.23.2-gke.300
• 1.23.3-gke.600

Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Die folgende Istio-CVE macht Cloud Service Mesh für eine aus der Ferne ausnutzbare Sicherheitslücke anfällig:

• CVE-2022-24726: Die Istio-Steuerungsebene („istiod“) ist anfällig für einen Fehler bei der Anfrageverarbeitung. Dadurch kann ein böswilliger Angreifer, der eine speziell entwickelte Nachricht sendet, einen Absturz der Steuerungsebene verursachen, wenn der Validierungs-Webhook für einen Cluster öffentlich zugänglich gemacht wird. Dieser Endpunkt wird über TLS-Port 15017 bereitgestellt, erfordert jedoch keine Authentifizierung durch den Angreifer.

Anleitungen und weitere Informationen finden Sie im folgenden Sicherheitsbulletin:

• Cloud Service Mesh-Sicherheitsbulletin.

• CVE-2022-24726

Einige unerwartete Pfade für den Zugriff auf die Knoten-VM in GKE Autopilot-Clustern wurden möglicherweise verwendet, um Berechtigungen im Cluster zu eskalieren. Diese Probleme wurden behoben, und es sind keine weiteren Maßnahmen erforderlich. Die Fehlerkorrekturen beheben Probleme, die über unser Prämienprogramm für die Meldung von Sicherheitslücken gemeldet wurden.

Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Aktualisierung vom 28.04.2022: Versionen von GKE on VMware hinzugefügt, in denen diese Sicherheitslücken behoben sind. Weitere Informationen finden Sie im GKE on VMware-Sicherheitsbulletin.

• CVE-2022-23606: Wenn ein Cluster über den Cluster Discovery Service (CDS) gelöscht wird, werden alle inaktiven Verbindungen zu Endpunkten in diesem Cluster getrennt. In Envoy-Version 1.19 wurde fälschlicherweise eine Rekursion in die Prozedur zum Trennen von inaktiven Verbindungen eingeführt, die zu einer Überlastung des Stacks und zu einem abnormalen Prozessende führen kann, wenn ein Cluster eine große Anzahl von inaktiven Verbindungen hat.
• CVE-2022-21655: Der interne Weiterleitungscode von Envoy setzt voraus, dass ein Routeneintrag vorhanden ist. Wenn eine interne Weiterleitung an eine Route mit einem direkten Antworteintrag und keinem Routeneintrag erfolgt, wird ein Nullzeiger dereferenziert und es kommt zu einem Absturz.
• CVE-2021-43826: Wenn Envoy für die Verwendung von tcp_proxy konfiguriert ist, das Upstream-Tunneling (über HTTP) und Downstream-TLS-Terminierung verwendet, stürzt Envoy ab, wenn die Downstream-Clientverbindung während des TLS-Handshakes getrennt wird, während der Upstream-HTTP-Stream noch aufgebaut wird. Die Trennung der Downstream-Verbindung kann entweder vom Client oder vom Server initiiert werden. Der Client kann die Verbindung aus beliebigen Gründen trennen. Der Server kann die Verbindung trennen, wenn er beispielsweise keine TLS-Chiffren oder TLS-Protokollversionen hat, die mit dem Client kompatibel sind. Möglicherweise lässt sich dieser Absturz auch in anderen Downstream-Konfigurationen auslösen.
• CVE-2021-43825: Wenn eine lokal generierte Antwort gesendet wird, muss die weitere Verarbeitung von Anfrage- oder Antwortdaten beendet werden. Envoy verfolgt die Menge der zwischengespeicherten Anfrage- und Antwortdaten und bricht die Anfrage ab, wenn die Menge der zwischengespeicherten Daten das Limit überschreitet. Dazu werden die Antworten 413 oder 500 gesendet. Wenn jedoch eine lokal generierte Antwort gesendet wird, weil der interne Zwischenspeicher überläuft, während die Antwort von der Filterkette verarbeitet wird, wird der Vorgang möglicherweise nicht korrekt abgebrochen. Dies kann dazu führen, dass auf einen freigegebenen Speicherblock zugegriffen wird.
• CVE-2021-43824: Envoy stürzt ab, wenn der JWT-Filter mit einer „safe_regex“-Übereinstimmungsregel und einer speziell entwickelten Anfrage wie „CONNECT host:port HTTP/1.1“ verwendet wird. Wenn der JWT-Filter erreicht wird, sollte eine „safe_regex“-Regel den URL-Pfad auswerten. Das ist hier jedoch nicht der Fall und Envoy stürzt mit Segmentierungsfehlern ab.
• CVE-2022-21654: Envoy hat die Wiederaufnahme von TLS-Sitzungen nach der Neukonfiguration der mTLS-Validierungseinstellungen fälschlicherweise zugelassen. Wenn ein Clientzertifikat zwar mit der alten Konfiguration zulässig, mit der neuen Konfiguration jedoch nicht zulässig war, konnte der Client die vorherige TLS-Sitzung fortsetzen, obwohl dies mit der aktuellen Konfiguration nicht zulässig sein sollte. Änderungen an den folgenden Einstellungen sind betroffen:
  • Match_subject_alt_names
  • CRL-Änderungen
  • Allow_expired_certificate
  • Trust_chain_verification
  • Only_verify_leaf_cert_crl
• CVE-2022-21657: Envoy schränkt die Menge der Zertifikate, die vom Peer akzeptiert werden, nicht auf die Zertifikate ein, die die erforderliche erweiterte Schlüsselverwendung (id-kp-serverAuth bzw. id-kp-clientAuth) haben. Dies gilt sowohl für TLS-Clients als auch für TLS-Server. Das bedeutet, dass ein Kommunikationspartner ein E-Mail-Zertifikat (z. B. id-kp-emailProtection) verwenden kann – sei es als Endzertifikat oder als Zertifizierungsstelle innerhalb der Kette – und dieses dennoch für TLS akzeptiert wird. Dies ist besonders problematisch in Kombination mit CVE-2022-21656, da es einer Web-PKI-Zertifizierungsstelle, die eigentlich nur für S/MIME vorgesehen ist und daher nicht geprüft oder überwacht wird, ermöglicht, TLS-Zertifikate auszustellen, die von Envoy akzeptiert werden.
• CVE-2022-21656: Die Validator-Implementierung, die zum Implementieren der Standardroutinen für die Zertifikatsvalidierung verwendet wird, weist beim Verarbeiten von subjectAltNames einen Fehler vom Typ „type confusion“ auf. Durch diese Verarbeitung kann beispielsweise ein „rfc822Name“ oder „uniformResourceIndicator“ als Domainname authentifiziert werden. Diese Verwechslung ermöglicht das Umgehen von „nameConstraints“, wie sie von der zugrunde liegenden OpenSSL-/BoringSSL-Implementierung verarbeitet werden, wodurch die Möglichkeit eines Identitätsdiebstahls beliebiger Server besteht.

• Cloud Service Mesh-Sicherheitsbulletin

• Istio on GKE-Sicherheitsbulletin

• GKE
• GKE on VMware
• Google Distributed Cloud Virtual for Bare Metal

Folgende Envoy- und Istio-CVEs machen Cloud Service Mesh und Istio on GKE für remote Angriffe anfällig:

• CVE-2022-23635: Istiod stürzt ab, wenn Anfragen mit einem speziell entwickelten authorization-Header empfangen werden.
• CVE-2021-43824: Potenzielle Nullzeiger-Dereferenzierung, wenn eine Übereinstimmung mit dem JWT-Filter safe_regex verwendet wird.
• CVE-2021-43825: Use-after-Free, wenn Antwortfilter die Antwortdaten erhöhen und mehr Daten die Limits der nachgelagerten Zwischenspeicher überschreiten.
• CVE-2021-43826: Use-after-Free, wenn TCP über HTTP getunnelt wird, wenn die Downstream-Verbindung während des Upstream-Verbindungsaufbaus unterbrochen wird.
• CVE-2022-21654: Durch eine falsche Konfigurationsbehandlung kann die mTLS-Sitzung ohne erneute Validierung wiederverwendet werden, nachdem sich die Validierungseinstellungen geändert haben.
• CVE-2022-21655: Falsche Verarbeitung interner Weiterleitungen an Routen mit einem direkten Antworteintrag.
• CVE-2022-23606: Stacküberlastung, wenn ein Cluster über den Cluster Discovery-Dienst gelöscht wird.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• Cloud Service Mesh-Sicherheitsbulletin.
• Istio on GKE-Sicherheitsbulletin.

• CVE-2022-23635
  
• CVE-2021-43824
  
• CVE-2021-43825
  
• CVE-2021-43826
  
• CVE-2022-21654
  
• CVE-2022-21655
  
• CVE-2022-23606
  

Aktualisierung vom 16.05.2022: GKE-Version 1.19.16-gke.7800 oder höher der Liste der Versionen hinzugefügt, die Code zur Behebung dieser Sicherheitslücke enthalten. Weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Aktualisierung vom 12.05.2022: Die Versionen von GKE, GKE on VMware, GKE on AWS und GKE on Azure aktualisiert. Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin

In der Funktion cgroup_release_agent_write des Linux-Kernels wurde eine Sicherheitslücke (CVE-2022-0492) entdeckt. Der Angriff verwendet nicht privilegierte Nutzer-Namespaces und unter bestimmten Umständen kann diese Sicherheitslücke für Container-Breakouts ausgenutzt werden.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin

Es wurde eine Sicherheitslücke (CVE-2021-43527) in einem Binärprogramm entdeckt, die auf die anfälligen Versionen von „libnss3“ in Versionen von NSS (Network Security Services) vor 3.73 oder 3.68.1 verweist. Anwendungen, die NSS für die Zertifikatsprüfung oder andere TLS-, X.509-, OCSP- oder CRL-Funktionen verwenden, können abhängig davon, wie NSS verwendet/konfiguriert wird, betroffen sein.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin

In „pkexec“, einem Teil des Linux-Richtlinien-Kits (Polkit), wurde die Sicherheitslücke CVE-2021-4034 erkannt, die einem authentifizierten Nutzer einen Angriff zur Rechteausweitung ermöglicht. Polkit wird im Allgemeinen nur auf Linux-Desktopsystemen verwendet, um Nicht-Root-Nutzer Aktionen wie das Neustarten des Systems, das Installieren von Paketen, das Neustarten von Diensten usw. gemäß einer Richtlinie zu ermöglichen.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin

Aktualisierung vom 25.02.2022: GKE-Versionen aktualisiert. Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin

Aktualisierung vom 23.02.2022: GKE- und GKE on VMware-Versionen aktualisiert. Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin

Aktualisierung vom 04.02.2022: Das Roll-out-Startdatum für GKE-Patchversionen war am 2. Februar.

Drei Sicherheitslücken, CVE-2021-4154, CVE-2021-22600 und CVE-2022-0185, wurden im Linux-Kernel erkannt, von denen jede zu einem Container-Breakout, einer Rechteausweitung auf dem Host oder zu beidem führen kann. Diese Sicherheitslücken betreffen alle Knotenbetriebssysteme (COS und Ubuntu) in GKE, GKE on VMware, GKE on AWS (aktuelle und vorherige Generation) und GKE on Azure. Pods, die GKE Sandbox verwenden, sind nicht anfällig für diese Sicherheitslücken. Weitere Informationen finden Sie in den Versionshinweisen.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin

• CVE-2021-4154
• CVE-2021-22600
• CVE-2022-0185

Beim Parsen von Binärprogrammdaten wurde ein potenzielles Denial-of-Service-Problem in protobuf-java entdeckt.

Was soll ich tun?

Achten Sie darauf, dass Sie die neuesten Versionen der folgenden Softwarepakete verwenden:

• protobuf-java (3.16.1, 3.18.2, 3.19.2)
• protobuf-kotlin (3.18.2, 3.19.2)
• google-protobuf [JRuby gem] (3.19.2)

Protobuf-Nutzer von „javalite“ (in der Regel Android) sind nicht betroffen.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Dieser Patch minimiert die Auswirkungen der folgenden Sicherheitslücke:

Eine Implementierungsschwäche beim Parsen unbekannter Felder in Java. Eine kleine (ca. 800 KB) schädliche Nutzlast kann den Parser mehrere Minuten lang belegen, indem sie eine große Anzahl kurzlebiger Objekte erstellt, die häufige, wiederholte Pausen bei der automatische Speicherbereinigung verursachen.

Im Kubernetes-Controller Ingress-nginx wurde das Sicherheitsproblem CVE-2021-25742 festgestellt. Eine Sicherheitslücke in Ingress-nginx ermöglicht es durch die Verwendung von Custom-Snippets, Dienstkonto-Tokens und Secrets aus allen Namespaces abzurufen.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

Es gibt ein bekanntes Problem, das Auftritt, wenn eine BackendConfig-Ressource mithilfe der v1beta1 API aktualisiert wird, was dazu führen kann, dass eine aktive Google Cloud Armor-Sicherheitsrichtlinie aus ihrem Dienst entfernt wird.

Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Im AIS-LDAP-Modul (Anthos Identity Service) von GKE on VMware-Versionen 1.8 und 1.8.1 wurde eine Sicherheitslücke entdeckt, bei der ein Quellschlüssel zum Generieren von Schlüsseln vorhersehbar ist. Mit dieser Sicherheitslücke könnte ein authentifizierter Nutzer beliebige Anforderungen hinzufügen und Berechtigungen auf unbestimmte Zeit eskalieren.

Anleitungen und weitere Informationen finden Sie im GKE on VMware-Sicherheitsbulletin.

In Kubernetes wurde die Sicherheitslücke CVE-2020-8561 erkannt, bei der bestimmte Webhooks erstellt werden können, um kube-apiserver-Anfragen an private Netzwerke dieses API-Servers weiterzuleiten.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

Gemäß der VMware-Sicherheitsempfehlung VMSA-2021-0020 hat VMware Berichte zu mehreren Sicherheitslücken in vCenter erhalten. VMware hat Aktualisierungen vorgenommen, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben.

Wir haben die von VMware bereitgestellten Patches für den vSphere-Stack bereits gemäß der VMware-Sicherheitsempfehlung auf Google Cloud VMware Engine angewendet. Mit diesem Update werden die in CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 und CVE-2021-22010 beschriebenen Sicherheitslücken behoben. Andere nicht kritische Sicherheitsprobleme werden im nächsten VMware-Stack-Upgrade behoben (siehe Vorabankündigung vom Juli). Weitere Details zur spezifischen Zeitachse des Upgrades werden bald bereitgestellt.

Auswirkungen auf VMware Engine

Unsere Untersuchungen haben ergeben, dass davon keine Kunden betroffen waren.

Was soll ich tun?

Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich.

• VMSA-2021-0020
• CVE-2021-22005
• CVE-2021-22006
• CVE-2021-22007
• CVE-2021-22008
• CVE-2021-22010

Bestimmte Google Cloud Load Balancer, die Weiterleitungen an einen für das Identity-Aware Proxy (IAP) aktivierten Backend-Dienst vornehmen, können unter bestimmten Bedingungen von einer nicht vertrauenswürdige Partei missbraucht werden. Damit wurde ein über das Prämienprogramm für die Meldung von Sicherheitslücken gemeldetes Problem behoben.

• HTTP(S)-Load Balancer waren und
• ein Standard-Backend oder ein Backend mit einer Platzhalter-Hostzuordnungsregel (d. h. host="*") nutzten

Darüber hinaus musste ein Nutzer in Ihrer Organisation auf einen speziell erstellten Link geklickt haben, der von einer nicht vertrauenswürdigen Partei gesendet wurde.

Dieses Problem wurde behoben. IAP wurde am 17. September 2021 so aktualisiert, dass Cookies nur noch für autorisierte Hosts ausgegeben werden. Ein Host gilt als autorisiert, wenn er mit mindestens einem SAN (Subject Alternative Name) in einem der Zertifikate übereinstimmt, die auf Ihren Load Balancern installiert sind.

Was muss ich tun?

Einigen Ihrer Nutzer:innen wird möglicherweise beim Versuch, auf Anwendungen oder Dienste zuzugreifen, die Antwort „HTTP 401 – Unauthorized“ mit dem IAP-Fehlercode 52 angezeigt. Dieser Fehlercode bedeutet, dass der Client einen Host-Header gesendet hat, der nicht mit einem der alternativen Antragstellernamen (Subject Alternative Name, SAN) übereinstimmt, die mit den SSL-Zertifikaten des Load Balancers verknüpft sind. Der Aministrator des Load Balancers das SSL-Zertifikat aktualisieren, damit die SAN-Liste alle Hostnamen enthält, über die Nutzer auf IAP-geschützte Anwendungen oder Dienste zugreifen. Hier finden Sie weitere Informationen zu IAP-Fehlercodes.

Ein Sicherheitsproblem in Kubernetes (CVE-2021-25741) wurde festgestellt, bei dem Nutzer möglicherweise einen Container mit Unterpfad-Volume-Bereitstellungen erstellen können, um auf Dateien und Verzeichnisse außerhalb des Volumes, z. B. im Hostdateisystem, zuzugreifen.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin
• Google Distributed Cloud Virtual for Bare Metal-Sicherheitsbulletin

Aktualisierung vom 23.09.2021: Container, die in der GKE Sandbox ausgeführt werden, sind von dieser Sicherheitslücke für Angriffe aus dem Container nicht betroffen.

Im Linux-Kernel wurden zwei Sicherheitslücken erkannt (CVE-2021-33909 und CVE-2021-33910), die zu einem Absturz des Betriebssystems oder einer Rechteausweitung auf Root-Ebene durch einen nicht privilegierten Nutzer führen können. Diese Sicherheitslücke betrifft alle GKE-Knotenbetriebssysteme (COS und Ubuntu).

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin

Folgende Envoy- und Istio-CVEs machen Cloud Service Mesh und Istio on GKE für Remote-Angriffe anfällig:

• CVE-2021-39156: HTTP-Anfragen mit einem Fragment (einem Abschnitt am Ende eines URI, der mit einem #-Zeichen beginnt) im URI-Pfad können die pfadbasierten Autorisierungsrichtlinien von Istio umgehen.
• CVE-2021-39155: HTTP-Anfragen können möglicherweise eine Istio-Autorisierungsrichtlinie umgehen, wenn Sie Regeln auf Grundlage von hosts oder notHosts verwenden.
• CVE-2021-32781: Wirkt sich auf die Envoy-Erweiterungen decompressor, json-transcoder oder grpc-web oder auf proprietäre Erweiterungen aus, die die Anfrage- oder Antworttexte ändern und vergrößern. Das Ändern und Erhöhen der Textgröße in der Envoy-Erweiterung über die interne Zwischenspeichergröße hinaus kann dazu führen, dass Envoy auf den freigegebenen Speicher zugreift und abnormal beendet wird.
• CVE-2021-32780: Ein nicht vertrauenswürdiger Upstream-Dienst kann dazu führen, dass Envoy abnormal beendet wird, indem der GOAWAY-Frame gefolgt vom SETTINGS-Frame gesendet wird, wobei der Parameter SETTINGS_MAX_CONCURRENT_STREAMS auf 0 gesetzt ist. (Nicht zutreffend für Istio on GKE)
• CVE-2021-32778: Ein Envoy-Client, der eine große Anzahl von HTTP/2-Anfragen öffnet und dann zurückgesetzt, kann zu einem übermäßigen CPU-Verbrauch führen. (Nicht zutreffend für Istio on GKE)
• CVE-2021-32777: HTTP-Anfragen mit mehreren Wert-Headern können zu einer unvollständigen Prüfung der Autorisierungsrichtlinie führen, wenn die Erweiterung ext_authz verwendet wird.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• Cloud Service Mesh-Sicherheitsbulletin.
• Istio on GKE-Sicherheitsbulletin.

• CVE-2021-39156
• CVE-2021-39155
• CVE-2021-32781
• CVE-2021-32780
• CVE-2021-32778
• CVE-2021-32777

Es wurde eine neue Sicherheitslücke (CVE-2021-22555) entdeckt, bei der ein böswilliger Akteur mit CAP_NET_ADMIN-Berechtigungen potenziell einen Container-Breakout verursachen kann, um Root-Rechte auf dem Host zu erlangen. Diese Sicherheitslücke betrifft alle GKE-Cluster und GKE on VMware unter Linux-Version 2.6.19 oder höher.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin

Microsoft hat ein Sicherheitsbulletin CVE-2021-34527 zu einer Sicherheitslücke (Remote Code Execution, RCE) veröffentlicht, die Auswirkungen auf die Druckwarteschlange bei Windows-Servern hat. Das CERT Coordination Center (CERT/CC) hat einen Hinweis zu einer ähnlichen Sicherheitslücke mit dem Namen "PrintNightmare" veröffentlicht. Auch diese hat Auswirkungen auf Windows-Druckwarteschlangen – PrintNightmare, kritische Windows-Sicherheitslücke für Druckwarteschlange.

Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.