Bulletins de sécurité

Dans Google Cloud Vertex AI, une faille de sécurité impliquant une dénomination prévisible des buckets a été identifiée dans Vertex AI Experiments, de la version 1.21.0 à la version 1.133.0 (non incluse).

Que dois-je faire ?

Aucune action n'est requise de la part du client pour l'atténuation.

CVE-2026-2473 permet à un attaquant distant non authentifié d'exécuter du code à distance entre locataires, de voler des modèles et de les empoisonner en créant au préalable des buckets Cloud Storage avec des noms prévisibles (squatting de buckets). Cette faille a été identifiée dans la version 1.21.0 de Vertex AI Experiments. Des mesures d'atténuation ont déjà été appliquées à la version 1.133.0 et aux versions ultérieures.

Une faille de script intersite (XSS) stockée dans _genai/_evals_visualization a été identifiée dans Google google-cloud-aiplatform (visualisation du SDK Vertex AI pour Python) sur Exclusively-Hosted-Service.

Que dois-je faire ?

Les clients devront mettre à jour leur SDK Python google-cloud-aiplatform vers la version 1.131.0 (publiée le 16/12/2025) ou ultérieure pour bénéficier du correctif.

CVE-2026-2472 permet à un pirate informatique distant non authentifié d'exécuter du code JavaScript arbitraire dans l'environnement Jupyter ou Colab d'une victime en injectant des séquences d'échappement de script dans les résultats de l'évaluation du modèle ou les données JSON de l'ensemble de données. Cette faille a été identifiée dans Google google-cloud-aiplatform (SDK Vertex AI pour Python) avant la version 1.131.0.

Une faille a été identifiée dans la plate-forme Apigee. Elle aurait pu permettre à une personne malveillante disposant d'autorisations d'administrateur ou de développeur dans son propre environnement Apigee d'élever ses privilèges et d'accéder à des données multi-locataires.

Plus précisément, une faille dans la technologie de bac à sable d'Apigee X permettait d'utiliser un point de terminaison link-local pour accéder aux jetons de compte de service (P4SA) dans un projet de locataire client. En exploitant cette identité, un pirate informatique pourrait théoriquement lire les métadonnées d'analyse ou falsifier les enregistrements de surveillance internes dans d'autres organisations (locataires) Apigee.

Que dois-je faire ?

Aucune action n'est requise de la part du client. Google a mis en place une stratégie d'atténuation à plusieurs niveaux pour résoudre ce problème :

• Atténuation de l'exploitation des jetons : le vecteur d'exploitation du jeton de compte de service Apigee dans les pods d'exécution a été atténué.
• Principe du moindre privilège : les autorisations du compte de service Apigee ont été limitées pour empêcher toute modification non autorisée.
• Isolation des données : l'accès des comptes de service au niveau des dossiers aux buckets Google Cloud Storage mutualisés a été supprimé.

Google a confirmé que, bien que les journaux de surveillance internes soient théoriquement accessibles, ils ne sont utilisés qu'en interne par Google et leur exposition n'a pas d'incidence sur la sécurité ni l'intégrité des données client dans Apigee.

Les versions de l'interface utilisateur Log Analytics antérieures à janvier 2026 peuvent être configurées pour exécuter automatiquement des requêtes SQL. Une faille peut permettre à un pirate informatique de créer une URL de requête qui, lorsqu'elle est ouverte par une personne disposant d'identifiants, peut accéder au contenu des tables ou entraîner des coûts de requête.

Pour en savoir plus, consultez le bulletin de sécurité Google Cloud Observability.

Un ensemble de failles de sécurité affecte le micrologiciel Intel® TDX. Ces failles englobent divers défauts, y compris des conditions de course (CVE-2025-30513, CVE-2025-31944), des lectures hors limites (CVE-2025-32007, CVE-2025-27940), l'utilisation d'une variable non initialisée (CVE-2025-32467) et l'exposition d'informations sensibles lors de l'exécution transitoire (CVE-2025-27572). Ensemble, ces problèmes peuvent permettre la divulgation d'informations, l'élévation de privilèges ou le déni de service. L'exploitation nécessite généralement un accès utilisateur privilégié au système.

Que dois-je faire ?

Aucune action n'est requise de la part du client. Tous les correctifs pertinents ont été appliqués à la flotte de serveurs Google. Pour en savoir plus, consultez l'avis technique du PSIRT d'Intel INTEL-TA-01397.

• CVE-2025-30513
• CVE-2025-31944
• CVE-2025-32007
• CVE-2025-32467
• CVE-2025-27572
• CVE-2025-27940

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-40297

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Mise à jour du 20/02/2026 : ajout de versions de correctif pour GKE.

Plusieurs failles de sécurité ont été identifiées dans la bibliothèque OpenSSL. La découverte la plus importante est CVE-2025-15467, une faille critique qui pourrait permettre des attaques par exécution de code à distance (RCE) ou par déni de service (DoS) via des vecteurs réseau.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Cette faille affecte les versions de l'interface d'analyse de journaux et de l'interface de création de tableaux de bord Cloud Monitoring antérieures à janvier 2026.

Pour en savoir plus, consultez le bulletin de sécurité Google Cloud Observability.

Une faille a été découverte dans certains processeurs Arm qui affecte les VM C4A et A4X dans Compute Engine :

• CVE-2025-0647

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Compute Engine.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-39964

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-40215

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-40214

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

La faille suivante a été découverte dans Cloud Data Fusion :

• CVE-2025-9571

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Cloud Data Fusion.

Une faille dans la fonctionnalité d'intégrations personnalisées de Google Security Operations SOAR pourrait permettre à un utilisateur authentifié disposant d'un rôle IDE d'exécuter du code à distance (RCE) sur le serveur. La faille était due à une validation insuffisante du code du package Python, ce qui permettait à un pirate informatique d'importer un package avec un fichier setup.py malveillant. Ce fichier pourrait alors être exécuté lors de l'installation, compromettant le serveur.

Que dois-je faire ?

Aucune action n'est requise de la part du client. Tous les clients ont été automatiquement mis à niveau vers la version corrigée : 6.3.64 ou ultérieure.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-39965

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Les failles suivantes ont été découvertes dans Envoy Proxy :

• CVE-2025-66220
• CVE-2025-64527
• CVE-2025-64763

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Cloud Service Mesh.

• CVE-2025-66220
• CVE-2025-64527
• CVE-2025-64763

Mise à jour du 4 décembre 2025 : une règle de pare-feu d'application Web est désormais disponible.

Une faille d'exécution de code à distance a été découverte dans les frameworks Open Source React et Next.js. Bien que Google Cloud ne soit pas vulnérable en soi, les utilisateurs de ces frameworks exécutés sur Google Cloud peuvent l'être.

Les versions de framework suivantes sont concernées par cette faille :

• React 19.0, 19.1.0, 19.1.1 et 19.2.0
• Next.js 15.x, Next.js 16.x et Next.js 14.3.0-canary.77 et versions Canary ultérieures

Les versions de framework suivantes incluent des correctifs pour cette faille :

• React 19.0.1, 19.1.2 et 19.2.1
• Next.js 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 15.6.0-canary.58 et 16.0.7

Pour en savoir plus sur ces failles, consultez les avis React et Vercel.

Les clients doivent prendre des mesures immédiates pour protéger leurs charges de travail en les redéployant avec des dépendances mises à jour.

En quoi pouvons-nous vous être utile ?

Une règle de pare-feu d'application Web (WAF) Cloud Armor conçue pour détecter et bloquer les tentatives d'exploitation associées est désormais disponible. Cette nouvelle règle vise à protéger vos applications et services accessibles sur Internet qui utilisent des équilibreurs de charge d'application globaux ou régionaux. Nous vous recommandons de déployer cette règle comme mesure d'atténuation temporaire pendant que vous mettez à jour vos charges de travail. Pour savoir comment appliquer cette règle, consultez cet article de blog.

Pour les clients qui utilisent App Engine Standard, Cloud Functions, Cloud Run Functions, Cloud Run, Firebase Hosting ou Firebase App Hosting, une règle est déjà appliquée pour limiter l'exploitation par le biais de requêtes envoyées à des domaines personnalisés et par défaut.

Les clients qui utilisent Artifact Analysis seront informés de ces failles sur les artefacts nouveaux et existants pour les aider à identifier les charges de travail à risque.

Ce bulletin de sécurité sera mis à jour dès que de nouvelles informations seront disponibles.

Mise à jour du 11/12/2025  : ajout de versions de correctif et d'un niveau de gravité pour GDC (VMware).

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-40019

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Mise à jour du 11/12/2025  : ajout de versions de correctif et d'un niveau de gravité pour GDC (VMware).

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-40018

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Plusieurs problèmes de sécurité ont été découverts dans runc, un composant logiciel Open Source utilisé pour exécuter des conteneurs. Les attaques révélées par ces failles (CVE-2025-31133, CVE-2025-52565 et CVE-2025-52881) permettent à un pirate informatique de s'échapper complètement d'un conteneur dans vos pools de nœuds de calcul et vos jobs Cloud Run, ce qui entraîne une élévation des privilèges root hors du conteneur vers votre instance sandboxée. Un acteur disposant des droits nécessaires pour déployer une image de conteneur malveillante peut exploiter ces failles pour accéder à vos autres conteneurs dans votre instance bac à sable Cloud Run.

• CVE-2025-31133
• CVE-2025-52565
• CVE-2025-52881

Les pools de nœuds de calcul, les jobs et un nombre limité de services qui n'ont pas encore été mis à jour sont vulnérables.

Une mise à jour sera déployée début janvier. Ce bulletin sera mis à jour une fois le déploiement terminé.

Veuillez signaler tout problème lié à cette faille au programme de récompenses pour la détection de failles Cloud à l'adresse g.co/vrp.

• CVE-2025-31133
• CVE-2025-52565
• CVE-2025-52881

Looker a corrigé une faille de sécurité qui aurait pu permettre à un pirate informatique disposant d'autorisations de lecteur dans Looker de créer une URL malveillante qui, une fois ouverte par un administrateur Looker, exécuterait un script fourni par le pirate. L'exploitation nécessitait qu'au moins une extension Looker soit installée sur l'instance.

Les instances hébergées par Looker et celles auto-hébergées ont été jugées vulnérables.

Ce problème a déjà été résolu pour les instances hébergées sur Looker.

Que dois-je faire ?

Instances hébergées par Looker :

Aucune action n'est requise de la part du client.

Instances Looker auto-hébergées uniquement :

Si votre instance Looker est auto-hébergée, nous vous recommandons de la mettre à niveau dès que possible. Cette faille a été corrigée dans toutes les versions compatibles de Looker pour les instances auto-hébergées. Les versions suivantes ont toutes été mises à jour pour vous protéger contre cette faille :

• 25.16.0 et toutes les versions ultérieures
• 25.12.7+
• 25.6.66+
• 25.0.79+
• 24.18.201+

Vous pouvez télécharger ces versions de Looker sur la page de téléchargement de Looker : https://download.looker.com/.

Looker a corrigé une faille qui aurait pu permettre à un pirate informatique de prendre le contrôle d'un compte Looker dans une instance Looker configurée avec l'authentification OIDC, en raison de la normalisation des chaînes d'adresses e-mail.

Les instances hébergées par Looker et celles auto-hébergées ont été jugées vulnérables.

Ce problème a déjà été résolu pour les instances hébergées sur Looker.

Que dois-je faire ?

Instances hébergées par Looker :

Aucune action n'est requise de la part du client.

Instances Looker auto-hébergées uniquement :

Si votre instance Looker est auto-hébergée, nous vous recommandons de la mettre à niveau dès que possible vers l'une des versions suivantes :

• 25.10.22+
• 25.8.39+
• 25.6.57+
• 25.0.69+
• 24.18.193+
• 24.12.100+

Vous pouvez télécharger ces versions de Looker sur la page de téléchargement de Looker : https://download.looker.com/.

Remarque : Les versions 25.12 et ultérieures ne sont pas concernées par ce problème de sécurité.

Mise à jour du 27/11/2025 : ajout de versions de correctif pour GKE et GDC (Bare Metal).

Un ensemble de trois failles d'échappement de conteneur ont été découvertes dans runc, le runtime de conteneur de bas niveau par défaut pour GKE. Les failles peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2025-31133
• CVE-2025-52565
• CVE-2025-52881

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

• CVE-2025-31133
• CVE-2025-52565
• CVE-2025-52881

Des chercheurs ont découvert une faille dans AMD SEV-SNP (Secure Nested Paging) sur les machines AMD Milan.

Une attaque pourrait permettre à un hyperviseur malveillant de manipuler les valeurs d'initialisation RMP, ce qui pourrait entraîner une perte d'intégrité de la mémoire invitée AMD SEV-SNP.

Google a déployé une mesure d'atténuation qui empêche ce problème de se produire.

Que dois-je faire ?

Aucune action n'est requise de la part du client pour l'atténuation. Des mesures d'atténuation ont déjà été appliquées aux instances Confidential VM avec AMD SEV-SNP.

Toutefois, les instances Confidential VM avec AMD SEV-SNP utilisent désormais le format d'attestation v4. Les clients qui utilisent la bibliothèque go-sev-guest pour analyser les rapports d'attestation doivent passer à la version 0.14.0 ou ultérieure de go-sev-guest.

Pour les clients qui utilisent leurs propres analyseurs, le format du rapport d'attestation est défini par la spécification ABI du micrologiciel SEV Secure Nested Paging.

Quelles failles sont corrigées ?

Pour en savoir plus, consultez l'avis AMD AMD-SB-3020.

Les failles suivantes ont été découvertes dans Envoy Proxy :

• CVE-2025-62504
• CVE-2025-62409

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Cloud Service Mesh.

• CVE-2025-62504
• CVE-2025-62409

Mise à jour du 17/11/2025 : Ajout de versions de correctif pour les nœuds Ubuntu GKE.

Mise à jour du 30/10/2025 : ajout de versions de correctif et d'un niveau de gravité pour le logiciel GDC pour VMware

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-39682

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Mise à jour du 30/10/2025 : ajout de versions de correctif pour les nœuds Ubuntu sur GKE, ainsi que de versions de correctif et d'un niveau de gravité pour le logiciel GDC pour VMware.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-58240

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Une faille d'exécution de code à distance a été découverte dans Valkey et Redis Open Source. Par conséquent, toutes les versions compatibles avec Memorystore pour Redis, Memorystore pour Redis Cluster et Memorystore pour Valkey sont concernées.

Par défaut, les composants Memorystore de Google Cloud ne sont pas exposés à l'Internet public. Le risque de cette faille est donc faible pour les utilisateurs de Memorystore qui suivent les bonnes pratiques de sécurité de Google Cloud.

Que devez-vous faire ?

Google a commencé à appliquer des correctifs automatiquement, avec une date de fin estimée au 6 novembre 2025. Aucune action n'est requise de votre part pour bénéficier de cette correction.

Si vous souhaitez appliquer ces correctifs à vos clusters ou instances Memorystore avant le 6 novembre 2025, utilisez la maintenance en libre-service pour effectuer les actions suivantes :

1. Affichez la version de maintenance actuelle de vos instances Memorystore pour Redis, de vos clusters Memorystore pour Redis Cluster ou de vos instances Memorystore pour Valkey.
2. Vérifiez si la version correspond aux dernières versions corrigées.
3. Si la version n'est pas la dernière version de maintenance, mettez à jour vos instances ou clusters vers la dernière version de maintenance à l'aide de la maintenance en libre-service pour Memorystore pour Redis, Memorystore pour Redis Cluster et Memorystore pour Valkey.

Oracle a publié une alerte de sécurité confirmant qu'Oracle E-Business Suite (EBS) est vulnérable à une exploitation non authentifiée.

Que dois-je faire ?

Google n'utilise pas Oracle EBS et Google Cloud n'est pas affecté par cette faille.

Mise à jour du 22/10/2025 : ajout d'un lien vers la CVE.

Le 23 septembre 2025, nous avons détecté un problème technique dans l'API Vertex AI. Il a entraîné un mauvais routage d'un nombre limité de réponses entre les destinataires pour certains modèles tiers lors de l'utilisation de requêtes de streaming. Ce problème est à présent résolu. Les modèles Google, comme Gemini, n'ont pas été affectés.

Certains proxys internes ne géraient pas correctement les requêtes HTTP comportant un en-tête Expect: 100-continue, ce qui entraînait une désynchronisation dans une connexion de réponse en flux continu. Dans ce cas, une réponse destinée à une requête était fournie en tant que réponse à une requête ultérieure.

Que dois-je faire ?

Nous avons implémenté des correctifs pour résoudre correctement la présence de l'en-tête Expect: 100-continue et éviter que ce problème ne se reproduise. Nous avons également ajouté des tests, une surveillance et des alertes pour pouvoir détecter rapidement ce problème et éviter toute régression. Pour le moment, aucune action n'est requise de la part des clients pour éviter ce comportement inattendu.

Les correctifs ont été déployés pour différents modèles selon des calendriers distincts. Les modèles Anthropic ont été corrigés le 26 septembre à 00h45 (heure du Pacifique) et toutes les surfaces le 28 septembre à 19h10 (heure du Pacifique). Les modèles concernés sur l'API Vertex AI et la date de résolution sont listés ci-dessous :

• Anthropic Partner Model-as-a-Service models (Claude)

  • Ce problème a été résolu le 26 septembre 2025 à 00h45 PDT.

• Tous les modèles Open Model-as-a-Service, y compris DeepSeek (R1-0528 et V3.1), OpenAI (gpt-oss-120b et gpt-oss-20b), Qwen (Next Instruct 80B, Next Thinking 80B, Qwen 3 Coder et Qwen 3 235B), Llama (Maverick, Scout, 3.3, 3.2, 3.1 405b, 3.1 70b et 3.1 8b)

  • Ce problème a été résolu le 28 septembre 2025 à 2h43 PDT.

• Mistral et AI21 Modèles partenaires Model-as-a-Service

  • Ce problème a été résolu le 28 septembre 2025 à 11h00 PDT.

• Modèles déployés par l'utilisateur pour lesquels la méthode "StreamRawPredict", "ChatCompletions", "GenerateContent" ou "StreamGenerateContent" a été appelée à l'aide de points de terminaison publics

  • Ce problème a été résolu le 28 septembre 2025 à 19h10 PDT.

  • Les points de terminaison dédiés (par défaut dans Model Garden) et privés n'ont pas été affectés.

Une faille a été découverte dans l'instruction RDSEED des processeurs AMD Zen 5 (Turin). Cette instruction permet de générer des nombres aléatoires cryptographiques. Dans certaines conditions de charge du système, les versions 16 et 32 bits de RDSEED peuvent échouer silencieusement, ce qui pourrait compromettre les applications reposant sur la génération de nombres aléatoires. Les clients qui utilisent la version 64 bits de RDSEED ne sont pas concernés.

Que dois-je faire ?

AMD étudie cette faille.

Il est important de noter que le noyau Linux 64 bits utilise la version sécurisée 64 bits de l'instruction RDSEED, qui alimente les nombres aléatoires obtenus à partir de /dev/[u]random. Ces nombres aléatoires ne sont pas concernés par cette faille.

Si vous avez du code d'application qui synthétise lui-même des nombres aléatoires à l'aide de l'instruction RDSEED, sachez que les versions 16 bits et 32 bits de l'instruction ne sont pas sécurisées. La version 64 bits de l'instruction est sécurisée.

Quelles failles sont corrigées ?

Cette faille permet à un pirate informatique de provoquer l'échec silencieux de RDSEED, ce qui peut compromettre la génération de nombres aléatoires dans les applications.

Mise à jour du 11/11/2025  : ajout de versions de correctif pour les pools de nœuds Ubuntu dans GKE.

Mise à jour du 27/10/2025 : Ajout de versions de correctif et d'un niveau de gravité pour le logiciel GDC pour VMware.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-38618

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Mise à jour du 13/11/2025 : ajout de versions de correctif pour le logiciel GDC pour VMware. La gravité du logiciel GDC pour VMware est désormais définie sur "Élevée".

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-39946

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Mise à jour du 11/11/2025  : ajout de versions de correctif pour les pools de nœuds Ubuntu dans GKE.

Mise à jour du 16/10/2025 : ajout de versions de correctif et d'un niveau de gravité pour le logiciel GDC pour VMware

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-38617

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Selon l'avis de sécurité VMware VMSA-2025-0015, plusieurs failles dans VMware Aria Operations et VMware Tools ont été signalées à Broadcom de manière privée. Des correctifs sont disponibles pour corriger ces failles dans les produits Broadcom concernés.

Que dois-je faire ?

Nous vous recommandons de passer à VMware Aria Automation 8.18.5 et VMware Tools 13.0.5.

• VMSA-2025-0015
• CVE-2025-41244
• CVE-2025-41245
• CVE-2025-41246

Looker Studio a corrigé les failles signalées par un chercheur externe via le programme de récompense pour la découverte de failles de Google et Alphabet (VRP), mais n'a trouvé aucune preuve d'exploitation. Ces problèmes sont désormais résolus et aucune action n'est requise de votre part.

Que dois-je faire ?

Aucune action n'est requise de la part du client.

Quelles failles sont corrigées ?

Les failles ont permis un accès non autorisé aux données via des rapports partagés, des sources de données avec des identifiants de lecteur, l'API Studio Linking et Conversational Analytics.

Looker a corrigé les failles signalées par un chercheur externe via le programme Google et Alphabet Vulnerability Reward Program (VRP), mais n'a trouvé aucune preuve d'exploitation. Ces problèmes sont désormais résolus. Aucune action n'est requise de la part des clients hébergés sur Looker (Google Cloud Core) et Looker (version initiale). Nous recommandons aux instances Looker auto-hébergées de passer à la dernière version compatible.

Que dois-je faire ?

Instances hébergées par Looker : instances Looker (Google Cloud Core) et Looker (version initiale)

Aucune action n'est requise de la part du client.

Instances Looker auto-hébergées uniquement

Si votre instance Looker est auto-hébergée, nous vous recommandons de la mettre à niveau vers l'une des versions suivantes :

• 25.12.30+
• 25.10.54+
• 25.6.79+
• 25.0.89+
• 24.18.209+

Remarque : Les versions 25.14 et ultérieures ne sont pas concernées par ces problèmes de sécurité.

Quelles failles sont corrigées ?

Les failles permettaient aux utilisateurs disposant d'autorisations de développeur dans Looker d'accéder à la fois au système sous-jacent hébergeant Looker et à sa base de données interne.

Des chercheurs ont découvert une faille de sécurité affectant les processeurs Intel et tous les processeurs AMD Zen. Cette faille permet à un pirate informatique de lire potentiellement des données sensibles en exploitant des failles d'exécution spéculative connues.

Que dois-je faire ?

Aucune action n'est requise de votre part pour le moment, car Google a appliqué des correctifs aux composants concernés, y compris Google Cloud, afin d'atténuer le problème de manière non perturbatrice sur l'ensemble du parc.

Quelles failles sont corrigées ?

Pour en savoir plus, consultez l'article de blog sur COMSEC.

Mise à jour du 11/11/2025  : ajout de versions de correctif pour les pools de nœuds Ubuntu dans GKE.

Mise à jour du 15/10/2025  : Ajout de versions de correctif et d'un niveau de gravité pour le logiciel GDC pour VMware.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-38500

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Une faille critique a été détectée dans les versions 6.3.54.0 et 6.3.53.2 de Google Security Operations SOAR. Un utilisateur authentifié disposant des autorisations nécessaires pour importer des fichiers ZIP (par exemple, lors de l'importation de cas d'utilisation) peut importer une archive ZIP capable d'écrire des fichiers à des emplacements arbitraires sur le système de fichiers du serveur.

Le système d'extraction des fichiers des archives ZIP n'a pas pu empêcher l'écriture des fichiers de l'archive en dehors du dossier de destination prévu. Il s'agit également d'une faille de traversée de répertoire ou ZipSlip.

Que dois-je faire ?

Aucune action n'est requise de la part du client. Tous les clients ont été automatiquement mis à niveau vers la version corrigée ou une version ultérieure : 6.3.54.1 ou 6.3.53.3.

Quelles failles sont corrigées ?

Un pirate informatique pourrait exploiter cette faille pour écraser les fichiers de l'application. En écrasant un fichier JavaScript utilisé par la fonctionnalité de génération de rapports, un pirate informatique pourrait exécuter du code à distance (RCE) sur l'instance Google SecOps SOAR. L'auteur de l'attaque pourrait exécuter son propre code sur le serveur.

Pour en savoir plus, consultez le bulletin de sécurité Google SecOps GCP-2025-049.

La faille suivante a été découverte dans Envoy Proxy :

• CVE-2025-54588

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Cloud Service Mesh.

Mise à jour du 25/09/2025 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-38350

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Mise à jour du 11/11/2025  : ajout de versions de correctif pour les pools de nœuds Ubuntu dans GKE.

Mise à jour du 15/10/2025  : Ajout de versions de correctif et d'un niveau de gravité pour le logiciel GDC pour VMware.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-38477

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Un chercheur externe a signalé une faille de sécurité dans l'API Dataform via le programme Google et Alphabet Vulnerability Reward Program (VRP). Cette faille pourrait potentiellement permettre un accès non autorisé aux dépôts de code et aux données des clients. Google a rapidement résolu le problème et déployé la correction dans toutes les régions. Pour le moment, aucune preuve d'exploitation n'a été trouvée ni signalée à Google.

Que dois-je faire ?

Aucune action n'est requise de la part du client. Google a déjà appliqué des mesures d'atténuation à tous les produits et services concernés.

Quelles failles sont corrigées ?

Pour en savoir plus, consultez CVE-2025-9118.

Intel a informé Google de deux nouvelles failles de sécurité.

CVE-2025-21090 : cette faille affecte les processeurs Intel suivants :

• Sapphire Rapids : familles de VM C3, Z3, H3, A3 et v5p
• Emerald Rapids : familles de VM N4, C4, M4, A3 Ultra et A4
• Granite Rapids : famille de VM N4 et C4

CVE-2025-22840 : cette faille affecte le processeur Intel suivant :

• Granite Rapids : famille de VM N4 et C4

Que dois-je faire ?

Aucune action n'est requise de la part des clients pour ces deux failles. Google mettra à jour vos systèmes de manière proactive pendant vos intervalles de maintenance standards et planifiés. Pour le moment, aucune preuve d'exploitation n'a été trouvée ni signalée à Google.

Quelles failles sont corrigées ?

La faille CVE-2025-21090 permet à un acteur non privilégié utilisant l'instruction AMX du processeur, en association avec l'instruction AVX du processeur, de rendre la machine hôte inutilisable.

La faille CVE-2025-22840 permet à un acteur non privilégié utilisant l'instruction CPU prefetchit de charger du contenu de mémoire auquel il n'aurait normalement pas accès, ce qui peut potentiellement entraîner l'exécution de code à distance.

• CVE-2025-21090
• CVE-2025-22840

Une faille potentielle de déni de service (DoS) existe dans l'implémentation Python pur de protobuf-python. Un pirate informatique peut provoquer le plantage d'un service en envoyant un message spécialement conçu à cet effet.

Impact

Vous pouvez être concerné si vous importez protobuf-python dans vos projets, directement ou de manière transitive. Notez que les bibliothèques clientes Cloud pour Python utilisent protobuf-python comme dépendance. Si vous utilisez ces bibliothèques, assurez-vous d'utiliser une version de protobuf-python mentionnée dans la section suivante.

Que dois-je faire ?

Assurez-vous d'utiliser les dernières versions des packages logiciels suivants :

• protobuf-python (4.25.8, 5.29.5, 6.31.1)

Quelles failles ce correctif permet-il de résoudre ?

Ce correctif réduit les risques liés à la faille suivante :

La faille de sécurité provient d'une récursion illimitée lorsque le backend purement Python analyse certains messages de tampons de protocole. Un attaquant non authentifié peut envoyer un message contenant des groupes récursifs profondément imbriqués, des messages ou une série de balises SGROUP. Cette entrée entraîne le dépassement de la profondeur de récursion maximale de l'interpréteur Python, ce qui déclenche une erreur RecursionError qui plante le service et entraîne un déni de service. Tout projet analysant des données non fiables avec le backend concerné est à risque.

Pour en savoir plus, consultez l'avis de sécurité Protobuf.

Élevée

CVSS v4.0

Score : 8,2

Ce problème n'affecte que le backend d'implémentation Protobuf de python.

Quelle que soit la valeur renvoyée lors de la vérification du backend d'implémentation Protobuf, une mise à niveau est recommandée, car la variable d'environnement PROTOCOL_BUFFERS_PYTHON_IMPLEMENTATION peut modifier le backend d'implémentation Protobuf lors de l'exécution.

Des chercheurs ont découvert une faille de sécurité dans certains processeurs Intel, y compris ceux basés sur les microarchitectures Skylake, Broadwell et Haswell. Cette vulnérabilité permet à un pirate informatique de lire potentiellement des données sensibles directement à partir du cache L1 du processeur auquel il n'est pas autorisé à accéder.

Cette faille a été initialement divulguée dans CVE-2018-3646 en 2018. Dès la découverte de cette faille, Google a immédiatement mis en place des mesures d'atténuation pour faire face aux risques connus. Des informations sur la faille et les correctifs initiaux ont été publiées à l'époque. Depuis, nous étudions le risque résiduel et collaborons avec la communauté Linux en amont pour y remédier.

Nous avons récemment collaboré avec des chercheurs en sécurité du monde universitaire pour évaluer l'état actuel des mesures d'atténuation de la sécurité des processeurs et les techniques d'attaque potentielles qui n'avaient pas été prises en compte en 2018.

Google a appliqué des correctifs aux composants concernés, y compris Google Cloud, pour atténuer le problème.

Que dois-je faire ?

Aucune action n'est requise de la part du client. Des mesures d'atténuation ont déjà été appliquées à la flotte de serveurs Google.

Quelles failles sont corrigées ?

Pour en savoir plus, consultez l'avis Intel INTEL-SA-00161 et CVE-2018-3646.

Mise à jour du 10/11/2025 : ajout de versions de correctif pour le logiciel GDC pour VMware. La gravité du logiciel GDC pour VMware est désormais définie sur "Élevée".

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Ubuntu :

• CVE-2025-37890

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Conformément à l'avis VMSA-2025-0013, plusieurs failles dans VMware ESXi ont été signalées à Broadcom de manière privée.

Nous avons déjà corrigé ces failles ou nous sommes en train d'appliquer les correctifs nécessaires fournis par Broadcom. Il n'existe aucune solution de contournement connue pour ces failles signalées.

Une fois corrigées, vos déploiements VMware Engine doivent exécuter ESXi 7.0U3w ou ESXi 8.0U3f ou version ultérieure.

Que dois-je faire ?

Google recommande aux clients de surveiller leurs charges de travail sur VMware Engine afin de détecter toute activité inhabituelle.

• VMSA-2025-0013
• CVE-2025-41236
• CVE-2025-41237
• CVE-2025-41238
• CVE-2025-41239

Mise à jour du 10/11/2025 : ajout de versions de correctif pour le logiciel GDC pour VMware. La gravité du logiciel GDC pour VMware est désormais définie sur "Élevée".

Mise à jour du 28/08/2025 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-38083

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Mise à jour du 25/09/2025 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-37752

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

AMD a révélé deux failles affectant les processeurs AMD EPYC de 2e génération (Rome), de 3e génération (Milan) et de 4e génération (Genoa). Les failles permettent à un pirate informatique d'inférer des données à partir de magasins précédents ou du cache L1D, ce qui peut entraîner la fuite d'informations sensibles.

Google a déployé une mesure d'atténuation qui empêche cette fuite d'informations entre les VM.

Il est toujours possible que des processus au sein d'une même VM exploitent ces failles.

Que dois-je faire ?

Après le 8 juillet 2025, une atténuation au niveau de l'invité qui protège contre les attaques intra-invité sera disponible pour les VM suivantes :

• VM démarrées pour la première fois.
• VM complètement arrêtées, puis redémarrées. Le redémarrage du système d'exploitation n'activera pas la mitigation. La VM elle-même doit être entièrement redémarrée pour que la mitigation soit activée. Pour que cette atténuation soit efficace, les noyaux du système d'exploitation invité doivent la prendre en charge.

Pour en savoir plus, consultez le bulletin de sécurité AMD AMD-SB-7029.

• CVE-2024-36350
• CVE-2024-36357

Mise à jour du 10/11/2025 : ajout de versions de correctif pour le logiciel GDC pour VMware. La gravité du logiciel GDC pour VMware est désormais définie sur "Élevée".

Mise à jour du 21/07/2025 : Ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-38001

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Mise à jour du 10/11/2025 : ajout de versions de correctif pour le logiciel GDC pour VMware. La gravité du logiciel GDC pour VMware est désormais définie sur "Élevée".

Mise à jour du 21/07/2025 : Ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-37997

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Mise à jour du 21/07/2025 : Ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-38000

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Un problème de sécurité a été détecté, qui permettrait aux pirates informatiques de contourner les restrictions d'isolation des charges de travail sur les clusters GKE.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Mise à jour du 21/07/2025 : Ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-37798

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Mise à jour du 26/08/2025 : Ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-37797

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Selon l'avis de sécurité VMware VMSA-2024-0017, une faille d'injection SQL dans VMware Aria Automation a été signalée à VMware de manière privée. Des correctifs sont disponibles pour corriger cette faille dans les produits VMware concernés.

Que dois-je faire ?

Nous vous recommandons de passer à VMware Aria Automation KB325790.

• VMSA-2024-0017
• CVE-2024-22280

Conformément à l'avis de sécurité VMware VMSA-2025-0006, une faille d'escalade des privilèges locaux dans VMware Aria Operations a été signalée à VMware de manière responsable. Des correctifs sont disponibles pour corriger cette faille dans les produits VMware concernés.

Que dois-je faire ?

Nous vous recommandons de passer à VMware Aria Operations 8.18 HF5.

• VMSA-2025-0006
• CVE-2025-22231

Selon l'avis de sécurité VMware VMSA-2025-0003, plusieurs failles dans VMware Aria Operations for Logs et VMware Aria Operations ont été signalées à VMware de manière privée. Des correctifs sont disponibles pour corriger cette faille dans les produits VMware concernés.

Que dois-je faire ?

Nous vous recommandons de passer à VMware Aria Operations for Logs 8.18.3 et VMware Aria Operations 8.18.3.

• VMSA-2025-0003
• CVE-2025-22218
• CVE-2025-22219
• CVE-2025-22220
• CVE-2025-22221
• CVE-2025-22222

Une faille de sécurité a été détectée dans le service d'équilibreur de charge d'application classique avant le 26 avril 2025.

Que dois-je faire ?

Aucune action n'est requise de la part du client. Le problème a été résolu dans le service d'équilibreur de charge d'application classique le 26 avril 2025.

Quelles failles sont corrigées ?

CVE-2025-4600 : les pirates pouvaient introduire des requêtes dans les équilibreurs de charge d'application classiques en raison d'une analyse incorrecte des corps de blocs surdimensionnés. Lors de l'analyse du corps de requête HTTP à l'aide du transfert par blocs, l'équilibreur de charge d'application classique autorise les corps de blocs surdimensionnés. Par conséquent, il était possible de masquer des octets dans ces données de fin ignorées qu'un serveur HTTP en amont pouvait interpréter à tort comme un terminateur de ligne. Cette faille a été corrigée dans le service d'équilibreur de charge d'application classique le 26 avril 2025 grâce à une logique d'analyse et de validation des entrées améliorée.

Nous sommes là pour vous aider

Pour toute question ou si vous avez besoin d'aide, contactez l'équipe Cloud Customer Care.

Selon l'avis de sécurité VMware VMSA-2025-0008, une faille de script intersite (XSS) basée sur le DOM dans VMware Aria Automation a été signalée à VMware de manière privée. Des correctifs sont disponibles pour corriger cette faille dans les produits VMware concernés.

Que dois-je faire ?

Nous vous recommandons de passer à VMware Aria Automation 8.18.1 correctif 2.

• VMSA-2025-0008
• CVE-2025-22249

Intel a informé Google d'une nouvelle faille de canal auxiliaire affectant les processeurs Intel suivants : Cascade Lake, Ice Lake XeonSP, Ice Lake XeonD, Sapphire Rapids et Emerald Rapids.

Google a appliqué des correctifs aux composants concernés, y compris Google Cloud, pour s'assurer que les clients sont protégés. Pour le moment, aucune preuve d'exploitation n'a été trouvée ni signalée à Google.

Que dois-je faire ?

Aucune action n'est requise de la part du client. Des correctifs ont déjà été appliqués à la flotte de serveurs Google pour protéger les clients.

Quelles failles sont corrigées ?

CVE-2024-45332. Pour en savoir plus, consultez l'avis Intel INTEL-SA-01247.

Nous sommes là pour vous aider

Pour toute question ou si vous avez besoin d'aide, veuillez contacter le service client Cloud en indiquant la référence 417536835.

Mise à jour du 13/05/2025 : Pour toute question ou si vous avez besoin d'aide, veuillez contacter l'équipe Cloud Customer Care en indiquant la référence 417458390.

Intel a informé Google d'une nouvelle faille d'exécution spéculative affectant les processeurs Intel Cascade Lake et Intel Ice Lake.

Google a appliqué des correctifs aux composants concernés, y compris Google Cloud, pour s'assurer que les clients sont protégés. Pour le moment, aucune preuve d'exploitation n'a été trouvée ni signalée à Google.

Que dois-je faire ?

Aucune action n'est requise de la part du client. Des mesures d'atténuation ont déjà été appliquées à la flotte de serveurs Google.

D'autres mesures d'atténuation des fabricants d'équipement d'origine (OEM) Intel et d'autres partenaires de système d'exploitation seront déployées dès qu'elles seront disponibles pour atténuer la vulnérabilité de la sélection de cible indirecte (ITS) en mode identique.

Une fois les mesures d'atténuation du système d'exploitation appliquées, les clients disposant de VM de 3e génération ou ultérieures de longue durée peuvent constater une dégradation involontaire des performances.

Quelles failles sont corrigées ?

CVE-2024-28956. Pour en savoir plus, consultez l'avis de sécurité Intel INTEL-SA-01153.

Des failles de sécurité potentielles qui pourraient être exploitées si elles n'étaient pas corrigées dans les règles JavaCallout et PythonScript ont été découvertes et résolues.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Apigee.

Mise à jour du 22/05/2025 : Ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-21702

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Mise à jour du 02/06/2025 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-21971

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Une faille de sécurité dans Looker permettait aux utilisateurs disposant d'autorisations d'administrateur (en particulier manage_project_connections_restricted) dans Looker de lire des fichiers à partir du système de fichiers hôte sous-jacent et d'interroger les points de terminaison du réseau interne. Le problème a été résolu. Aucune action n'est requise de la part des clients hébergés sur Looker qui utilisent Looker (Google Cloud Core) et Looker (version initiale). Nous recommandons aux instances Looker auto-hébergées de passer à la dernière version compatible.

Cette faille a été corrigée dans toutes les versions compatibles de Looker hébergé par le client, disponibles sur la page de téléchargement de Looker.

Que dois-je faire ?

• Aucune action n'est requise de votre part pour les instances hébergées sur Looker, y compris les instances Looker (Google Cloud Core) et Looker (version initiale).
• Pour les instances Looker hébergées par le client, veuillez passer à la dernière version compatible de Looker dès que possible. Les versions ci-dessous ont toutes été mises à jour pour vous protéger contre cette faille. Vous pouvez télécharger ces versions sur la page de téléchargement de Looker :
  • 25.4 > 25.4.29+
  • 25.2 → 25.2.34+
  • 25.0 -> 25.0.55+
  • 24.18 -> 24.18.185+
  • 24.12 -> 24.12.95+
  • 24.6 -> 24.6.107+

Mise à jour du 26/06/2025 : ajout de versions de correctif pour le logiciel GDC pour VMware.

Mise à jour du 22/05/2025 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2025-21701

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Mise à jour du 09/10/2025 : ajout de versions de correctif pour les nœuds Ubuntu sur GKE

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2025-40364

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Mise à jour du 22/05/2025 : Ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Mise à jour du 05/05/2025 : ajout de versions de correctif pour le logiciel GDC pour VMware. La gravité du logiciel GDC pour VMware est désormais définie sur "Élevée".

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-21756

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Mise à jour du 22/05/2025 : Ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Mise à jour du 29/04/2025 : Ajout d'une version corrigée du logiciel GDC pour VMware. La gravité du logiciel GDC pour VMware est désormais définie sur "Élevée".

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2023-52927

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Mise à jour du 22/05/2025 : Ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Mise à jour du 17/04/2025 : ajout de versions de correctif pour GDC (VMware). Le niveau de gravité de GDC (VMware) est passé de "En attente" à "Élevé".

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-21700

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Mise à jour du 22/05/2025 : Ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Mise à jour du 05/05/2025 : ajout de versions de correctif pour le logiciel GDC pour VMware. La gravité du logiciel GDC pour VMware est désormais définie sur "Élevée".

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-21703

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Plusieurs problèmes de sécurité ont été détectés dans le contrôleur NGINX Ingress, ingress-nginx, un composant logiciel Open Source qui s'exécute dans les clusters Kubernetes pour aider à gérer le trafic réseau entrant dans le cluster. La plus critique est CVE-2025-1974. Pour en savoir plus et obtenir la liste complète, consultez le flux CVE de Kubernetes.

Ces problèmes concernent ingress-nginx. Si ingress-nginx n'est pas installé sur votre cluster, vous n'êtes pas concerné.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Mise à jour du 10/04/2025 : Ajout de versions de correctif pour les nœuds Ubuntu GKE et le logiciel GDC pour VMware. La gravité du logiciel GDC pour VMware est désormais définie sur "Élevée".

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-53164

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

VMware a révélé plusieurs failles dans VMSA-2025-0004 qui affectent les composants ESXi déployés dans les environnements client.

Impact sur VMware Engine

Vos clouds privés sont déjà corrigés ou sont en cours de mise à jour pour corriger la faille de sécurité. Dans le cadre du service VMware Engine, tous les clients disposent d'hôtes physiques dédiés dotés de disques installés localement, isolés physiquement des autres matériels. Cela signifie que la faille de sécurité est limitée aux VM invitées de votre cloud privé spécifique.

Vos clouds privés seront mis à jour vers la version 7.0u3s (numéro de build 24534642). Cela équivaut à la version 7.0U3s : numéro de build 24585291.

Que dois-je faire ?

Suivez les instructions de Broadcom et de vos fournisseurs de sécurité concernant cette faille.

• VMSA-2025-0004
• CVE-2025-22224
• CVE-2025-22225
• CVE-2025-22226

Mise à jour du 02/06/2025 : Ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Mise à jour du 10/04/2025 : Ajout de versions de correctif pour le logiciel GDC pour VMware. La gravité du logiciel GDC pour VMware est désormais définie sur "Élevée".

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-56770

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Le projet Envoy a récemment annoncé plusieurs nouvelles failles de sécurité (CVE-2024-53269, CVE-2024-53270 et CVE-2024-53271) qui pourraient permettre à un pirate informatique de planter Envoy.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

• CVE-2024-53269
• CVE-2024-53270
• CVE-2024-53271

Mise à jour du 10/04/2025 : Ajout de versions de correctif pour le logiciel GDC pour VMware. La gravité du logiciel GDC pour VMware est désormais définie sur "Élevée".

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-53141

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Google a découvert une faille dans les processeurs AMD basés sur Zen, qui affecte les instances Confidential VM avec AMD SEV-SNP activé. Cette faille permet aux pirates informatiques disposant d'un accès root à une machine physique de compromettre la confidentialité et l'intégrité de l'instance Confidential VM.

Google a appliqué des correctifs aux composants concernés, y compris Google Cloud, pour s'assurer que les clients sont protégés. Pour le moment, aucune preuve d'exploitation n'a été trouvée ni signalée à Google.

Que dois-je faire ?

Aucune action n'est requise de la part du client. Les clients qui souhaitent vérifier le correctif peuvent consulter la version de la base de calcul sécurisée (TCB) dans le rapport d'attestation de leur instance Confidential VM avec AMD SEV-SNP. Voici les versions minimales qui permettent de réduire les risques liés à cette faille :

SNP TCB SVN: 0x18 0d24
tcb_version {
  psp_bootloader_version: 4
  snp_firmware_version: 24 (0x18)
  microcode_version: 219
}

Pour en savoir plus, consultez le bulletin de sécurité AMD AMD-SB-3019.

CVE-2024-56161

Une faille dans le fournisseur Google Secret Manager pour le pilote CSI Secret Store permet à un pirate informatique disposant des autorisations de création de pods et de secrets dans un espace de noms d'exfiltrer le jeton du compte de service Kubernetes du pilote CSI en installant un volume malveillant sur un pod.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Les serveurs qui utilisent les bibliothèques d'authentification Google et les bibliothèques clientes Cloud pour s'authentifier auprès de Google Cloud avec une configuration d'identifiants contrôlée par un pirate informatique peuvent être vulnérables à la falsification de requête côté serveur et à la lecture de fichiers arbitraires.

Que dois-je faire ?

Si vous acceptez une configuration d'identifiants (fichier JSON, fichier ou flux d'identifiants) provenant d'une source externe pour l'authentification auprès de Google Cloud, vous devez la valider avant de la fournir aux bibliothèques d'authentification Google ou aux bibliothèques clientes Cloud. Fournir une configuration d'identifiants non validée aux bibliothèques Google peut compromettre la sécurité de vos systèmes et de vos données. Pour en savoir plus, consultez Valider les configurations des identifiants à partir de sources externes.

Quelles failles sont corrigées ?

Certains types de configurations d'identifiants incluent des points de terminaison et des chemins d'accès aux fichiers, que les bibliothèques d'authentification utilisent pour obtenir un jeton. Lorsqu'un service ou une application accepte des configurations d'identifiants provenant de sources externes et les utilise avec les bibliothèques d'authentification Google ou les bibliothèques clientes Cloud sans validation, un pirate informatique peut fournir une configuration d'identifiants contenant un point de terminaison ou un chemin malveillant. Cela permet au pirate informatique d'exfiltrer des données ou des jetons du service ou de la machine sur laquelle le service est exécuté. Pour éviter cela, les validations doivent être effectuées sur la configuration des identifiants provenant de sources externes, comme décrit dans Valider les configurations d'identifiants provenant de sources externes.

Pour informer les développeurs d'applications, nous avons mis à jour notre documentation avec les validations à effectuer lors de l'acceptation des configurations d'identifiants obtenues à partir de sources externes.

Conformément à l'avis de sécurité VMware VMSA-2025-0001, une faille SSRF (Server-Side Request Forgery, falsification de requête côté serveur) dans VMware Aria Automation a été signalée à VMware de manière responsable. Des correctifs sont disponibles pour corriger cette faille dans les produits VMware concernés.

Que dois-je faire ?

Nous vous recommandons de passer à VMware Aria Automation 8.18.2 HF.

• VMSA-2025-0001
• CVE-2025-22215

Mise à jour du 23/01/2025 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-50264

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Mise à jour du 23/01/2025 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Mise à jour du 22/01/2025 : ajout de versions de correctif pour GDC (VMware). La gravité pour GDC (VMware) est désormais "Moyenne".

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-53057

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Mise à jour du 23/01/2025 : mise à jour de la section Ressources concernées dans l'onglet GKE.

Mise à jour du 08/01/2025 : la date et l'heure de début du problème ont été corrigées.

Un problème de sécurité a affecté les ressources des VPC avec GKE Multi-Cluster Gateway (MCG) configuré. MCG est une fonctionnalité facultative utilisée par un petit sous-ensemble de clients GKE. Nous informons individuellement les clients qui avaient activé la fonctionnalité pendant cette période.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Les CVE suivantes exposent Cloud Service Mesh à des failles exploitables :

• CVE-2024-53269 : Happy Eyeballs : validez que les additional_address sont des adresses IP au lieu de planter lors du tri.
• CVE-2024-53270 : HTTP/1 : plantage en cas de surcharge d'envoi lorsque la requête est réinitialisée au préalable.
• CVE-2024-53271 : problèmes multiples liés à HTTP/1.1 avec envoy.reloadable_features.http1_balsa_delay_reset.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Cloud Service Mesh.

• CVE-2024-53269
  
• CVE-2024-53270
  
• CVE-2024-53271
  

Conformément à l'avis de sécurité VMware VMSA-2024-0022, plusieurs failles dans VMware Aria Operations ont été signalées à VMware de manière responsable. Des mises à jour sont disponibles pour corriger ces failles dans le produit VMware concerné.

Que dois-je faire ?

Nous vous recommandons de passer à VMware Aria Operations 8.18.2.

• VMSA-2024-0022
• CVE-2024-38830
• CVE-2024-38831
• CVE-2024-38832
• CVE-2024-38833
• CVE-2024-38834

Une faille a été découverte dans le service de l'API Vertex AI pour les requêtes multimodales Gemini, permettant de contourner VPC Service Controls. Un pirate informatique peut être en mesure d'utiliser le paramètre fileURI de l'API pour exfiltrer des données.

Que dois-je faire ?

Aucune action n'est requise. Nous avons implémenté un correctif pour renvoyer un message d'erreur lorsqu'une URL de fichier multimédia est spécifiée dans le paramètre fileUri et que VPC Service Controls est activé. Les autres cas d'utilisation ne sont pas concernés.

Quelles failles sont corrigées ?

L'API Cloud Support qui traite les requêtes multimodales Gemini vous permet d'inclure des fichiers multimédias en spécifiant l'URL du fichier multimédia dans le paramètre fileUri. Cette fonctionnalité peut être utilisée pour contourner les périmètres VPC Service Controls. Un pirate informatique situé dans le périmètre de service pourrait encoder des données sensibles dans le paramètre fileURI pour contourner le périmètre de service.

Mise à jour du 22/01/2025 : ajout de versions de correctif pour GDC (VMware). Le niveau de gravité de GDC (VMware) est passé de "En attente" à "Élevé".

Mise à jour du 12/12/2024  : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-46800

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Un problème de sécurité détecté dans les clusters Kubernetes pourrait entraîner l'exécution de code à distance à l'aide d'un volume gitRepo. Si le dépôt Git est construit de manière malveillante, un utilisateur ayant la possibilité de créer un pod et d'associer un volume gitRepo peut exécuter des commandes arbitraires au-delà des limites du conteneur.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Conformément à l'avis de sécurité VMware VMSA-2024-0020, plusieurs failles dans VMware NSX ont été signalées à VMware de manière responsable.

La version de NSX-T exécutée dans votre environnement VMware Engine n'est pas concernée par les CVE-2024-38815, CVE-2024-38818 ni CVE-2024-38817.

Que dois-je faire ?

Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise.

• VMSA-2024-0020
• CVE-2024-38815
• CVE-2024-38817
• CVE-2024-38818

Selon l'avis de sécurité VMware VMSA-2024-0021, une faille d'injection SQL authentifiée dans VMware HCX a été signalée à VMware de manière privée.

Nous avons appliqué la mesure d'atténuation approuvée par VMware pour résoudre cette faille. Ce correctif résout une faille de sécurité décrite dans CVE-2024-38814. Les versions d'image exécutées dans votre cloud privé VMware Engine ne reflètent pour le moment aucune modification indiquant les changements appliqués. Les mesures d'atténuation appropriées ont été installées et votre environnement est protégé contre cette faille.

Que dois-je faire ?

Nous vous recommandons de passer à la version 4.9.2 de VMware HCX.

• VMSA-2024-0021
• CVE-2024-38814

Les versions 1.1.0 à 1.2.2 de Migrate to Containers pour Windows créaient un m2cuser local avec des droits d'administrateur. Cela représentait un risque de sécurité si les commandes analyze ou generate étaient interrompues par l'utilisateur ou en raison d'une erreur interne, ce qui entraînait l'ignorance de l'action de suppression de l'utilisateur local m2cuser.

Que dois-je faire ?

Les versions suivantes de la CLI Migrate to Containers pour Windows ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau manuellement votre CLI Migrate to Containers vers la version suivante ou une version ultérieure :

• La CLI Migrate to Containers pour Windows 1.2.3 est sortie le 8 octobre 2024 – Notes de version de la CLI Migrate to Containers | Google Cloud

Quelles failles sont corrigées ?

La faille CVE-2024-9858 permet à un pirate informatique d'obtenir un accès administrateur aux machines Windows concernées à l'aide du compte utilisateur administrateur local créé par le logiciel Migrate to Containers.

Mise à jour du 19/11/2024  : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Mise à jour du 15/10/2024 : ajout de versions de correctif pour GDC (VMware). Mise à jour des niveaux de gravité de GKE et GDC (VMware).

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-45016

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Une chaîne de failles (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) pouvant entraîner l'exécution de code à distance a été découverte dans le système d'impression CUPS utilisé par certaines distributions Linux. Un pirate informatique peut exploiter cette faille si les services CUPS écoutent sur le port UDP 631 et qu'il peut s'y connecter.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

• CVE-2024-47076
• CVE-2024-47175
• CVE-2024-47176
• CVE-2024-47177

Une faille de contrebande de requêtes HTTP dans Looker permettait à un pirate informatique non autorisé de capturer les réponses HTTP destinées aux utilisateurs légitimes.

Il existe deux versions de Looker hébergées par Looker :

• Looker (Google Cloud Core) a été identifié comme vulnérable. Ce problème a déjà été atténué et notre enquête n'a révélé aucun signe d'exploitation.
• Looker (original) n'était pas vulnérable à ce problème.

Il a été constaté que les instances Looker hébergées par les clients étaient vulnérables et devaient être mises à niveau vers l'une des versions ci-dessous.

Cette faille a été corrigée dans toutes les versions compatibles de Looker hébergé par le client, disponibles sur la page de téléchargement de Looker.

Que dois-je faire ?

• Aucune action n'est requise de votre part pour les instances hébergées sur Looker, y compris les instances Looker (Google Cloud Core).
• Pour les instances Looker hébergées par le client, veuillez passer à la dernière version compatible de Looker dès que possible. Les versions ci-dessous ont toutes été mises à jour pour vous protéger contre cette faille. Vous pouvez télécharger ces versions sur la page de téléchargement de Looker :
  • 23.12 → 23.12.123+
  • 23.18 -> 23.18.117+
  • 24.0 -> 24.0.92+
  • 24.6 -> 24.6.77+
  • 24.8 -> 24.8.66+
  • 24.10 -> 24.10.78+
  • 24.12 → 24.12.56+
  • 24.14 -> 24.14.37+

Quelles failles sont corrigées ?

La faille CVE-2024-8912 permet à un pirate informatique d'envoyer des en-têtes de requête HTTP personnalisés à Looker, ce qui peut entraîner l'interception de réponses HTTP destinées à d'autres utilisateurs.

Ces réponses peuvent contenir des informations sensibles.

Cette faille n'est exploitable que dans certaines configurations spécifiques.

Un problème de sécurité a été détecté dans les clusters Kubernetes comportant des nœuds Windows, où BUILTIN\Users peut lire les journaux de conteneur et où les utilisateurs NT AUTHORITY\Authenticated peuvent modifier les journaux de conteneur.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Lors de l'analyse de champs inconnus dans les bibliothèques Protobuf Java Full et Lite, un message malveillant peut provoquer une erreur StackOverflow et entraîner le plantage d'un programme.

Que dois-je faire ?

Nous avons travaillé assidûment pour résoudre ce problème et avons publié une solution d'atténuation qui est disponible dès maintenant. Nous vous encourageons à utiliser les dernières versions des packages logiciels suivants :

• protobuf-java (3.25.5, 4.27.5, 4.28.2)
• protobuf-javalite (3.25.5, 4.27.5, 4.28.2)
• protobuf-kotlin (3.25.5, 4.27.5, 4.28.2)
• protobuf-kotlin-lite (3.25.5, 4.27.5, 4.28.2)
• com-protobuf [gem JRuby uniquement] (3.25.5, 4.27.5, 4.28.2)

Quelles failles ce correctif permet-il de résoudre ?

Cette faille est un déni de service potentiel.

L'analyse de groupes imbriqués en tant que champs inconnus avec DiscardUnknownFieldsParser ou l'analyseur Java Protobuf Lite, ou par rapport aux champs de mappage Protobuf, crée des récursions illimitées qui peuvent être exploitées par un pirate informatique.

Score CVSS4.0 : 8,7

Élevée

Les CVE suivantes exposent Cloud Service Mesh à des failles exploitables :

• CVE-2024-45807 : plantage d'oghttp2 sur OnBeginHeadersForStream
• CVE-2024-45808 : injection de journaux malveillants via les journaux d'accès
• CVE-2024-45806 : possibilité de manipuler les en-têtes "x-envoy" à partir de sources externes
• CVE-2024-45809 : plantage du filtre JWT dans le cache d'itinéraire clair avec JWKS à distance
• CVE-2024-45810 : plantage d'Envoy pour LocalReply dans le client HTTP asynchrone

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Cloud Service Mesh.

• CVE-2024-45807
  
• CVE-2024-45808
  
• CVE-2024-45806
  
• CVE-2024-45809
  
• CVE-2024-45810
  

VMware a révélé plusieurs failles dans VMSA-2024-0019 qui affectent les composants vCenter déployés dans les environnements client.

Impact sur VMware Engine

• Google a déjà désactivé toute exploitation potentielle de cette faille. Par exemple, Google a bloqué les ports par lesquels cette faille pourrait être exploitée.
• De plus, Google s'assure que tous les futurs déploiements de vCenter ne sont pas exposés à cette faille.

Que dois-je faire ?

Aucune autre action n'est requise de votre part pour le moment.

• CVE-2024-38812
• CVE-2024-38813

Une nouvelle faille d'exécution de code à distance (CVE-2024-38063) a été découverte dans Windows. Un pirate informatique pourrait exploiter cette faille à distance en envoyant des paquets IPv6 spécialement conçus à un hôte.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Mise à jour du 01/11/2024  : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Mise à jour du 21/10/2024 : ajout de versions de correctif et mise à jour du niveau de gravité pour GDC (VMware).

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-36978

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Mise à jour du 30/10/2024  : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Mise à jour du 25/10/2024 : ajout de versions corrigées et mise à jour du niveau de gravité pour GDC (VMware).

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-41009

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Mise à jour du 30/10/2024  : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Mise à jour du 21/10/2024 : ajout de versions de correctif et mise à jour du niveau de gravité pour GDC (VMware).

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-39503

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

AMD a informé Google de trois nouvelles failles de micrologiciel (deux à risque moyen et une à risque élevé) affectant SEV-SNP dans les processeurs AMD EPYC de 3e génération (Milan) et de 4e génération (Genoa).

Google a appliqué des correctifs aux composants concernés, y compris Google Cloud, pour s'assurer que les clients sont protégés. Pour le moment, aucune preuve d'exploitation n'a été trouvée ni signalée à Google.

Que dois-je faire ?

Aucune action n'est requise de la part du client. Des correctifs ont déjà été appliqués à la flotte de serveurs Google.

Pour en savoir plus, consultez le bulletin de sécurité AMD AMD-SN-3011.

CVE-2023-31355

CVE-2024-21978

CVE-2024-21980

Mise à jour du 19/09/2024  : ajout de versions de correctif pour le logiciel GDC pour VMware.

Mise à jour du 21/08/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26925

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Mise à jour du 30/10/2024  : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Mise à jour du 21/10/2024 : ajout de versions de correctif et mise à jour du niveau de gravité pour GDC (VMware).

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-36972

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Mise à jour du 02/10/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Mise à jour du 20/09/2024  : ajout de versions de correctif pour le logiciel GDC pour VMware.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26921

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Mise à jour du 18/07/2024 : clarification indiquant que les clusters Autopilot dans la configuration par défaut ne sont pas concernés.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26809

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Mise à jour du 16/09/2024  : ajout de versions de correctif pour le logiciel GDC pour VMware.

Mise à jour du 19/07/2024  : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-52654
• CVE-2023-52656

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

• CVE-2023-52654
• CVE-2023-52656

Mises à jour du 16/07/2024 :

Certains clients utilisant l'accès au VPC sans serveur sont potentiellement concernés par une faille dans OpenSSH (CVE-2024-6387). En cas d'exploitation réussie, cela pourrait permettre à un pirate informatique distant non authentifié d'exécuter du code arbitraire en tant que root sur la machine virtuelle cible. L'exploitation est considérée comme difficile. Par exemple, les clients ne peuvent pas accéder aux VM et les VM n'ont pas d'adresses IP publiques. À notre connaissance, aucune tentative d'exploitation n'a été signalée.

Que dois-je faire ?

Dans la mesure du possible, Google a automatiquement mis à jour les déploiements d'accès au VPC sans serveur. Toutefois, vous devez vérifier que l'agent de service géré par Google dispose du rôle requis. Sinon, votre connecteur d'accès au VPC sans serveur peut toujours être vulnérable. Pour vous assurer de disposer de la mise à jour requise avec le correctif, nous vous recommandons de migrer vers la sortie VPC directe ou de déployer un nouveau connecteur et de supprimer l'ancien.

Mise à jour du 11/07/2024 : ajout de versions de correctif pour le logiciel GDC pour VMware, GKE sur AWS et GKE sur Azure. Pour en savoir plus, consultez les bulletins suivants dans la documentation GKE :

• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure

Mise à jour du 10/07/2024 :

• Ajout du bulletin de sécurité pour Migrate to Virtual Machines.

Mises à jour du 09/07/2024 :

Certains clients de l'environnement flexible App Engine sont potentiellement concernés par une faille dans OpenSSH (CVE-2024-6387). En cas d'exploitation réussie, cela pourrait permettre à un pirate informatique distant non authentifié d'exécuter du code arbitraire en tant que root sur la machine virtuelle cible.

Que dois-je faire ?

Google a déjà mis à jour automatiquement les déploiements d'environnement flexible lorsque cela était possible. Toutefois, certains clients qui ont désactivé l'agent de service géré par Google ou qui ont modifié les API Google Cloud ou d'autres configurations par défaut n'ont pas pu être mis à jour et peuvent toujours être vulnérables. Vous devez déployer une nouvelle version de votre application pour que la mise à jour avec le correctif soit prise en compte.

Veuillez noter que les déploiements mis à jour indiqueront la version SSH OpenSSH_9.6p1. Cette version a été corrigée pour résoudre CVE-2024-6387.

Quelles failles sont corrigées ?

La faille CVE-2024-6387 permet à un pirate informatique distant non authentifié d'exécuter du code arbitraire en tant que root sur la machine cible.

Mises à jour du 08/07/2024 :

Les clusters Dataproc sur Google Compute Engine exécutés sur les versions d'image 2.2 (tous les systèmes d'exploitation) et 2.1 (Debian uniquement) sont concernés par une faille dans OpenSSH (CVE-2024-6387). En cas d'exploitation réussie, cette faille pourrait permettre à un pirate informatique distant et non authentifié d'exécuter du code arbitraire en tant que root sur la machine cible.

Les versions 2.0 et 1.5 des images Dataproc sur Google Compute Engine, ainsi que les images Dataproc version 2.1 qui ne s'exécutent pas sur Debian, ne sont pas concernées. Les clusters Dataproc sur lesquels l'authentification personnelle est activée ne sont pas concernés. Dataproc sans serveur n'est pas non plus concerné.

Que dois-je faire ?

Veuillez mettre à jour vos clusters Dataproc sur Google Compute Engine vers l'une des versions suivantes :

• 2.2.24 ou version ultérieure
• 2.1.58 ou version ultérieure

Si vous ne parvenez pas à mettre à jour vos clusters Dataproc vers l'une des versions ci-dessus, nous vous recommandons d'utiliser l'action d'initialisation disponible à l'adresse suivante : gs://dataproc-initialization-actions/hotfixes/openssh-CVE-2024-6387-mitigation.sh.

Veuillez suivre ces instructions pour spécifier des actions d'initialisation pour Dataproc. Veuillez noter que l'action d'initialisation doit être exécutée sur chaque nœud (maîtres et nœuds de calcul) pour les clusters préexistants.

Mises à jour du 03/07/2024 :

• Ajout de versions de correctif pour GKE.
• Ajout d'un bulletin de sécurité pour GDC Connected.

Mises à jour du 02/07/2024 :

• Clarification sur l'impact sur les clusters Autopilot et sur la nécessité d'une action de la part de l'utilisateur.
• Ajout d'évaluations de l'impact et de mesures d'atténuation pour le logiciel GDC pour VMware, GKE sur AWS et GKE sur Azure.
• Correction du bulletin de sécurité du logiciel GDC pour Bare Metal afin de préciser que le logiciel GDC pour Bare Metal n'est pas directement affecté et que les clients doivent contacter les fournisseurs d'OS pour obtenir des correctifs.

Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment découverte dans OpenSSH. La faille exploite une condition de concurrence permettant d'accéder à une interface système distante, qui permet ainsi aux pirates informatiques d'obtenir un accès racine. Au moment de la publication, l'exploitation est considérée comme difficile et prend plusieurs heures par machine attaquée. À notre connaissance, aucune tentative d'exploitation n'a été signalée.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de Compute Engine
• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal
• Bulletin de sécurité Google Cloud VMware Engine
• Bulletin de sécurité Apigee
• Bulletin de sécurité Dataflow
• Bulletin de sécurité GDC Connected
• Bulletin de sécurité Migrate to Virtual Machines

Mise à jour du 25/09/2024  : ajout de versions de correctif pour le logiciel GDC pour VMware.

Mise à jour du 20/08/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26923

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

Mise à jour du 17/09/2024  : ajout de versions de correctif pour le logiciel GDC pour VMware.

Mise à jour du 06/08/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26924

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité du logiciel GDC pour VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité du logiciel GDC pour Bare Metal

VMware a révélé plusieurs failles dans VMSA-2024-0012 qui affectent les composants vCenter déployés dans les environnements client.

Impact sur Google Cloud VMware Engine

• La faille peut être exploitée en accédant à des ports spécifiques de vCenter Server. Google a déjà bloqué les ports vulnérables sur le serveur vCenter, ce qui empêche toute exploitation potentielle de cette faille.
• De plus, Google s'assure que tous les futurs déploiements de vCenter ne sont pas exposés à cette faille.

Que dois-je faire ?

Aucune autre action n'est requise de votre part pour le moment.

• CVE-2024-37079
• CVE-2024-37080
• CVE-2024-37081

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-26584

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de GKE on Bare Metal

Mise à jour du 18/07/2024  : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE et ajout d'une version de correctif pour la version 1.27 sur les pools de nœuds Container-Optimized OS.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26584

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de GKE on Bare Metal

Mise à jour du 10/07/2024 : ajout de versions de correctif pour les nœuds Container-Optimized OS exécutant les versions mineures 1.26 et 1.27, et ajout de versions de correctif pour les nœuds Ubuntu.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-26583

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de GKE on Bare Metal

Mise à jour du 26/09/2024  : ajout de versions de correctif pour le logiciel GDC pour VMware.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2022-23222

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de GKE on Bare Metal

Les CVE suivantes exposent Cloud Service Mesh à des failles exploitables :

• CVE-2024-23326 : Envoy accepte à tort la réponse HTTP 200 pour passer en mode mise à niveau.
• CVE-2024-32974 : plantage dans EnvoyQuicServerStream::OnInitialHeadersComplete().
• CVE-2024-32975 : plantage dans QuicheDataReader::PeekVarInt62Length().
• CVE-2024-32976 : boucle infinie lors de la décompression des données Brotli avec une entrée supplémentaire.
• CVE-2024-34362 : plantage (use-after-free) dans EnvoyQuicServerStream.
• CVE-2024-34363 : plantage dû à une exception JSON nlohmann non interceptée.
• CVE-2024-34364 : vecteur OOM Envoy provenant du client HTTP asynchrone avec un tampon de réponse illimité pour la réponse miroir.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Cloud Service Mesh.

• CVE-2024-23326
  
• CVE-2024-32974
  
• CVE-2024-32975
  
• CVE-2024-32976
  
• CVE-2024-34362
  
• CVE-2024-34363
  
• CVE-2024-34364
  

Une nouvelle faille (CVE-2024-4323) a été découverte dans Fluent Bit, qui pourrait entraîner l'exécution de code à distance. Les versions 2.0.7 à 3.0.3 de Fluent Bit sont concernées.

GKE, GKE sur VMware, GKE sur AWS, GKE sur Azure et GKE sur Bare Metal n'utilisent pas de version vulnérable de Fluent Bit et ne sont pas concernés.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de GKE on Bare Metal

Mise à jour du 18/07/2024  : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-52620

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de GKE on Bare Metal

Mise à jour du 19/08/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26642

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de GKE on Bare Metal

Mise à jour du 22/05/2024 : ajout de versions de correctif pour Ubuntu.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26581

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de GKE on Bare Metal

Mise à jour du 25/09/2024  : ajout de versions de correctif pour le logiciel GDC pour VMware.

Mise à jour du 15/05/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu GKE.

Mise à jour du 09/05/2024 : la gravité est passée de "Moyenne" à "Élevée". Il a également été précisé que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26808

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de GKE on Bare Metal

Mise à jour du 06/08/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Mise à jour du 9 mai 2024 : gravité corrigée de "Moyenne" à "Élevée".

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26643

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de GKE on Bare Metal

Looker a corrigé les failles signalées par un chercheur externe via le programme Google et Alphabet Vulnerability Reward Program (VRP), mais n'a trouvé aucune preuve d'exploitation. Ces problèmes sont désormais résolus. Aucune action n'est requise de la part des clients hébergés sur Looker (Google Cloud Core) et Looker (version initiale). Nous recommandons aux instances Looker auto-hébergées de passer à la dernière version compatible.

Que dois-je faire ?

Instances hébergées par Looker : instances Looker (Google Cloud Core) et Looker (version initiale)

Aucune action n'est requise de la part du client.

Instances Looker auto-hébergées uniquement

Si votre instance Looker est auto-hébergée, nous vous recommandons de la mettre à niveau vers l'une des versions suivantes :

• 24.6.12+
• 24.4.27+
• 24.2.58+
• 24.0.65+
• 23.18.100+
• 23.12.105+
• 23.6.163+

Comment ce problème a-t-il été résolu ?

Google a désactivé l'accès administratif direct à la base de données interne depuis l'application Looker, supprimé les privilèges élevés qui permettaient l'accès multilocataire et fait tourner les secrets exposés. De plus, nous avons corrigé les failles de traversée de répertoire qui exposaient potentiellement les identifiants des comptes de service. Nous examinons également en détail notre code et nos systèmes pour identifier et corriger toute autre faille potentielle similaire.

Mise à jour du 18/07/2024  : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26585

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de GKE on Bare Metal

Les CVE suivantes exposent Cloud Service Mesh à des failles exploitables :

• CVE-2024-27919 : HTTP/2 : épuisement de la mémoire en raison d'un flux de trames CONTINUATION.
• CVE-2024-30255 : HTTP/2 : épuisement du processeur en raison d'un flux de trames CONTINUATION
• CVE-2024-32475 : arrêt anormal lors de l'utilisation de "auto_sni" avec un en-tête ":authority" de plus de 255 caractères.
• CVE-2023-45288 : les trames CONTINUATION HTTP/2 peuvent être utilisées pour des attaques DoS.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Cloud Service Mesh.

• CVE-2024-27919
  
• CVE-2024-30255
  
• CVE-2024-32475
  
• CVE-2023-45288
  

Mise à jour du 17/07/2024 : ajout de versions de correctif pour GKE sur VMware.

Mise à jour du 09/07/2024 : ajout de versions de correctif pour GKE on Bare Metal

Mise à jour du 24/04/2024: ajout de versions de correctif pour GKE.

Une faille par déni de service (DoS) (CVE-2023-45288) a récemment été détectée dans plusieurs implémentations du protocole HTTP/2, y compris le serveur HTTP golang utilisé par Kubernetes. Cette faille peut entraîner un DoS du plan de contrôle Google Kubernetes Engine (GKE).

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de GKE on Bare Metal

Compute Engine n'est pas concerné par CVE-2024-3094, qui affecte les versions 5.6.0 et 5.6.1 du package xz-utils dans la bibliothèque liblzma et pourrait compromettre l'utilitaire OpenSSH.

Pour en savoir plus, consultez le bulletin de sécurité Compute Engine.

Des chercheurs ont découvert une faille (CVE-2023-48022) dans Ray. Ray est un outil Open Source tiers pour les charges de travail d'IA. Étant donné que Ray ne nécessite pas d'authentification, les acteurs malveillants peuvent exécuter du code à distance en envoyant des jobs à des instances exposées publiquement. La faille a été contestée par Anyscale, le développeur de Ray. Ray affirme que ses fonctions sont une fonctionnalité produit essentielle et prévue, et que la sécurité doit plutôt être implémentée en dehors d'un cluster Ray, car toute exposition involontaire du réseau du cluster Ray pourrait entraîner une compromission.

D'après la réponse, ce CVE est contesté et peut ne pas apparaître dans les outils d'analyse des failles. Quoi qu'il en soit, il est activement exploité dans la nature et les utilisateurs doivent configurer leur utilisation comme suggéré ci-dessous.

Que dois-je faire ?

Suivez les bonnes pratiques et les consignes concernant Ray, y compris l'exécution de code de confiance sur des réseaux approuvés, afin de sécuriser vos charges de travail Ray. Le déploiement de ray.io dans les instances cloud des clients s'inscrit dans le cadre du modèle de responsabilité partagée.

L'équipe de sécurité Google Kubernetes Engine (GKE) a publié un blog sur le renforcement de Ray sur GKE.

Pour en savoir plus sur les méthodes permettant d'ajouter l'authentification et l'autorisation aux services Ray, consultez la documentation Identity-Aware Proxy (IAP). Les utilisateurs de GKE peuvent implémenter IAP en suivant ces conseils ou en réutilisant les modules Terraform associés dans le blog.

Mise à jour du 06/05/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu GKE.

Mise à jour du 04/04/2024 : correction des versions minimales pour les pools de nœuds GKE Container-Optimized OS.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-1085

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de GKE on Bare Metal

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3611

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de GKE on Bare Metal

VMware a révélé plusieurs failles dans VMSA-2024-0006 qui affectent les composants ESXi déployés dans les environnements client.

Impact sur Google Cloud VMware Engine

Vos clouds privés ont été mis à jour pour corriger la faille de sécurité.

Que dois-je faire ?

Aucune action de votre part n'est requise.

• VMSA-2024-0006
• CVE-2024-22252
• CVE-2024-22253
• CVE-2024-22254
• CVE-2024-22255

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3776

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de GKE on Bare Metal

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3610

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de GKE on Bare Metal

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-0193

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de GKE on Bare Metal

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-6932

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de GKE on Bare Metal

Mise à jour du 17/04/2024: Ajout de versions de correctif pour GKE sur VMware.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-6931

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de GKE on Bare Metal

Le 13 février 2024, AMD a divulgué deux failles affectant SEV-SNP sur les processeurs EPYC basés sur les cœurs Zen de troisième génération "Milan" et de quatrième génération "Genoa". Les failles permettent aux pirates informatiques privilégiés d'accéder à des données obsolètes provenant d'invités ou d'entraîner une perte d'intégrité des invités.

Google a appliqué des correctifs aux composants concernés, y compris Google Cloud, pour s'assurer que les clients sont protégés. Pour le moment, aucune preuve d'exploitation n'a été trouvée ni signalée à Google.

Que dois-je faire ?

Aucune action n'est requise de la part du client. Des correctifs ont déjà été appliqués à la flotte de serveurs Google pour Google Cloud, y compris Compute Engine.

Pour en savoir plus, consultez le bulletin de sécurité AMD AMD-SN-3007.

• CVE-2023-31346
• CVE-2023-31347

CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows de manière à permettre l'élévation des privilèges d'administrateur sur ces nœuds.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de GKE on Bare Metal

Les CVE suivantes exposent Cloud Service Mesh à des failles exploitables :

• CVE-2024-23322 : Envoy plante lorsque le délai d'inactivité et le délai d'expiration des requêtes par tentative se produisent dans l'intervalle de backoff.
• CVE-2024-23323 : utilisation excessive du processeur lorsque le comparateur de modèles d'URI est configuré à l'aide d'une expression régulière.
• CVE-2024-23324 : l'autorisation externe peut être contournée lorsque le filtre de protocole proxy définit des métadonnées UTF-8 non valides.
• Envoy plante lorsque vous utilisez un type d'adresse non compatible avec l'OS.
• CVE-2024-23327 : plantage dans le protocole proxy lorsque le type de commande est LOCAL.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Cloud Service Mesh.

• CVE-2024-23322
  
• CVE-2024-23323
  
• CVE-2024-23324
  
• CVE-2024-23325
  
• CVE-2024-23327
  

Lorsqu'un proxy de gestion d'API Apigee se connecte à un point de terminaison cible ou à un serveur cible, le proxy n'effectue pas de validation du nom d'hôte pour le certificat présenté par défaut par le point de terminaison cible ou le serveur cible. Si la validation du nom d'hôte n'est pas activée à l'aide de l'une des options suivantes, les proxys Apigee se connectant à un point de terminaison cible ou à un serveur cible peuvent courir le risque d'une attaque MITM ("man in the middle") par un utilisateur autorisé. Pour en savoir plus, consultez la page Configurer TLS de la périphérie au backend (cloud et cloud privé).

Les déploiements de proxy Apigee sur les plates-formes Apigee suivantes sont concernés :

• Apigee Edge for Public Cloud
• Apigee Edge pour le cloud privé

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Apigee.

Mise à jour du 06/05/2024 : ajout de versions de correctif pour GKE sur AWS et GKE sur Azure.

Mise à jour du 02/04/2024 : ajout de versions de correctif pour GKE on Bare Metal

Mise à jour du 06/03/2024 : ajout de versions de correctif pour GKE sur VMware

Mise à jour du 28/02/2024 : ajout de versions de correctif pour Ubuntu

Mise à jour du 15/02/2024 : il a été précisé que les versions de correctif Ubuntu 1.25 et 1.26 de la mise à jour du 14/02/2024 peuvent entraîner un état non fonctionnel des nœuds.

Mise à jour du 14/02/2024 : ajout de versions de correctif pour Ubuntu

Mise à jour du 06/02/2024  : ajout de versions de correctif pour Container-Optimized OS.

Une faille de sécurité, CVE-2024-21626, a été découverte dans runc. Elle permet à un utilisateur autorisé à créer des pods sur des nœuds Container-Optimized OS et Ubuntu d'accéder au système de fichiers du nœud.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de GKE on Bare Metal

Mise à jour du 07/02/2024  : ajout de versions de correctif pour Ubuntu.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-6817

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de GKE on Bare Metal

Mise à jour du 26/01/2024 : clarification du nombre de clusters concernés et des actions que nous avons prises pour limiter l'impact. Pour en savoir plus, consultez le bulletin de sécurité GCP-2024-003.

Nous avons identifié plusieurs clusters dans lesquels les utilisateurs ont accordé des droits Kubernetes au groupe system:authenticated, qui inclut tous les utilisateurs disposant d'un compte Google. Ces types de liaisons ne sont pas recommandés, car ils enfreignent le principe du moindre privilège et accordent l'accès à de très grands groupes d'utilisateurs. Pour savoir comment trouver ces types de liaisons, consultez les instructions de la section Que dois-je faire ?.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE

Mise à jour du 20/02/2024 : ajout de versions de correctif pour GKE sur VMware.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2023-6111

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de GKE on Bare Metal

Plusieurs failles ont été découvertes dans le micrologiciel UEFI TianoCore EDK II. Ce micrologiciel est utilisé dans les VM Google Compute Engine. Si elles sont exploitées, les failles peuvent permettre de contourner le démarrage sécurisé, ce qui fournirait de fausses mesures lors du processus de démarrage sécurisé, y compris lorsqu'elles sont utilisées dans des VM protégées.

Que dois-je faire ?

Aucune action n'est requise. Google a corrigé cette faille dans Compute Engine. Toutes les VM sont donc protégées contre cette faille.

Quelles failles ce correctif permet-il de résoudre ?

Ce correctif a réduit les risques liés aux failles suivantes :

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3609

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de GKE on Bare Metal

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3389

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de GKE on Bare Metal

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3090

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de GKE on Bare Metal

Mise à jour du 21/12/2023 : clarification indiquant que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3390

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de GKE on Bare Metal

Un pirate informatique qui a compromis le conteneur de journalisation Fluent Bit pourrait combiner cet accès avec les privilèges élevés requis par Cloud Service Mesh (sur les clusters pour lesquels il est activé) pour escalader les privilèges dans le cluster.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de GKE on Bare Metal

Mise à jour du 04/03/2024 : ajout de versions GKE pour GKE sur VMware.

Mise à jour du 22/01/2024 : ajout de versions de correctif Ubuntu

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-5717

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de GKE on Bare Metal

Mise à jour du 21/12/2023 : clarification indiquant que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-5197

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

Le 14 novembre, AMD a révélé plusieurs failles de sécurité qui affectent différents processeurs de serveur AMD. Plus précisément, les failles concernent les processeurs de serveur EPYC utilisant les générations de cœur Zen 2 "Rome", 3 "Milan" et 4 "Genoa".

Google a appliqué des correctifs aux ressources concernées, y compris Google Cloud, pour s'assurer que les clients sont protégés. Pour le moment, aucune preuve d'exploitation n'a été trouvée ni signalée à Google.

Que dois-je faire ?

Aucune action n'est requise de la part du client.

Des correctifs ont déjà été appliqués à la flotte de serveurs Google pour Google Cloud, y compris Google Compute Engine.

Quelles failles sont corrigées ?

Ce correctif a réduit les risques liés aux failles suivantes :

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2023-20521
• CVE-2021-46766
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

Pour en savoir plus, consultez l'avis de sécurité d'AMD AMD-SN-3005 : "AMD INVD Instruction Security Notice", également publié sous le nom CacheWarp, et AMD-SN-3002 : "AMD Server Vulnerabilities – November 2023".

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

Intel a divulgué une faille de processeur dans certains processeurs. Google a pris des mesures pour atténuer les risques liés à son parc de serveurs, y compris Google Compute Engine pour Google Cloud, et aux appareils ChromeOS afin de s'assurer que les clients sont protégés.

Détails de la faille :

• CVE-2023-23583

Que dois-je faire ?

Aucune action n'est requise de la part du client.

La solution d'Intel pour les processeurs concernés a été appliquée à la flotte de serveurs Google, y compris Google Compute Engine pour Google Cloud.

Pour le moment, Google Distributed Cloud Edge nécessite une mise à jour de l'OEM. Google corrigera ce produit une fois la mise à jour disponible, et ce bulletin sera mis à jour en conséquence.

Les appareils ChromeOS équipés des processeurs concernés ont reçu le correctif automatiquement dans les versions 119, 118 et 114 (LTS).

Quelles failles sont corrigées ?

CVE-2023-23583. Pour en savoir plus, consultez l'avis de sécurité INTEL-SA-00950 d'Intel.

Mise à jour du 15/11/2023 : précisions indiquant que seules les versions mineures listées doivent être mises à niveau vers une version corrigée correspondante pour GKE.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4147

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

Mise à jour du 21/12/2023 : clarification indiquant que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.

Mise à jour du 05/12/2023 : ajout de versions GKE supplémentaires pour les pools de nœuds Container-Optimized OS.

Mise à jour du 21/11/2023 : précisions indiquant que seules les versions mineures listées doivent être mises à niveau vers une version corrigée correspondante pour GKE.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4004

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

Mise à jour du 21/12/2023 : clarification indiquant que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.

Mise à jour du 21/11/2023 : précisions indiquant que seules les versions mineures listées doivent être mises à niveau vers une version corrigée correspondante pour GKE.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4921

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

Mise à jour du 21/11/2023 : précisions indiquant que seules les versions mineures listées doivent être mises à niveau vers une version corrigée correspondante pour GKE.

Mise à jour du 16/11/2023 : la faille associée à ce bulletin de sécurité est CVE-2023-4622. La faille CVE-2023-4623 était incorrectement listée dans une version précédente du bulletin de sécurité.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4623

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

Mise à jour du 21/12/2023 : clarification indiquant que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.

Mise à jour du 21/11/2023 : précisions indiquant que seules les versions mineures listées doivent être mises à niveau vers une version corrigée correspondante pour GKE.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4623

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

Mise à jour du 21/12/2023 : clarification indiquant que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.

Mise à jour du 21/11/2023 : précisions indiquant que seules les versions mineures listées doivent être mises à niveau vers une version corrigée correspondante pour GKE.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4015

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

Deep Learning VM Image est un ensemble d'images de machines virtuelles pré-installées, dotées d'un framework de deep learning et prêtes à être exécutées immédiatement. Une faille liée à une écriture hors limite a été détectée récemment dans la fonction "ReadHuffmanCodes()" de la bibliothèque "libwebp". Les images qui utilisent cette bibliothèque peuvent être affectées.

Google Cloud analyse en continu ses images publiées et met à jour les packages pour garantir que les distributions corrigées sont incluses dans les dernières versions disponibles pour l'adoption par les clients. Les images Deep Learning VM Image ont été mises à jour pour garantir que les dernières images de VM incluent les distributions corrigées. Les clients qui adoptent les images de VM les plus récentes ne sont pas exposés à cette faille.

Que dois-je faire ?

Les clientsGoogle Cloud qui utilisent des images de VM publiées doivent s'assurer qu'ils adoptent les dernières images et que leurs environnements sont à jour conformément au modèle de responsabilité partagée.

La faille CVE-2023-4863 peut être exploitée par un pirate informatique pour exécuter du code arbitraire. Cette faille a été identifiée dans Google Chrome avant la version 116.0.5845.187 et dans la bibliothèque "libwebp" antérieure à la version 1.3.2. Elle est référencée sous CVE-2023-4863.

Mise à jour du 21/12/2023 : clarification indiquant que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.

Mise à jour du 21/11/2023 : précisions indiquant que seules les versions mineures listées doivent être mises à niveau vers une version corrigée correspondante pour GKE.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

VMware a divulgué plusieurs failles dans VMSA-2023-0023 qui affectent les composants vCenter déployés dans les environnements client.

Impact de Cloud Customer Care

• La faille peut être exploitée en accédant à des ports spécifiques de vCenter Server. Ces ports ne sont pas exposés à l'Internet public.
• Si vos ports vCenter 2012/tcp, 2014/tcp et 2020/tcp ne sont pas accessibles par des systèmes non fiables, vous n'êtes pas exposé à cette faille.
• Google a déjà bloqué les ports vulnérables sur le serveur vCenter, ce qui empêche toute exploitation potentielle de cette faille.
• De plus, Google s'assurera que tous les futurs déploiements du serveur vCenter ne sont pas exposés à cette faille.
• Au moment de la publication du bulletin, VMware n'a connaissance d'aucune exploitation "in the wild". Pour en savoir plus, consultez la documentation VMware.

Que dois-je faire ?

Aucune autre action n'est requise pour le moment.

Mise à jour du 21/12/2023 : clarification indiquant que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés et que les charges de travail GKE Sandbox ne sont pas concernées.

Mise à jour du 21/11/2023 : précisions indiquant que seules les versions mineures listées doivent être mises à niveau vers une version corrigée correspondante pour GKE.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3777

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

Mise à jour du 03/11/2023 : ajout du problème connu pour Apigee Edge pour le cloud privé.

Une faille par déni de service (DoS) a récemment été détectée dans plusieurs implémentations du protocole HTTP/2 (CVE-2023-44487), y compris le service Apigee Ingress (Cloud Service Mesh) utilisé par Apigee X et Apigee Hybrid. La faille pourrait entraîner un déni de service de la fonctionnalité de gestion d'API Apigee.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Apigee.

Une attaque par déni de service peut affecter le plan de données lorsque vous utilisez le protocole HTTP/2. Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Cloud Service Mesh.

Mise à jour du 20/03/2024 : Ajout de versions de correctif pour GKE sur AWS et GKE sur Azure avec les derniers correctifs pour CVE-2023-44487.

Mise à jour du 14/02/2024 : ajout de versions de correctif pour GKE sur VMware.

Mise à jour du 09-11-2023 : ajout de la faille CVE-2023-39325. Mise à jour des versions de GKE avec les derniers correctifs pour CVE-2023-44487 et CVE-2023-39325.

Une faille par déni de service (DoS) a récemment été détectée dans plusieurs implémentations du protocole HTTP/2 (CVE-2023-44487), y compris le serveur HTTP golang utilisé par Kubernetes. Cette faille peut entraîner un DoS du plan de contrôle Google Kubernetes Engine (GKE). Les clusters GKE avec des réseaux autorisés configurés sont protégés en limitant l'accès au réseau, mais tous les autres clusters sont concernés.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

TorchServe permet d'héberger des modèles de machine learning PyTorch pour la prédiction en ligne. Vertex AI fournit un modèle PyTorch prédéfini qui diffuse des conteneurs qui dépendent de TorchServe. Des failles ont été détectées récemment dans TorchServe. Elles permettent à un pirate informatique de prendre le contrôle d'un déploiement TorchServe si son API de gestion de modèle est exposée. Les clients avec des modèles PyTorch déployés sur la prédiction en ligne de Vertex AI ne sont pas affectés par ces failles, car Vertex AI n'expose pas l'API de gestion de modèles de TorchServe. Les clients qui utilisent TorchServe en dehors de Vertex AI doivent prendre des précautions pour s'assurer que leurs déploiements sont configurés de manière sécurisée.

Que dois-je faire ?

Les clients de Vertex AI qui ont déployé des modèles à l'aide des conteneurs de diffusion PyTorch prédéfinis de Vertex AI n'ont pas à intervenir pour résoudre les failles, car les déploiements de Vertex AI n'exposent pas le serveur de gestion de TorchServe à Internet.

Les clients qui utilisent des conteneurs PyTorch prédéfinis dans d'autres contextes, ou qui utilisent une distribution personnalisée ou tierce de TorchServe, doivent effectuer les opérations suivantes:

• Assurez-vous que l'API de gestion des modèles de TorchServe n'est pas exposée sur Internet. L'API de gestion des modèles ne peut être limitée à l'accès local qu'en vous assurant que management_address est lié à 127.0.0.1.
• Utilisez le paramètre allowed_urls pour vous assurer que les modèles ne peuvent être chargés qu'à partir de sources prévues.
• Mettez dès que possible à niveau TorchServe vers la version 0.8.2, qui inclut des mesures d'atténuation pour ce problème. Par précaution, Vertex AI publiera des conteneurs prédéfinis corrigés d'ici le 13/10/2023.

Quelles failles sont corrigées ?

L'API de gestion de TorchServe est liée par défaut à 0.0.0.0 dans la plupart des images Docker TorchServe, y compris celles publiées par Vertex AI, ce qui la rend accessible aux requêtes externes. L'adresse IP par défaut de l'API de gestion est remplacée par 127.0.0.1 dans TorchServe 0.8.2, ce qui permet de limiter ce problème.

CVE-2023-43654 et CVE-2022-1471 permettent à un utilisateur ayant accès à l'API de gestion de charger des modèles à partir de sources arbitraires et d'exécuter du code à distance. Les atténuations pour ces deux problèmes sont incluses dans TorchServe 0.8.2: le chemin d'exécution du code à distance est supprimé, et un avertissement est émis si la valeur par défaut de allowed_urls est utilisée.

Les clients peuvent configurer Google Security Operations pour ingérer des données à partir de buckets Cloud Storage leur appartenant à l'aide d'un flux d'ingestion. Jusqu'à récemment, Google Security Operations fournissait un compte de service partagé que les clients utilisaient pour accorder des autorisations au bucket. Il était possible de configurer l'instance Google Security Operations d'un client pour ingérer des données provenant du bucket Cloud Storage d'un autre client. Après avoir effectué une analyse de l'impact, nous n'avons trouvé aucune exploitation actuelle ou antérieure de cette faille. La faille était présente dans toutes les versions de Google Security Operations antérieures au 19 septembre 2023.

Que dois-je faire ?

Depuis le 19 septembre 2023, Google Security Operations a été mis à jour pour corriger cette faille. Aucune action n'est requise de la part du client.

Quelles failles sont corrigées ?

Auparavant, Google Security Operations fournissait un compte de service partagé que les clients utilisaient pour accorder des autorisations à un bucket. Étant donné que différents clients ont accordé la même autorisation de compte de service Google Security Operations à leur bucket, il existait un vecteur d'exploitation qui permettait au flux d'un client d'accéder au bucket d'un autre client lors de la création ou de la modification d'un flux. Ce vecteur d'exploitation nécessitait de connaître l'URI du bucket. Désormais, lors de la création ou de la modification d'un flux, Google Security Operations utilise des comptes de service uniques pour chaque client.

Les mises à jour de VMware vCenter Server corrigent plusieurs failles de corruption de mémoire (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896).

Impact sur le service client

VMware vCenter Server (vCenter Server) et VMware Cloud Foundation (Cloud Foundation).

Que dois-je faire ?

Les clients ne sont pas concernés et n'ont aucune action à effectuer.

• CVE-2023-20893

Trois failles (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) ont été découvertes dans Kubernetes. Elles permettent à un utilisateur qui peut créer des pods sur des nœuds Windows d'obtenir des droits d'administrateur sur ces nœuds. Ces failles affectent les versions Windows de Kubelet et du proxy CSI Kubernetes.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

Intel a récemment annoncé l'avis de sécurité Intel INTEL-SA-00828 qui concerne certaines de ses familles de processeurs. Nous vous encourageons à évaluer vos risques en fonction de cet avis.

Impact sur Google Cloud VMware Engine

Notre flotte utilise les familles de processeurs concernées. Dans notre déploiement, l'intégralité du serveur est dédiée à un seul client. Par conséquent, notre modèle de déploiement n'ajoute aucun risque supplémentaire à votre évaluation de cette faille.

Nous collaborons avec nos partenaires pour obtenir les correctifs nécessaires et nous les déploierons en priorité sur l'ensemble du parc à l'aide de la procédure de mise à niveau standard au cours des prochaines semaines.

Que dois-je faire ?

Aucune action de votre part n'est requise. Nous mettons à niveau tous les systèmes concernés.

• CVE-2022-40982

Mise à jour du 04/06/2024 : les produits manquants suivants ont été mis à jour pour corriger cette faille :

• Google Distributed Cloud Hosted
• Google Distributed Cloud Edge

Mise à jour du 10/08/2023 : ajout du numéro de version LTS de ChromeOS.

Intel a divulgué une faille dans certains processeurs (CVE-2022-40982). Google a pris des mesures pour atténuer les risques liés à son parc de serveurs, y compris Google Cloud, afin de s'assurer que les clients sont protégés.

Détails de la faille :

• CVE-2022-40982 (Intel IPU 2023.3, "GDS" ou "Downfall")

Que dois-je faire ?

Aucune action n'est requise de la part du client.

Tous les correctifs disponibles ont déjà été appliqués à la flotte de serveurs Google pour Google Cloud, y compris Google Compute Engine.

Pour le moment, les produits suivants nécessitent des mises à jour supplémentaires de la part des partenaires et des fournisseurs.

• Google Cloud VMware Engine
• Google Distributed Cloud Hosted
• Google Distributed Cloud Edge
• Solution Bare Metal Google Cloud
• Evolved Packet Core

Google corrigera ces produits une fois ces correctifs disponibles, et ce bulletin sera mis à jour en conséquence.

Les clients Google Chromebook et ChromeOS Flex ont automatiquement reçu les mesures d'atténuation fournies par Intel dans les versions stable (115), LTS (108), bêta (116) et LTC (114). Les clients Chromebook et ChromeOS Flex qui utilisent une version antérieure doivent envisager de désépingler cette version et de passer à une version stable ou LTS pour s'assurer de recevoir ce correctif et d'autres correctifs de failles de sécurité.

Quelles failles sont corrigées ?

CVE-2022-40982 : pour en savoir plus, consultez l'avis de sécurité Intel INTEL-SA-00828.

AMD a signalé une faille dans certains processeurs (CVE-2023-20569). Google a pris des mesures pour atténuer les risques liés à son parc de serveurs, y compris Google Cloud, afin de s'assurer que les clients sont protégés.

Détails de la faille :

• CVE-2023-20569 (AMD SB-7005, alias "Inception")

Que dois-je faire ?

Les utilisateurs de VM Compute Engine doivent envisager des mesures d'atténuation fournies par l'OS s'ils exécutent du code non approuvé dans une instance. Nous recommandons aux clients de contacter les fournisseurs de leur OS pour obtenir des conseils plus spécifiques.

Des correctifs ont déjà été appliqués à la flotte de serveurs Google pour Google Cloud, y compris Google Compute Engine.

Quelles failles sont corrigées ?

CVE-2023-20569 : pour en savoir plus, consultez AMD SB-7005.

Google a identifié une faille dans les implémentations gRPC C++ antérieures à la version 1.57. Il s'agissait d'une faille par déni de service dans l'implémentation C++ de gRPC. Ces problèmes ont été résolus dans les versions 1.53.2, 1.54.3, 1.55.2, 1.56.2 et 1.57.

Que dois-je faire ?

Assurez-vous d'utiliser les dernières versions des packages logiciels suivants :

• Les versions 1.53, 1.54, 1.55 et 1.56 de gRPC (C++, Python, Ruby) doivent être mises à niveau vers les versions de correctif suivantes :
• 1.53.2
• 1.54.3
• 1.55.2
• 1.56.2
• Les versions 1.52 et antérieures de gRPC (C++, Python, Ruby) doivent être mises à niveau vers l'une des versions correctives approuvées. Par exemple, 1.53.2, 1.54.3, 1.53.4, etc.

Quelles failles sont corrigées ?

Ces correctifs réduisent les risques liés aux failles suivantes :

• Vulnérabilité par déni de service dans les implémentations gRPC C++ : des requêtes spécialement conçues peuvent entraîner la fin de la connexion entre un proxy et un backend.

Les CVE suivantes exposent Cloud Service Mesh à des failles exploitables :

• CVE-2023-35941 : un client malveillant peut créer des identifiants à validité permanente dans certains scénarios spécifiques. Par exemple, la combinaison de l'hôte et du délai d'expiration dans la charge utile HMAC peut toujours être valide lors de la vérification HMAC du filtre OAuth2.
• CVE-2023-35942 : les enregistreurs de journaux d'accès gRPC utilisant le champ d'application global de l'écouteur peuvent provoquer un plantage use-after-free lorsque l'écouteur est vidé. Cela peut être déclenché par une mise à jour LDS avec la même configuration de journal d'accès gRPC.
• CVE-2023-35943 : si l'en-tête origin est configuré pour être supprimé avec request_headers_to_remove: origin, le filtre CORS segfault et Envoy plante.
• CVE-2023-35944 : les pirates peuvent envoyer des requêtes de schéma mixte pour contourner les vérifications de schéma dans Envoy. Par exemple, si une requête HTTP avec un schéma mixte est envoyée au filtre OAuth2, elle échouera aux vérifications d'exactitude pour HTTP et informera le point de terminaison distant que le schéma est HTTPS, ce qui pourrait contourner les vérifications OAuth2 spécifiques aux requêtes HTTP.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Cloud Service Mesh.

• CVE-2023-35941
  
• CVE-2023-35942
  
• CVE-2023-35943
  
• CVE-2023-35944
  

AMD a publié une mise à jour du microcode qui corrige une faille de sécurité matérielle (CVE-2023-20593). Google a appliqué les correctifs nécessaires pour cette faille de sécurité à son parc de serveurs, y compris les serveurs de Google Cloud Platform. Les tests indiquent qu'il n'y a aucun impact sur les performances des systèmes.

Que dois-je faire ?

Aucune action n'est requise de la part des clients, car des correctifs ont déjà été appliqués à la flotte de serveurs Google pour Google Cloud Platform.

Quelles failles sont corrigées ?

CVE-2023-20593 corrige une faille dans certains processeurs AMD. Pour en savoir plus, cliquez ici.

Une nouvelle faille (CVE-2023-35945) a été découverte dans Envoy. Une réponse spécialement conçue d'un service en amont non approuvé peut entraîner un déni de service par épuisement de la mémoire. Cela est dû au codec HTTP/2 d'Envoy, qui peut laisser fuiter une carte d'en-tête et des structures de comptabilité lors de la réception de RST_STREAM immédiatement suivi des trames GOAWAY d'un serveur en amont.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Cloud Service Mesh.

Une nouvelle faille (CVE-2023-2235) a été découverte dans le noyau Linux, qui peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE Autopilot sont concernés, car les nœuds GKE Autopilot utilisent toujours des images de nœud Container-Optimized OS. Les clusters GKE Standard avec la version 1.25 ou ultérieure qui exécutent des images de nœuds Container-Optimized OS sont concernés.

Les clusters GKE ne sont pas affectés s'ils n'exécutent que des images de nœuds Ubuntu, ou des versions antérieures à 1.25, ou s'ils utilisent GKE Sandbox.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

Mise à jour du 11/07/2023 : de nouvelles versions de GKE ont été mises à jour pour inclure les dernières versions d'Ubuntu qui corrigent CVE-2023-31436.

Une nouvelle faille (CVE-2023-31436) a été découverte dans le noyau Linux, qui peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE, y compris les clusters Autopilot, sont concernés. Les clusters GKE utilisant GKE Sandbox ne sont pas affectés.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

Plusieurs failles ont été découvertes dans Envoy, qui est utilisé dans Cloud Service Mesh. Elles permettent à un pirate malveillant de provoquer un déni de service ou de faire planter Envoy. Elles ont été signalées séparément sous le nom GCP-2023-002.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

Une nouvelle faille, CVE-2023-0468, a été découverte dans le noyau Linux. Elle pourrait permettre à un utilisateur non privilégié d'élever ses privilèges au niveau racine lorsque io_poll_get_ownership continuera d'augmenter req->poll_refs à chaque io_poll_wake, puis de passer à 0, ce qui entraînera un fput req->file deux fois et provoquera un problème de nombre de références struct file. Les clusters GKE, y compris les clusters Autopilot, avec Container-Optimized OS utilisant le noyau Linux version 5.15 sont concernés. Les clusters GKE utilisant des images Ubuntu ou GKE Sandbox ne sont pas affectés.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

Mise à jour du 11/08/2023  : Ajout de versions de correctif pour GKE sur VMware, GKE sur AWS, GKE sur Azure et Google Distributed Cloud Virtual pour Bare Metal.

Deux nouveaux problèmes de sécurité ont été détectés dans Kubernetes. Ils permettent aux utilisateurs de lancer des conteneurs qui contournent les restrictions de règles lorsqu'ils utilisent des conteneurs éphémères et ImagePolicyWebhook (CVE-2023-2727) ou le plug-in d'admission ServiceAccount (CVE-2023-2728).

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

Lorsque vous activez l'API Cloud Build dans un projet, Cloud Build crée automatiquement un compte de service par défaut pour exécuter des compilations en votre nom. Ce compte de service Cloud Build disposait auparavant de l'autorisation IAM logging.privateLogEntries.list, qui permettait aux compilations d'accéder à la liste des journaux privés par défaut. Cette autorisation a été révoquée du compte de service Cloud Build pour respecter le principe de sécurité du moindre privilège.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Cloud Build.

Google a identifié trois nouvelles failles dans l'implémentation gRPC C++. Elles seront bientôt publiées publiquement sous les noms CVE-2023-1428, CVE-2023-32731 et CVE-2023-32732.

En avril, nous avons identifié deux failles dans les versions 1.53 et 1.54. L'une était une faille de déni de service dans l'implémentation C++ de gRPC et l'autre était une faille d'exfiltration de données à distance. Ces problèmes ont été résolus dans les versions 1.53.1, 1.54.2 et ultérieures.

En mars, nos équipes internes ont découvert une faille par déni de service dans l'implémentation C++ de gRPC lors d'activités de fuzzing de routine. Il a été détecté dans la version 1.52 de gRPC et a été corrigé dans les versions 1.52.2 et 1.53.

Que dois-je faire ?

Assurez-vous d'utiliser les dernières versions des packages logiciels suivants :

• Les versions 1.52, 1.53 et 1.54 de grpc (C++, Python, Ruby) doivent être mises à niveau vers les versions correctives suivantes :
• 1.52.2
• 1.53.1
• 1.54.2
• Les versions 1.51 et antérieures de grpc (C++, Python, Ruby) ne sont pas concernées. Les utilisateurs qui disposent de ces versions n'ont donc aucune action à effectuer.

Quelles failles ces correctifs permettent-ils de résoudre ?

Ces correctifs réduisent les risques liés aux failles suivantes :

• Les versions 1.53.1, 1.54.2 et ultérieures corrigent la faille de déni de service dans l'implémentation gRPC C++. Des requêtes spécialement conçues peuvent entraîner la fin de la connexion entre un proxy et un backend. Vulnérabilité d'exfiltration de données à distance : la désynchronisation dans la table HPACK en raison des limites de taille des en-têtes peut entraîner la fuite de données d'en-tête par les backends de proxy provenant d'autres clients connectés à un proxy.
• Les versions 1.52.2, 1.53 et ultérieures corrigent la faille de déni de service dans l'implémentation C++ de gRPC. L'analyse de certaines requêtes spécifiques peut entraîner un plantage ayant un impact sur un serveur.

Nous vous recommandons de passer aux dernières versions des packages logiciels listés ci-dessus.

Une nouvelle faille (CVE-2023-2878) a été découverte dans le composant secrets-store-csi-driver, où un acteur ayant accès aux journaux du pilote pouvait observer les jetons de compte de service.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

Une nouvelle faille (CVE-2023-1872) a été découverte dans le noyau Linux, qui peut entraîner une élévation des privilèges à la racine sur le nœud.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

Une faille a récemment été découverte dans Cloud SQL pour SQL Server. Elle permettait aux comptes administrateur du client de créer des déclencheurs dans la base de données tempdb et de les utiliser pour obtenir les droits associés au rôle sysadmin sur l'instance. Les droits de sysadmin permettent au pirate informatique d'avoir accès aux bases de données système et un accès partiel à la machine exécutant cette instance SQL Server.

Google Cloud a résolu le problème en corrigeant la faille de sécurité avant le 1er mars 2023. Google Cloud n'a trouvé aucune instance client compromise.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Cloud SQL.

Mise à jour du 06/06/2023 : de nouvelles versions de GKE ont été mises à jour pour inclure les dernières versions d'Ubuntu qui corrigent les failles CVE-2023-1281 et CVE-2023-1829.

Deux nouvelles failles (CVE-2023-1281 et CVE-2023-1829) ont été détectées dans le noyau Linux. Elles peuvent entraîner une élévation des privilèges vers la racine sur le nœud.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

Deux failles (CVE-2023-1017 et CVE-2023-1018) ont été découvertes dans le module TPM (Trusted Platform Module) 2.0.

Les failles auraient pu permettre à un pirate informatique expérimenté d'exploiter une lecture/écriture hors limites de deux octets sur certaines VM Compute Engine.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Compute Engine.

• CVE-2023-1017
• CVE-2023-1018

Mise à jour du 21/12/2023 : clarification indiquant que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.

Deux nouvelles failles, CVE-2023-0240 et CVE-2023-23586, ont été découvertes dans le noyau Linux. Elles pourraient permettre à un utilisateur non privilégié d'élever ses privilèges.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

Les CVE suivantes exposent Cloud Service Mesh à des failles exploitables :

• CVE-2023-27496 : si Envoy s'exécute avec le filtre OAuth activé, un acteur malveillant peut créer une requête qui entraînerait un déni de service en faisant planter Envoy.
• CVE-2023-27488 : le pirate informatique peut exploiter cette faille pour contourner les vérifications d'authentification lorsque ext_authz est utilisé.
• CVE-2023-27493 : la configuration d'Envoy doit également inclure une option permettant d'ajouter des en-têtes de requête générés à l'aide des entrées de la requête, comme le SAN du certificat de pair.
• CVE-2023-27492 : les pirates peuvent envoyer des corps de requête volumineux pour les itinéraires dont le filtre Lua est activé et déclencher des plantages.
• CVE-2023-27491 : les pirates peuvent envoyer des requêtes HTTP/2 ou HTTP/3 spécialement conçues pour déclencher des erreurs d'analyse sur le service en amont HTTP/1.
• CVE-2023-27487 : l'en-tête "x-envoy-original-path" doit être un en-tête interne, mais Envoy ne le supprime pas de la requête au début du traitement de celle-ci lorsqu'il est envoyé à partir d'un client non approuvé.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Cloud Service Mesh :

• CVE-2023-27496
  
• CVE-2023-27488
  
• CVE-2023-27493
  
• CVE-2023-27492
  
• CVE-2023-27491
  
• CVE-2023-27487
  

Mise à jour du 21/12/2023 : clarification indiquant que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.

Une nouvelle faille (CVE-2022-4696) a été détectée dans le noyau Linux, qui peut entraîner une élévation des privilèges sur le nœud.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

Deux nouvelles failles (CVE-2022-3786 et CVE-2022-3602) ont été découvertes dans OpenSSL v3.0.6. Elles peuvent potentiellement provoquer un plantage.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

• CVE-2022-3786
• CVE-2022-3602

Mise à jour du 21/12/2023 : clarification indiquant que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.

Mise à jour du 19/01/2023 : ajout d'informations indiquant que la version 1.21.14-gke.14100 de GKE est disponible.

Deux nouvelles failles (CVE-2022-3786 et CVE-2022-3602) ont été découvertes dans OpenSSL v3.0.6. Elles peuvent potentiellement provoquer un plantage.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

• CVE-2022-3786
• CVE-2022-3602

Mise à jour du 19/01/2023 : ajout d'informations indiquant que la version 1.21.14-gke.14100 de GKE est disponible.

Mise à jour du 16/12/2022 : ajout de versions de correctif pour GKE et GKE sur VMware.

Deux nouvelles failles (CVE-2022-2585 et CVE-2022-2588) ont été détectées dans le noyau Linux. Elles peuvent entraîner une sortie complète du conteneur vers la racine sur le nœud.

Pour en savoir plus et obtenir des instructions, consultez les pages suivantes :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

• CVE-2022-2585
• CVE-2022-2588

Une faille de sécurité, CVE-2022-39278, a été découverte dans Istio, qui est utilisée dans Cloud Service Mesh. Elle permet à un pirate malveillant de faire planter le plan de contrôle.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

Mise à jour du 14/12/2022 : ajout de versions de correctif pour GKE et GKE sur VMware.

Une nouvelle faille (CVE-2022-20409) a été détectée dans le noyau Linux. Elle pourrait permettre à un utilisateur non privilégié d'obtenir des privilèges d'exécution système.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

Mise à jour du 21/12/2023 : clarification indiquant que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.

Mise à jour du 19/01/2023 : ajout d'informations indiquant que la version 1.21.14-gke.14100 de GKE est disponible.

Mise à jour du 15/12/2022 : la version 1.21.14-gke.9400 de Google Kubernetes Engine est en attente de déploiement et peut être remplacée par une version supérieure.

Mise à jour du 22/11/2022 : ajout de versions de correctif pour GKE sur VMware, GKE sur AWS et GKE sur Azure.

Une nouvelle faille (CVE-2022-3176) a été détectée dans le noyau Linux, qui peut entraîner l'élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'échapper complètement au conteneur pour arriver à la racine du nœud.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

Le plan de contrôle Istio istiod est vulnérable à une erreur de traitement des requêtes, ce qui permet à un pirate informatique d'envoyer un message conçu à des fins malveillantes, qui va entraîner le plantage du plan de contrôle lorsque le webhook de validation d'un cluster est exposé publiquement. Ce point de terminaison est desservi via le port TLS 15017, mais ne nécessite aucune authentification de la part du pirate.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Cloud Service Mesh.

Une faille de sécurité liée à l'analyse des messages et à la gestion de la mémoire dans les implémentations C++ et Python de ProtocolBuffer peut déclencher une erreur de mémoire insuffisante (OOM) lors du traitement d'un message spécialement conçu. Cela pourrait entraîner un déni de service (DoS) sur les services utilisant les bibliothèques.

Que dois-je faire ?

Assurez-vous d'utiliser les dernières versions des packages logiciels suivants :

• protobuf-cpp (3.18.3, 3.19.5, 3.20.2, 3.21.6)
• protobuf-python (3.18.3, 3.19.5, 3.20.2, 4.21.6)

Quelles failles ce correctif permet-il de résoudre ?

Ce correctif réduit les risques liés à la faille suivante :

Petit message spécialement conçu qui amène le service en cours d'exécution à allouer de grandes quantités de RAM. La petite taille de la requête signifie qu'il est facile d'exploiter la faille et d'épuiser les ressources. Les systèmes C++ et Python qui consomment des fichiers protobuf non fiables seraient vulnérables aux attaques DoS'ils contiennent un objet MessageSet dans leur requête RPC.

Mise à jour du 21/12/2023 : clarification indiquant que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.

Mise à jour du 14/09/2022 : ajout de versions de correctif pour GKE sur VMware, GKE sur AWS et GKE sur Azure.

Une nouvelle faille (CVE-2022-2327) a été détectée dans le noyau Linux, qui peut entraîner l'élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'échapper complètement au conteneur pour arriver à la racine du nœud.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

Mise à jour du 22-11-2022 : les charges de travail utilisant GKE Sandbox ne sont pas affectées par ces failles.

Mise à jour du 21/07/2022 : informations supplémentaires sur GKE sur VMware.

Une nouvelle faille (CVE-2022-1786) a été détectée dans les versions de noyau Linux 5.10 et 5.11. Cette faille permet à un utilisateur non privilégié disposant d'un accès local au cluster de s'échapper d'un conteneur pour obtenir un accès racine au nœud. Seuls les clusters qui exécutent Container-Optimized OS sont affectés. Les versions d'Ubuntu GKE utilisent la version 5.4 ou 5.15 du noyau et ne sont pas affectées.

Pour en savoir plus et obtenir des instructions, consultez les pages suivantes :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

Mise à jour du 22 novembre 2022 : les clusters Autopilot ne sont pas affectés par CVE-2022-29581, mais sont vulnérables à CVE-2022-29582 et CVE-2022-1116.

Trois nouvelles failles de corruption de mémoire (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) ont été détectées dans le noyau Linux. Ces failles permettent à un utilisateur non privilégié disposant d'un accès local au cluster de s'en échappement du conteneur complètement pour arriver à la racine du nœud. Tous les clusters Linux (Container-Optimized OS et Ubuntu) sont affectés.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

• CVE-2022-29581
• CVE-2022-29582
• CVE-2022-1116

Mise à jour du 10/06/2022 : les versions de Cloud Service Mesh ont été mises à jour. Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Cloud Service Mesh.

Les failles CVE Envoy et Istio suivantes exposent Cloud Service Mesh et Istio sur GKE à des failles exploitables à distance :

• CVE-2022-31045 : le plan de données Istio peut potentiellement accéder à la mémoire de manière non sécurisée lorsque les extensions Metadata Exchange et Stats sont activées.
• CVE-2022-29225 : les données peuvent dépasser les limites des tampons intermédiaires si un pirate informatique transmet une petite charge utile présentant un taux de compression élevé (attaque de type "bombe zip").
• CVE-2021-29224 : déréférencement possible du pointeur nul dans GrpcHealthCheckerImpl.
• CVE-2021-29226 : un filtre OAuth permet de contourner simplement la protection assurée pour Envoy.
• CVE-2022-29228 : un filtre OAuth peut corrompre la mémoire (pour les versions antérieures) ou déclencher une fonction ASSERT() (pour les versions ultérieures).
• CVE-2022-29227 : les redirections internes plantent dans le cas de requêtes contenant un corps ou des en-têtes trailer.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Cloud Service Mesh.

• CVE-2022-31045
  
• CVE-2022-29225
  
• CVE-2021-29224
  
• CVE-2021-29226
  
• CVE-2022-29228
  
• CVE-2022-29227
  

Mise à jour du 22/11/2022 : les clusters GKE Autopilot et les charges de travail exécutées dans GKE Sandbox ne sont pas affectés.

Mise à jour du 12/05/2022 : les versions de GKE sur AWS et GKE sur Azure ont été mises à jour. Pour en savoir plus et obtenir des instructions, consultez les pages suivantes :

• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

---

Deux failles de sécurité, CVE-2022-1055 et CVE-2022-27666, ont été détectées dans le noyau Linux. Chacune d'entre elles peut permettre à un pirate informatique local d'effectuer une interruption des conteneurs, une élévation des privilèges sur l'hôte, ou les deux. Ces failles affectent tous les systèmes d'exploitation du nœud GKE (Container-Optimized OS et Ubuntu). Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

Une faille de sécurité, CVE-2022-23648, a été détectée dans la gestion du balayage de chemin d'accès de containerd dans la spécification du volume d'images OCI. Les conteneurs lancés via l'implémentation CRI de containerd avec une configuration d'image spécialement conçue à cet effet peuvent bénéficier d'un accès en lecture complet aux fichiers et répertoires arbitraires de l'hôte. Cette faille peut contourner toute application basée sur des règles lors de la configuration du conteneur (y compris une stratégie de sécurité des pods Kubernetes).

Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

Mise à jour du 22-11-2022 : pour les clusters GKE en mode Standard et Autopilot, les charges de travail utilisant GKE Sandbox ne sont pas affectées.

Une faille de sécurité, CVE-2022-0847, a été détectée dans les versions 5.8 et ultérieures du noyau Linux. Celle-ci peut potentiellement faire remonter les droits du conteneur à la racine. Cette faille affecte les produits suivants :

• Versions 1.22 et ultérieures des pools de nœuds GKE qui utilisent des images Container-Optimized OS (Container-Optimized OS 93 et versions ultérieures)
• GKE sur VMware v1.10 pour les images Container-Optimized OS
• GKE sur AWS v1.21 et GKE sur AWS (génération précédente) v1.19, v1.20, v1.21 qui utilisent Ubuntu
• Clusters gérés GKE sur Azure v1.21 qui utilisent Ubuntu

Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

Mise à jour du 11/08/2022 : ajout d'informations sur la configuration multithread (Simultaneous Multi-Threading) . SMT était destiné à être désactivé, mais il a été activé sur les versions répertoriées.

Si vous avez activé manuellement SMT pour un pool de nœuds en bac à sable, SMT restera activé manuellement, malgré ce problème.

Il existe une erreur de configuration avec le mode SMT (Simultaneous Multi-Threading), également appelé Hyper-Threading, sur les images GKE Sandbox. L'erreur de configuration laisse des nœuds potentiellement exposés à des attaques de versions secondaires, telles que l'échantillonnage des données microarchitecturales (pour en savoir plus, consultez la documentation de GKE Sandbox). Nous vous déconseillons d'utiliser les versions concernées suivantes :

• 1.22.4-gke.1501
• 1.22.6-gke.300
• 1.23.2-gke.300
• 1.23.3-gke.600

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité de GKE.

La CVE Istio suivante expose Cloud Service Mesh à une faille exploitable à distance :

• CVE-2022-24726 : le plan de contrôle Istio, `istiod`, est vulnérable à une erreur de traitement des requêtes, ce qui permet à un pirate informatique d'envoyer un message conçu à des fins malveillantes, qui va entraîner le plantage du plan de contrôle lorsque le webhook de validation d'un cluster est exposé publiquement. Ce point de terminaison est desservi via le port TLS 15017, mais ne nécessite aucune authentification de la part du pirate.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité suivant :

• Bulletin de sécurité de Cloud Service Mesh

• CVE-2022-24726

Certains chemins inattendus permettant d'accéder à la VM de nœud sur les clusters GKE Autopilot auraient pu être utilisés pour une élévation des privilèges dans le cluster. Ces problèmes ont été corrigés et aucune autre action n'est requise. Ces correctifs permettent de résoudre les problèmes signalés via notre Vulnerability Reward Program.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité de GKE.

Mise à jour du 28/04/2022  : ajout de versions de GKE sur VMware qui corrigent ces failles. Pour en savoir plus, consultez le bulletin de sécurité GKE sur VMware.

• CVE-2022-23606 : lorsqu'un cluster est supprimé via le service de détection de clusters (CDS, Cluster Discovery Service), toutes les connexions inactives établies avec les points de terminaison de ce cluster sont déconnectées. Une récursion a été introduite par erreur dans la version 1.19 d'Envoy dans la procédure de déconnexion des connexions inactives, ce qui peut entraîner un épuisement de la pile et une fin anormale du processus lorsqu'un cluster comporte un grand nombre de connexions inactives.
• CVE-2022-21655 : le code de redirection interne d'Envoy suppose qu'une entrée de route existe. Lorsqu'une redirection interne est effectuée vers une route qui comporte une entrée de réponse directe et aucune entrée de route, cela entraîne la déréférence d'un pointeur nul et un plantage.
• CVE-2021-43826 : lorsqu'Envoy est configuré pour utiliser tcp_proxy qui utilise la tunnelisation en amont (sur HTTP) et la terminaison TLS en aval, Envoy plante si le client en aval se déconnecte pendant le handshake TLS alors que le flux HTTP en amont est toujours en cours d'établissement. La déconnexion en aval peut être initiée par le client ou le serveur. Le client peut se déconnecter pour n'importe quelle raison. Le serveur peut se déconnecter s'il ne dispose pas, par exemple, de chiffrements TLS ni de versions de protocole TLS compatibles avec le client. Il est possible de déclencher ce plantage dans d'autres configurations en aval.
• CVE-2021-43825 : l'envoi d'une réponse générée localement doit arrêter le traitement ultérieur des données de requête ou de réponse. Envoy suit la quantité de données de requête et de réponse mises en mémoire tampon, et abandonne la requête si la quantité de données mises en mémoire tampon dépasse la limite en envoyant des réponses 413 ou 500. Toutefois, lorsqu'une réponse générée localement est envoyée en raison de débordements de mémoire tampon internes pendant le traitement de la réponse par la chaîne de filtres, l'opération peut ne pas être abandonnée correctement et entraîner l'accès à un bloc de mémoire libéré.
• CVE-2021-43824 : Envoy plante lorsque vous utilisez le filtre JWT avec une règle de correspondance "safe_regex" et une requête spécialement conçue, comme "CONNECT host:port HTTP/1.1". Lorsqu'il atteint le filtre JWT, une règle "safe_regex" doit évaluer le chemin d'URL, mais il n'y en a aucun ici, et Envoy plante avec des erreurs de segmentation.
• CVE-2022-21654 : Envoy autorisait incorrectement la reprise de session TLS après la reconfiguration des paramètres de validation mTLS. Si un certificat client était autorisé avec l'ancienne configuration, mais pas avec la nouvelle, le client peut reprendre la session TLS précédente, même si la configuration actuelle devrait l'interdire. Les modifications apportées aux paramètres suivants sont concernées :
  • match_subject_alt_names
  • Modifications apportées à la LRC
  • allow_expired_certificate
  • Trust_chain_verification
  • only_verify_leaf_cert_crl
• CVE-2022-21657 : Envoy ne limite pas l'ensemble des certificats qu'il accepte du pair, que ce soit en tant que client TLS ou serveur TLS, aux seuls certificats contenant les extendedKeyUsage nécessaires (id-kp-serverAuth et id-kp-clientAuth, respectivement). Cela signifie qu'un pair peut présenter un certificat d'adresse e-mail (par exemple, id-kp-emailProtection), soit en tant que certificat de feuille, soit en tant qu'autorité de certification dans la chaîne, et qu'il sera accepté pour TLS. Cela est particulièrement problématique en combinaison avec CVE-2022-21656 , car cela permet à une autorité de certification Web PKI qui n'est destinée qu'à être utilisée avec S/MIME, et qui est donc exemptée d'audit ou de supervision, d'émettre des certificats TLS qui seront acceptés par Envoy.
• CVE-2022-21656 : L'implémentation du validateur utilisée pour implémenter les routines de validation de certificat par défaut présente un bug de "confusion de type" lors du traitement des subjectAltNames. Ce traitement permet, par exemple, d'authentifier un rfc822Name ou un uniformResourceIndicator en tant que nom de domaine. Cette confusion permet de contourner les nameConstraints, telles qu'elles sont traitées par l'implémentation OpenSSL/BoringSSL sous-jacente, ce qui permet d'usurper l'identité de n'importe quel serveur.

• Bulletin de sécurité Cloud Service Mesh

• Bulletin de sécurité d'Istio sur GKE

• GKE
• GKE sur VMware
• Google Distributed Cloud Virtual pour Bare Metal

Les failles CVE Envoy et Istio suivantes exposent Cloud Service Mesh et Istio sur GKE à des failles exploitables à distance :

• CVE-2022-23635 : Istiod plante en cas de réception de requêtes avec un en-tête authorization spécialement conçu.
• CVE-2021-43824 : déréférencement possible de pointeur NULL lorsque vous utilisez la correspondance safe_regex du filtre JWT
• CVE-2021-43825 : disponible après l'utilisation sans frais lorsque les filtres de réponse augmentent les données de réponse et que l'augmentation des données dépasse les limites de la mémoire tampon en aval.
• CVE-2021-43826 : vulnérabilité de type "use-after-free" lors de la tunnelisation TCP sur HTTP, en cas de déconnexion en aval lors de l'établissement de la connexion en amont.
• CVE-2022-21654 : la gestion incorrecte des configurations permet la réutilisation des sessions mTLS sans revalidation après la modification des paramètres de validation.
• CVE-2022-21655 : traitement incorrect des redirections internes vers les routes avec une entrée de réponse directe.
• CVE-2022-23606 : épuisement de la pile lorsqu'un cluster est supprimé via le service de détection de clusters.

Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants :

• Bulletin de sécurité de Cloud Service Mesh
• Bulletin de sécurité d'Istio sur GKE

• CVE-2022-23635
  
• CVE-2021-43824
  
• CVE-2021-43825
  
• CVE-2021-43826
  
• CVE-2022-21654
  
• CVE-2022-21655
  
• CVE-2022-23606
  

Mise à jour du 16/05/2022 : ajout de la version 1.19.16-gke.7800 de GKE ou d'une version ultérieure à la liste des versions contenant du code pour corriger cette faille. Pour en savoir plus, consultez le bulletin de sécurité GKE.

Mise à jour du 12/05/2022 : les versions de GKE, GKE sur VMware, GKE sur AWS et GKE sur Azure ont été mises à jour. Pour en savoir plus et obtenir des instructions, consultez les pages suivantes :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure

Une faille de sécurité, CVE-2022-0492, a été détectée dans la fonction cgroup_release_agent_write du noyau Linux. L'attaque utilise des espaces de noms utilisateur non privilégiés et, dans certaines circonstances, peut être exploitable pour l'interruption d'un conteneur.

Pour en savoir plus et obtenir des instructions, consultez les pages suivantes :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure

Une faille de sécurité, CVE-2021-43527, a été détectée dans tout binaire lié aux versions vulnérables de libnss3 trouvées dans les versions NSS (Network Security Services) antérieures à la version 3.73 ou 3.68.1. Les applications utilisant NSS pour la validation du certificat ou d'autres fonctionnalités TLS, X.509, OCSP ou CRL peuvent être affectées, suivant la manière dont NSS est utilisé/configuré.

Pour en savoir plus et obtenir des instructions, consultez les pages suivantes :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur Azure

Une faille de sécurité, CVE-2021-4034, a été détectée dans pkexec, une partie du package du kit de règles Linux (polkit), qui permet à un utilisateur authentifié d'effectuer une attaque d'élévation des privilèges. PolicyKit n'est généralement utilisé que sur les systèmes de bureau Linux pour permettre aux utilisateurs non racines d'effectuer des actions telles que le redémarrage du système, l'installation de packages ou le redémarrage de services conformément à une règle.

Pour en savoir plus et obtenir des instructions, consultez les pages suivantes :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur Azure

Mise à jour du 25/02/2022 : les versions de GKE ont été mises à jour. Pour en savoir plus et obtenir des instructions, consultez les pages suivantes :

• Bulletin de sécurité de GKE

Mise à jour du 23/02/2022  : les versions de GKE et de GKE sur VMware ont été mises à jour. Pour en savoir plus et obtenir des instructions, consultez les pages suivantes :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware

Mise à jour du 04-02-2022 : la date de début du déploiement des versions de correctif de GKE était le 2 février.

Trois failles de sécurité : CVE-2021-4154, CVE-2021-22600 et CVE-2022-0185 ont été découvertes dans le noyau Linux, chacune pouvant entraîner une rupture de conteneur, une élévation des privilèges sur l'hôte ou les deux. Ces failles affectent tous les systèmes d'exploitation de nœud (COS et Ubuntu) sur GKE, GKE sur VMware, GKE sur AWS (génération actuelle et précédente) et GKE sur Azure. Les pods utilisant GKE Sandbox ne sont pas vulnérables à ces failles. Pour en savoir plus, consultez la page Notes de version.

Pour en savoir plus et obtenir des instructions, consultez les pages suivantes :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware

• CVE-2021-4154
• CVE-2021-22600
• CVE-2022-0185

Un problème potentiel de déni de service dans protobuf-java a été découvert dans la procédure d'analyse des données binaires.

Que dois-je faire ?

Assurez-vous d'utiliser les dernières versions des packages logiciels suivants :

• protobuf-java (3.16.1, 3.18.2, 3.19.2)
• protobuf-kotlin (3.18.2, 3.19.2)
• google-protobuf [gem JRuby] (3.19.2)

Les utilisateurs de Protobuf "javalite" (généralement Android) ne sont pas concernés.

Quelles failles ce correctif permet-il de résoudre ?

Ce correctif réduit les risques liés à la faille suivante :

Faiblesse d'implémentation dans la façon dont les champs inconnus sont analysés en Java. Une petite charge utile malveillante (~800 Ko) peut occuper l'analyseur pendant plusieurs minutes en créant un grand nombre d'objets éphémères qui provoquent des pauses fréquentes et répétées de récupération de mémoire.

Un problème de sécurité a été détecté dans le contrôleur Kubernetes ingress-nginx, CVE-2021-25742. Les extraits personnalisés ingress-nginx permettent la récupération des jetons de compte de service ingress-nginx et des secrets sur tous les espaces de noms.

Pour en savoir plus et obtenir des instructions, consultez les pages suivantes :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

Il existe un problème connu lorsque la mise à jour d'une ressource BackendConfig à l'aide de l'API v1beta1 supprime des règles de sécurité Google Cloud Armor actives de son service.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité de GKE.

Une faille a été détectée dans le module LDAP GKE Enterprise Identity Service (AIS) des versions 1.8 et 1.8.1 de GKE sur VMware, où une clé initiale utilisée dans la génération de clés est prévisible. Avec cette faille, un utilisateur authentifié peut ajouter des revendications arbitraires et élever les privilèges indéfiniment.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité GKE sur VMware.

Une faille de sécurité, CVE-2020-8561, a été détectée dans Kubernetes. Certains webhooks peuvent être effectués pour rediriger les requêtes kube-apiserver vers des réseaux privés de cette API.

Pour en savoir plus et obtenir des instructions, consultez les pages suivantes :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

Conformément à l'avis de sécurité VMSA-2021-0020, VMware a reçu des rapports concernant plusieurs failles dans vCenter. VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés.

Nous avons déjà appliqué les correctifs fournis par VMware pour la pile vSphere à Google Cloud VMware Engine, conformément à l'avis de sécurité VMware. Cette mise à jour résout les failles de sécurité décrites dans CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 et CVE-2021-22010. D'autres problèmes de sécurité non critiques seront résolus dans la prochaine mise à niveau de la pile VMware (selon l'avis préalable envoyé en juillet, des détails supplémentaires seront bientôt fournis dans la chronologie spécifique de la mise à niveau).

Impact sur VMware Engine

D'après nos investigations, aucun client n'a été touché.

Que dois-je faire ?

Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise.

• VMSA-2021-0020
• CVE-2021-22005
• CVE-2021-22006
• CVE-2021-22007
• CVE-2021-22008
• CVE-2021-22010

Certains équilibreurs de charge Google Cloud qui acheminent vers un service de backend Identity-Aware Proxy (IAP) peuvent être vulnérables à une partie non approuvée dans des conditions limitées. Ce changement résout un problème signalé via notre Vulnerability Reward Program.

• Les équilibreurs de charge HTTP(S) et
• Utilisé un backend par défaut ou un backend comportant une règle de mappage d'hôte générique (c'est-à-dire host="*")

De plus, un utilisateur de votre organisation doit avoir cliqué sur un lien spécialement créé qui a été envoyé par une partie non approuvée.

Le problème a donc été résolu. IAP a été mis à jour pour émettre des cookies uniquement vers les hôtes autorisés depuis le 17 septembre 2021. Un hôte est considéré comme étant autorisé s'il correspond à au moins un SAN (Subject Alternative Name, nom alternatif du sujet) dans l'un des certificats installés sur vos équilibreurs de charge.

Que devez-vous faire ?

Certains de vos utilisateurs pourraient recevoir une réponse "HTTP 401: Unauthorized" accompagnée du code d'erreur 52 d'IAP en essayant d'accéder à vos applications ou services. Ce code d'erreur signifie que le client a envoyé un en-tête Host qui ne correspond à aucun autre nom d'objet associé au certificat SSL de l'équilibreur de charge. Un administrateur d'équilibreur de charge doit mettre à jour les certificats SSL afin que la liste des SAN contienne tous les noms d'hôtes via lesquels les utilisateurs accèdent à vos applications et services protégés par IAP. En savoir plus sur les codes d'erreur IAP.

Un problème de sécurité a été détecté dans Kubernetes, CVE-2021-25741, où un utilisateur peut créer un conteneur avec des montages de volume de sous-chemin pour accéder aux fichiers et répertoires en dehors du volume, y compris sur le système de fichiers hôte.

Pour en savoir plus et obtenir des instructions, consultez les pages suivantes :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de Google Distributed Cloud Virtual pour Bare Metal

Mise à jour du 23-09-2021 : les conteneurs s'exécutant dans GKE Sandbox ne sont pas affectés par cette faille pour les attaques provenant du conteneur.

Deux failles de sécurité, CVE-2021-33909 et CVE-2021-33910, ont été détectées dans le noyau Linux. Elles peuvent provoquer un plantage du système d'exploitation ou une escalade vers la racine par un utilisateur non privilégié. Cette faille affecte tous les systèmes d'exploitation du nœud GKE (COS et Ubuntu).

Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants :

• Bulletin de sécurité de GKE.
• Bulletin de sécurité de GKE sur AWS.

Les failles CVE Envoy et Istio suivantes exposent Cloud Service Mesh et Istio sur GKE à des failles exploitables à distance :

• CVE-2021-39156 : les requêtes HTTP comportant un fragment (une section à la fin d'un URI commençant par le caractère #) dans le chemin de l'URI peuvent contourner les règles d'autorisation d'URI basées sur le chemin d'URI.
• CVE-2021-39155 : les requêtes HTTP peuvent potentiellement contourner une règle d'autorisation Istio lors de l'utilisation de règles basées sur hosts ou notHosts.
• CVE-2021-32781 : affecte les extensions propriétaires decompressor, json-transcoder ou grpc-web, ou les extensions propriétaires qui modifient et augmentent la taille des corps de requêtes ou de réponses. La modification et l'augmentation de la taille du corps d'une extension Envoy, au-delà de la taille du tampon interne, peuvent l'amener à accéder à la mémoire allouée et à s'arrêter de manière anormale.
• CVE-2021-32780 : un service en amont non approuvé peut entraîner l'arrêt anormal d'Envoy en envoyant le cadre GOAWAY suivi du cadre SETTINGS avec le paramètre SETTINGS_MAX_CONCURRENT_STREAMS défini sur 0. (Non applicable à Istio sur GKE)
• CVE-2021-32778 : un client Envoy qui ouvre, puis réinitialise un grand nombre de requêtes HTTP/2 peut entraîner une consommation excessive du processeur. (Non applicable à Istio sur GKE)
• CVE-2021-32777 : les requêtes HTTP contenant plusieurs en-têtes de valeurs pourraient effectuer une vérification incomplète des règles d'autorisation lorsque l'extension ext_authz est utilisée.

Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants :

• Bulletin de sécurité de Cloud Service Mesh
• Bulletin de sécurité d'Istio sur GKE

• CVE-2021-39156
• CVE-2021-39155
• CVE-2021-32781
• CVE-2021-32780
• CVE-2021-32778
• CVE-2021-32777

Une nouvelle faille de sécurité, CVE-2021-22555, a été détectée dans laquelle un acteur malveillant doté de privilèges CAP_NET_ADMIN peut permettre à l'interruption d'un conteneur de remonter jusqu'à l'accès racine de l'hôte. Cette faille affecte tous les clusters GKE et GKE sur VMware exécutant Linux 2.6.19 ou version ultérieure.

Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants :

• Bulletin de sécurité de GKE.
• Bulletin de sécurité de GKE sur VMware.

Microsoft a publié un bulletin de sécurité sur la faille d'exécution de code à distance (RCE, Remote Code Execution) CVE-2021-34527, qui affecte le spouleur d'impression sur les serveurs Windows. Le CERT Coordination Center (CERT/CC) a publié une note de mise à jour sur une faille similaire, surnommée "PrintNightmare", qui affecte également les spouleurs d'impression Windows : PrintNightmare, Critical Windows Print Spooler Vulnerability.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité de GKE.