Bollettini sulla sicurezza

È stata identificata una vulnerabilità nella piattaforma Apigee che avrebbe potuto consentire a un utente malintenzionato con autorizzazioni a livello di amministratore o sviluppatore nel proprio ambiente Apigee di elevare i privilegi e accedere ai dati cross-tenant.

Nello specifico, una vulnerabilità nella tecnologia di sandboxing di Apigee X consentiva l'utilizzo di un endpoint link-local per accedere ai token del account di servizio (P4SA) all'interno di un progetto tenant del cliente. Sfruttando questa identità, un malintenzionato potrebbe teoricamente leggere i metadati di Analytics o manomettere i record di monitoraggio interni in altre organizzazioni (tenant) Apigee.

Che cosa devo fare?

Non è richiesta alcuna azione da parte del cliente. Google ha implementato una strategia di mitigazione a più livelli per risolvere il problema:

• Mitigazione dello sfruttamento dei token:il vettore di exploit per il token del service account Apigee nei pod di runtime è stato mitigato.
• Principio del privilegio minimo:le autorizzazioni del account di servizio Apigee sono state limitate per impedire modifiche non autorizzate.
• Isolamento dei dati:è stato rimosso l'accesso per i service account a livello di cartella ai bucket Google Cloud Storage multi-tenant.

Google ha confermato che, sebbene i record di monitoraggio interni fossero teoricamente accessibili, questi vengono utilizzati solo internamente da Google e la loro esposizione non influisce sulla sicurezza o sull'integrità dei dati dei clienti all'interno di Apigee.

Le versioni dell'interfaccia utente di Log Analytics precedenti a gennaio 2026 possono essere configurate per eseguire automaticamente query SQL. Una vulnerabilità può consentire a un malintenzionato di creare un URL di query che, se aperto da qualcuno con credenziali, potrebbe accedere ai contenuti della tabella o comportare costi di query.

Per saperne di più, consulta il bollettino sulla sicurezza di Google Cloud Observability.

Un insieme di vulnerabilità di sicurezza interessa il firmware Intel® TDX. Queste vulnerabilità comprendono vari difetti, tra cui race condition (CVE-2025-30513, CVE-2025-31944), letture fuori dai limiti (CVE-2025-32007, CVE-2025-27940), utilizzo di una variabile non inizializzata (CVE-2025-32467) ed esposizione di informazioni sensibili durante l'esecuzione temporanea (CVE-2025-27572). Nel complesso, questi problemi potrebbero consentire la divulgazione di informazioni, l'escalation dei privilegi o l'denial of service. Lo sfruttamento in genere richiede l'accesso utente privilegiato al sistema.

Che cosa devo fare?

Non è richiesta alcuna azione da parte del cliente. Tutte le correzioni pertinenti sono state applicate alla flotta di server Google. Per saperne di più, consulta l'avviso tecnico INTEL-TA-01397 del PSIRT di Intel.

• CVE-2025-30513
• CVE-2025-31944
• CVE-2025-32007
• CVE-2025-32467
• CVE-2025-27572
• CVE-2025-27940

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-40297

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Sono state identificate più vulnerabilità della sicurezza nella libreria OpenSSL. Il risultato più significativo è CVE-2025-15467, una vulnerabilità critica che potrebbe consentire l'esecuzione di codice da remoto (RCE) o attacchi denial of service (DoS) tramite vettori basati sulla rete.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Questa vulnerabilità interessa l'interfaccia di Log Analytics e le versioni dell'interfaccia di creazione di dashboard di Cloud Monitoring precedenti a gennaio 2026.

Per saperne di più, consulta il bollettino sulla sicurezza di Google Cloud Observability.

In Compute Engine è stata rilevata una vulnerabilità in alcuni processori Arm che interessa le VM C4A e A4X:

• CVE-2025-0647

Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di Compute Engine.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-39964

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-40215

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-40214

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

In Cloud Data Fusion è stata scoperta la seguente vulnerabilità:

• CVE-2025-9571

Per istruzioni e maggiori dettagli, consulta il bollettino sulla sicurezza di Cloud Data Fusion.

Una vulnerabilità nella funzionalità di integrazioni personalizzate di Google Security Operations SOAR potrebbe consentire a un utente autenticato con un ruolo IDE di ottenere l'esecuzione di codice remoto (RCE) sul server. La vulnerabilità era dovuta a una convalida insufficiente del codice del pacchetto Python, che consentiva a un malintenzionato di caricare un pacchetto con un file setup.py dannoso. Questo file potrebbe quindi essere eseguito durante l'installazione, compromettendo il server.

Che cosa devo fare?

Non è richiesta alcuna azione da parte del cliente. Per tutti i clienti è stato eseguito l'upgrade automatico alla versione corretta: 6.3.64 o successive.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-39965

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Sono state rilevate le seguenti vulnerabilità in Envoy Proxy:

• CVE-2025-66220
• CVE-2025-64527
• CVE-2025-64763

Per istruzioni e ulteriori dettagli, consulta il bollettino sulla sicurezza di Cloud Service Mesh.

• CVE-2025-66220
• CVE-2025-64527
• CVE-2025-64763

Aggiornamento del 04/12/2025: è ora disponibile una regola del web application firewall.

È stata rilevata una vulnerabilità di esecuzione di codice remoto nei framework open source React e Next.js. Sebbene Google Cloud non sia vulnerabile, gli utenti di questi framework in esecuzione su Google Cloud potrebbero esserlo.

Le seguenti versioni del framework sono interessate da questa vulnerabilità:

• React 19.0, 19.1.0, 19.1.1 e 19.2.0
• Next.js 15.x, Next.js 16.x e Next.js 14.3.0-canary.77 e versioni canary successive

Le seguenti versioni del framework includono correzioni per questa vulnerabilità:

• React 19.0.1, 19.1.2 e 19.2.1
• Next.js 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 15.6.0-canary.58 e 16.0.7

Per ulteriori informazioni, consulta l'avviso di React e l'avviso di Vercel su queste vulnerabilità.

I clienti devono intervenire immediatamente per proteggere i propri carichi di lavoro eseguendo nuovamente il deployment con dipendenze aggiornate.

Qual è l'utilità di Google?

È stata resa disponibile una regola del web application firewall (WAF) di Cloud Armor progettata per rilevare e bloccare i tentativi di sfruttamento correlati. Questa nuova regola ha lo scopo di proteggere le tue applicazioni e i tuoi servizi esposti a internet che utilizzano bilanciatori del carico delle applicazioni globali o regionali. Ti consigliamo di implementare questa regola come mitigazione temporanea durante l'aggiornamento dei carichi di lavoro. Le istruzioni per l'applicazione di questa regola sono disponibili in questo post del blog.

Per i clienti che utilizzano App Engine Standard, Cloud Functions, Cloud Run Functions, Cloud Run, Firebase Hosting o Firebase App Hosting, è già applicata una regola per limitare lo sfruttamento tramite richieste a domini personalizzati e predefiniti.

I clienti che utilizzano l'Artifact Analysis riceveranno una notifica di queste vulnerabilità sugli artefatti nuovi ed esistenti per aiutarli a identificare i carichi di lavoro a rischio.

Questo bollettino sulla sicurezza verrà aggiornato man mano che saranno disponibili nuove informazioni.

Aggiornamento dell'11 dicembre 2025: sono state aggiunte le versioni delle patch e una classificazione della gravità per GDC (VMware).

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-40019

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Aggiornamento dell'11 dicembre 2025: sono state aggiunte le versioni delle patch e una classificazione della gravità per GDC (VMware).

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-40018

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Sono stati rilevati diversi problemi di sicurezza in runc, un componente software open source utilizzato per l'esecuzione di container. Gli attacchi rivelati in queste vulnerabilità (CVE-2025-31133, CVE-2025-52565 e CVE-2025-52881) consentono a un malintenzionato di eseguire un'interruzione completa del container nei pool di worker e nei job Cloud Run, con conseguente escalation dei privilegi di root dal container all'istanza in sandbox. Un utente con privilegi per eseguire il deployment di un'immagine container dannosa può sfruttare queste vulnerabilità per accedere agli altri container all'interno dell'istanza sandbox di Cloud Run.

• CVE-2025-31133
• CVE-2025-52565
• CVE-2025-52881

Sono vulnerabili i pool di worker, i job e un numero limitato di servizi che non sono ancora stati aggiornati.

È in preparazione un aggiornamento che verrà implementato all'inizio di gennaio. Questo bollettino verrà aggiornato al termine del lancio.

Segnala eventuali problemi relativi a questa vulnerabilità al programma di premi per le vulnerabilità di Google Cloud all'indirizzo g.co/vrp.

• CVE-2025-31133
• CVE-2025-52565
• CVE-2025-52881

Looker ha corretto una vulnerabilità che avrebbe potuto consentire a un malintenzionato con autorizzazioni di visualizzazione in Looker di creare un URL dannoso che, se aperto da un amministratore di Looker, avrebbe eseguito uno script fornito dall'aggressore. L'exploit richiedeva almeno un'estensione Looker installata sull'istanza.

È stato riscontrato che sia le istanze ospitate da Looker sia quelle self-hosted sono vulnerabili.

Questo problema è già stato risolto per le istanze ospitate da Looker.

Che cosa devo fare?

Istanze ospitate da Looker:

Non è richiesta alcuna azione da parte del cliente.

Solo istanze Looker ospitate autonomamente:

Se la tua istanza di Looker è self-hosted, ti consigliamo di eseguire l'upgrade il prima possibile. Questa vulnerabilità è stata corretta in tutte le versioni supportate di Looker per le istanze self-hosted. Le seguenti versioni sono state tutte aggiornate per proteggere da questa vulnerabilità:

• 25.16.0 e tutte le versioni successive
• 25.12.7+
• 25.6.66+
• 25.0.79+
• 24.18.201+

Puoi scaricare queste versioni di Looker dalla pagina di download di Looker: https://download.looker.com/

Looker ha corretto una vulnerabilità che avrebbe potuto consentire a un malintenzionato di assumere il controllo di un account Looker in un'istanza di Looker configurata con l'autenticazione OIDC, a causa della normalizzazione delle stringhe degli indirizzi email.

È stato riscontrato che sia le istanze ospitate da Looker sia quelle self-hosted sono vulnerabili.

Questo problema è già stato risolto per le istanze ospitate da Looker.

Che cosa devo fare?

Istanze ospitate da Looker:

Non è richiesta alcuna azione da parte del cliente.

Solo istanze Looker ospitate autonomamente:

Se la tua istanza di Looker è self-hosted, ti consigliamo di eseguire l'upgrade delle istanze di Looker il prima possibile a una delle seguenti versioni:

• 25.10.22+
• 25.8.39+
• 25.6.57+
• 25.0.69+
• 24.18.193+
• 24.12.100+

Puoi scaricare queste versioni di Looker dalla pagina di download di Looker: https://download.looker.com/

Nota: le release 25.12 e successive non sono interessate da questo problema di sicurezza.

Aggiornamento del 27/11/2025: sono state aggiunte le versioni delle patch per GKE e GDC (bare metal).

In runc, il runtime dei container di basso livello predefinito per GKE, è stato scoperto un insieme di tre vulnerabilità di container escape. Le vulnerabilità possono portare a un escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2025-31133
• CVE-2025-52565
• CVE-2025-52881

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

• CVE-2025-31133
• CVE-2025-52565
• CVE-2025-52881

I ricercatori hanno scoperto una vulnerabilità in AMD SEV-SNP (Secure Nested Paging) sulle macchine AMD Milan.

Un attacco potrebbe consentire a un hypervisor dannoso di manipolare i valori di inizializzazione RMP, con conseguente potenziale perdita di integrità della memoria guest AMD SEV-SNP.

Google ha implementato una mitigazione che impedisce questo problema.

Che cosa devo fare?

Per la mitigazione non è necessaria alcuna azione da parte del cliente. Le mitigazioni sono già state applicate alle istanze Confidential VM con AMD SEV-SNP.

Tuttavia, le istanze Confidential VM con AMD SEV-SNP ora utilizzano il formato di attestazione v4. I clienti che utilizzano la libreria go-sev-guest per analizzare i report di attestazione devono eseguire l'aggiornamento a go-sev-guest v0.14.0 o versioni successive.

Per i clienti che utilizzano i propri parser, il formato del report di attestazione è definito dalla specifica ABI del firmware di paging nidificato sicuro SEV.

Quali vulnerabilità vengono affrontate?

Per saperne di più, consulta l'avviso di AMD AMD-SB-3020.

Sono state rilevate le seguenti vulnerabilità in Envoy Proxy:

• CVE-2025-62504
• CVE-2025-62409

Per istruzioni e ulteriori dettagli, consulta il bollettino sulla sicurezza di Cloud Service Mesh.

• CVE-2025-62504
• CVE-2025-62409

Aggiornamento del 17/11/2025: Sono state aggiunte le versioni delle patch per i nodi GKE Ubuntu.

Aggiornamento del 30/10/2025: sono state aggiunte versioni delle patch e una valutazione della gravità per il software GDC per VMware

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-39682

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Aggiornamento del 30/10/2025: sono state aggiunte le versioni delle patch per i nodi Ubuntu su GKE, nonché le versioni delle patch e una classificazione della gravità per il software GDC per VMware

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-58240

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

È stata rilevata una vulnerabilità di esecuzione di codice remoto in Valkey e Redis open source. Di conseguenza, tutte le versioni supportate da Memorystore for Redis, Memorystore for Redis Cluster e Memorystore for Valkey sono interessate.

Per impostazione predefinita, gli asset Memorystore di Google Cloud non sono esposti a internet pubblico, pertanto il rischio di questa vulnerabilità è basso per gli utenti di Memorystore che seguono le best practice di sicurezza di Google Cloud.

Cosa dovresti fare?

Google ha iniziato ad applicare automaticamente le patch, con una data di completamento stimata del 6 novembre 2025. Non è necessario alcun intervento da parte tua per ricevere questa correzione.

Se vuoi applicare queste patch ai tuoi cluster o alle tue istanze Memorystore prima del 6 novembre 2025, utilizza la manutenzione self-service per completare le seguenti azioni:

1. Visualizza la versione di manutenzione attuale delle tue istanze Memorystore for Redis, dei cluster in Memorystore for Redis Cluster o delle istanze Memorystore for Valkey.
2. Verifica se la versione corrisponde alle ultime versioni patchate.
3. Se la versione non è l'ultima versione di manutenzione, aggiorna le istanze o i cluster all'ultima versione di manutenzione utilizzando la manutenzione self-service per Memorystore for Redis, Memorystore for Redis Cluster e Memorystore for Valkey.

Oracle ha pubblicato un avviso di sicurezza che conferma che Oracle E-Business Suite (EBS) è vulnerabile a un exploit non autenticato.

Che cosa devo fare?

Oracle EBS non viene utilizzato da Google e Google Cloud non è interessato da questa vulnerabilità.

Aggiornamento del 22/10/2025:è stato aggiunto il link al CVE.

Il 23 settembre 2025 abbiamo rilevato un problema tecnico nell'API Vertex AI che ha causato un errato instradamento di una quantità limitata di risposte tra i destinatari per alcuni modelli di terze parti durante l'utilizzo di richieste di streaming. Il problema è stato risolto. I modelli Google, ad esempio Gemini, non sono stati interessati.

Alcuni proxy interni non hanno gestito correttamente le richieste HTTP che hanno un'intestazione Expect: 100-continue, causando una desincronizzazione in una connessione di risposta in streaming, in cui una risposta destinata a una richiesta è stata invece inviata come risposta a una richiesta successiva.

Che cosa devo fare?

Abbiamo implementato correzioni per gestire correttamente la presenza dell'intestazione Expect: 100-continue ed evitare che il problema si ripresenti. Abbiamo anche aggiunto test, monitoraggio e avvisi in modo da poter rilevare rapidamente il problema ed evitare regressioni. Al momento i clienti non devono intraprendere alcuna azione per evitare che si verifichi il comportamento indesiderato.

Le correzioni sono state implementate per diversi modelli in base a pianificazioni separate, con i modelli Anthropic corretti entro il 26 settembre alle 09:45 CEST e tutte le piattaforme corrette entro il 29 settembre alle 04:10 CEST. I modelli interessati sull'API Vertex AI e l'ora di risoluzione sono elencati di seguito:

• Modelli Partner Model-as-a-Service di Anthropic (Claude)

  • Il problema è stato risolto il 26 settembre 2025 alle 00:45 PDT.

• Tutti i modelli Model-as-a-Service, tra cui: DeepSeek (R1-0528 e V3.1), OpenAI (gpt-oss-120b e gpt-oss-20b), Qwen (Next Instruct 80B, Next Thinking 80B, Qwen 3 Coder e Qwen 3 235B), Llama (Maverick, Scout, 3.3, 3.2, 3.1 405b, 3.1 70b e 3.1 8b)

  • Il problema è stato risolto il 28 settembre 2025 alle 02:43 PDT.

• Mistral e AI21 Partner Modelli Model-as-a-Service

  • Il problema è stato risolto il 28 settembre 2025 alle ore 11:00 PDT.

• Modelli di cui è stato eseguito il deployment autonomo per i quali è stato richiamato il metodo "StreamRawPredict", "ChatCompletions", "GenerateContent" o "StreamGenerateContent" utilizzando endpoint pubblici

  • Il problema è stato risolto il 28 settembre 2025 alle 19:10 PDT.

  • Né gli endpoint dedicati (l'impostazione predefinita in Model Garden) né quelli privati sono stati interessati.

È stata scoperta una vulnerabilità nell'istruzione RDSEED nei processori AMD Zen 5 (Turin). Questa istruzione viene utilizzata per generare numeri casuali crittografici. In determinate condizioni di carico del sistema, le versioni a 16 e 32 bit di RDSEED possono non riuscire in modo silenzioso, il che potrebbe compromettere le applicazioni che si basano sulla generazione di numeri casuali. I clienti che utilizzano la versione a 64 bit di RDSEED non sono interessati.

Che cosa devo fare?

AMD sta esaminando la vulnerabilità.

È importante notare che il kernel Linux a 64 bit utilizza la versione sicura a 64 bit dell'istruzione RDSEED, che fornisce i numeri casuali ottenuti da /dev/[u]random. Questi numeri casuali non sono interessati da questa vulnerabilità.

Se hai un codice applicazione che sintetizza numeri casuali utilizzando l'istruzione RDSEED, tieni presente che le versioni a 16 bit e 32 bit dell'istruzione non sono sicure. La versione a 64 bit dell'istruzione è sicura.

Quali vulnerabilità vengono affrontate?

Questa vulnerabilità consente a un malintenzionato di causare l'interruzione silenziosa di RDSEED, compromettendo potenzialmente la generazione di numeri casuali nelle applicazioni.

Aggiornamento del 11/11/2025: sono state aggiunte versioni patch per i node pool Ubuntu in GKE.

Aggiornamento del 27/10/2025: sono state aggiunte le versioni delle patch e una classificazione della gravità per il software GDC per VMware.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-38618

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Aggiornamento del 13/11/2025: sono state aggiunte le versioni delle patch per il software GDC per VMware. Gravità aggiornata ad Alta per il software GDC per VMware.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-39946

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Aggiornamento del 11/11/2025: sono state aggiunte versioni patch per i node pool Ubuntu in GKE.

Aggiornamento del 16/10/2025: sono state aggiunte le versioni delle patch e una classificazione della gravità per il software GDC per VMware

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-38617

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

In base all'avviso di sicurezza VMware VMSA-2025-0015, a Broadcom sono state segnalate privatamente più vulnerabilità in VMware Aria Operations e VMware Tools. Sono disponibili patch per correggere queste vulnerabilità nei prodotti Broadcom interessati.

Che cosa devo fare?

Ti consigliamo di eseguire l'upgrade a VMware Aria Automation 8.18.5 e VMware Tools 13.0.5.

• VMSA-2025-0015
• CVE-2025-41244
• CVE-2025-41245
• CVE-2025-41246

Looker Studio ha corretto le vulnerabilità segnalate da un ricercatore esterno tramite il programma Google e Alphabet Vulnerability Reward Program (VRP), ma non ha trovato prove di sfruttamento. Questi problemi sono stati risolti e non è necessario alcun intervento da parte dell'utente.

Che cosa devo fare?

Non è richiesta alcuna azione da parte del cliente.

Quali vulnerabilità vengono affrontate?

Le vulnerabilità hanno consentito l'accesso non autorizzato ai dati tramite report condivisi, origini dati con credenziali del visualizzatore, API Studio Linking e Conversational Analytics.

Looker ha corretto le vulnerabilità segnalate da un ricercatore esterno tramite il Vulnerability Reward Program (VRP) di Google e Alphabet, ma non ha trovato prove di sfruttamento. Questi problemi sono stati risolti e non è richiesta alcuna azione da parte degli utenti per i clienti ospitati da Looker su Looker (Google Cloud core) e Looker (originale). Si consiglia di aggiornare le istanze di Looker self-hosted all'ultima versione supportata.

Che cosa devo fare?

Istanze ospitate da Looker: istanze di Looker (Google Cloud core) e Looker (originale)

Non è richiesta alcuna azione da parte del cliente.

Solo istanze di Looker ospitate autonomamente

Se la tua istanza di Looker è self-hosted, ti consigliamo di eseguire l'upgrade a una delle seguenti versioni:

• 25.12.30+
• 25.10.54+
• 25.6.79+
• 25.0.89+
• 24.18.209+

Nota: le versioni 25.14 e successive non sono interessate da questi problemi di sicurezza.

Quali vulnerabilità vengono affrontate?

Le vulnerabilità consentivano agli utenti con autorizzazioni di sviluppatore in Looker di accedere sia al sistema sottostante che ospita Looker sia al suo database interno.

I ricercatori hanno scoperto una vulnerabilità di sicurezza che interessa le CPU Intel e tutte le CPU AMD Zen. Questa vulnerabilità consente a un utente malintenzionato di leggere potenzialmente dati sensibili sfruttando vulnerabilità di esecuzione speculativa note.

Che cosa devo fare?

Al momento non è richiesta alcuna azione, in quanto Google ha applicato correzioni agli asset interessati, tra cui Google Cloud, per mitigare il problema in modo non distruttivo in tutta la flotta.

Quali vulnerabilità vengono affrontate?

Per ulteriori informazioni, consulta il post del blog di COMSEC.

Aggiornamento del 11/11/2025: sono state aggiunte versioni patch per i node pool Ubuntu in GKE.

Aggiornamento del 15/10/2025: sono state aggiunte versioni delle patch e una valutazione della gravità per il software GDC per VMware.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-38500

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

È stata rilevata una vulnerabilità critica nelle versioni 6.3.54.0 e 6.3.53.2 di Google Security Operations SOAR. Un utente autenticato con autorizzazioni per caricare file ZIP (ad esempio, durante l'importazione di casi d'uso) potrebbe caricare un archivio ZIP in grado di scrivere file in posizioni arbitrarie nel file system del server.

Il sistema per l'estrazione dei file dagli archivi ZIP non è riuscito a impedire la scrittura dei file all'interno dell'archivio al di fuori della cartella di destinazione prevista. Questa vulnerabilità è nota anche come Directory Traversal o Zip Slip.

Che cosa devo fare?

Non è richiesta alcuna azione da parte del cliente. È stato eseguito automaticamente l'upgrade di tutti i clienti alla versione corretta o a una versione successiva: 6.3.54.1 o 6.3.53.3

Quali vulnerabilità vengono affrontate?

Un malintenzionato potrebbe sfruttare questa vulnerabilità per sovrascrivere i file dell'applicazione. Sovrascrivendo un file JavaScript utilizzato dalla funzionalità di generazione dei report, un malintenzionato potrebbe ottenere l'esecuzione di codice remoto (RCE) nell'istanza Google SecOps SOAR. L'attaccante potrebbe eseguire il proprio codice sul server.

Per ulteriori informazioni, consulta il bollettino sulla sicurezza Google SecOps GCP-2025-049.

È stata rilevata la seguente vulnerabilità in Envoy Proxy:

• CVE-2025-54588

Per istruzioni e ulteriori dettagli, consulta il bollettino sulla sicurezza di Cloud Service Mesh.

Aggiornamento del 25/09/2025: sono state aggiunte le versioni patch per i node pool Ubuntu su GKE.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-38350

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Aggiornamento del 11/11/2025: sono state aggiunte versioni patch per i node pool Ubuntu in GKE.

Aggiornamento del 15/10/2025: sono state aggiunte versioni delle patch e una valutazione della gravità per il software GDC per VMware.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-38477

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Un ricercatore esterno ha segnalato una vulnerabilità nell'API Dataform tramite il Vulnerability Reward Program (VRP) di Google e Alphabet. Questa vulnerabilità potrebbe potenzialmente consentire l'accesso non autorizzato ai repository di codice e ai dati dei clienti. Google ha risolto rapidamente il problema e ha rilasciato la correzione in tutte le regioni. Al momento non sono state trovate o segnalate a Google prove di sfruttamento.

Che cosa devo fare?

Non è richiesta alcuna azione da parte del cliente. Google ha già applicato mitigazioni a tutti i prodotti e servizi interessati.

Quali vulnerabilità vengono affrontate?

Per ulteriori informazioni, consulta CVE-2025-9118.

Intel ha comunicato a Google due nuove vulnerabilità della sicurezza.

CVE-2025-21090: questa vulnerabilità interessa i seguenti processori Intel:

• Sapphire Rapids: famiglie di VM C3, Z3, H3, A3, v5p
• Emerald Rapids: famiglie di VM N4, C4, M4, A3 Ultra, A4
• Granite Rapids: famiglia di VM N4 e C4

CVE-2025-22840: questa vulnerabilità interessa il seguente processore Intel:

• Granite Rapids: famiglia di VM N4 e C4

Che cosa devo fare?

Per nessuna delle due vulnerabilità è richiesta un'azione da parte del cliente. Google aggiornerà in modo proattivo i tuoi sistemi durante i periodi di manutenzione standard e pianificati. Al momento, non sono state trovate o segnalate a Google prove di sfruttamento.

Quali vulnerabilità vengono affrontate?

La vulnerabilità, CVE-2025-21090, consente a un attore senza privilegi che utilizza l'istruzione CPU AMX, insieme all'istruzione CPU AVX, di rendere inoperativa la macchina host.

La vulnerabilità, CVE-2025-22840, consente a un attore senza privilegi che utilizza l'istruzione CPU prefetchit di caricare contenuti della memoria a cui altrimenti non avrebbe accesso, il che potrebbe portare all'esecuzione di codice da remoto.

• CVE-2025-21090
• CVE-2025-22840

Esiste una potenziale vulnerabilità denial of service (DoS) nell'implementazione pure-Python di protobuf-python. Un malintenzionato può causare l'arresto anomalo di un servizio inviando un messaggio creato appositamente.

Impatto

Potresti essere interessato se importi protobuf-python nei tuoi progetti, direttamente o indirettamente. Tieni presente che le librerie client di Cloud per Python utilizzano protobuf-python come dipendenza. Se utilizzi queste librerie, assicurati di utilizzare una versione di protobuf-python menzionata nella sezione seguente.

Che cosa devo fare?

Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software:

• protobuf-python (4.25.8, 5.29.5, 6.31.1)

Quali vulnerabilità vengono affrontate da questa patch?

La patch attenua la seguente vulnerabilità:

La vulnerabilità deriva dalla ricorsione illimitata quando il backend pure-Python analizza determinati messaggi Protocol Buffers. Un malintenzionato non autenticato può inviare un messaggio contenente gruppi ricorsivi profondamente nidificati, messaggi o una serie di tag SGROUP. Questo input fa sì che l'interprete Python superi la profondità di ricorsione massima, attivando un RecursionError che arresta il servizio in modo anomalo, causando un attacco Denial of Service. Qualsiasi progetto che analizza dati non attendibili con il backend interessato è a rischio.

Per saperne di più, consulta l' avviso di sicurezza di Protobuf.

Alta

CVSS v4.0

Punteggio: 8,2

Questo problema riguarda solo il python backend di implementazione di Protobuf.

Indipendentemente dal valore restituito durante il controllo del backend di implementazione di Protobuf, è consigliabile un upgrade poiché la variabile di ambiente PROTOCOL_BUFFERS_PYTHON_IMPLEMENTATION può modificare il backend di implementazione di Protobuf durante l'esecuzione.

I ricercatori hanno scoperto una vulnerabilità di sicurezza in CPU Intel specifiche, incluse quelle basate sulle microarchitetture Skylake, Broadwell e Haswell. Questa vulnerabilità consente a un utente malintenzionato di leggere potenzialmente dati sensibili direttamente dalla cache L1 della CPU a cui non è autorizzato ad accedere.

Questa vulnerabilità è stata inizialmente divulgata in CVE-2018-3646 nel 2018. Una volta scoperta questa vulnerabilità, Google ha implementato immediatamente misure di mitigazione che hanno risolto i rischi noti. La comunicazione relativa alla vulnerabilità e alle correzioni iniziali è stata pubblicata in quel momento. Da allora, abbiamo esaminato il rischio residuo e collaborato con la community Linux upstream per mitigarlo.

Di recente abbiamo collaborato con ricercatori di sicurezza del mondo accademico per valutare lo stato dell'arte delle mitigazioni della sicurezza della CPU e le potenziali tecniche di attacco non prese in considerazione nel 2018.

Google ha applicato correzioni alle risorse interessate, tra cui Google Cloud, per mitigare il problema.

Che cosa devo fare?

Non è richiesta alcuna azione da parte del cliente. Le mitigazioni sono già state applicate al parco server di Google.

Quali vulnerabilità vengono affrontate?

Per ulteriori informazioni, consulta l'avviso di Intel INTEL-SA-00161 e CVE-2018-3646.

Aggiornamento del 10/11/2025: sono state aggiunte le versioni delle patch per il software GDC per VMware. Gravità aggiornata ad Alta per il software GDC per VMware.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu:

• CVE-2025-37890

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

In base all'avviso VMSA-2025-0013, a Broadcom sono state segnalate privatamente più vulnerabilità in VMware ESXi.

Abbiamo già corretto queste vulnerabilità o stiamo applicando le patch necessarie fornite da Broadcom. Non sono note soluzioni alternative per queste vulnerabilità segnalate.

Una volta applicata la patch, i deployment di VMware Engine devono eseguire ESXi 7.0U3w o ESXi 8.0U3f o versioni successive.

Che cosa devo fare?

Google consiglia ai clienti di monitorare i propri carichi di lavoro su VMware Engine per rilevare eventuali attività insolite.

• VMSA-2025-0013
• CVE-2025-41236
• CVE-2025-41237
• CVE-2025-41238
• CVE-2025-41239

Aggiornamento del 10/11/2025: sono state aggiunte le versioni delle patch per il software GDC per VMware. Gravità aggiornata ad Alta per il software GDC per VMware.

Aggiornamento del 28/08/2025: sono state aggiunte le versioni patch per i node pool Ubuntu su GKE.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-38083

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Aggiornamento del 25/09/2025: sono state aggiunte le versioni patch per i node pool Ubuntu su GKE.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-37752

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

AMD ha rivelato due vulnerabilità che interessano le CPU AMD EPYC di 2ª generazione (Rome), 3ª generazione (Milan) e 4ª generazione (Genoa). Le vulnerabilità consentono a un malintenzionato di dedurre dati da negozi precedenti o dalla cache L1D, con conseguente potenziale perdita di informazioni sensibili.

Google ha implementato una mitigazione che impedisce questa perdita di informazioni tra le VM.

Esiste comunque la possibilità che i processi all'interno di una singola VM sfruttino queste vulnerabilità.

Che cosa devo fare?

Dopo l'8 luglio 2025, per le seguenti VM è disponibile una mitigazione a livello di guest che protegge dagli attacchi intra-guest:

• VM avviate per la prima volta.
• VM completamente arrestate e riavviate. I riavvii del sistema operativo non attiveranno la mitigazione e la VM stessa deve essere riavviata completamente per attivare la mitigazione. Affinché sia efficace, i kernel del sistema operativo guest devono supportare questa mitigazione.

Per maggiori informazioni, consulta il bollettino sulla sicurezza di AMD AMD-SB-7029.

• CVE-2024-36350
• CVE-2024-36357

Aggiornamento del 10/11/2025: sono state aggiunte le versioni delle patch per il software GDC per VMware. Gravità aggiornata ad Alta per il software GDC per VMware.

Aggiornamento del 21/07/2025: Sono state aggiunte versioni patch per i node pool Ubuntu su GKE.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-38001

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Aggiornamento del 10/11/2025: sono state aggiunte le versioni delle patch per il software GDC per VMware. Gravità aggiornata ad Alta per il software GDC per VMware.

Aggiornamento del 21/07/2025: Sono state aggiunte versioni patch per i node pool Ubuntu su GKE.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-37997

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Aggiornamento del 21/07/2025: Sono state aggiunte versioni patch per i node pool Ubuntu su GKE.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-38000

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

È stato scoperto un problema di sicurezza per cui gli autori malintenzionati potrebbero essere in grado di aggirare le limitazioni di isolamento dei workload sui cluster GKE.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Aggiornamento del 21/07/2025: Sono state aggiunte versioni patch per i node pool Ubuntu su GKE.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-37798

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Aggiornamento del 26/08/2025: Sono state aggiunte versioni patch per i node pool Ubuntu su GKE.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-37797

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

In base all'avviso di sicurezza VMware VMSA-2024-0017, è stata segnalata privatamente a VMware una vulnerabilità di SQL injection in VMware Aria Automation. Sono disponibili patch per risolvere questa vulnerabilità nei prodotti VMware interessati.

Che cosa devo fare?

Ti consigliamo di eseguire l'upgrade a VMware Aria Automation KB325790.

• VMSA-2024-0017
• CVE-2024-22280

In base all'avviso di sicurezza VMware VMSA-2025-0006, è stata segnalata in modo responsabile a VMware una vulnerabilità di escalation dei privilegi locali in VMware Aria Operations. Sono disponibili patch per risolvere questa vulnerabilità nei prodotti VMware interessati.

Che cosa devo fare?

Ti consigliamo di eseguire l'upgrade a VMware Aria Operations 8.18 HF5.

• VMSA-2025-0006
• CVE-2025-22231

In base all'avviso di sicurezza VMware VMSA-2025-0003, sono state segnalate privatamente a VMware più vulnerabilità in VMware Aria Operations for Logs e VMware Aria Operations. Sono disponibili patch per risolvere questa vulnerabilità nei prodotti VMware interessati.

Che cosa devo fare?

Ti consigliamo di eseguire l'upgrade a VMware Aria Operations for Logs 8.18.3 e VMware Aria Operations 8.18.3.

• VMSA-2025-0003
• CVE-2025-22218
• CVE-2025-22219
• CVE-2025-22220
• CVE-2025-22221
• CVE-2025-22222

È stata rilevata una vulnerabilità di sicurezza nel servizio bilanciatore del carico delle applicazioni classico prima del 26 aprile 2025.

Che cosa devo fare?

Non è richiesta alcuna azione da parte del cliente. Il problema è stato risolto nel servizio bilanciatore del carico delle applicazioni classico il 26 aprile 2025.

Quali vulnerabilità vengono affrontate?

CVE-2025-4600 ha consentito agli autori degli attacchi di introdurre richieste nei bilanciatori del carico delle applicazioni classici a causa dell'analisi errata dei corpi dei blocchi sovradimensionati. Durante l'analisi del corpo della richiesta di una richiesta HTTP utilizzando la codifica di trasferimento chunked, il bilanciatore del carico delle applicazioni classico consente corpi di chunk sovradimensionati. Di conseguenza, è stato possibile nascondere byte all'interno di questi dati finali ignorati che un server HTTP upstream potrebbe interpretare erroneamente come terminatore di riga. Questa vulnerabilità è stata risolta all'interno del servizio bilanciatore del carico delle applicazioni classico il 26 aprile 2025 tramite una logica di analisi e convalida dell'input migliorata.

Siamo a tua disposizione

Per qualsiasi domanda o se hai bisogno di aiuto, contatta l'assistenza clienti Google Cloud.

In base all'avviso di sicurezza VMware VMSA-2025-0008, è stata segnalata privatamente a VMware una vulnerabilità di cross-site scripting (XSS) basata sul DOM in VMware Aria Automation. Sono disponibili patch per risolvere questa vulnerabilità nei prodotti VMware interessati.

Che cosa devo fare?

Ti consigliamo di eseguire l'upgrade alla patch 2 di VMware Aria Automation 8.18.1.

• VMSA-2025-0008
• CVE-2025-22249

Intel ha comunicato a Google una nuova vulnerabilità del canale laterale che interessa i seguenti processori Intel: Cascade Lake, Ice Lake XeonSP, Ice Lake XeonD, Sapphire Rapids ed Emerald Rapids.

Google ha applicato correzioni agli asset interessati, incluso Google Cloud, per garantire la protezione dei clienti. Al momento non sono state trovate o segnalate a Google prove di sfruttamento.

Che cosa devo fare?

Non è richiesta alcuna azione da parte del cliente. Le correzioni sono già state applicate alla flotta di server Google per proteggere i clienti.

Quali vulnerabilità vengono affrontate?

CVE-2024-45332. Per ulteriori informazioni, consulta l'avviso Intel INTEL-SA-01247.

Siamo a tua disposizione

Per domande o per assistenza, contatta Cloud Customer Care e menziona il codice problema 417536835.

Aggiornamento del 13/05/2025: se hai domande o hai bisogno di assistenza, contatta l'assistenza clienti Google Cloud e menziona il codice problema 417458390.

Intel ha comunicato a Google una nuova vulnerabilità di esecuzione speculativa che interessa i processori Intel Cascade Lake e Intel Ice Lake.

Google ha applicato correzioni agli asset interessati, incluso Google Cloud, per garantire la protezione dei clienti. Al momento, non sono state trovate o segnalate a Google prove di sfruttamento.

Che cosa devo fare?

Non è richiesta alcuna azione da parte del cliente. Le mitigazioni sono già state applicate alla flotta di server Google.

Ulteriori mitigazioni da parte dei produttori di apparecchiature originali (OEM) Intel e di altri partner di sistemi operativi verranno implementate non appena saranno disponibili per mitigare la vulnerabilità ITS (Indirect Target Selection) in modalità identica.

Dopo l'applicazione delle mitigazioni del sistema operativo, i clienti con VM di terza generazione o successive a esecuzione prolungata potrebbero riscontrare un peggioramento delle prestazioni non intenzionale.

Quali vulnerabilità vengono affrontate?

CVE-2024-28956. Per ulteriori informazioni, consulta l'avviso di sicurezza Intel INTEL-SA-01153.

Sono state rilevate e risolte potenziali lacune di sicurezza che potrebbero essere sfruttate se non affrontate nelle norme JavaCallout e PythonScript.

Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di Apigee.

Aggiornamento del 22/05/2025: Sono state aggiunte versioni patch per i node pool Ubuntu su GKE.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-21702

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Aggiornamento del 2/06/2025: sono state aggiunte le versioni patch per i node pool Ubuntu su GKE.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-21971

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Una vulnerabilità in Looker consentiva agli utenti con autorizzazioni di amministratore (in particolare: manage_project_connections_restricted) in Looker di leggere i file dal file system host sottostante ed eseguire query sugli endpoint di rete interni. Il problema è stato risolto e non è necessario alcun intervento da parte degli utenti per i clienti ospitati da Looker che utilizzano Looker (Google Cloud core) e Looker (originale). Si consiglia di aggiornare le istanze di Looker self-hosted all'ultima versione supportata.

Questa vulnerabilità è stata corretta in tutte le versioni supportate di Looker ospitato dal cliente, disponibili nella pagina di download di Looker.

Che cosa devo fare?

• Per tutte le istanze ospitate da Looker, incluse quelle di Looker (Google Cloud core) e Looker (originale), non devi fare nulla.
• Per le istanze ospitate dal cliente di Looker, esegui l'aggiornamento all'ultima versione supportata di Looker il prima possibile. Le versioni riportate di seguito sono state tutte aggiornate per proteggerti da questa vulnerabilità. Puoi scaricare queste versioni dalla pagina di download di Looker:
  • 25.4 -> 25.4.29+
  • 25.2 -> 25.2.34+
  • 25.0 -> 25.0.55+
  • 24.18 -> 24.18.185+
  • 24.12 -> 24.12.95+
  • 24.6 -> 24.6.107+

Aggiornamento del 26/06/2025: sono state aggiunte le versioni delle patch per il software GDC per VMware.

Aggiornamento del 22/05/2025:sono state aggiunte le versioni patch per i node pool Ubuntu su GKE.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2025-21701

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Aggiornamento del 09/10/2025: sono state aggiunte le versioni patch per i nodi Ubuntu su GKE

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2025-40364

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Aggiornamento del 22/05/2025: Sono state aggiunte versioni patch per i node pool Ubuntu su GKE.

Aggiornamento del 05/05/2025: sono state aggiunte le versioni delle patch per il software GDC per VMware. Gravità aggiornata ad Alta per il software GDC per VMware.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-21756

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Aggiornamento del 22/05/2025: Sono state aggiunte versioni patch per i node pool Ubuntu su GKE.

Aggiornamento del 29/04/2025: È stata aggiunta la versione della patch per il software GDC per VMware. Gravità aggiornata ad Alta per il software GDC per VMware.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2023-52927

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Aggiornamento del 22/05/2025: Sono state aggiunte versioni patch per i node pool Ubuntu su GKE.

Aggiornamento del 17/04/2025: sono state aggiunte le versioni delle patch per GDC (VMware). È stata aggiornata la gravità di GDC (VMware) da In attesa ad Alta.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-21700

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Aggiornamento del 22/05/2025: Sono state aggiunte versioni patch per i node pool Ubuntu su GKE.

Aggiornamento del 05/05/2025: sono state aggiunte le versioni delle patch per il software GDC per VMware. Gravità aggiornata ad Alta per il software GDC per VMware.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-21703

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Sono stati rilevati diversi problemi di sicurezza nel controller NGINX Ingress, ingress-nginx, un componente software open source che viene eseguito all'interno dei cluster Kubernetes per gestire il traffico di rete in entrata nel cluster. La più critica è CVE-2025-1974. Per i dettagli completi e un elenco completo, consulta il feed CVE di Kubernetes.

Questi problemi interessano ingress-nginx. Se non hai ingress-nginx installato sul tuo cluster, non sei interessato.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Aggiornamento del 10/04/2025: Sono state aggiunte versioni patch per i nodi GKE Ubuntu e il software GDC per VMware. Gravità aggiornata ad Alta per il software GDC per VMware.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-53164

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

VMware ha divulgato più vulnerabilità in VMSA-2025-0004 che interessano i componenti ESXi implementati negli ambienti dei clienti.

Impatto di VMware Engine

I tuoi cloud privati sono già stati patchati o sono in fase di aggiornamento per risolvere la vulnerabilità di sicurezza. Nell'ambito del servizio VMware Engine, tutti i clienti ricevono host bare metal dedicati con dischi collegati localmente fisicamente isolati da altro hardware. Ciò significa che la vulnerabilità è limitata alle VM guest all'interno del tuo cloud privato specifico.

I tuoi cloud privati verranno aggiornati alla build 24534642 della versione 7.0u3s. Equivale a 7.0U3s: numero build 24585291.

Che cosa devo fare?

Segui le istruzioni di Broadcom e dei tuoi fornitori di sicurezza in merito a questa vulnerabilità.

• VMSA-2025-0004
• CVE-2025-22224
• CVE-2025-22225
• CVE-2025-22226

Aggiornamento del 02/06/2025: Sono state aggiunte versioni patch per i node pool Ubuntu su GKE.

Aggiornamento 10/04/2025: Sono state aggiunte le versioni delle patch per il software GDC per VMware. Gravità aggiornata ad Alta per il software GDC per VMware.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-56770

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Il progetto Envoy ha recentemente annunciato diverse nuove vulnerabilità di sicurezza (CVE-2024-53269, CVE-2024-53270, e CVE-2024-53271) che potrebbero consentire a un malintenzionato di arrestare Envoy in modo anomalo.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

• CVE-2024-53269
• CVE-2024-53270
• CVE-2024-53271

Aggiornamento 10/04/2025: Sono state aggiunte le versioni delle patch per il software GDC per VMware. Gravità aggiornata ad Alta per il software GDC per VMware.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-53141

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Google ha scoperto una vulnerabilità nelle CPU basate su AMD Zen che interessa le istanze Confidential VM con AMD SEV-SNP abilitato. Questa vulnerabilità consente agli aggressori con accesso root in una macchina fisica di compromettere la riservatezza e l'integrità dell'istanza Confidential VM.

Google ha applicato correzioni agli asset interessati, incluso Google Cloud, per garantire la protezione dei clienti. Al momento, non sono state trovate o segnalate a Google prove di sfruttamento.

Che cosa devo fare?

Non è richiesta alcuna azione da parte del cliente. I clienti che vogliono verificare la correzione possono controllare la versione di Trusted Computing Base (TCB) nel report di attestazione della propria istanza Confidential VM con AMD SEV-SNP. Le versioni minime che mitigano questa vulnerabilità sono le seguenti:

SNP TCB SVN: 0x18 0d24
tcb_version {
  psp_bootloader_version: 4
  snp_firmware_version: 24 (0x18)
  microcode_version: 219
}

Per ulteriori informazioni, consulta il bollettino sulla sicurezza di AMD AMD-SB-3019.

CVE-2024-56161

Una vulnerabilità nel provider Google Secret Manager per il driver CSI Secret Store consente a un malintenzionato con autorizzazioni di creazione di pod e secret in uno spazio dei nomi di estrarre il token del account di servizio Kubernetes del driver CSI montando un volume dannoso su un pod.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

I server che utilizzano le librerie di autenticazione Google e le librerie client cloud per l'autenticazione a Google Cloud con una configurazione delle credenziali controllata da un malintenzionato potrebbero essere soggetti a richieste fittizie lato server e letture di file arbitrarie.

Che cosa devo fare?

Se accetti una configurazione delle credenziali (JSON delle credenziali, file o stream) da una fonte esterna per l'autenticazione a Google Cloud, devi convalidarla prima di fornirla alle librerie di autenticazione Google o alle librerie client di Cloud. Fornire una configurazione delle credenziali non convalidate alle librerie Google può compromettere la sicurezza dei tuoi sistemi e dei tuoi dati. Per saperne di più, consulta Convalida delle configurazioni delle credenziali da origini esterne.

Quali vulnerabilità vengono affrontate?

Alcuni tipi di configurazioni delle credenziali includono endpoint e percorsi dei file, che le librerie di autenticazione utilizzano per acquisire un token. Quando un servizio o un'applicazione accetta configurazioni delle credenziali di origine esterna e le utilizza con le librerie di autenticazione Google o Cloud Client Libraries senza convalida, un malintenzionato può fornire una configurazione delle credenziali che contiene un endpoint o un percorso dannoso. Ciò consente all'attaccante di estrarre dati o token dal servizio o dalla macchina su cui è in esecuzione il servizio. Per evitare questo problema, le convalide devono essere eseguite sulla configurazione delle credenziali di origine esterna, come descritto in Convalidare le configurazioni delle credenziali da origini esterne.

Per informare gli sviluppatori di applicazioni, abbiamo aggiornato la nostra documentazione con le convalide da eseguire quando si accettano configurazioni delle credenziali ottenute da fonti esterne.

In base all'avviso di sicurezza VMware VMSA-2025-0001, è stata segnalata in modo responsabile a VMware una vulnerabilità di falsificazione della richiesta lato server (SSRF) in VMware Aria Automation. Sono disponibili patch per risolvere questa vulnerabilità nei prodotti VMware interessati.

Che cosa devo fare?

Ti consigliamo di eseguire l'upgrade a VMware Aria Automation 8.18.2 HF.

• VMSA-2025-0001
• CVE-2025-22215

Aggiornamento del 23/01/2025: sono state aggiunte versioni patch per i node pool Ubuntu su GKE.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-50264

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Aggiornamento del 23/01/2025: sono state aggiunte versioni patch per i node pool Ubuntu su GKE.

Aggiornamento 22/01/2025: sono state aggiunte le versioni delle patch per GDC (VMware). Gravità aggiornata per GDC (VMware) a Media.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-53057

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Aggiornamento del 23/01/2025: è stata aggiornata la sezione Risorse interessate nella scheda GKE.

Aggiornamento del 08/01/2025: è stata corretta la data e l'ora di inizio del problema.

Un problema di sicurezza ha interessato le risorse nei VPC con GKE Multi-Cluster Gateway (MCG) configurato. MCG è una funzionalità facoltativa utilizzata da un piccolo sottoinsieme di clienti GKE. Stiamo inviando una notifica individuale ai clienti che avevano attivato la funzionalità durante quel periodo di tempo.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Le seguenti CVE espongono Cloud Service Mesh a vulnerabilità sfruttabili:

• CVE-2024-53269: Happy Eyeballs: verifica che additional_address siano indirizzi IP anziché arrestarsi in modo anomalo durante l'ordinamento.
• CVE-2024-53270: HTTP/1: l'invio di sovraccarico si arresta in modo anomalo quando la richiesta viene reimpostata in anticipo.
• CVE-2024-53271: HTTP/1.1 Diversi problemi con envoy.reloadable_features.http1_balsa_delay_reset.

Per istruzioni e maggiori dettagli, consulta il bollettino sulla sicurezza di Cloud Service Mesh.

• CVE-2024-53269
  
• CVE-2024-53270
  
• CVE-2024-53271
  

In base all'avviso di sicurezza VMware VMSA-2024-0022, sono state segnalate a VMware diverse vulnerabilità in VMware Aria Operations. Sono disponibili aggiornamenti per correggere queste vulnerabilità nel prodotto VMware interessato.

Che cosa devo fare?

Ti consigliamo di eseguire l'upgrade a VMware Aria Operations 8.18.2.

• VMSA-2024-0022
• CVE-2024-38830
• CVE-2024-38831
• CVE-2024-38832
• CVE-2024-38833
• CVE-2024-38834

È stata scoperta una vulnerabilità nel servizio API Vertex AI che gestisce le richieste multimodali Gemini, consentendo il bypass dei Controlli di servizio VPC. Un malintenzionato potrebbe essere in grado di utilizzare in modo improprio il parametro fileURI dell'API per esfiltrare i dati.

Che cosa devo fare?

Nessuna azione necessaria. Abbiamo implementato una correzione per restituire un messaggio di errore quando un URL del file multimediale è specificato nel parametro fileUri e i Controlli di servizio VPC sono attivi. Gli altri casi d'uso non sono interessati.

Quali vulnerabilità vengono affrontate?

L'API Cloud Support che gestisce le richieste multimodali di Gemini ti consente di includere file multimediali specificando l'URL del file multimediale nel parametro fileUri. Questa funzionalità può essere utilizzata per bypassare i perimetri dei Controlli di servizio VPC. Un utente malintenzionato all'interno del perimetro di servizio potrebbe codificare i dati sensibili nel parametro fileURI per bypassare il perimetro di servizio.

Aggiornamento 22/01/2025: sono state aggiunte le versioni delle patch per GDC (VMware). È stata aggiornata la gravità di GDC (VMware) da In attesa ad Alta.

Aggiornamento del 12/12/2024: sono state aggiunte versioni patch per i node pool Ubuntu su GKE.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-46800

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Un problema di sicurezza rilevato nei cluster Kubernetes potrebbe comportare l'esecuzione di codice remoto utilizzando un volume gitRepo. Se il repository Git è costruito in modo dannoso, un utente con la possibilità di creare un pod e associare un volume gitRepo potrebbe eseguire comandi arbitrari oltre il limite del container.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

In base all'avviso di sicurezza VMware VMSA-2024-0020, sono state segnalate a VMware diverse vulnerabilità in VMware NSX.

La versione di NSX-T in esecuzione nel tuo ambiente VMware Engine non è interessata da CVE-2024-38815, CVE-2024-38818 o CVE-2024-38817.

Che cosa devo fare?

Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni.

• VMSA-2024-0020
• CVE-2024-38815
• CVE-2024-38817
• CVE-2024-38818

Secondo l'avviso di sicurezza VMSA-2024-0021 di VMware, una vulnerabilità SQL injection autenticata in VMware HCX è stata segnalata privatamente a VMware.

Abbiamo applicato la mitigazione approvata da VMware per risolvere questa vulnerabilità. Questa correzione risolve una vulnerabilità di sicurezza descritta in CVE-2024-38814. Al momento, le versioni delle immagini in esecuzione nel tuo cloud privato VMware Engine non riflettono alcuna modifica per indicare quelle applicate. Sono state installate le mitigazioni appropriate e il tuo ambiente è protetto da questa vulnerabilità.

Che cosa devo fare?

Ti consigliamo di eseguire l'upgrade a VMware HCX versione 4.9.2.

• VMSA-2024-0021
• CVE-2024-38814

Migrate to Containers per Windows versioni da 1.1.0 a 1.2.2 ha creato un m2cuser locale con privilegi amministrativi. Ciò rappresentava un rischio per la sicurezza se i comandi analyze o generate venivano interrotti dall'utente o a causa di un errore interno che causava l'omissione dell'azione di eliminazione dell'utente locale m2cuser.

Che cosa devo fare?

Le seguenti versioni dell'interfaccia a riga di comando di Migrate to Containers per Windows sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire manualmente l'upgrade dell'interfaccia a riga di comando di Migrate to Containers alla seguente versione o a una versione successiva:

• Migrate to Containers CLI per Windows 1.2.3 rilasciato l'8 ottobre 2024 - Note di rilascio di Migrate to Containers CLI | Google Cloud

Quali vulnerabilità vengono affrontate?

La vulnerabilità CVE-2024-9858 consente a un utente malintenzionato di ottenere l'accesso amministrativo ai computer Windows interessati utilizzando l'utente amministratore locale creato dal software Migrate to Containers.

Aggiornamento del 19/11/2024: sono state aggiunte le versioni delle patch per i node pool Ubuntu su GKE.

Aggiornamento 15/10/2024: sono state aggiunte le versioni delle patch per GDC (VMware). Livelli di gravità aggiornati di GKE e GDC (VMware).

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-45016

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Nel sistema di stampa CUPS utilizzato da alcune distribuzioni Linux è stata scoperta una catena di vulnerabilità (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) che potrebbe comportare l'esecuzione di codice da remoto. Un malintenzionato può sfruttare questa vulnerabilità se i servizi CUPS sono in ascolto sulla porta UDP 631 e possono connettersi.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

• CVE-2024-47076
• CVE-2024-47175
• CVE-2024-47176
• CVE-2024-47177

Una vulnerabilità di HTTP Request Smuggling in Looker ha consentito a un malintenzionato non autorizzato di acquisire risposte HTTP destinate a utenti legittimi.

Esistono due versioni di Looker ospitate da Looker:

• È stata rilevata una vulnerabilità in Looker (Google Cloud core). Il problema è già stato mitigato e la nostra indagine non ha rilevato segni di sfruttamento.
• Looker (originale) non era vulnerabile a questo problema.

È stato rilevato che le istanze di Looker ospitate dal cliente sono vulnerabili e devono essere aggiornate a una delle versioni riportate di seguito.

Questa vulnerabilità è stata corretta in tutte le versioni supportate di Looker ospitato dal cliente, disponibili nella pagina di download di Looker.

Che cosa devo fare?

• Per tutte le istanze ospitate da Looker, incluse quelle di Looker (Google Cloud core), non devi fare nulla.
• Per le istanze ospitate dal cliente di Looker, esegui l'aggiornamento all'ultima versione supportata di Looker il prima possibile. Le versioni riportate di seguito sono state tutte aggiornate per proteggerti da questa vulnerabilità. Puoi scaricare queste versioni dalla pagina di download di Looker:
  • 23.12 -> 23.12.123+
  • 23.18 -> 23.18.117+
  • 24.0 -> 24.0.92+
  • 24.6 -> 24.6.77+
  • 24.8 -> 24.8.66+
  • 24.10 -> 24.10.78+
  • 24.12 -> 24.12.56+
  • 24.14 -> 24.14.37+

Quali vulnerabilità vengono affrontate?

La vulnerabilità, CVE-2024-8912, consente a un malintenzionato di inviare intestazioni di richieste HTTP create appositamente a Looker, con la conseguente possibile intercettazione di risposte HTTP destinate ad altri utenti.

Queste risposte potrebbero contenere informazioni sensibili.

Questa vulnerabilità è sfruttabile solo in determinate configurazioni specifiche.

È stato rilevato un problema di sicurezza nei cluster Kubernetes con nodi Windows in cui BUILTIN\Users potrebbe essere in grado di leggere i log dei container e gli utenti NT AUTHORITY\Authenticated potrebbero essere in grado di modificare i log dei container.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Durante l'analisi di campi sconosciuti nelle librerie Protobuf Java Full e Lite, un messaggio creato in modo dannoso può causare un errore StackOverflow e l'arresto anomalo del programma.

Che cosa devo fare?

Abbiamo lavorato con impegno per risolvere il problema e abbiamo rilasciato una mitigazione che è ora disponibile. Ti consigliamo di utilizzare le versioni più recenti dei seguenti pacchetti software:

• protobuf-java (3.25.5, 4.27.5, 4.28.2)
• protobuf-javalite (3.25.5, 4.27.5, 4.28.2)
• protobuf-kotlin (3.25.5, 4.27.5, 4.28.2)
• protobuf-kotlin-lite (3.25.5, 4.27.5, 4.28.2)
• com-protobuf [solo gem JRuby] (3.25.5, 4.27.5, 4.28.2)

Quali vulnerabilità vengono affrontate da questa patch?

Questa vulnerabilità è un potenziale Denial of Service.

L'analisi di gruppi nidificati come campi sconosciuti con DiscardUnknownFieldsParser o Java Protobuf Lite Parser oppure rispetto ai campi della mappa Protobuf crea ricorsioni illimitate che possono essere sfruttate da un malintenzionato.

Punteggio CVSS4.0 8,7

Alta

Le seguenti CVE espongono Cloud Service Mesh a vulnerabilità sfruttabili:

• CVE-2024-45807: arresto anomalo di oghttp2 su OnBeginHeadersForStream
• CVE-2024-45808: Iniezione di log dannosi tramite i log di accesso
• CVE-2024-45806: Possibilità di manipolare le intestazioni "x-envoy" da fonti esterne
• CVE-2024-45809: Arresto anomalo del filtro JWT nella cache delle route chiara con JWK remoti
• CVE-2024-45810: Envoy si arresta in modo anomalo per LocalReply nel client asincrono HTTP

Per istruzioni e ulteriori dettagli, consulta il bollettino sulla sicurezza di Cloud Service Mesh.

• CVE-2024-45807
  
• CVE-2024-45808
  
• CVE-2024-45806
  
• CVE-2024-45809
  
• CVE-2024-45810
  

VMware ha rivelato diverse vulnerabilità in VMSA-2024-0019 che interessano i componenti vCenter distribuiti negli ambienti dei clienti.

Impatto di VMware Engine

• Google ha già disattivato qualsiasi potenziale exploit di questa vulnerabilità. Ad esempio, Google ha bloccato le porte attraverso le quali questa vulnerabilità potrebbe essere sfruttata.
• Inoltre, Google garantisce che tutte le implementazioni future di vCenter non siano esposte a questa vulnerabilità.

Che cosa devo fare?

Al momento non sono richieste ulteriori azioni.

• CVE-2024-38812
• CVE-2024-38813

In Windows è stata scoperta una nuova vulnerabilità di esecuzione di codice remoto (CVE-2024-38063). Un malintenzionato potrebbe sfruttare questa vulnerabilità da remoto inviando pacchetti IPv6 appositamente creati a un host.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Aggiornamento del 01/11/2024: sono state aggiunte le versioni patch per i node pool Ubuntu su GKE.

Aggiornamento del 21/10/2024:sono state aggiunte le versioni delle patch ed è stata aggiornata la gravità per GDC (VMware).

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-36978

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Aggiornamento del 30/10/2024: sono state aggiunte versioni patch per i node pool Ubuntu su GKE.

Aggiornamento del 25/10/2024:sono state aggiunte le versioni delle patch ed è stata aggiornata la gravità per GDC (VMware).

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-41009

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Aggiornamento del 30/10/2024: sono state aggiunte versioni patch per i node pool Ubuntu su GKE.

Aggiornamento del 21/10/2024:sono state aggiunte le versioni delle patch ed è stata aggiornata la gravità per GDC (VMware).

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-39503

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

AMD ha comunicato a Google tre nuove vulnerabilità del firmware (due a rischio medio e una a rischio elevato) che interessano SEV-SNP nelle CPU AMD EPYC di 3ª gen. (Milan) e 4ª gen. (Genoa).

Google ha applicato correzioni agli asset interessati, incluso Google Cloud, per garantire la protezione dei clienti. Al momento, non sono state trovate o segnalate a Google prove di sfruttamento.

Che cosa devo fare?

Non è richiesta alcuna azione da parte del cliente. Le correzioni sono già state applicate alla flotta di server Google.

Per ulteriori informazioni, consulta il bollettino sulla sicurezza di AMD AMD-SN-3011.

CVE-2023-31355

CVE-2024-21978

CVE-2024-21980

Aggiornamento del 19/09/2024: sono state aggiunte le versioni delle patch per il software GDC per VMware.

Aggiornamento del 21/08/2024: sono state aggiunte versioni patch per i node pool Ubuntu su GKE.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26925

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Aggiornamento del 30/10/2024: sono state aggiunte versioni patch per i node pool Ubuntu su GKE.

Aggiornamento del 21/10/2024:sono state aggiunte le versioni delle patch ed è stata aggiornata la gravità per GDC (VMware).

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-36972

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Aggiornamento del 02/10/2024: sono state aggiunte versioni patch per i node pool Ubuntu su GKE.

Aggiornamento 20/09/2024: sono state aggiunte versioni delle patch per il software GDC per VMware.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26921

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Aggiornamento del 18/07/2024: è stato chiarito che i cluster Autopilot nella configurazione predefinita non sono interessati.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26809

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Aggiornamento del 16/09/2024: sono state aggiunte versioni patch per il software GDC per VMware.

Aggiornamento del 19/07/2024: sono state aggiunte versioni patch per i node pool Ubuntu su GKE.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-52654
• CVE-2023-52656

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

• CVE-2023-52654
• CVE-2023-52656

Aggiornamenti del 16/07/2024:

Alcuni clienti di accesso VPC serverless sono potenzialmente interessati da una vulnerabilità in OpenSSH (CVE-2024-6387). In caso di exploit riuscito, ciò potrebbe consentire a un malintenzionato remoto non autenticato di eseguire codice arbitrario come root sulla macchina virtuale di destinazione. Si ritiene che lo sfruttamento sia difficile. Ad esempio, i clienti non possono accedere alle VM e le VM non hanno IP pubblici. Non siamo a conoscenza di tentativi di sfruttamento.

Che cosa devo fare?

I deployment di accesso VPC serverless sono stati aggiornati automaticamente da Google, ove possibile. Tuttavia, devi verificare che l'agente di servizio gestito da Google disponga del ruolo richiesto. In caso contrario, il connettore di accesso VPC serverless potrebbe essere ancora vulnerabile. Ti consigliamo di eseguire la migrazione al VPC diretto per il traffico di rete in uscita o di eseguire il deployment di un nuovo connettore ed eliminare quello precedente per assicurarti di disporre dell'aggiornamento richiesto con la correzione.

Aggiornamento del 11/07/2024: sono state aggiunte le versioni delle patch per il software GDC per VMware, GKE su AWS e GKE su Azure. Per i dettagli, nella documentazione di GKE, consulta i seguenti bollettini:

• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure

Aggiornamento del 10/07/2024:

• È stato aggiunto bollettino sulla sicurezza per Migrate to Virtual Machines.

Aggiornamenti del 09/07/2024:

Alcuni clienti dell'ambiente flessibile di App Engine sono potenzialmente interessati da una vulnerabilità in OpenSSH (CVE-2024-6387). In caso di exploit riuscito, ciò potrebbe consentire a un malintenzionato remoto non autenticato di eseguire codice arbitrario come root sulla macchina virtuale di destinazione.

Che cosa devo fare?

Google ha già aggiornato automaticamente le implementazioni dell'ambiente flessibile, ove possibile. Tuttavia, alcuni clienti che hanno disattivato l'agente di servizio gestito da Google o hanno apportato modifiche alle API Google Cloud o ad altre configurazioni predefinite, non sono stati aggiornati e potrebbero essere ancora vulnerabili. Devi eseguire il deployment di una nuova versione della tua app per ricevere l'aggiornamento con la correzione.

Tieni presente che i deployment aggiornati segnaleranno la versione SSH OpenSSH_9.6p1. Questa versione è stata corretta con una patch per CVE-2024-6387.

Quali vulnerabilità vengono affrontate?

La vulnerabilità CVE-2024-6387, che consente a un aggressore remoto non autenticato di eseguire codice arbitrario come root sulla macchina di destinazione.

Aggiornamenti del 08/07/2024:

I cluster Dataproc su Google Compute Engine in esecuzione sulle versioni immagine 2.2 (tutti i sistemi operativi) e 2.1 (solo Debian) sono interessati da una vulnerabilità in OpenSSH (CVE-2024-6387) che, in caso di exploit riuscito, potrebbe consentire a un malintenzionato remoto non autenticato di eseguire codice arbitrario come root sulla macchina di destinazione.

Le versioni 2.0 e 1.5 delle immagini Dataproc su Google Compute Engine, nonché le immagini Dataproc versione 2.1 non in esecuzione su Debian, non sono interessate. I cluster Dataproc con autenticazione personale abilitata non sono interessati. Anche Dataproc Serverless non è interessato.

Che cosa devo fare?

Aggiorna i cluster Dataproc su Google Compute Engine a una delle seguenti versioni:

• 2.2.24 o versioni successive
• 2.1.58 o versioni successive

Se non riesci ad aggiornare i cluster Dataproc a una delle versioni precedenti, ti consigliamo di utilizzare l'azione di inizializzazione disponibile in questa posizione: gs://dataproc-initialization-actions/hotfixes/openssh-CVE-2024-6387-mitigation.sh

Segui queste istruzioni su come specificare le azioni di inizializzazione per Dataproc. Tieni presente che l'azione di inizializzazione deve essere eseguita su ogni nodo (master e worker) per i cluster preesistenti.

Aggiornamenti del 03/07/2024:

• Sono state aggiunte versioni patch per GKE.
• È stato aggiunto il bollettino sulla sicurezza per GDC collegato.

Aggiornamenti del 02/07/2024:

• È stato chiarito che i cluster Autopilot sono interessati e richiederanno l'intervento dell'utente.
• Sono state aggiunte valutazioni dell'impatto e misure di mitigazione per il software GDC per VMware, GKE su AWS e GKE su Azure.
• È stato corretto il bollettino sulla sicurezza del software GDC per bare metal per chiarire che il software GDC per bare metal non è direttamente interessato e che i clienti devono verificare con i fornitori di sistemi operativi la disponibilità di patch.

Di recente è stata scoperta una vulnerabilità di esecuzione di codice remoto, CVE-2024-6387, in OpenSSH. La vulnerabilità sfrutta una race condition che può essere utilizzata per ottenere l'accesso a una shell remota, consentendo agli autori di attacchi di ottenere l'accesso root. Al momento della pubblicazione, si ritiene che lo sfruttamento sia difficile e richieda diverse ore per macchina attaccata. Non siamo a conoscenza di tentativi di sfruttamento.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di Compute Engine
• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal
• Bollettino sulla sicurezza di Google Cloud VMware Engine
• Bollettino sulla sicurezza di Apigee
• Bollettino sulla sicurezza di Dataflow
• Bollettino sulla sicurezza di GDC connesso
• Bollettino di sicurezza di Migrate to Virtual Machines

Aggiornamento del 25/09/2024: sono state aggiunte versioni delle patch per il software GDC per VMware.

Aggiornamento del 20/08/2024: sono state aggiunte le versioni patch per i node pool Ubuntu su GKE.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26923

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

Aggiornamento del 17/09/2024: sono state aggiunte versioni delle patch per il software GDC per VMware.

Aggiornamento del 06/08/2024: sono state aggiunte versioni patch per i node pool Ubuntu su GKE.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26924

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Software GDC per il bollettino di sicurezza di VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza del software GDC per bare metal

VMware ha divulgato più vulnerabilità in VMSA-2024-0012 che interessano i componenti vCenter distribuiti negli ambienti dei clienti.

Impatto di Google Cloud VMware Engine

• La vulnerabilità può essere sfruttata accedendo a porte specifiche in vCenter Server. Google ha già bloccato le porte vulnerabili sul server vCenter, il che impedisce qualsiasi potenziale exploit di questa vulnerabilità.
• Inoltre, Google garantisce che tutte le implementazioni future di vCenter non siano esposte a questa vulnerabilità.

Che cosa devo fare?

Al momento non sono richieste ulteriori azioni.

• CVE-2024-37079
• CVE-2024-37080
• CVE-2024-37081

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-26584

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di GKE on Bare Metal

Aggiornamento del 18/07/2024: sono state aggiunte versioni patch per i node pool Ubuntu su GKE ed è stata aggiunta una versione patch per la versione 1.27 sui node pool Container-Optimized OS.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26584

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di GKE on Bare Metal

Aggiornamento 10/07/2024: sono state aggiunte versioni patch per i nodi Container-Optimized OS che eseguono le versioni secondarie 1.26 e 1.27 e sono state aggiunte versioni patch per i nodi Ubuntu.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-26583

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di GKE on Bare Metal

Aggiornamento del 26/09/2024: sono state aggiunte le versioni delle patch per il software GDC per VMware.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2022-23222

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di GKE on Bare Metal

Le seguenti CVE espongono Cloud Service Mesh a vulnerabilità sfruttabili:

• CVE-2024-23326: Envoy accetta erroneamente la risposta HTTP 200 per l'inserimento della modalità di upgrade.
• CVE-2024-32974: arresto anomalo in EnvoyQuicServerStream::OnInitialHeadersComplete().
• CVE-2024-32975: Arresto anomalo in QuicheDataReader::PeekVarInt62Length().
• CVE-2024-32976: ciclo infinito durante la decompressione dei dati Brotli con input aggiuntivo.
• CVE-2024-34362: arresto anomalo (use-after-free) in EnvoyQuicServerStream.
• CVE-2024-34363: Arresto anomalo dovuto a un'eccezione JSON nlohmann non rilevata.
• CVE-2024-34364: Vettore OOM di Envoy dal client HTTP asincrono con buffer di risposta illimitato per la risposta mirror.

Per istruzioni e ulteriori dettagli, consulta il bollettino sulla sicurezza di Cloud Service Mesh.

• CVE-2024-23326
  
• CVE-2024-32974
  
• CVE-2024-32975
  
• CVE-2024-32976
  
• CVE-2024-34362
  
• CVE-2024-34363
  
• CVE-2024-34364
  

È stata scoperta una nuova vulnerabilità (CVE-2024-4323) in Fluent Bit che potrebbe comportare l'esecuzione di codice da remoto. Sono interessate le versioni di Fluent Bit da 2.0.7 a 3.0.3.

GKE, GKE su VMware, GKE su AWS, GKE su Azure e GKE su Bare Metal non utilizzano una versione vulnerabile di Fluent Bit e sono inattaccabili.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di GKE on Bare Metal

Aggiornamento del 18/07/2024: sono state aggiunte versioni patch per i node pool Ubuntu su GKE

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-52620

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di GKE on Bare Metal

Aggiornamento del 19/08/2024: sono state aggiunte le versioni delle patch per i node pool Ubuntu su GKE.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26642

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di GKE on Bare Metal

Aggiornamento 22/05/2024: sono state aggiunte versioni patch per Ubuntu

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26581

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di GKE on Bare Metal

Aggiornamento del 25/09/2024: sono state aggiunte versioni delle patch per il software GDC per VMware.

Aggiornamento del 15/05/2024: sono state aggiunte versioni patch per i node pool GKE Ubuntu.

Aggiornamento del 09/05/2024: è stata corretta la gravità da Media ad Alta ed è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26808

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di GKE on Bare Metal

Aggiornamento del 06/08/2024: sono state aggiunte versioni patch per i node pool Ubuntu su GKE.

Aggiornamento del 09/05/2024: è stata corretta la gravità da Media ad Alta.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26643

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di GKE on Bare Metal

Looker ha corretto le vulnerabilità segnalate da un ricercatore esterno tramite il programma Vulnerability Reward Program (VRP) di Google e Alphabet, ma non ha trovato prove di sfruttamento. Questi problemi sono stati risolti e non è richiesta alcuna azione da parte degli utenti per i clienti ospitati da Looker su Looker (Google Cloud core) e Looker (originale). Si consiglia di aggiornare le istanze di Looker self-hosted all'ultima versione supportata.

Che cosa devo fare?

Istanze ospitate da Looker: istanze di Looker (Google Cloud core) e Looker (originale)

Non è richiesta alcuna azione da parte del cliente.

Solo istanze di Looker ospitate autonomamente

Se la tua istanza di Looker è self-hosted, ti consigliamo di eseguire l'upgrade delle istanze di Looker a una delle seguenti versioni:

• 24.6.12+
• 24.4.27+
• 24.2.58+
• 24.0.65+
• 23.18.100+
• 23.12.105+
• 23.6.163+

Come è stato risolto il problema?

Google ha disattivato l'accesso amministrativo diretto al database interno dall'applicazione Looker, ha rimosso i privilegi elevati che consentivano l'accesso cross-tenant e ha ruotato i secret esposti. Inoltre, abbiamo corretto le vulnerabilità di attraversamento del percorso che potenzialmente esponevano le credenziali del account di servizio. Stiamo inoltre conducendo una revisione approfondita del nostro codice e dei nostri sistemi per identificare e risolvere eventuali vulnerabilità potenziali simili.

Aggiornamento del 18/07/2024: sono state aggiunte versioni patch per i node pool Ubuntu su GKE

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26585

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di GKE on Bare Metal

Le seguenti CVE espongono Cloud Service Mesh a vulnerabilità sfruttabili:

• CVE-2024-27919: HTTP/2: esaurimento della memoria dovuto all'inondazione di frame CONTINUATION.
• CVE-2024-30255: HTTP/2: esaurimento della CPU a causa dell'inondazione di frame CONTINUATION
• CVE-2024-32475: interruzione anomala quando si utilizza "auto_sni" con l'intestazione ":authority" più lunga di 255 caratteri.
• CVE-2023-45288: i frame CONTINUATION di HTTP/2 possono essere utilizzati per attacchi DoS.

Per istruzioni e ulteriori dettagli, consulta il bollettino sulla sicurezza di Cloud Service Mesh.

• CVE-2024-27919
  
• CVE-2024-30255
  
• CVE-2024-32475
  
• CVE-2023-45288
  

Aggiornamento del 17/07/2024: sono state aggiunte le versioni delle patch per GKE su VMware

Aggiornamento del 09/07/2024: sono state aggiunte le versioni patch per GKE on Bare Metal

Aggiornamento 24/04/2024: sono state aggiunte versioni patch per GKE.

Di recente è stata scoperta una vulnerabilità Denial of Service (DoS) (CVE-2023-45288) in più implementazioni del protocollo HTTP/2, incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un attacco DoS al control plane di Google Kubernetes Engine (GKE).

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di GKE on Bare Metal

Compute Engine non è interessato da CVE-2024-3094, che interessa le versioni 5.6.0 e 5.6.1 del pacchetto xz-utils nella libreria liblzma e potrebbe compromettere l'utilità OpenSSH.

Per ulteriori dettagli, consulta il Bollettino sulla sicurezza di Compute Engine.

I ricercatori hanno scoperto una vulnerabilità (CVE-2023-48022) in Ray. Ray è uno strumento open source di terze parti per i carichi di lavoro di AI. Poiché Ray non richiede l'autenticazione, gli autori di minacce possono ottenere l'esecuzione di codice remoto inviando job a istanze esposte pubblicamente. La vulnerabilità è stata contestata da Anyscale, lo sviluppatore di Ray. Ray ritiene che le sue funzioni siano una funzionalità di base del prodotto prevista e che la sicurezza debba essere implementata al di fuori di un cluster Ray, in quanto qualsiasi esposizione involontaria della rete del cluster Ray potrebbe portare a una compromissione.

In base alla risposta, questa CVE è contestata e potrebbe non essere visualizzata negli scanner di vulnerabilità. In ogni caso, viene sfruttato attivamente in natura e gli utenti devono configurare il proprio utilizzo come suggerito di seguito.

Che cosa devo fare?

Segui le best practice e le linee guida di Ray, tra cui l'esecuzione di codice attendibile su reti attendibili, per proteggere i tuoi carichi di lavoro Ray. Il deployment di ray.io nelle istanze cloud dei clienti rientra nel modello di responsabilità condivisa.

Il team di sicurezza di Google Kubernetes Engine (GKE) ha pubblicato un post del blog sull'hardening di Ray su GKE.

Per ulteriori informazioni su come aggiungere l'autenticazione e l'autorizzazione ai servizi Ray, consulta la documentazione di Identity-Aware Proxy (IAP). Gli utenti GKE possono implementare IAP seguendo queste indicazioni o riutilizzando i moduli Terraform collegati nel blog.

Aggiornamento del 06/05/2024: sono state aggiunte le versioni patch per i node pool GKE Ubuntu.

Aggiornamento del 04/04/2024: sono state corrette le versioni minime per i node pool GKE Container-Optimized OS.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-1085

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di GKE on Bare Metal

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-3611

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di GKE on Bare Metal

VMware ha divulgato più vulnerabilità in VMSA-2024-0006 che interessano i componenti ESXi distribuiti negli ambienti dei clienti.

Impatto di Google Cloud VMware Engine

I tuoi cloud privati sono stati aggiornati per risolvere la vulnerabilità di sicurezza.

Che cosa devo fare?

Non è necessario alcun intervento da parte tua.

• VMSA-2024-0006
• CVE-2024-22252
• CVE-2024-22253
• CVE-2024-22254
• CVE-2024-22255

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-3776

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di GKE on Bare Metal

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-3610

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di GKE on Bare Metal

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-0193

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di GKE on Bare Metal

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-6932

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di GKE on Bare Metal

Aggiornamento del 17/04/2024: sono state aggiunte le versioni patch per GKE su VMware.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-6931

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di GKE on Bare Metal

Il 13 febbraio 2024, AMD ha divulgato due vulnerabilità che interessano SEV-SNP sulle CPU EPYC basate sui core Zen di terza generazione "Milan" e di quarta generazione "Genoa". Le vulnerabilità consentono agli autori di attacchi con privilegi di accedere a dati obsoleti degli ospiti o causare una perdita di integrità degli ospiti.

Google ha applicato correzioni agli asset interessati, tra cui Google Cloud, per garantire la protezione dei clienti. Al momento non sono state trovate o segnalate a Google prove di sfruttamento.

Che cosa devo fare?

Non è richiesta alcuna azione da parte del cliente. Le correzioni sono già state applicate alla flotta di server Google per Google Cloud, incluso Compute Engine.

Per saperne di più, consulta il bollettino sulla sicurezza di AMD AMD-SN-3007.

• CVE-2023-31346
• CVE-2023-31347

CVE-2023-5528 consente a un malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di GKE on Bare Metal

Le seguenti CVE espongono Cloud Service Mesh a vulnerabilità sfruttabili:

• CVE-2024-23322: Envoy si arresta in modo anomalo quando è inattivo e si verifica il timeout delle richieste per tentativo entro l'intervallo di backoff.
• CVE-2024-23323: Utilizzo eccessivo della CPU quando il matcher del modello URI è configurato utilizzando le espressioni regolari.
• CVE-2024-23324: l'autorizzazione esterna può essere bypassata quando il filtro del protocollo proxy imposta metadati UTF-8 non validi.
• Envoy si arresta in modo anomalo quando si utilizza un tipo di indirizzo non supportato dal sistema operativo.
• CVE-2024-23327: Arresto anomalo nel protocollo proxy quando il tipo di comando è LOCAL.

Per istruzioni e maggiori dettagli, consulta il bollettino sulla sicurezza di Cloud Service Mesh.

• CVE-2024-23322
  
• CVE-2024-23323
  
• CVE-2024-23324
  
• CVE-2024-23325
  
• CVE-2024-23327
  

Quando un proxy Apigee API Management si connette a un endpoint di destinazione o a un server di destinazione, il proxy non esegue la convalida del nome host per il certificato presentato dall'endpoint di destinazione o dal server di destinazione per impostazione predefinita. Se la convalida del nome host non è abilitata utilizzando una delle seguenti opzioni, i proxy Apigee che si connettono a un endpoint di destinazione o a un server di destinazione potrebbero essere a rischio di attacco man-in-the-middle da parte di un utente autorizzato. Per saperne di più, consulta Configurazione di TLS da Edge al backend (cloud e cloud privato).

Sono interessati i deployment dei proxy Apigee sulle seguenti piattaforme Apigee:

• Apigee Edge for Public Cloud
• Apigee Edge for Private Cloud

Per istruzioni e maggiori dettagli, consulta il bollettino sulla sicurezza di Apigee.

Aggiornamento del 06/05/2024: sono state aggiunte le versioni patch per GKE su AWS e GKE su Azure.

Aggiornamento del 02/04/2024: sono state aggiunte le versioni delle patch per GKE on Bare Metal

Aggiornamento del 06/03/2024: sono state aggiunte le versioni delle patch per GKE su VMware

Aggiornamento del 28/02/2024: sono state aggiunte le versioni patch per Ubuntu

Aggiornamento 15/02/2024: è stato chiarito che le versioni delle patch Ubuntu 1.25 e 1.26 nell'aggiornamento del 14/02/2024 potrebbero causare nodi non integri.

Aggiornamento del 14/02/2024: sono state aggiunte le versioni delle patch per Ubuntu

Aggiornamento del 06/02/2024: aggiunte versioni delle patch per Container-Optimized OS.

È stata scoperta una vulnerabilità di sicurezza, CVE-2024-21626, in runc in cui un utente con l'autorizzazione per creare pod sui nodi Container-Optimized OS e Ubuntu potrebbe essere in grado di ottenere l'accesso completo al file system del nodo.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di GKE on Bare Metal

Aggiornamento 07-02-2024: sono state aggiunte le versioni delle patch per Ubuntu.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-6817

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di GKE on Bare Metal

Aggiornamento del 26/01/2024: è stato chiarito il numero di cluster interessati e le azioni che abbiamo intrapreso per contribuire a mitigare l'impatto. Per maggiori dettagli, consulta il bollettino sulla sicurezza GCP-2024-003.

Abbiamo identificato diversi cluster in cui gli utenti hanno concesso privilegi Kubernetes al gruppo system:authenticated, che include tutti gli utenti con un Account Google. Questi tipi di binding non sono consigliati, in quanto violano il principio del privilegio minimo e concedono l'accesso a gruppi di utenti molto grandi. Consulta le indicazioni nella sezione "Cosa devo fare?" per istruzioni su come trovare questi tipi di rilegature.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE

Aggiornamento del 20/02/2024: sono state aggiunte le versioni delle patch per GKE su VMware.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS.

• CVE-2023-6111

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di GKE on Bare Metal

Sono state scoperte diverse vulnerabilità nel firmware UEFI TianoCore EDK II. Questo firmware viene utilizzato nelle VM Google Compute Engine. Se sfruttate, le vulnerabilità potrebbero consentire di bypassare l'avvio protetto, che fornirebbe misurazioni false nel processo di avvio protetto, anche quando utilizzato nelle VM schermate.

Che cosa devo fare?

Non è richiesta alcuna azione da parte tua. Google ha applicato una patch a questa vulnerabilità in Compute Engine e tutte le VM sono protette.

Quali vulnerabilità vengono affrontate da questa patch?

La patch ha attenuato le seguenti vulnerabilità:

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-3609

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di GKE on Bare Metal

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-3389

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di GKE on Bare Metal

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-3090

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di GKE on Bare Metal

Aggiornamento del 21/12/2023: chiarisci che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-3390

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di GKE on Bare Metal

Un malintenzionato che ha compromesso il container di logging Fluent Bit potrebbe combinare questo accesso con i privilegi elevati richiesti da Cloud Service Mesh (sui cluster in cui è abilitato) per aumentare i privilegi nel cluster.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di GKE on Bare Metal

Aggiornamento del 04/03/2024: sono state aggiunte le versioni di GKE per GKE su VMware.

Aggiornamento 22-01-2024: aggiunte versioni di patch Ubuntu

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-5717

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di GKE on Bare Metal

Aggiornamento del 21/12/2023: chiarisci che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-5197

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

Il 14 novembre, AMD ha divulgato più vulnerabilità che interessano varie CPU server AMD. Nello specifico, le vulnerabilità interessano le CPU dei server EPYC che sfruttano i core Zen di seconda generazione "Rome", terza generazione "Milan" e quarta generazione "Genoa".

Google ha applicato correzioni agli asset interessati, tra cui Google Cloud, per garantire la protezione dei clienti. Al momento non sono state trovate o segnalate a Google prove di sfruttamento.

Che cosa devo fare?

Non è richiesta alcuna azione da parte del cliente.

Le correzioni sono già state applicate al parco server Google per Google Cloud, incluso Google Compute Engine.

Quali vulnerabilità vengono affrontate?

La patch ha attenuato le seguenti vulnerabilità:

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2023-20521
• CVE-2021-46766
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

Per ulteriori informazioni, consulta l'avviso di sicurezza di AMD AMD-SN-3005: "AMD INVD Instruction Security Notice", pubblicato anche come CacheWarp, e AMD-SN-3002: "AMD Server Vulnerabilities – November 2023".

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

Intel ha divulgato una vulnerabilità della CPU in alcuni processori. Google ha adottato misure per mitigare la sua flotta di server, tra cui Google Compute Engine per Google Cloud, e i dispositivi ChromeOS per garantire la protezione dei clienti.

I dettagli della vulnerabilità:

• CVE-2023-23583

Che cosa devo fare?

Non è richiesta alcuna azione da parte del cliente.

La mitigazione fornita da Intel per i processori interessati è stata applicata al parco server di Google, incluso Google Compute Engine per Google Cloud.

Al momento, Google Distributed Cloud Edge richiede un aggiornamento dall'OEM. Google risolverà il problema di questo prodotto una volta reso disponibile l'aggiornamento e questo bollettino verrà aggiornato di conseguenza.

I dispositivi ChromeOS con i processori interessati hanno ricevuto la correzione automaticamente nell'ambito delle versioni 119, 118 e 114 (LTS).

Quali vulnerabilità vengono affrontate?

CVE-2023-23583. Per maggiori dettagli, vedi Intel Security Advisory INTEL-SA-00950.

Aggiornamento del 15/11/2023:chiarisci che solo le versioni secondarie elencate devono essere aggiornate a una versione con patch corrispondente per GKE.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4147

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

Aggiornamento del 21/12/2023: chiarisci che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Aggiornamento del 05/12/2023: sono state aggiunte altre versioni di GKE per i node pool Container-Optimized OS.

Aggiornamento del 21/11/2023: chiarisci che solo le versioni secondarie elencate devono essere aggiornate a una versione patch corrispondente per GKE.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4004

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

Aggiornamento del 21/12/2023: chiarisci che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Aggiornamento del 21/11/2023: chiarisci che solo le versioni secondarie elencate devono essere aggiornate a una versione patch corrispondente per GKE.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4921

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

Aggiornamento del 21/11/2023: chiarisci che solo le versioni secondarie elencate devono essere aggiornate a una versione patch corrispondente per GKE.

Aggiornamento del 16 novembre 2023:la vulnerabilità associata a questo bollettino sulla sicurezza è CVE-2023-4622. CVE-2023-4623 è stata erroneamente elencata come vulnerabilità in una versione precedente del bollettino sulla sicurezza.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4623

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

Aggiornamento del 21/12/2023: chiarisci che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Aggiornamento del 21/11/2023: chiarisci che solo le versioni secondarie elencate devono essere aggiornate a una versione patch corrispondente per GKE.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4623

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

Aggiornamento del 21/12/2023: chiarisci che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Aggiornamento del 21/11/2023: chiarisci che solo le versioni secondarie elencate devono essere aggiornate a una versione patch corrispondente per GKE.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4015

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

Deep Learning VM Images è un insieme di immagini di macchine virtuali preconfezionate con un framework di deep learning pronto per essere eseguito immediatamente. Di recente è stata scoperta una vulnerabilità di scrittura fuori dai limiti nella funzione `ReadHuffmanCodes()` della libreria `libwebp`. Ciò potrebbe influire sulle immagini che utilizzano questa libreria.

Google Cloud esegue la scansione continua delle immagini pubblicate pubblicamente e aggiorna i pacchetti per garantire che le distribuzioni patchate siano incluse nelle ultime release disponibili per l'adozione da parte dei clienti. Le Deep Learning VM Image sono state aggiornate per garantire che le immagini VM più recenti includano le distribuzioni patchate. I clienti che adottano le immagini VM più recenti non sono esposti a questa vulnerabilità.

Che cosa devo fare?

I clienti diGoogle Cloud che utilizzano immagini VM pubblicate devono assicurarsi di adottare le immagini più recenti e che i loro ambienti siano aggiornati in base al modello di responsabilità condivisa.

CVE-2023-4863 potrebbe essere sfruttata da un malintenzionato per eseguire codice arbitrario. Questa vulnerabilità è stata identificata in Google Chrome prima della versione 116.0.5845.187 e in `libwebp` prima della versione 1.3.2 ed è elencata in CVE-2023-4863.

Aggiornamento del 21/12/2023: chiarisci che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Aggiornamento del 21/11/2023: chiarisci che solo le versioni secondarie elencate devono essere aggiornate a una versione patch corrispondente per GKE.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

VMware ha divulgato più vulnerabilità in VMSA-2023-0023 che interessano i componenti vCenter distribuiti negli ambienti dei clienti.

Impatto dell'assistenza clienti Google Cloud

• La vulnerabilità può essere sfruttata accedendo a porte specifiche in vCenter Server. Queste porte non sono esposte alla rete internet pubblica.
• Se le porte vCenter 2012/tcp, 2014/tcp e 2020/tcp non sono accessibili a sistemi non attendibili, non sei esposto a questa vulnerabilità.
• Google ha già bloccato le porte vulnerabili sul server vCenter, impedendo qualsiasi potenziale exploit di questa vulnerabilità.
• Inoltre, Google garantirà che tutti i deployment futuri del server vCenter non siano esposti a questa vulnerabilità.
• Al momento del bollettino, VMware non è a conoscenza di alcun exploit "in the wild". Per ulteriori dettagli, consulta la documentazione di VMware.

Che cosa devo fare?

Al momento non sono richieste ulteriori azioni

Aggiornamento del 21/12/2023: chiarisci che i cluster GKE Autopilot nella configurazione predefinita non sono interessati e che i carichi di lavoro GKE Sandbox non sono interessati.

Aggiornamento del 21/11/2023: chiarisci che solo le versioni secondarie elencate devono essere aggiornate a una versione patch corrispondente per GKE.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-3777

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

Aggiornamento del 03/11/2023: è stato aggiunto un problema noto per Apigee Edge for Private Cloud.

Di recente è stata scoperta una vulnerabilità denial of service (DoS) in più implementazioni del protocollo HTTP/2 (CVE-2023-44487), incluso il servizio Apigee Ingress (Cloud Service Mesh) utilizzato da Apigee X e Apigee Hybrid. La vulnerabilità potrebbe causare un attacco DoS alla funzionalità di gestione delle API Apigee.

Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di Apigee.

Un attacco Denial of Service può influire sul piano dati quando si utilizza il protocollo HTTP/2. Per istruzioni e ulteriori dettagli, consulta il bollettino sulla sicurezza di Cloud Service Mesh.

Aggiornamento del 20/03/2024: sono state aggiunte versioni patch per GKE su AWS e GKE su Azure con le patch più recenti per CVE-2023-44487.

Aggiornamento del 14/02/2024: sono state aggiunte versioni patch per GKE su VMware.

Aggiornamento del 9 novembre 2023:è stato aggiunto CVE-2023-39325. Versioni di GKE aggiornate con le patch più recenti per CVE-2023-44487 e CVE-2023-39325.

Di recente è stata scoperta una vulnerabilità Denial of Service (DoS) in più implementazioni del protocollo HTTP/2 (CVE-2023-44487), incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un attacco DoS al control plane di Google Kubernetes Engine (GKE). I cluster GKE con reti autorizzate configurate sono protetti limitando l'accesso alla rete, ma tutti gli altri cluster sono interessati.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

TorchServe viene utilizzato per ospitare i modelli di machine learning PyTorch per la previsione online. Vertex AI fornisce container predefiniti per l'erogazione di modelli PyTorch che dipendono da TorchServe. Di recente sono state scoperte vulnerabilità in TorchServe che consentirebbero a un malintenzionato di assumere il controllo di un deployment di TorchServe se la relativa API di gestione dei modelli è esposta. I clienti con modelli PyTorch di cui è stato eseguito il deployment nella previsione online di Vertex AI non sono interessati da queste vulnerabilità, poiché Vertex AI non espone l'API di gestione dei modelli di TorchServe. I clienti che utilizzano TorchServe al di fuori di Vertex AI devono adottare precauzioni per garantire che i deployment siano configurati in modo sicuro.

Che cosa devo fare?

I clienti di Vertex AI con modelli di cui è stato eseguito il deployment che utilizzano i container di servizio PyTorch predefiniti di Vertex AI non devono intraprendere alcuna azione per risolvere le vulnerabilità, poiché i deployment di Vertex AI non espongono il server di gestione di TorchServe a internet.

I clienti che utilizzano i container PyTorch predefiniti in altri contesti o che utilizzano una distribuzione di TorchServe personalizzata o di terze parti devono:

• Assicurati che l'API di gestione dei modelli di TorchServe non sia esposta a internet. L'API di gestione dei modelli può essere limitata all'accesso locale solo assicurandosi che management_address sia associato a 127.0.0.1.
• Utilizza l'impostazione allowed_urls per assicurarti che i modelli possano essere caricati solo dalle fonti previste.
• Esegui l'upgrade di TorchServe alla versione 0.8.2, che include mitigazioni per questo problema, il prima possibile. Per precauzione, Vertex AI rilascerà container predefiniti corretti entro il 13/10/2023.

Quali vulnerabilità vengono affrontate?

L'API di gestione di TorchServe è associata a 0.0.0.0 per impostazione predefinita nella maggior parte delle immagini Docker di TorchServe, incluse quelle rilasciate da Vertex AI, rendendola accessibile alle richieste esterne. L'indirizzo IP predefinito per l'API di gestione è stato modificato in 127.0.0.1 in TorchServe 0.8.2, il che mitiga il problema.

CVE-2023-43654 e CVE-2022-1471 consentono a un utente con accesso all'API di gestione di caricare modelli da origini arbitrarie ed eseguire codice da remoto. Le mitigazioni per entrambi i problemi sono incluse in TorchServe 0.8.2: il percorso di esecuzione del codice remoto viene rimosso e viene emesso un avviso se viene utilizzato il valore predefinito per allowed_urls.

I clienti possono configurare Google Security Operations per importare i dati dai bucket Cloud Storage di proprietà del cliente utilizzando un feed di importazione. Fino a poco tempo fa, Google Security Operations forniva un account di servizio condiviso che i clienti utilizzavano per concedere l'autorizzazione al bucket. Esisteva un'opportunità per cui l'istanza Google Security Operations di un cliente poteva essere configurata per importare dati dal bucket Cloud Storage di un altro cliente. Dopo aver eseguito un'analisi dell'impatto, non abbiamo riscontrato alcun sfruttamento attuale o precedente di questa vulnerabilità. La vulnerabilità era presente in tutte le versioni di Google Security Operations precedenti al 19 settembre 2023.

Che cosa devo fare?

A partire dal 19 settembre 2023, Google Security Operations è stato aggiornato per risolvere questa vulnerabilità. Non è richiesta alcuna azione da parte del cliente.

Quali vulnerabilità vengono affrontate?

In precedenza, Google Security Operations forniva un account di servizio condiviso che i clienti utilizzavano per concedere l'autorizzazione a un bucket. Poiché clienti diversi hanno concesso la stessa autorizzazione all'account di servizio Google Security Operations per il proprio bucket, esisteva un vettore di sfruttamento che consentiva al feed di un cliente di accedere al bucket di un altro cliente durante la creazione o la modifica di un feed. Questo vettore di sfruttamento richiedeva la conoscenza dell'URI del bucket. Ora, durante la creazione o la modifica dei feed, Google Security Operations utilizza service account unici per ogni cliente.

Gli aggiornamenti di VMware vCenter Server risolvono più vulnerabilità di corruzione della memoria (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896)

Impatto sull'assistenza clienti

VMware vCenter Server (vCenter Server) e VMware Cloud Foundation (Cloud Foundation).

Che cosa devo fare?

I clienti non sono interessati e non è necessario intraprendere alcuna azione.

• CVE-2023-20893

In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) in cui un utente che può creare pod sui nodi Windows potrebbe essere in grado di ottenere privilegi amministrativi su questi nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e del proxy CSI di Kubernetes.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

Intel ha recentemente annunciato l'Intel Security Advisory INTEL-SA-00828 che interessa alcune delle sue famiglie di processori. Ti invitiamo a valutare i rischi in base all'avviso.

Impatto di Google Cloud VMware Engine

La nostra flotta utilizza le famiglie di processori interessate. Nel nostro deployment, l'intero server è dedicato a un solo cliente. Pertanto, il nostro modello di deployment non aggiunge alcun rischio aggiuntivo alla tua valutazione di questa vulnerabilità.

Stiamo collaborando con i nostri partner per ottenere le patch necessarie e le implementeremo con priorità in tutta la flotta utilizzando la procedura di upgrade standard nelle prossime settimane.

Che cosa devo fare?

Non è necessario alcun intervento da parte tua. Stiamo lavorando all'upgrade di tutti i sistemi interessati.

• CVE-2022-40982

Aggiornamento del 04/06/2024: i seguenti prodotti mancanti sono stati aggiornati per correggere questa vulnerabilità:

• Google Distributed Cloud Hosted
• Google Distributed Cloud Edge

Aggiornamento del 10/08/2023:è stato aggiunto il numero di versione LTS di ChromeOS.

Intel ha divulgato una vulnerabilità in alcuni processori (CVE-2022-40982). Google ha adottato misure per mitigare la propria flotta di server, incluso Google Cloud, per garantire la protezione dei clienti.

I dettagli della vulnerabilità:

• CVE-2022-40982 (Intel IPU 2023.3, "GDS" aka "Downfall")

Che cosa devo fare?

Non è richiesta alcuna azione da parte del cliente.

Tutte le patch disponibili sono già state applicate alla flotta di server Google per Google Cloud, incluso Google Compute Engine.

Al momento, i seguenti prodotti richiedono aggiornamenti aggiuntivi da parte di partner e fornitori.

• Google Cloud VMware Engine
• Google Distributed Cloud Hosted
• Google Distributed Cloud Edge
• Soluzione Bare Metal di Google Cloud
• Evolved Packet Core

Google risolverà i problemi di questi prodotti una volta rese disponibili queste patch e questo bollettino verrà aggiornato di conseguenza.

I clienti di Google Chromebook e ChromeOS Flex hanno ricevuto automaticamente le mitigazioni fornite da Intel nelle versioni stabile (115), LTS (108), beta (116) e LTC (114). I clienti di Chromebook e ChromeOS Flex che hanno eseguito il pinning di una release precedente devono prendere in considerazione la rimozione del pinning e il passaggio alle release stabili o LTS per assicurarsi di ricevere questa correzione e altre correzioni delle vulnerabilità.

Quali vulnerabilità vengono affrontate?

CVE-2022-40982: per ulteriori informazioni, consulta Intel Security Advisory INTEL-SA-00828.

AMD ha divulgato una vulnerabilità in alcuni processori (CVE-2023-20569). Google ha adottato misure per mitigare la propria flotta di server, incluso Google Cloud, per garantire la protezione dei clienti.

I dettagli della vulnerabilità:

• CVE-2023-20569 (AMD SB-7005 aka "Inception")

Che cosa devo fare?

Gli utenti delle VM Compute Engine devono prendere in considerazione le mitigazioni fornite dal sistema operativo se utilizzano l'esecuzione di codice non attendibile all'interno dell'istanza. Consigliamo ai clienti di contattare i fornitori del sistema operativo per indicazioni più specifiche.

Le correzioni sono già state applicate al parco server Google per Google Cloud, incluso Google Compute Engine.

Quali vulnerabilità vengono affrontate?

CVE-2023-20569: per ulteriori informazioni, consulta AMD SB-7005.

Google ha identificato una vulnerabilità nelle implementazioni gRPC C++ precedenti alla release 1.57. Si trattava di una vulnerabilità Denial of Service nell'implementazione C++ di gRPC. Questi problemi sono stati risolti nelle release 1.53.2, 1.54.3, 1.55.2, 1.56.2 e 1.57.

Che cosa devo fare?

Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software:

• Le versioni 1.53, 1.54, 1.55 e 1.56 di gRPC (C++, Python, Ruby) devono eseguire l'upgrade alle seguenti release di patch:
• 1.53.2
• 1.54.3
• 1.55.2
• 1.56.2
• Le versioni 1.52 e precedenti di gRPC (C++, Python, Ruby) devono essere aggiornate a una delle release di patch approvate. Ad esempio, 1.53.2, 1.54.3, 1.53.4 e così via.

Quali vulnerabilità vengono affrontate?

Queste patch attenuano le seguenti vulnerabilità:

• Vulnerabilità Denial of Service nelle implementazioni gRPC C++: richieste appositamente create possono causare l'interruzione della connessione tra un proxy e un backend.

Le seguenti CVE espongono Cloud Service Mesh a vulnerabilità sfruttabili:

• CVE-2023-35941: in alcuni scenari specifici, un client dannoso è in grado di creare credenziali con validità permanente. Ad esempio, la combinazione di host e ora di scadenza nel payload HMAC può essere sempre valida nel controllo HMAC del filtro OAuth2.
• CVE-2023-35942: i logger di accesso gRPC che utilizzano l'ambito globale del listener possono causare un arresto anomalo di tipo use-after-free quando il listener viene svuotato. Questo può essere attivato da un aggiornamento LDS con la stessa configurazione dei log di accesso gRPC.
• CVE-2023-35943: se l'intestazione origin è configurata per essere rimossa con request_headers_to_remove: origin, il filtro CORS segfault e Envoy si arresta in modo anomalo.
• CVE-2023-35944: gli autori degli attacchi possono inviare richieste di schemi misti per bypassare i controlli degli schemi in Envoy. Ad esempio, se una richiesta con schema HTTP misto viene inviata al filtro OAuth2, i controlli di corrispondenza esatta per HTTP non andranno a buon fine e l'endpoint remoto verrà informato che lo schema è HTTPS, bypassando così potenzialmente i controlli OAuth2 specifici per le richieste HTTP.

Per istruzioni e ulteriori dettagli, consulta il bollettino sulla sicurezza di Cloud Service Mesh.

• CVE-2023-35941
  
• CVE-2023-35942
  
• CVE-2023-35943
  
• CVE-2023-35944
  

AMD ha rilasciato un aggiornamento del microcodice che risolve una vulnerabilità di sicurezza hardware (CVE-2023-20593). Google ha applicato le correzioni necessarie per questa vulnerabilità alla sua flotta di server, inclusi i server per Google Cloud Platform. I test indicano che non vi è alcun impatto sulle prestazioni dei sistemi.

Che cosa devo fare?

Non è richiesta alcuna azione da parte del cliente, in quanto le correzioni sono già state applicate alla flotta di server Google per Google Cloud Platform.

Quali vulnerabilità vengono affrontate?

CVE-2023-20593 risolve una vulnerabilità in alcune CPU AMD. Maggiori informazioni sono disponibili qui.

È stata scoperta una nuova vulnerabilità (CVE-2023-35945) in Envoy in cui una risposta creata appositamente da un servizio upstream non attendibile può causare un attacco di tipo denial of service a causa dell'esaurimento della memoria. Ciò è causato dal codec HTTP/2 di Envoy, che potrebbe divulgare una mappa di intestazioni e strutture di contabilità alla ricezione di RST_STREAM immediatamente seguito dai frame GOAWAY da un server upstream.

Per istruzioni e ulteriori dettagli, consulta il bollettino sulla sicurezza di Cloud Service Mesh.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-2235) che può portare a un'escalation dei privilegi sul nodo. I cluster GKE Autopilot sono interessati, in quanto i nodi GKE Autopilot utilizzano sempre immagini dei nodi Container-Optimized OS. Sono interessati i cluster GKE Standard con versioni 1.25 o successive che eseguono immagini dei nodi Container-Optimized OS.

I cluster GKE non sono interessati se eseguono solo immagini dei nodi Ubuntu, versioni precedenti alla 1.25 o utilizzano GKE Sandbox.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

Aggiornamento del 11/07/2023: le nuove versioni di GKE sono state aggiornate per includere le ultime versioni di Ubuntu che applicano patch a CVE-2023-31436.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-31436) che può portare a un'escalation dei privilegi sul nodo. Sono interessati i cluster GKE, inclusi i cluster Autopilot. I cluster GKE che utilizzano GKE Sandbox non sono interessati.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

In Envoy, utilizzato in Cloud Service Mesh, sono state scoperte diverse vulnerabilità che consentono a un malintenzionato di causare un denial of service o l'arresto anomalo di Envoy. Questi sono stati segnalati separatamente come GCP-2023-002.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2023-0468, che potrebbe consentire a un utente senza privilegi di eseguire l'escalation dei privilegi a root quando io_poll_get_ownership aumenterà req->poll_refs a ogni io_poll_wake, per poi eseguire l'overflow a 0, che eseguirà fput req->file due volte e causerà un problema di conteggio dei riferimenti struct file. Sono interessati i cluster GKE, inclusi i cluster Autopilot, con Container-Optimized OS che utilizzano la versione 5.15 del kernel Linux. I cluster GKE che utilizzano immagini Ubuntu o GKE Sandbox non sono interessati.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

Aggiornamento del 11/08/2023: sono state aggiunte versioni patch per GKE su VMware, GKE su AWS, GKE su Azure e Google Distributed Cloud Virtual per Bare Metal.

Sono stati rilevati due nuovi problemi di sicurezza in Kubernetes in cui gli utenti potrebbero essere in grado di avviare container che aggirano le limitazioni dei criteri quando utilizzano container effimeri e ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728).

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

Quando attivi l'API Cloud Build in un progetto, Cloud Build crea automaticamente un account di servizio predefinito per eseguire le build per tuo conto. Questo service account Cloud Build in precedenza disponeva dell'autorizzazione IAM logging.privateLogEntries.list, che consentiva alle build di accedere per impostazione predefinita all'elenco dei log privati. Questa autorizzazione è stata revocata dal account di servizio Cloud Build per rispettare il principio di sicurezza del privilegio minimo.

Per istruzioni e maggiori dettagli, consulta il bollettino sulla sicurezza di Cloud Build.

Google ha identificato tre nuove vulnerabilità nell'implementazione gRPC C++. Questi verranno pubblicati a breve pubblicamente come CVE-2023-1428, CVE-2023-32731 e CVE-2023-32732.

Ad aprile abbiamo identificato due vulnerabilità nelle versioni 1.53 e 1.54. Una era una vulnerabilità Denial of Service all'interno dell'implementazione C++ di gRPC e l'altra era una vulnerabilità di esfiltrazione remota dei dati. Questi problemi sono stati risolti nelle versioni 1.53.1, 1.54.2 e successive.

A marzo, i nostri team interni hanno scoperto una vulnerabilità Denial of Service nell'implementazione C++ di gRPC durante l'esecuzione di attività di fuzzing di routine. È stato trovato nella release gRPC 1.52 ed è stato corretto nelle release 1.52.2 e 1.53.

Che cosa devo fare?

Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software:

• Le versioni 1.52, 1.53 e 1.54 di grpc (C++, Python, Ruby) devono essere aggiornate alle seguenti patch:
• 1.52.2
• 1.53.1
• 1.54.2
• grpc (C++, Python, Ruby) versione 1.51 e precedenti non sono interessate, quindi gli utenti con queste versioni non devono intraprendere alcuna azione

Quali vulnerabilità vengono affrontate da queste patch?

Queste patch attenuano le seguenti vulnerabilità:

• Le versioni 1.53.1, 1.54.2 e successive risolvono il seguente problema: vulnerabilità Denial of Service nell'implementazione gRPC C++. Le richieste create appositamente possono causare l'interruzione della connessione tra un proxy e un backend. Vulnerabilità di esfiltrazione remota dei dati: la desincronizzazione nella tabella HPACK a causa delle limitazioni delle dimensioni dell'intestazione può comportare la perdita di dati di intestazione da parte dei backend proxy di altri client connessi a un proxy.
• Le versioni 1.52.2, 1.53 e successive risolvono la seguente vulnerabilità denial of service nell'implementazione C++ di gRPC. L'analisi di alcune richieste create appositamente può causare un arresto anomalo che influisce su un server.

Ti consigliamo di eseguire l'upgrade alle versioni più recenti dei seguenti pacchetti software elencati sopra.

È stata scoperta una nuova vulnerabilità (CVE-2023-2878) in secrets-store-csi-driver in cui un attore con accesso ai log del driver potrebbe osservare i token del account di servizio.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-1872) che può portare a un'escalation dei privilegi a root sul nodo.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

Recentemente è stata scoperta una vulnerabilità in Cloud SQL per SQL Server che consentiva agli account amministratore cliente di creare trigger nel database tempdb e di utilizzarli per ottenere privilegi sysadmin nell'istanza. I privilegi sysadmin darebbero all'autore dell'attacco l'accesso ai database di sistema e l'accesso parziale alla macchina che esegue l'istanza di SQL Server.

Google Cloud ha risolto il problema applicando una patch alla vulnerabilità di sicurezza entro il 1° marzo 2023. Google Cloud non ha trovato istanze di clienti compromesse.

Per istruzioni e ulteriori dettagli, consulta il bollettino sulla sicurezza di Cloud SQL.

Aggiornamento del 06/06/2023:le nuove versioni di GKE sono state aggiornate per includere le versioni più recenti di Ubuntu che applicano patch a CVE-2023-1281 e CVE-2023-1829.

Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a un'escalation dei privilegi a root sul nodo.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

Sono state scoperte due vulnerabilità (CVE-2023-1017 e CVE-2023-1018) in Trusted Platform Module (TPM) 2.0.

Le vulnerabilità avrebbero potuto consentire a un malintenzionato sofisticato di sfruttare una lettura/scrittura di 2 byte fuori dai limiti su determinate VM di Compute Engine.

Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di Compute Engine.

• CVE-2023-1017
• CVE-2023-1018

Aggiornamento del 21/12/2023: chiarisci che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Nel kernel Linux sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586, che potrebbero consentire a un utente senza privilegi di eseguire l'escalation dei privilegi.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

Le seguenti CVE espongono Cloud Service Mesh a vulnerabilità sfruttabili:

• CVE-2023-27496: se Envoy è in esecuzione con il filtro OAuth abilitato, un malintenzionato potrebbe creare una richiesta che causerebbe un attacco Denial of Service bloccando Envoy.
• CVE-2023-27488: l'autore dell'attacco può utilizzare questa vulnerabilità per bypassare i controlli di autenticazione quando viene utilizzato ext_authz.
• CVE-2023-27493: la configurazione di Envoy deve includere anche un'opzione per aggiungere intestazioni delle richieste generate utilizzando input della richiesta, ad esempio il nome alternativo del soggetto del certificato peer.
• CVE-2023-27492: gli autori degli attacchi possono inviare corpi di richieste di grandi dimensioni per le route con il filtro Lua abilitato e causare arresti anomali.
• CVE-2023-27491: gli autori degli attacchi possono inviare richieste HTTP/2 o HTTP/3 create appositamente per attivare errori di analisi sul servizio upstream HTTP/1.
• CVE-2023-27487: l'intestazione `x-envoy-original-path` deve essere un'intestazione interna, ma Envoy non la rimuove dalla richiesta all'inizio dell'elaborazione della richiesta quando viene inviata da un client non attendibile.

Per istruzioni e maggiori dettagli, consulta il bollettino sulla sicurezza di Cloud Service Mesh:

• CVE-2023-27496
  
• CVE-2023-27488
  
• CVE-2023-27493
  
• CVE-2023-27492
  
• CVE-2023-27491
  
• CVE-2023-27487
  

Aggiornamento del 21/12/2023: chiarisci che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-4696) che può portare a un'escalation dei privilegi sul nodo.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

In OpenSSL v3.0.6 sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) che possono potenzialmente causare un arresto anomalo.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

• CVE-2022-3786
• CVE-2022-3602

Aggiornamento del 21/12/2023: chiarisci che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Aggiornamento del 19/01/2023: sono state aggiunte informazioni sulla disponibilità della versione GKE 1.21.14-gke.14100.

In OpenSSL v3.0.6 sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) che possono potenzialmente causare un arresto anomalo.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

• CVE-2022-3786
• CVE-2022-3602

Aggiornamento del 19/01/2023: sono state aggiunte informazioni sulla disponibilità della versione GKE 1.21.14-gke.14100.

Aggiornamento del 16/12/2022: sono state aggiunte versioni patch per GKE e GKE su VMware.

Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare a un'interruzione completa del container per ottenere l'accesso root sul nodo.

Per istruzioni e maggiori dettagli, consulta:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

• CVE-2022-2585
• CVE-2022-2588

È stata scoperta una vulnerabilità di sicurezza, CVE-2022-39278, in Istio, utilizzato in Cloud Service Mesh, che consente a un malintenzionato di arrestare in modo anomalo il control plane.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

Aggiornamento del 14/12/2022: sono state aggiunte versioni patch per GKE e GKE su VMware.

Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-20409, che potrebbe consentire a un utente senza privilegi di ottenere privilegi di esecuzione del sistema.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

Aggiornamento del 21/12/2023: chiarisci che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Aggiornamento del 19/01/2023: sono state aggiunte informazioni sulla disponibilità della versione GKE 1.21.14-gke.14100.

Aggiornamento del 15/12/2022: sono state aggiornate le informazioni relative alla versione 1.21.14-gke.9400 di Google Kubernetes Engine, il cui rollout è in attesa e potrebbe essere sostituita da un numero di versione superiore.

Aggiornamento del 22/11/2022: sono state aggiunte versioni patch per GKE su VMware, GKE su AWS e GKE su Azure.

Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-3176, che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di ottenere l'accesso completo al contenitore come root sul nodo.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

Il control plane Istio istiod è vulnerabile a un errore di elaborazione delle richieste, che consente a un malintenzionato che invia un messaggio creato appositamente che causa l'arresto anomalo del control plane quando il webhook di convalida per un cluster è esposto pubblicamente. Questo endpoint viene pubblicato sulla porta TLS 15017, ma non richiede alcuna autenticazione da parte dell'autore dell'attacco.

Per istruzioni e ulteriori dettagli, consulta il bollettino sulla sicurezza di Cloud Service Mesh.

Una vulnerabilità di analisi dei messaggi e gestione della memoria nelle implementazioni C++ e Python di ProtocolBuffer può attivare un errore di esaurimento della memoria (OOM) durante l'elaborazione di un messaggio creato appositamente. Ciò potrebbe causare un attacco denial of service (DoS) ai servizi che utilizzano le librerie.

Che cosa devo fare?

Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software:

• protobuf-cpp (3.18.3, 3.19.5, 3.20.2, 3.21.6)
• protobuf-python (3.18.3, 3.19.5, 3.20.2, 4.21.6)

Quali vulnerabilità vengono affrontate da questa patch?

La patch attenua la seguente vulnerabilità:

Un piccolo messaggio appositamente creato che induce il servizio in esecuzione ad allocare grandi quantità di RAM. Le dimensioni ridotte della richiesta consentono di sfruttare facilmente la vulnerabilità ed esaurire le risorse. I sistemi C++ e Python che utilizzano protobuf non attendibili sarebbero vulnerabili agli attacchi DoS se contengono un oggetto MessageSet nella richiesta RPC.

Aggiornamento del 21/12/2023: chiarisci che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Aggiornamento del 14/09/2022: sono state aggiunte versioni patch per GKE su VMware, GKE su AWS e GKE su Azure.

È stata scoperta una nuova vulnerabilità (CVE-2022-2327) nel kernel Linux che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di ottenere un'interruzione completa del contenitore per accedere come root sul nodo.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

Aggiornamento del 22/11/2022:i carichi di lavoro che utilizzano GKE Sandbox non sono interessati da queste vulnerabilità.

Aggiornamento del 21/07/2022: ulteriori informazioni su GKE su VMware.

È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 e 5.11 del kernel Linux. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di ottenere un'interruzione completa del container per accedere come root al nodo. Sono interessati solo i cluster che eseguono Container-Optimized OS. Le versioni di GKE Ubuntu utilizzano la versione 5.4 o 5.15 del kernel e non sono interessate.

Per istruzioni e maggiori dettagli, consulta:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

Aggiornamento del 22 novembre 2022:i cluster Autopilot non sono interessati da CVE-2022-29581, ma sono vulnerabili a CVE-2022-29582 e CVE-2022-1116.

Nel kernel Linux sono state scoperte tre nuove vulnerabilità di corruzione della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di ottenere un'interruzione completa del container per accedere come root al nodo. Sono interessati tutti i cluster Linux (Container-Optimized OS e Ubuntu).

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

• CVE-2022-29581
• CVE-2022-29582
• CVE-2022-1116

Aggiornamento del 10/06/2022:le versioni di Cloud Service Mesh sono state aggiornate. Per istruzioni e ulteriori dettagli, consulta il bollettino sulla sicurezza di Cloud Service Mesh.

Le seguenti vulnerabilità CVE di Envoy e Istio espongono Cloud Service Mesh e Istio su GKE a vulnerabilità sfruttabili da remoto:

• CVE-2022-31045: il data plane Istio può potenzialmente accedere alla memoria in modo non sicuro quando sono abilitate le estensioni Metadata Exchange e Stats.
• CVE-2022-29225: i dati possono superare i limiti del buffer intermedio se un malintenzionato trasmette un payload piccolo e altamente compresso (attacco zip bomb).
• CVE-2021-29224: potenziale dereferenziazione del puntatore nullo in GrpcHealthCheckerImpl.
• CVE-2021-29226: il filtro OAuth consente l'elusione banale.
• CVE-2022-29228: il filtro OAuth può danneggiare la memoria (versioni precedenti) o attivare un ASSERT() (versioni successive).
• CVE-2022-29227: Arresto anomalo dei reindirizzamenti interni per le richieste con corpo o trailer.

Per istruzioni e ulteriori dettagli, consulta il bollettino sulla sicurezza di Cloud Service Mesh.

• CVE-2022-31045
  
• CVE-2022-29225
  
• CVE-2021-29224
  
• CVE-2021-29226
  
• CVE-2022-29228
  
• CVE-2022-29227
  

Aggiornamento del 22/11/2022: i cluster GKE Autopilot e i carichi di lavoro in esecuzione in GKE Sandbox non sono interessati.

Aggiornamento del 12/05/2022: le versioni di GKE su AWS e GKE su Azure sono state aggiornate. Per istruzioni e maggiori dettagli, consulta:

• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

---

Nel kernel Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ciascuna di queste vulnerabilità può consentire a un malintenzionato locale di eseguire un'container breakout, l'escalation dei privilegi sull'host o entrambi. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu). Per istruzioni e maggiori dettagli, consulta i seguenti bollettini di sicurezza:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

È stata scoperta una vulnerabilità di sicurezza, CVE-2022-23648, nella gestione dell'attraversamento del percorso in containerd nella specifica del volume dell'immagine OCI. I container avviati tramite l'implementazione CRI di containerd con una configurazione dell'immagine appositamente creata potrebbero ottenere l'accesso completo in lettura a file e directory arbitrari sull'host. Questa vulnerabilità potrebbe ignorare qualsiasi applicazione basata su criteri nella configurazione del container (incluso un criterio di sicurezza dei pod Kubernetes).

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini di sicurezza:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

Aggiornamento del 22/11/2022: per i cluster GKE in modalità Standard e Autopilot, i carichi di lavoro che utilizzano GKE Sandbox non sono interessati.

È stata scoperta una vulnerabilità di sicurezza, CVE-2022-0847, nel kernel Linux versione 5.8 e successive che può potenzialmente aumentare i privilegi del container a root. Questa vulnerabilità riguarda i seguenti prodotti:

• Versioni del pool di nodi GKE 1.22 e successive che utilizzano immagini Container-Optimized OS (Container-Optimized OS 93 e versioni successive)
• GKE su VMware v1.10 per le immagini Container-Optimized OS
• GKE su AWS v1.21 e GKE su AWS (generazione precedente) v1.19, v1.20, v1.21, che utilizzano Ubuntu
• Cluster gestiti di GKE su Azure v1.21 che utilizzano Ubuntu

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini di sicurezza:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

Aggiornamento 11/08/2022: sono state aggiunte ulteriori informazioni sulla configurazione Simultaneous Multi-Threading (SMT). SMT doveva essere disabilitato, ma è stato abilitato nelle versioni elencate.

Se hai abilitato manualmente SMT per un pool di nodi con limitazioni tramite sandbox, SMT rimarrà abilitato manualmente nonostante questo problema.

Si è verificata una configurazione errata del multi-threading simultaneo (SMT), noto anche come Hyper-threading, nelle immagini GKE Sandbox. La configurazione errata lascia i nodi potenzialmente esposti ad attacchi side-channel come il Microarchitectural Data Sampling (MDS) (per maggiori informazioni, consulta la documentazione di GKE Sandbox). Non consigliamo di utilizzare le seguenti versioni interessate:

• 1.22.4-gke.1501
• 1.22.6-gke.300
• 1.23.2-gke.300
• 1.23.3-gke.600

Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di GKE.

La seguente CVE di Istio espone Cloud Service Mesh a una vulnerabilità sfruttabile da remoto:

• CVE-2022-24726: il control plane Istio, `istiod`, è vulnerabile a un errore di elaborazione delle richieste, consentendo a un malintenzionato che invia un messaggio creato appositamente che causa l'arresto anomalo del control plane quando il webhook di convalida per un cluster è esposto pubblicamente. Questo endpoint viene pubblicato sulla porta TLS 15017, ma non richiede alcuna autenticazione da parte dell'autore dell'attacco.

Per istruzioni e maggiori dettagli, consulta il seguente bollettino sulla sicurezza:

• Bollettino sulla sicurezza di Cloud Service Mesh.

• CVE-2022-24726

Alcuni percorsi imprevisti per accedere alla VM del nodo sui cluster GKE Autopilot potrebbero essere stati utilizzati per aumentare i privilegi nel cluster. Questi problemi sono stati risolti e non sono richieste ulteriori azioni. Le correzioni risolvono i problemi segnalati tramite il nostro Vulnerability Reward Program.

Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di GKE.

Aggiornamento del 28/04/2022: sono state aggiunte versioni di GKE su VMware che correggono queste vulnerabilità. Per maggiori dettagli, consulta il Bollettino sulla sicurezza di GKE su VMware.

• CVE-2022-23606: Quando un cluster viene eliminato tramite Cluster Discovery Service (CDS), tutte le connessioni inattive stabilite agli endpoint del cluster vengono disconnesse. Una ricorsione è stata erroneamente introdotta nella versione 1.19 di Envoy nella procedura di disconnessione delle connessioni inattive che può portare all'esaurimento dello stack e alla terminazione anomala del processo quando un cluster ha un numero elevato di connessioni inattive.
• CVE-2022-21655: Il codice di reindirizzamento interno di Envoy presuppone l'esistenza di una voce di route. Quando viene eseguito un reindirizzamento interno a una route che ha una voce di risposta diretta e nessuna voce di route, viene dereferenziato un puntatore nullo e si verifica un arresto anomalo.
• CVE-2021-43826: Quando Envoy è configurato per utilizzare tcp_proxy che utilizza il tunneling upstream (tramite HTTP) e la terminazione TLS downstream, Envoy si arresta in modo anomalo se il client downstream si disconnette durante l'handshake TLS mentre lo stream HTTP upstream è ancora in fase di creazione. La disconnessione downstream può essere avviata dal client o dal server. Il client può disconnettersi per qualsiasi motivo. Il server potrebbe disconnettersi se, ad esempio, non dispone di cifrari TLS o versioni del protocollo TLS compatibili con il client. Potrebbe essere possibile attivare questo arresto anomalo anche in altre configurazioni downstream.
• CVE-2021-43825: L'invio di una risposta generata localmente deve interrompere l'ulteriore elaborazione dei dati di richiesta o risposta. Envoy tiene traccia della quantità di dati di richiesta e risposta memorizzati nel buffer e interrompe la richiesta se la quantità di dati memorizzati nel buffer supera il limite inviando risposte 413 o 500. Tuttavia, quando viene inviata una risposta generata localmente a causa di overflow del buffer interno mentre la risposta viene elaborata dalla catena di filtri, l'operazione potrebbe non essere interrotta correttamente e comportare l'accesso a un blocco di memoria liberato.
• CVE-2021-43824: Envoy si arresta in modo anomalo quando utilizza il filtro JWT con una regola di corrispondenza "safe_regex" e una richiesta appositamente creata come "CONNECT host:port HTTP/1.1". Quando raggiunge il filtro JWT, una regola "safe_regex" dovrebbe valutare il percorso URL ma qui non è presente e Envoy si arresta in modo anomalo con errori di segmentazione.
• CVE-2022-21654: Envoy consentirebbe erroneamente la ripresa della sessione TLS dopo la riconfigurazione delle impostazioni di convalida mTLS. Se un certificato client era consentito con la vecchia configurazione, ma non con la nuova, il client potrebbe riprendere la sessione TLS precedente anche se la configurazione attuale dovrebbe vietarlo. Sono interessate le modifiche alle seguenti impostazioni:
  • match_subject_alt_names
  • Modifiche CRL
  • allow_expired_certificate
  • Trust_chain_verification
  • only_verify_leaf_cert_crl
• CVE-2022-21657: Envoy non limita l'insieme di certificati che accetta dal peer, come client TLS o server TLS, solo a quelli che contengono l'extendedKeyUsage necessario (id-kp-serverAuth e id-kp-clientAuth, rispettivamente). Ciò significa che un peer può presentare un certificato email (ad es. id-kp-emailProtection), come certificato foglia o come CA nella catena, e verrà accettato per TLS. Ciò è particolarmente grave se combinato con CVE-2022-21656, in quanto consente a una CA Web PKI destinata solo all'uso con S/MIME e quindi esentata da audit o supervisione, di emettere certificati TLS che verranno accettati da Envoy.
• CVE-2022-21656: L'implementazione dello strumento di convalida utilizzata per implementare le routine di convalida dei certificati predefinite presenta un bug di "confusione di tipo" durante l'elaborazione di subjectAltNames. Questo trattamento consente, ad esempio, di autenticare un rfc822Name o un uniformResourceIndicator come nome di dominio. Questa confusione consente di bypassare nameConstraints, come elaborato dall'implementazione OpenSSL/BoringSSL sottostante, esponendo la possibilità di impersonare server arbitrari.

• Bollettino sulla sicurezza di Cloud Service Mesh

• Bollettino sulla sicurezza di Istio on GKE

• GKE
• GKE su VMware
• Google Distributed Cloud Virtual per Bare Metal

Le seguenti CVE di Envoy e Istio espongono Cloud Service Mesh e Istio su GKE a vulnerabilità sfruttabili da remoto:

• CVE-2022-23635: Istiod si arresta in modo anomalo alla ricezione di richieste con un'intestazione authorization creata appositamente.
• CVE-2021-43824: Potenziale dereferenziazione del puntatore nullo quando si utilizza il filtro JWT corrispondente a safe_regex
• CVE-2021-43825: Use-after-free quando i filtri di risposta aumentano i dati di risposta e i dati aumentati superano i limiti del buffer downstream.
• CVE-2021-43826: Use-after-free durante il tunneling TCP su HTTP, se la connessione downstream si interrompe durante la creazione della connessione upstream.
• CVE-2022-21654: la gestione errata della configurazione consente il riutilizzo della sessione mTLS senza nuova convalida dopo la modifica delle impostazioni di convalida.
• CVE-2022-21655: Gestione errata dei reindirizzamenti interni alle route con una voce di risposta diretta.
• CVE-2022-23606: Esaurimento dello stack quando un cluster viene eliminato tramite Cluster Discovery Service.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini sulla sicurezza:

• Bollettino sulla sicurezza di Cloud Service Mesh.
• Bollettino sulla sicurezza di Istio on GKE.

• CVE-2022-23635
  
• CVE-2021-43824
  
• CVE-2021-43825
  
• CVE-2021-43826
  
• CVE-2022-21654
  
• CVE-2022-21655
  
• CVE-2022-23606
  

Aggiornamento del 16/05/2022: è stata aggiunta la versione GKE 1.19.16-gke.7800 o successive all'elenco delle versioni con codice per correggere questa vulnerabilità. Per maggiori dettagli, consulta il Bollettino sulla sicurezza di GKE.

Aggiornamento del 12/05/2022: le versioni di GKE, GKE su VMware, GKE su AWS e GKE su Azure sono state aggiornate. Per istruzioni e maggiori dettagli, consulta:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure

È stata scoperta una vulnerabilità di sicurezza, CVE-2022-0492, nella funzione cgroup_release_agent_write del kernel Linux. L'attacco utilizza spazi dei nomi utente senza privilegi e, in determinate circostanze, questa vulnerabilità può essere sfruttata per l&#39container breakoutr.

Per istruzioni e maggiori dettagli, consulta:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure

È stata scoperta una vulnerabilità di sicurezza, CVE-2021-43527, in qualsiasi binario che si collega alle versioni vulnerabili di libnss3 presenti in NSS (Network Security Services) precedenti alla versione 3.73 o 3.68.1. Le applicazioni che utilizzano NSS per la convalida dei certificati o altre funzionalità TLS, X.509, OCSP o CRL potrebbero essere interessate, a seconda di come viene utilizzato/configurato NSS.

Per istruzioni e maggiori dettagli, consulta:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su Azure

È stata scoperta una vulnerabilità di sicurezza, CVE-2021-4034, in pkexec, una parte del pacchetto Linux policy kit (polkit), che consente a un utente autenticato di eseguire un attacco di escalation dei privilegi. PolicyKit viene generalmente utilizzato solo sui sistemi desktop Linux per consentire agli utenti non root di eseguire azioni come il riavvio del sistema, l'installazione di pacchetti, il riavvio di servizi e così via, come regolato da un criterio.

Per istruzioni e maggiori dettagli, consulta:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su Azure

Aggiornamento del 25/02/2022: le versioni di GKE sono state aggiornate. Per istruzioni e maggiori dettagli, consulta:

• Bollettino sulla sicurezza di GKE

Aggiornamento del 23/02/2022: le versioni di GKE e GKE su VMware sono state aggiornate. Per istruzioni e maggiori dettagli, consulta:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware

Aggiornamento del 4 febbraio 2022: la data di inizio del lancio delle versioni patch di GKE era il 2 febbraio.

Nel kernel Linux sono state scoperte tre vulnerabilità della sicurezza, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185, ognuna delle quali può portare a un'container breakout, all'escalation dei privilegi sull'host o a entrambi. Queste vulnerabilità riguardano tutti i sistemi operativi dei nodi (COS e Ubuntu) su GKE, GKE su VMware, GKE su AWS (generazione attuale e precedente) e GKE su Azure. I pod che utilizzano GKE Sandbox non sono vulnerabili a queste vulnerabilità. Per maggiori dettagli, consulta le note di rilascio di ChromeOS.

Per istruzioni e maggiori dettagli, consulta:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware

• CVE-2021-4154
• CVE-2021-22600
• CVE-2022-0185

È stato scoperto un potenziale problema di Denial of Service in protobuf-java nella procedura di analisi dei dati binari.

Che cosa devo fare?

Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software:

• protobuf-java (3.16.1, 3.18.2, 3.19.2)
• protobuf-kotlin (3.18.2, 3.19.2)
• google-protobuf [JRuby gem] (3.19.2)

Gli utenti di "javalite" di Protobuf (in genere Android) non sono interessati.

Quali vulnerabilità vengono affrontate da questa patch?

La patch attenua la seguente vulnerabilità:

Una debolezza di implementazione nel modo in cui i campi sconosciuti vengono analizzati in Java. Un payload dannoso di piccole dimensioni (~800 KB) può occupare il parser per diversi minuti creando un numero elevato di oggetti di breve durata che causano pause frequenti e ripetute di Garbage Collection.

È stato scoperto un problema di sicurezza nel controller ingress-nginx di Kubernetes, CVE-2021-25742. Gli snippet personalizzati di Ingress-nginx consentono il recupero di token e secret dell'account di servizio di Ingress-nginx in tutti gli spazi dei nomi.

Per istruzioni e maggiori dettagli, consulta:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

Esiste un problema noto per cui l'aggiornamento di una risorsa BackendConfig utilizzando l'API v1beta1 rimuove una policy di sicurezza di Google Cloud Armor attiva dal servizio.

Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di GKE.

È stata scoperta una vulnerabilità nel modulo LDAP di GKE Enterprise Identity Service (AIS) di GKE su VMware versioni 1.8 e 1.8.1 in cui una chiave seed utilizzata per generare le chiavi è prevedibile. Con questa vulnerabilità, un utente autenticato potrebbe aggiungere rivendicazioni arbitrarie ed eseguire l'escalation dei privilegi a tempo indeterminato.

Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di GKE su VMware.

È stata scoperta una vulnerabilità di sicurezza, CVE-2020-8561, in Kubernetes, in cui è possibile fare in modo che determinati webhook reindirizzino le richieste kube-apiserver alle reti private di quel server API.

Per istruzioni e maggiori dettagli, consulta:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

Secondo l'avviso di sicurezza VMSA-2021-0020 di VMware, VMware ha ricevuto segnalazioni di più vulnerabilità in vCenter. VMware ha reso disponibili aggiornamenti per correggere queste vulnerabilità nei prodotti VMware interessati.

Abbiamo già applicato le patch fornite da VMware per lo stack vSphere a Google Cloud VMware Engine in base all'avviso di sicurezza di VMware. Questo aggiornamento risolve le vulnerabilità di sicurezza descritte in CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 e CVE-2021-22010. Altri problemi di sicurezza non critici verranno risolti nel prossimo upgrade dello stack VMware (come da preavviso inviato a luglio, a breve verranno forniti maggiori dettagli sulla tempistica specifica dell'upgrade).

Impatto di VMware Engine

In base alle nostre indagini, non è stato riscontrato alcun impatto sui clienti.

Che cosa devo fare?

Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni.

• VMSA-2021-0020
• CVE-2021-22005
• CVE-2021-22006
• CVE-2021-22007
• CVE-2021-22008
• CVE-2021-22010

Alcuni bilanciatori del carico Google Cloud che indirizzano a un servizio di backend abilitato per Identity-Aware Proxy (IAP) potrebbero essere stati vulnerabili a una parte non attendibile in condizioni limitate. Questo risolve un problema segnalato tramite il nostro Vulnerability Reward Program.

• I bilanciatori del carico HTTP(S) e
• Utilizzato un backend predefinito o un backend con una regola di mappatura host jolly (ovvero host="*")

Inoltre, un utente della tua organizzazione deve aver fatto clic su un link creato appositamente e inviato da una parte non attendibile.

Il problema è stato risolto. A partire dal 17 settembre 2021, IAP è stato aggiornato per emettere cookie solo per gli host autorizzati. Un host viene considerato autorizzato se corrisponde ad almeno un nome alternativo del soggetto (SAN) in uno dei certificati installati sui bilanciatori del carico.

Cosa fare

Alcuni utenti potrebbero riscontrare una risposta HTTP 401 Non autorizzato con un codice di errore IAP 52 durante il tentativo di accedere ad app o servizi. Questo codice di errore indica che il client ha inviato un'intestazione Host che non corrisponde ad alcun nome alternativo del soggetto associato ai certificati SSL del bilanciatore del carico. L'amministratore del bilanciatore del carico deve aggiornare il certificato SSL per assicurarsi che l'elenco dei nomi alternativi del soggetto (SAN) contenga tutti i nomi host tramite i quali gli utenti accedono alle app o ai servizi protetti da IAP. Scopri di più sui codici di errore IAP.

In Kubernetes è stato scoperto un problema di sicurezza, CVE-2021-25741, in cui un utente potrebbe essere in grado di creare un container con montaggi di volume del sottopercorso per accedere a file e directory al di fuori del volume, incluso il file system host.

Per istruzioni e maggiori dettagli, consulta:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal

Aggiornamento del 23/09/2021: i container in esecuzione all'interno di GKE Sandbox non sono interessati da questa vulnerabilità per gli attacchi provenienti dall'interno del container.

Nel kernel Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2021-33909 e CVE-2021-33910, che possono causare l'arresto anomalo del sistema operativo o l'escalation a root da parte di un utente senza privilegi. Questa vulnerabilità riguarda tutti i sistemi operativi dei nodi GKE (COS e Ubuntu).

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini di sicurezza:

• Bollettino sulla sicurezza di GKE.
• Bollettino sulla sicurezza di GKE su AWS.

Le seguenti vulnerabilità CVE di Envoy e Istio espongono Cloud Service Mesh e Istio su GKE a vulnerabilità sfruttabili da remoto:

• CVE-2021-39156: le richieste HTTP con un frammento (una sezione alla fine di un URI che inizia con un carattere #) nel percorso URI potrebbero bypassare i criteri di autorizzazione basati sul percorso URI di Istio.
• CVE-2021-39155: le richieste HTTP potrebbero potenzialmente bypassare un criterio di autorizzazione Istio quando vengono utilizzate regole basate su hosts o notHosts.
• CVE-2021-32781: interessa le estensioni decompressor, json-transcoder o grpc-web di Envoy o le estensioni proprietarie che modificano e aumentano le dimensioni dei corpi delle richieste o delle risposte. La modifica e l'aumento delle dimensioni del corpo in un'estensione di Envoy oltre le dimensioni del buffer interno potrebbero portare Envoy ad accedere alla memoria deallocata e a terminare in modo anomalo.
• CVE-2021-32780: un servizio upstream non attendibile potrebbe causare l'interruzione anomala di Envoy inviando il frame GOAWAY seguito dal frame SETTINGS con il parametro SETTINGS_MAX_CONCURRENT_STREAMS impostato su 0. (Non applicabile a Istio on GKE)
• CVE-2021-32778: un client Envoy che apre e poi reimposta un numero elevato di richieste HTTP/2 potrebbe comportare un consumo eccessivo di CPU. (Non applicabile a Istio on GKE)
• CVE-2021-32777: le richieste HTTP con intestazioni a più valori potrebbero eseguire un controllo incompleto delle norme di autorizzazione quando viene utilizzata l'estensione ext_authz.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini di sicurezza:

• Bollettino sulla sicurezza di Cloud Service Mesh.
• Bollettino sulla sicurezza di Istio on GKE.

• CVE-2021-39156
• CVE-2021-39155
• CVE-2021-32781
• CVE-2021-32780
• CVE-2021-32778
• CVE-2021-32777

È stata scoperta una nuova vulnerabilità di sicurezza, CVE-2021-22555, in cui un utente malintenzionato con privilegi CAP_NET_ADMIN può potenzialmente causare un'container breakout per ottenere l'accesso root sull'host. Questa vulnerabilità riguarda tutti i cluster GKE e GKE su VMware che eseguono Linux versione 2.6.19 o successive.

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini di sicurezza:

• Bollettino sulla sicurezza di GKE.
• Bollettino sulla sicurezza di GKE su VMware.

Microsoft ha pubblicato un bollettino sulla sicurezza su una vulnerabilità di esecuzione di codice remoto (RCE), CVE-2021-34527, che interessa lo spooler di stampa nei server Windows. Il CERT Coordination Center (CERT/CC) ha pubblicato una nota di aggiornamento su una vulnerabilità correlata, soprannominata "PrintNightmare", che interessa anche gli spooler di stampa di Windows: PrintNightmare, Critical Windows Print Spooler Vulnerability

Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di GKE.

Il progetto Istio ha recentemente annunciato una vulnerabilità di sicurezza in cui è possibile accedere alle credenziali specificate nel campo credentialName di Gateway e DestinationRule da spazi dei nomi diversi.

Per istruzioni specifiche per prodotto e maggiori dettagli, vedi:

• Bollettino sulla sicurezza di Cloud Service Mesh.
• Bollettino sulla sicurezza GKE Enterprise GCP-2021-012 per informazioni specifiche su Google Kubernetes Engine, Google Distributed Cloud Virtual for Bare Metal e GKE su VMware.

Aggiornamento del 19 ottobre 2021:

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini di sicurezza:

• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di Google Distributed Cloud Virtual per Bare Metal