עדכוני אבטחה דחופים

עדכוני האבטחה הדחופים הבאים קשורים למוצרי Google Cloud .

רוצים לקבל עדכוני אבטחה דחופים מהדף הזה? תוכלו להירשם לפיד ה-XML הזה. הרשמה

GCP-2026-034

תאריך פרסום: 20 במאי 2026

תיאור

תיאור רמת סיכון הערות

התגלתה נקודת חולשה ב-Apigee שבה חסר אימות של הפרמטר IntegrationRegion במדיניות SetIntegrationRequest, מה שמאפשר מתקפת Server-Side Request Forgery (‏SSRF) וגניבה של טוקן חשבון שירות. הבעיה מתרחשת כשהתוקף יכול לשלוט במשתנה של זרימת נתונים שמשמש ל-IntegrationRegion, מה שמוביל לשליחת בקשות למארח שנמצא בשליטת התוקף עם טוקן חשבון השירות.

 גבוהה CVE-2026-2264

GCP-2026-033

תאריך פרסום: 14 במאי 2026

תיאור

תיאור רמת סיכון הערות

נמצאה נקודת חולשה (CVE-2026-46300) בליבה של Linux שמאפשרת בריחה מקונטיינר, והיא נקראת Fragnesia. היא מאפשרת לתוקף מקומי לא מורשה להשיג הרשאות root במארח.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 בינוני CVE-2026-46300

GCP-2026-032

תאריך פרסום: 12 במאי 2026

תיאור

תיאור רמת סיכון הערות

חברת AMD זיהתה פגיעות ברמת החומרה במעבדים של מיקרו-ארכיטקטורת Zen 2 (כולל סדרות EPYC ו-Ryzen), שקשורה להשחתה פוטנציאלית במטמון המיקרו-אופרציות (OP). בתנאים מסוימים, הבעיה הזו (AMD-SN-7052 / CVE-2025-54518) עלולה להוביל לעקיפה של גבולות אבטחה או לגישה לא מורשית לנתונים.
פרסנו תיקונים בתשתית של Google כדי לצמצם את הבעיות האלה.

למידע נוסף, ראו עדכון האבטחה הדחוף של Compute Engine.

 גבוהה CVE-2025-54518

GCP-2026-031

תאריך פרסום: 12 במאי 2026

תיאור

תיאור רמת סיכון הערות

חוקרים גילו פגיעות בקושחה של AMD, שבגלל היעדר הגנה, עלולה לאפשר ל-hypervisor זדוני להריץ קוד שרירותי במעבד המאובטח של AMD ‏ (ASP). כך אפשר להגדיל את הרשאות הקריאה והכתיבה של קלט/פלט במיפוי זיכרון (MMIO), מה שפוגע בסודיות ובשלמות של אורחי SEV-SNP.

למידע נוסף, ראו עדכון האבטחה הדחוף של Compute Engine.

 בינוני

GCP-2026-030

תאריך פרסום: 11 במאי 2026

תאריך עדכון: 20 במאי 2026

תיאור

תיאור רמת סיכון הערות

עדכון מ-20 במאי 2026: נוסף CVE-2026-43500 ומזהי CVE נוספו לנתיבי ניצול.

התגלו נקודות החולשה הבאות בליבה של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ובצמתים של Ubuntu:

  • CVE-2026-43284
  • CVE-2026-43500

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2026-43284

GCP-2026-029

תאריך פרסום: 7 במאי 2026

תיאור

תיאור רמת סיכון הערות

מיקרוסופט מעדכנת את אישורי ההפעלה המאובטחת שהונפקו במקור בשנת 2011, כדי להבטיח שמכשירי Windows ימשיכו לאמת תוכנת אתחול מהימנה. תוקף האישורים הישנים האלה יפוג החל מיוני 2026. מכשירים שלא קיבלו את האישורים החדשים משנת 2023 ימשיכו לפעול כרגיל, ועדכוני Windows רגילים ימשיכו להיות מותקנים. עם זאת, המכשירים האלה לא יוכלו יותר לקבל אמצעי הגנה חדשים על תהליך האתחול המוקדם, כולל עדכונים של Windows Boot Manager, מסדי נתונים של הפעלה מאובטחת, רשימות ביטול או אמצעי הגנה מפני פגיעויות חדשות שמתגלות ברמת האתחול. בנוסף, תוקף האישורים של ההפעלה המאובטחת יפוג החל מיוני 2026, וזה ישפיע על מערכות Linux שמשתמשות בהפעלה מאובטחת.

מה לעשות?

‫Google ממליצה ללקוחות לעדכן את מכונות ה-VM של Windows על ידי ביצוע הפעולות המתאימות, כפי שממליצה מיקרוסופט. הפצות כמו Ubuntu,‏ Red Hat ו-Fedora כבר פועלות כדי לספק חבילות מעודכנות שחתומות באמצעות המפתח החדש לשנת 2023. כדאי לעיין גם במסמכי Broadcom כדי לפתור שגיאות ואזהרות במכונות וירטואליות של VMware כשמועד התפוגה של אישורי Secure Boot מתקרב. אחרי יוני 2026, יכול להיות שיתרחשו כשלים במערכות שלא עודכנו בהן האישורים משנת 2023, במהלך התקנות של מערכות הפעלה חדשות או במהלך עדכון הקושחה הקיימת של טוען האתחול.

 לצורך מידע Broadcom KB 423893

GCP-2026-028

תאריך פרסום: 5 במאי 2026

תאריך עדכון: 27 במאי 2026

תיאור

תיאור רמת סיכון הערות

CVE-2026-31431, שנקראת גם Copy Fail, היא נקודת חולשה חמורה להסלמת הרשאות (LPE) מקומית בליבת Linux, שמאפשרת למשתמש לא מורשה לקבל גישת root. הפרצה נחשפה בסוף אפריל 2026, והיא נובעת מפגם לוגי במערכת המשנה הקריפטוגרפית של ליבת המערכת (algif_aead) שהוצגה בשנת 2017.

מה לעשות?

‫Google ממליצה ללקוחות להגן על מכונות וירטואליות של Linux Guest על ידי עדכון ליבת המערכת בכל המכונות הווירטואליות של Linux. הפצות מרכזיות פרסמו תיקונים או משיקות תיקונים.

 גבוהה CVE-2026-31431

GCP-2026-027

תאריך פרסום: 1 במאי 2026

תיאור

תיאור רמת סיכון הערות

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2026-23351

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2026-23351

GCP-2026-026

תאריך פרסום: 30 באפריל 2026

תאריך עדכון: 4 במאי 2026

תיאור

תיאור רמת סיכון הערות

עדכון מ-4 במאי 2026: נוספו גרסאות תיקונים ל-GKE.

נקודת חולשה בליבה של Linux‏ (CVE-2026-31431) מאפשרת לתוקף מקומי לא מורשה לכתוב למטמון הדפים של המערכת, מה שעלול להוביל להסלמת הרשאות (privilege escalation) ברמה המקומית ולבריחה מהקונטיינר.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2026-31431

GCP-2026-025

תאריך פרסום: 30 באפריל 2026

תיאור

תיאור רמת סיכון הערות

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2026-23274

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2026-23274

GCP-2026-024

תאריך פרסום: 28 באפריל 2026

תיאור

תיאור רמת סיכון הערות

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ושל Ubuntu:

  • CVE-2025-38248

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2025-38248

GCP-2026-023

תאריך פרסום: 28 באפריל 2026

תאריך עדכון: 7 במאי 2026

תיאור

תיאור רמת סיכון הערות

עדכון מ-7 במאי 2024: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2026-23074

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2026-23074

GCP-2026-022

תאריך פרסום: 16 באפריל 2026

תיאור

תיאור רמת סיכון הערות

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2026-23209

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2026-23209

GCP-2026-021

תאריך פרסום: 14 באפריל 2026

תיאור

תיאור רמת סיכון הערות

חברת AMD דיווחה על פרצת אבטחה בקושחה שלה, שיכלה לאפשר ל-hypervisor זדוני להנחות את IOMMU לכתוב בזיכרון האורח של מופעים עם הפעלת AMD SEV-SNP, ובכך לפגוע בשלמות נתוני האורח. ‫Google פרסה אמצעי להפחתת הסיכון במכונות וירטואליות סודיות (CVM) פגיעות עם AMD SEV-SNP מופעל.

מה לעשות?

לא נדרשת פעולה מצד הלקוחות. הפתרון כבר הוחל על מקרים של מכונות וירטואליות מסוג Confidential VM עם AMD SEV-SNP מופעל.

מידע נוסף זמין בהודעה של AMD‏ AMD-SB-3016.

בינוני

CVE-2023-20585

GCP-2026-020

תאריך פרסום: 14 באפריל 2026

תיאור

תיאור רמת סיכון הערות

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2026-23231

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2026-23231

GCP-2026-019

תאריך פרסום: 14 באפריל 2026

תיאור

תיאור רמת סיכון הערות

חוקרים גילו פגיעות בקושחה של AMD, שעלולה לאפשר להיפר-ויז'ור זדוני לשנות את הגדרות ה-BIOS ואת תצורות הניתוב של Memory Mapped I/O ‏ (MMIO), ובכך לפגוע בסודיות ובשלמות של Confidential VMs עם אורחים של AMD SEV-SNP.

למידע נוסף, ראו עדכון האבטחה הדחוף של Compute Engine.

 בינוני CVE-2025-54510

GCP-2026-018

תאריך פרסום: 7 באפריל 2026

תאריך עדכון: 15 באפריל 2026

תיאור

תיאור רמת סיכון הערות

עדכון מ-15 באפריל 2026: נוספו גרסאות תיקונים לצמתי Ubuntu עם GKE.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2026-23111

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2026-23111

GCP-2026-017

תאריך פרסום: 2 באפריל 2026

תיאור

תיאור רמת סיכון הערות

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2026-23273

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2026-23273

GCP-2026-016

תאריך פרסום: 27 במרץ 2026

תאריך עדכון: 31 במרץ 2026

תיאור

תיאור רמת סיכון הערות

עדכון מ-31 במרץ 2026: נוספו גרסאות תיקונים לצומתי Ubuntu עם GKE.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2025-38616

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2025-38616

GCP-2026-015

תאריך פרסום: 27 במרץ 2026

תיאור

תיאור רמת סיכון הערות

התגלתה נקודת החולשה הבאה בליבה של Linux, שעלולה להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים: CVE-2026-23268.

למידע נוסף, קראו את עדכון האבטחה הדחוף של Compute Engine.

 גבוהה CVE-2026-23268

GCP-2026-014

תאריך פרסום: 14 במרץ 2026

תאריך עדכון: 25 במרץ 2026

תיאור

תיאור רמת סיכון הערות

עדכון מ-25 במרץ 2026: נוספו גרסאות תיקונים לצמתי Ubuntu עם GKE.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2025-38678

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2025-38678

GCP-2026-013

תאריך פרסום: 11 במרץ 2026

תיאור

תיאור רמת סיכון הערות

התגלו נקודות החולשה הבאות ב-Envoy Proxy:

  • CVE-2026-26311
  • CVE-2026-26309
  • CVE-2026-26310
  • CVE-2026-26308
  • CVE-2026-26330

נקודות החולשה הבאות התגלו ב-Istio:

  • CVE-2026-31837
  • CVE-2026-31838

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-Cloud Service Mesh.

בינונית עד גבוהה

GCP-2026-012

תאריך פרסום: 20 בפברואר 2026

תיאור

תיאור רמת סיכון הערות

ב- Google Cloud Vertex AI, זוהתה פגיעות שקשורה למתן שמות צפויים לדליים ב-Vertex AI Experiments מגרסה 1.21.0 עד (לא כולל) 1.133.0.

פעולות מומלצות

לא נדרשת פעולה מצד הלקוחות כדי לצמצם את הבעיה.

‫CVE-2026-2473 מאפשר לתוקף מרוחק לא מאומת להשיג הרצת קוד מרוחקת בין דיירים, גניבת מודלים והרעלת נתונים באמצעות יצירה מראש של קטגוריות Cloud Storage עם שמות צפויים (תפיסת בעלות על קטגוריות). נקודת החולשה הזו זוהתה ב-Vertex AI Experiments בגרסה 1.21.0. אמצעי ההגנה כבר הוחלו על גרסה 1.133.0 ואילך.

 גבוהה CVE-2026-2473

GCP-2026-011

תאריך פרסום: 20 בפברואר 2026

תיאור

תיאור רמת סיכון הערות

זוהה נקודת חולשה מסוג Cross-site Scripting ‏ (XSS) מאוחסן ב-‎_genai/_evals_visualization ב-Google google-cloud-aiplatform (Vertex AI Python SDK Visualization) ב-Exclusively-Hosted-Service.

פעולות מומלצות

כדי לקבל את התיקון, הלקוחות יצטרכו לעדכן את google-cloud-aiplatform Python SDK לגרסה 1.131.0 (שהושקה ב-2025-12-16) ואילך.

‫CVE-2026-2472 מאפשר לתוקף מרוחק לא מאומת להריץ JavaScript שרירותי בסביבת Jupyter או Colab של קורבן באמצעות הזרקת רצפי בריחה של סקריפטים לתוצאות של הערכת מודלים או לנתוני JSON של מערך נתונים. הפגיעות הזו זוהתה ב-Google google-cloud-aiplatform (Vertex AI Python SDK) לפני גרסה 1.131.0.

 גבוהה CVE-2026-2472

GCP-2026-010

תאריך פרסום: 13 בפברואר 2026

תיאור

תיאור רמת סיכון הערות

זוהה פגיעות בפלטפורמת Apigee שיכולה הייתה לאפשר לגורם זדוני עם הרשאות אדמין או הרשאות ברמת המפתח בסביבת Apigee שלו להרחיב את ההרשאות ולגשת לנתונים של דיירים אחרים.

בפרט, נקודת חולשה בטכנולוגיית הארגז חול של Apigee אפשרה שימוש בנקודת קצה מקומית בקישור כדי לגשת לאסימונים של חשבונות שירות (P4SA) בפרויקט דייר (tenant) של לקוח. באמצעות הזהות הזו, תוקף יכול באופן תיאורטי לקרוא מטא-נתונים של ניתוח נתונים או לשנות רשומות של מעקב פנימי בארגונים אחרים (דיירים) ב-Apigee.

פעולות מומלצות

לכל מוצר מושפע, מבצעים את הפעולות הבאות:

Apigee

לקוחות שמשתמשים בגרסת Google Cloud של Apigee לא צריכים לעשות שום דבר. התיקונים לפגיעות הוחלו על גרסת Apigee 1-16-0-apigee-3.

Apigee Hybrid

כדי לפתור את נקודת התורפה הזו, הלקוחות צריכים להפעיל את צינור הניתוח שמבוסס על Pub/Sub ולשדרג לגרסה היברידית נתמכת:

הגדרת התכונה הגרסה המינימלית המתוקנת
‫Apigee Hybrid רגיל גרסה v1.14.0 ואילך
כשהמונטיזציה (Mint) מופעלת גרסה 1.14.3, גרסה 1.15.1 או גרסה 1.16.0
גבוהה CVE-2025-13292

GCP-2026-009

תאריך פרסום: 13 בפברואר 2026

תיאור

תיאור רמת סיכון הערות

אפשר להגדיר גרסאות של ממשק המשתמש של Observability Analytics מלפני ינואר 2026 לבצע באופן אוטומטי שאילתות SQL. פגיעות יכולה לאפשר לתוקף ליצור כתובת URL של שאילתה, שאם מישהו עם פרטי כניסה יפתח אותה, הוא יוכל לגשת לתוכן של טבלה או לשלם על עלות השאילתה.

מידע נוסף זמין בעדכון האבטחה הדחוף ל-Google Cloud Observability.

 גבוהה

GCP-2026-008

תאריך פרסום: 10 בפברואר 2026

תיאור

תיאור רמת סיכון הערות

קבוצה של פרצות אבטחה משפיעה על קושחת Intel® TDX. הפרצות האלה כוללות פגמים שונים, כולל מרוץ תהליכים (CVE-2025-30513,‏ CVE-2025-31944), קריאות מחוץ לגבולות (CVE-2025-32007,‏ CVE-2025-27940), שימוש במשתנה לא מאותחל (CVE-2025-32467) וחשיפה של מידע רגיש במהלך ביצוע זמני (CVE-2025-27572). ביחד, הבעיות האלה עשויות לאפשר חשיפה של מידע, העלאת הרשאות או התקפת מניעת שירות (DoS). ניצול לרעה בדרך כלל דורש גישת משתמש עם הרשאות במערכת.

פעולות מומלצות

לא נדרשת פעולה מצד הלקוחות. כל התיקונים הרלוונטיים הוחלו על Fleet השרתים של Google. למידע נוסף, אפשר לעיין בייעוץ הטכני של Intel PSIRT‏ INTEL-TA-01397.

גבוהה

GCP-2026-007

תאריך פרסום: 9 בפברואר 2026

תאריך עדכון: 25 במרץ 2026

תיאור

תיאור רמת סיכון הערות

עדכון מ-25 במרץ 2026: נוספו גרסאות תיקונים לצמתי Ubuntu עם GKE.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2025-40297

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2025-40297

GCP-2026-006

תאריך פרסום: 29 בינואר 2026

תאריך עדכון: 20 בפברואר 2026

תיאור

תיאור רמת סיכון הערות

עדכון מ-20 בפברואר 2026: נוספו גרסאות תיקונים ל-GKE.

זוהו מספר נקודות חולשה באבטחה בספריית OpenSSL. הממצא המשמעותי ביותר הוא CVE-2025-15467, נקודת חולשה קריטית שעשויה לאפשר ביצוע קוד מרחוק (RCE) או התקפות מניעת שירות (DoS) באמצעות וקטורים מבוססי-רשת.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2025-15467

GCP-2026-005

תאריך פרסום: 28 בינואר 2026

תיאור

תיאור רמת סיכון הערות

נקודת החולשה הזו משפיעה על ממשק Log Analytics ועל ממשק לוחות הבקרה של Cloud Monitoring בגרסאות שקדמו לינואר 2026.

מידע נוסף זמין בעדכון האבטחה הדחוף ל-Google Cloud Observability.

 גבוהה

GCP-2026-004

תאריך פרסום: 14 בינואר 2026

תיאור

תיאור רמת סיכון הערות

ב-Compute Engine התגלתה נקודת חולשה במעבדי Arm נבחרים שמשפיעה על מכונות וירטואליות מסוג C4A ו-A4X:

  • CVE-2025-0647

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף של Compute Engine.

 בינוני CVE-2025-0647

GCP-2026-003

תאריך פרסום: 9 בינואר 2026

תאריך עדכון: 25 במרץ 2026

תיאור

תיאור רמת סיכון הערות

עדכון מ-25 במרץ 2026: נוספו גרסאות תיקונים לצמתי Ubuntu עם GKE.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2025-39964

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2025-39964

GCP-2026-002

תאריך פרסום: 7 בינואר 2026

תאריך עדכון: 25 במרץ 2026

תיאור

תיאור רמת סיכון הערות

עדכון מ-25 במרץ 2026: נוספו גרסאות תיקונים לצמתי Ubuntu עם GKE.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2025-40215

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2025-40215

GCP-2026-001

תאריך פרסום: 7 בינואר 2026

תיאור

תיאור רמת סיכון הערות

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2025-40214

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2025-40214

GCP-2025-076

תאריך פרסום: 8 בדצמבר 2025

תיאור

תיאור רמת סיכון הערות

נקודת החולשה הבאה התגלתה ב-Cloud Data Fusion:

  • CVE-2025-9571

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-Cloud Data Fusion.

 גבוהה CVE-2025-9571

GCP-2025-075

תאריך פרסום: 7 בדצמבר 2025

תיאור

תיאור רמת סיכון הערות

פגיעות בתכונת השילובים המותאמים אישית של Google Security Operations SOAR יכולה לאפשר למשתמש מאומת עם תפקיד IDE להשיג הרצת קוד מרחוק (RCE) בשרת. הפגיעות נבעה מאימות לא מספיק של קוד חבילת Python, שאיפשר לתוקף להעלות חבילה עם קובץ setup.py זדוני. לאחר מכן אפשר להריץ את הקובץ הזה במהלך ההתקנה, ולפגוע בשרת.

פעולות מומלצות

לא נדרשת פעולה מצד הלקוחות. כל הלקוחות שודרגו אוטומטית לגרסה המתוקנת: 6.3.64 ומעלה.

 גבוהה CVE-2025-13428

GCP-2025-074

תאריך פרסום: 5 בדצמבר 2025

תיאור

תיאור רמת סיכון הערות

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2025-39965

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2025-39965

GCP-2025-073

Published:2025-12-03

תיאור

תיאור רמת סיכון הערות

התגלו נקודות החולשה הבאות ב-Envoy Proxy:

  • CVE-2025-66220
  • CVE-2025-64527
  • CVE-2025-64763

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-Cloud Service Mesh.

 בינוני

GCP-2025-072

תאריך פרסום: 4 בדצמבר 2025

תאריך עדכון: 5 בדצמבר 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-4 בדצמבר 2025: כלל חומת אש לאפליקציות אינטרנט זמין עכשיו.

נמצאה פגיעות להרצת קוד מרחוק ב-React ובמסגרות Next.js בקוד פתוח. אומנם Google Cloud עצמה לא פגיעה, אבל משתמשים במסגרות האלה שפועלות ב- Google Cloud עשויים להיות פגיעים.

נקודת החולשה באבטחה משפיעה על גרסאות המסגרת הבאות:

  • ‫React 19.0,‏ 19.1.0,‏ 19.1.1 ו-19.2.0
  • ‫Next.js 15.x,‏ Next.js 16.x ו-Next.js 14.3.0-canary.77 וגרסאות קנרי מאוחרות יותר

גרסאות המסגרת הבאות כוללות תיקונים לפרצה הזו:

  • ‫React 19.0.1,‏ 19.1.2 ו-19.2.1
  • ‫Next.js 15.0.5,‏ 15.1.9,‏ 15.2.6,‏ 15.3.6,‏ 15.4.8,‏ 15.5.7,‏ 15.6.0-canary.58 ו-16.0.7

מידע נוסף על פרצות האבטחה האלה זמין בהמלצה של React ובהמלצה של Vercel.

הלקוחות צריכים לפעול באופן מיידי כדי להגן על עומסי העבודה שלהם. לשם כך, הם צריכים לפרוס מחדש את עומסי העבודה עם תלות מעודכנת.

איך Google יכולה לעזור לי?

כלל של חומת אש לאפליקציות אינטרנט (WAF) ב-Cloud Armor, שנועד לזהות ולחסום ניסיונות ניצול קשורים, זמין עכשיו. הכלל החדש הזה נועד לעזור לכם להגן על האפליקציות והשירותים שפונים לאינטרנט ומשתמשים במאזני עומסים גלובליים או אזוריים של אפליקציות. מומלץ להטמיע את הכלל הזה כפתרון זמני עד שתעדכנו את עומסי העבודה. הוראות להחלת הכלל הזה זמינות בפוסט הזה בבלוג.

ללקוחות שמשתמשים ב-App Engine Standard, ב-Cloud Functions, ב-Cloud Run Functions, ב-Cloud Run, ב-Firebase Hosting או ב-Firebase App Hosting, כבר נאכף כלל שמגביל את הניצול לרעה באמצעות בקשות לדומיינים מותאמים אישית ולדומיינים שמוגדרים כברירת מחדל.

לקוחות שמשתמשים ב-Artifact Analysis יקבלו הודעה על נקודות החולשה האלה גם בארטיפקטים חדשים וגם בארטיפקטים קיימים, כדי לעזור להם לזהות עומסי עבודה בסיכון.

עדכון אבטחה דחוף זה יעודכן ככל שמידע חדש יהיה זמין.

 קריטית CVE-2025-55182

GCP-2025-071

תאריך פרסום: 2 בדצמבר 2025

תאריך עדכון: 25 במרץ 2026

תיאור

תיאור רמת סיכון הערות

עדכון מ-25 במרץ 2026: נוספו גרסאות תיקונים לצמתי Ubuntu עם GKE.

עדכון מ-11 בדצמבר 2025: נוספו גרסאות תיקונים ודירוג חומרה ל-GDC ‏ (VMware).

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2025-40019

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2025-40019

GCP-2025-070

תאריך פרסום: 2 בדצמבר 2025

תאריך עדכון: 25 במרץ 2026

תיאור

תיאור רמת סיכון הערות

עדכון מ-25 במרץ 2026: נוספו גרסאות תיקונים לצמתי Ubuntu עם GKE.

עדכון מ-11 בדצמבר 2025: נוספו גרסאות תיקונים ודירוג חומרה ל-GDC ‏ (VMware).

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2025-40018

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2025-40018

GCP-2025-069

תאריך פרסום: 24 בנובמבר 2025

תיאור

תיאור רמת סיכון הערות

התגלו כמה בעיות אבטחה ב-runc, רכיב תוכנה בקוד פתוח שמשמש להפעלת קונטיינרים. המתקפות שנחשפו בנקודות החולשה האלה (CVE-2025-31133,‏ CVE-2025-52565 ו-CVE-2025-52881) מאפשרות לתוקף לבצע פריצה מלאה לקונטיינר במאגרי העובדים ובמשימות של Cloud Run, וכתוצאה מכך להסלמת הרשאות root מחוץ לקונטיינר אל תוך מופע ארגז החול. גורם עם הרשאות לפריסת קובץ אימג' של קונטיינר זדוני יכול לנצל את נקודות החולשה האלה כדי לקבל גישה לקונטיינרים אחרים במופע של ארגז חול ב-Cloud Run.

  • CVE-2025-31133
  • CVE-2025-52565
  • CVE-2025-52881

מאגרי עובדים, משימות ומספר מוגבל של שירותים שעדיין לא עודכנו פגיעים.

אנחנו מכינים עדכון להשקה בתחילת ינואר. העדכון הזה יתפרסם אחרי שההשקה תסתיים.

אם נתקלתם בבעיות שקשורות לנקודת החולשה הזו, אתם מוזמנים לדווח עליהן לתוכנית התמריצים לזיהוי נקודות חולשה ב-Cloud בכתובת g.co/vrp.

 גבוהה

GCP-2025-068

תאריך פרסום: 21 בנובמבר 2025

תיאור

תיאור רמת סיכון הערות

צוות Looker תיקן פגיעות שיכלה לאפשר לתוקף עם הרשאות צפייה ב-Looker ליצור כתובת URL זדונית, שאם אדמין ב-Looker היה פותח אותה, היה מופעל סקריפט שסופק על ידי התוקף. כדי לנצל את הפגיעות, צריך להתקין לפחות תוסף Looker אחד במופע.

נמצאו נקודות חולשה גם במופעים שמתארחים ב-Looker וגם במופעים שמתארחים באופן עצמאי.

הבעיה הזו כבר טופלה במופעים שמתארחים ב-Looker.

פעולות מומלצות

מופעים שמתארחים ב-Looker:

לא נדרשת פעולה מצד הלקוחות.

מופעים ב-Looker באירוח עצמי בלבד:

אם מכונת Looker שלכם מתארחת באופן עצמאי, מומלץ לשדרג את מכונות Looker בהקדם האפשרי. הפגיעות הזו תוקנה בכל הגרסאות הנתמכות של Looker למכונות באירוח עצמי. הגרסאות הבאות עודכנו כדי להגן מפני נקודת החולשה הזו:

  • ‫25.16.0 וכל הגרסאות החדשות יותר
  • 25.12.7+
  • 25.6.66+
  • 25.0.79+
  • 24.18.201+

אפשר להוריד את הגרסאות האלה של Looker בדף ההורדות של Looker: https://download.looker.com/

 גבוהה CVE-2025-12739

GCP-2025-067

תאריך פרסום: 19 בנובמבר 2025

תיאור

תיאור רמת סיכון הערות

בוצע תיקון ב-Looker של נקודת חולשה שיכלה לאפשר לתוקף להשתלט על חשבון Looker במופע Looker שהוגדר עם אימות OIDC, בגלל נורמליזציה של מחרוזת כתובת האימייל.

נמצאו נקודות חולשה גם במופעים שמתארחים ב-Looker וגם במופעים שמתארחים באופן עצמאי.

הבעיה הזו כבר טופלה במופעים שמתארחים ב-Looker.

פעולות מומלצות

מופעים שמתארחים ב-Looker:

לא נדרשת פעולה מצד הלקוחות.

מופעים ב-Looker באירוח עצמי בלבד:

אם מכונת Looker שלכם היא באירוח עצמי, מומלץ לשדרג את מכונות Looker בהקדם האפשרי לאחת מהגרסאות הבאות:

  • 25.10.22+
  • 25.8.39+
  • 25.6.57+
  • 25.0.69+
  • 24.18.193+
  • 24.12.100+

אפשר להוריד את הגרסאות האלה של Looker בדף ההורדות של Looker: https://download.looker.com/

הערה: גרסאות 25.12 ומעלה לא מושפעות מבעיית האבטחה הזו.

 גבוהה CVE-2025-12414

GCP-2025-066

תאריך פרסום: 10 בנובמבר 2025

תאריך עדכון: 27 בנובמבר 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-27 בנובמבר 2025: נוספו גרסאות תיקונים ל-GKE ול-GDC (שרת פיזי).

שלוש נקודות חולשה שמאפשרות בריחה מקונטיינרים התגלו ב-runc, זמן הריצה של הקונטיינר ברמה נמוכה שמוגדר כברירת מחדל ב-GKE. נקודות החולשה עלולות לגרום להסלמת הרשאות בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ו-Ubuntu:

  • CVE-2025-31133
  • CVE-2025-52565
  • CVE-2025-52881

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה

GCP-2025-065

תאריך פרסום: 6 בנובמבר 2025

תיאור

תיאור רמת סיכון הערות

חוקרים גילו נקודת חולשה ב-AMD SEV-SNP (Secure Nested Paging) במכונות AMD Milan.

מתקפה כזו יכולה לאפשר להיפר-ויז'ור זדוני לשנות ערכי אתחול של RMP, מה שעלול לגרום לאובדן שלמות הזיכרון של האורח ב-AMD SEV-SNP.

‫Google הטמיעה פתרון שמונע את הבעיה הזו.

מה לעשות?

לא נדרשת פעולה מצד הלקוחות כדי לצמצם את הסיכון. אמצעי לצמצום הסיכון כבר הוחלו על מקרים של מכונות וירטואליות חסויות עם AMD SEV-SNP.

עם זאת, מכונות וירטואליות סודיות עם AMD SEV-SNP משתמשות עכשיו בפורמט אימות v4. לקוחות שמשתמשים בספרייה go-sev-guest כדי לנתח דוחות אימות צריכים לעדכן לגרסה go-sev-guest v0.14.0 ואילך.

לקוחות שמשתמשים במנתחים משלהם, הפורמט של דוח האימות מוגדר על ידי SEV Secure Nested Paging Firmware ABI Specification.

אילו נקודות חולשה טופלו?

מידע נוסף זמין בהודעה של AMD‏ AMD-SB-3020.

 בינוני CVE-2025-0033

GCP-2025-064

תאריך פרסום: 28 באוקטובר 2025

תיאור

תיאור רמת סיכון הערות

התגלו נקודות החולשה הבאות ב-Envoy Proxy:

  • CVE-2025-62504
  • CVE-2025-62409

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-Cloud Service Mesh.

 בינוני

GCP-2025-063

תאריך פרסום: 28 באוקטובר 2025

תאריך עדכון: 17 בנובמבר 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-17 בנובמבר 2025: נוספו גרסאות תיקונים לצמתי Ubuntu GKE.

עדכון מ-30 באוקטובר 2025: נוספו גרסאות תיקונים ודירוג חומרה לתוכנת GDC ל-VMware

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2025-39682

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2025-39682

GCP-2025-062

תאריך פרסום: 22 באוקטובר 2025

תאריך עדכון: 30 באוקטובר 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-30 באוקטובר 2025: נוספו גרסאות תיקונים לצמתי Ubuntu ב-GKE, וגרסאות תיקונים ודירוג חומרה לתוכנת GDC ל-VMware

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2024-58240

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2024-58240

GCP-2025-061

תאריך פרסום: 21 באוקטובר 2025

תיאור

תיאור רמת סיכון הערות

נמצאה נקודת תורפה להרצת קוד מרחוק ב-Valkey וב-Redis בקוד פתוח. כתוצאה מכך, כל הגרסאות שנתמכות ב-Memorystore for Redis, ב-Memorystore for Redis Cluster וב-Memorystore for Valkey מושפעות.

כברירת מחדל, נכסי Memorystore ב-Google Cloud לא חשופים לאינטרנט הציבורי, ולכן הסיכון לנקודת החולשה הזו הוא נמוך למשתמשי Memorystore שמיישמים את השיטות המומלצות של Google Cloud לאבטחה.

מה צריך לעשות?

‫Google התחילה להחיל תיקונים באופן אוטומטי, ותאריך הסיום המשוער הוא 6 בנובמבר 2025. לא נדרשת פעולה מצידכם כדי לקבל את התיקון הזה.

אם רוצים להחיל את התיקונים האלה על אשכולות או על מופעים של Memorystore לפני 6 בנובמבר 2025, צריך להשתמש בתחזוקה בשירות עצמי כדי לבצע את הפעולות הבאות:

  1. אפשר לראות את גרסת התחזוקה הנוכחית של מכונות Memorystore for Redis, של אשכולות ב-Memorystore for Redis Cluster או של מכונות Memorystore for Valkey.
  2. בודקים אם הגרסה תואמת לגרסאות המתוקנות האחרונות.
  3. אם הגרסה לא עדכנית, צריך לעדכן את המכונות או האשכולות לגרסת התחזוקה העדכנית באמצעות תחזוקה בשירות עצמי ל-Memorystore for Redis,‏ Memorystore for Redis Cluster ו-Memorystore for Valkey.
 קריטית CVE-2025-49844

GCP-2025-060

תאריך פרסום: 21 באוקטובר 2025

תיאור

תיאור רמת סיכון הערות

חברת Oracle פרסמה התראת אבטחה שמאשרת שחבילת Oracle E-Business Suite‏ (EBS) חשופה לניצול לרעה לא מאומת.

מה לעשות?

‫Oracle EBS לא נמצא בשימוש ב-Google ולא מושפע מנקודת החולשה הזו. Google Cloud

נמוכה CVE-2025-61882

GCP-2025-059

תאריך פרסום: 21 באוקטובר 2025

תאריך עדכון: 22 באוקטובר 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-22 באוקטובר 2025: נוסף קישור ל-CVE.

ב-23 בספטמבר 2025, גילינו בעיה טכנית ב-Vertex AI API שגרמה לניתוב שגוי של כמות מוגבלת של תגובות בין נמענים עבור מודלים מסוימים של צד שלישי, כשמשתמשים בבקשות סטרימינג. הבעיה נפתרה. מודלים של Google, כמו Gemini, לא הושפעו.

חלק מהפרוקסי הפנימיים לא טיפלו כראוי בבקשות HTTP עם כותרת Expect: 100-continue, וכתוצאה מכך נוצר חוסר סנכרון בחיבור של תגובת סטרימינג, שבו תגובה שהייתה מיועדת לבקשה אחת נמסרה כתגובה לבקשה הבאה.

פעולות מומלצות

יישמנו תיקונים כדי לטפל כראוי בנוכחות של הכותרת Expect: 100-continue ולמנוע חזרה של הבעיה. הוספנו גם בדיקות, מעקב והתראות כדי שנוכל לזהות במהירות את הבעיה ולמנוע רגרסיה. בשלב הזה, הלקוחות לא צריכים לעשות שום דבר כדי למנוע את ההתנהגות הלא רצויה.

התיקונים הופצו למודלים שונים בלוחות זמנים נפרדים, כשהתיקונים במודלים של Anthropic הושלמו עד 26 בספטמבר בשעה 00:45 PDT, והתיקונים בכל הפלטפורמות הושלמו עד 28 בספטמבר בשעה 19:10 PDT. מודלים מושפעים ב-Vertex AI API וזמן הפתרון מפורטים בהמשך:

  • ‫Anthropic Partner Model-as-a-Service models (Claude)

    • הבעיה נפתרה ב-26 בספטמבר 2025 בשעה 00:45 לפי שעון החוף המערבי.

  • כל המודלים של Open Model-as-a-Service, כולל: DeepSeek ‏(R1-0528 ו-V3.1),‏ OpenAI ‏ (gpt-oss-120b ו-gpt-oss-20b),‏ Qwen ‏ (Next Instruct 80B,‏ Next Thinking 80B,‏ Qwen 3 Coder ו-Qwen 3 235B),‏ Llama ‏ (Maverick,‏ Scout,‏ 3.3,‏ 3.2,‏ 3.1 405b,‏ 3.1 70b ו-3.1 8b)

    • הבעיה נפתרה ב-28 בספטמבר 2025 בשעה 2:43 לפנות בוקר לפי שעון החוף המערבי.

  • ‫Mistral ו-AI21 שותף מודלים של Model-as-a-Service

    • הבעיה נפתרה ב-28 בספטמבר 2025 בשעה 11:00 PDT.

  • מודלים שפריסתם בוצעה באופן עצמאי, שבוצעה בהם קריאה למתודה StreamRawPredict,‏ ChatCompletions,‏ GenerateContent או StreamGenerateContent באמצעות נקודות קצה ציבוריות

    • הבעיה נפתרה ב-28 בספטמבר 2025 בשעה 19:10 לפי שעון החוף המערבי בארה"ב.

    • לא הושפעו נקודות קצה ייעודיות (ברירת המחדל ב-Model Garden) ולא נקודות קצה פרטיות.

בינוני CVE-2025-11915

GCP-2025-058

תאריך פרסום: 20 באוקטובר 2025

תיאור

תיאור רמת סיכון הערות

התגלתה פגיעות בהוראה RDSEED במעבדי AMD Zen 5 (Turin). ההוראה הזו משמשת ליצירת מספרים אקראיים קריפטוגרפיים. בתנאים מסוימים של עומס המערכת, גרסאות 16 ו-32 ביט של RDSEED עלולות להיכשל בשקט, מה שעלול לפגוע באפליקציות שמסתמכות על יצירת מספרים אקראיים. השינוי לא משפיע על לקוחות שמשתמשים בגרסת 64 ביט של RDSEED.

מה לעשות?

חברת AMD בודקת את פרצת האבטחה.

חשוב לציין שליבת Linux‏ 64-bit משתמשת בגרסה הבטוחה של 64-bit של ההוראה RDSEED, והיא מספקת את המספרים האקראיים שהתקבלו מ-/dev/[u]random. נקודת החולשה הזו לא משפיעה על המספרים האקראיים האלה.

אם יש לכם קוד אפליקציה שמבצע סינתזה של מספרים אקראיים בעצמו באמצעות ההוראה RDSEED, חשוב לדעת שהגרסאות של ההוראה עם 16 ביט ו-32 ביט לא מאובטחות. גרסת 64 ביט של ההוראה בטוחה.

אילו נקודות חולשה טופלו?

נקודת החולשה הזו מאפשרת לתוקף לגרום ל-RDSEED להיכשל בשקט, מה שעלול לפגוע ביצירת מספרים אקראיים באפליקציות.

גבוהה CVE-2025-62626

GCP-2025-057

תאריך פרסום: 17 באוקטובר 2025

תאריך עדכון: 11 בנובמבר 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-11 בנובמבר 2025: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

עדכון מ-27 באוקטובר 2025: נוספו גרסאות תיקונים ודירוג חומרה לתוכנת GDC ל-VMware.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2025-38618

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2025-38618

GCP-2025-056

תאריך פרסום: 16 באוקטובר 2025

תאריך עדכון: 24 במרץ 2026

תיאור

תיאור רמת סיכון הערות

עדכון מ-24 במרץ 2026: נוספו גרסאות תיקונים לצומתי Ubuntu עם GKE.

עדכון מ-13 בנובמבר 2025: נוספו גרסאות תיקונים לתוכנת GDC ל-VMware. העדפנו את רמת החומרה של תוכנת GDC ל-VMware ל'גבוהה'.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2025-39946

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2025-39946

GCP-2025-055

תאריך פרסום: 15 באוקטובר 2025

תאריך עדכון: 11 בנובמבר 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-11 בנובמבר 2025: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

עדכון מ-16 באוקטובר 2025: נוספו גרסאות תיקונים ודירוג חומרה לתוכנת GDC ל-VMware

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2025-38617

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2025-38617

GCP-2025-054

תאריך פרסום: 14 באוקטובר 2025

תיאור

תיאור רמת סיכון הערות

לפי הייעוץ בנושא אבטחה VMSA-2025-0015 של VMware, ‏ נקודות חולשה רבות ב-VMware Aria Operations וב-VMware Tools דווחו באופן פרטי ל-Broadcom. יש תיקונים לנקודות החולשה האלה במוצרי Broadcom שמושפעים מהן.

פעולות מומלצות

מומלץ לשדרג ל-VMware Aria Automation 8.18.5 ול-VMware Tools 13.0.5.

 חשוב

GCP-2025-053

תאריך פרסום: 30 בספטמבר 2025

תיאור

תיאור רמת סיכון הערות

צוות Looker Studio תיקן פרצות אבטחה שדווחו על ידי חוקר חיצוני דרך תוכנית התמריצים של Google ו-Alphabet לפרצות אבטחה (VRP), אבל לא נמצאו ראיות לניצול הפרצות. הבעיות האלה נפתרו ועכשיו לא נדרשת פעולה מצד המשתמשים.

פעולות מומלצות

לא נדרשת פעולה מצד הלקוחות.

אילו נקודות חולשה טופלו?

הפגיעויות אפשרו גישה לא מורשית לנתונים באמצעות דוחות משותפים, מקורות נתונים עם פרטי כניסה של צופים, Studio Linking API וניתוח שיחות.

 גבוהה

GCP-2025-052

תאריך פרסום: 30 בספטמבר 2025

תיאור

תיאור רמת סיכון הערות

צוות Looker תיקן פרצות אבטחה שדווחו על ידי חוקר חיצוני דרך תוכנית התגמולים על זיהוי נקודות חולשה באבטחה (VRP) של Google ו-Alphabet, אבל לא נמצאו ראיות לניצול הפרצות. הבעיות האלה נפתרו עכשיו, ולא נדרשת פעולה מצד לקוחות Looker שמתארחים ב-Looker (Google Cloud core) וב-Looker (original). מומלץ לעדכן את מופעי Looker באירוח עצמי לגרסה העדכנית ביותר שנתמכת.

פעולות מומלצות

מופעים באירוח Looker: מופעים של Looker (Google Cloud Core)‎ ומופעים של Looker (מקורי)

לא נדרשת פעולה מצד הלקוחות.

מופעים ב-Looker באירוח עצמי בלבד

אם מופע Looker שלכם מתארח באופן עצמאי, מומלץ לשדרג את מופעי Looker לאחת מהגרסאות הבאות:

  • 25.12.30+
  • 25.10.54+
  • 25.6.79+
  • 25.0.89+
  • 24.18.209+

הערה: גרסאות 25.14 ומעלה לא מושפעות מבעיות האבטחה האלה.

אילו נקודות חולשה טופלו?

הפגיעויות אפשרו למשתמשים עם הרשאות מפתח ב-Looker לגשת גם למערכת הבסיסית שמארחת את Looker וגם למסד הנתונים הפנימי שלה.

 גבוהה

GCP-2025-051

תאריך פרסום: 11 בספטמבר 2025

תיאור

תיאור רמת סיכון הערות

חוקרים גילו נקודת חולשה באבטחה שמשפיעה על מעבדים של Intel ועל כל מעבדי AMD Zen. נקודת החולשה הזו מאפשרת לתוקף לקרוא נתונים רגישים באמצעות ניצול של נקודות חולשה ידועות בהרצת קוד ספקולטיבית.

פעולות מומלצות

לא נדרשת פעולה בשלב הזה כי Google החילה תיקונים על הנכסים המושפעים, כולל Google Cloud, כדי לצמצם את הבעיה ב-Fleet בלי לגרום להפרעה.

אילו נקודות חולשה טופלו?

מידע נוסף זמין בפוסט בבלוג בנושא COMSEC.

 גבוהה CVE-2025-40300

GCP-2025-050

תאריך פרסום: 10 בספטמבר 2025

תאריך עדכון: 11 בנובמבר 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-11 בנובמבר 2025: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

עדכון מ-15 באוקטובר 2025: נוספו גרסאות תיקונים ודירוג חומרה לתוכנת GDC ל-VMware.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2025-38500

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2025-38500

GCP-2025-049

תאריך פרסום: 10 בספטמבר 2025

תיאור

תיאור רמת סיכון הערות

התגלתה נקודת חולשה קריטית בגרסאות 6.3.54.0 ו-6.3.53.2 של Google Security Operations SOAR. משתמש מאומת עם הרשאות להעלות קובצי ZIP (לדוגמה, כשמייבאים תרחישי שימוש) יכול להעלות ארכיון ZIP שיכול לכתוב קבצים למיקומים שרירותיים במערכת הקבצים של השרת.

המערכת לחילוץ קבצים מארכיוני ZIP לא הצליחה למנוע כתיבה של קבצים בארכיון מחוץ לתיקיית היעד המיועדת שלהם. היא נקראת גם נקודת חולשה של Directory Traversal או Zip Slip.

פעולות מומלצות

לא נדרשת פעולה מצד הלקוחות. כל הלקוחות שודרגו אוטומטית לגרסה המתוקנת או לגרסה מתקדמת יותר: 6.3.54.1 או 6.3.53.3

אילו נקודות חולשה טופלו?

תוקף יכול לנצל את פרצת האבטחה הזו כדי לדרוס קבצים של האפליקציה. על ידי דריסת קובץ JavaScript שמשמש את התכונה ליצירת דוחות, תוקף יכול להשיג הרצת קוד מרחוק (RCE) במופע Google SecOps SOAR. התוקף יכול להריץ קוד משלו בשרת.

למידע נוסף, קראו את עדכון האבטחה הדחוף של Google SecOps GCP-2025-049.

גבוהה CVE-2025-9918

GCP-2025-048

תאריך פרסום: 2 בספטמבר 2025

תיאור

תיאור רמת סיכון הערות

נקודת החולשה הבאה התגלתה ב-Envoy Proxy:

  • CVE-2025-54588

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-Cloud Service Mesh.

 גבוהה CVE-2025-54588

GCP-2025-047

תאריך פרסום: 27 באוגוסט 2025

תאריך עדכון: 25 בספטמבר 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-25 בספטמבר 2025: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2025-38350

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2025-38350

GCP-2025-046

תאריך פרסום: 23 באוגוסט 2025

תאריך עדכון: 11 בנובמבר 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-11 בנובמבר 2025: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

עדכון מ-15 באוקטובר 2025: נוספו גרסאות תיקונים ודירוג חומרה לתוכנת GDC ל-VMware.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2025-38477

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2025-38477

GCP-2025-045

תאריך פרסום: 21 באוגוסט 2025

תיאור

תיאור רמת סיכון הערות

חוקר חיצוני דיווח על נקודת חולשה ב-Dataform API דרך תוכנית התמריצים של Google ו-Alphabet לפרצות אבטחה (VRP). נקודת החולשה הזו עלולה לאפשר גישה לא מורשית למאגרי קוד ולנתונים של לקוחות. Google תיקנה את הבעיה במהירות ופרסמה את התיקון בכל האזורים. בשלב הזה, לא נמצאו ראיות לניצול של נקודת החולשה, ולא דווח על ניצול כזה ל-Google.

מה לעשות?

לא נדרשת פעולה מצד הלקוחות. ‫Google כבר יישמה אמצעי מניעה בכל המוצרים והשירותים שהושפעו.

אילו נקודות חולשה טופלו?

מידע נוסף זמין ב-CVE-2025-9118.

 קריטית CVE-2025-9118

GCP-2025-044

תאריך פרסום: 12 באוגוסט 2025

תיאור

תיאור רמת סיכון הערות

‫Intel הודיעה ל-Google על שתי נקודות חולשה חדשות באבטחה.

‫CVE-2025-21090: נקודת החולשה הזו משפיעה על המעבדים הבאים של Intel:

  • ‫Sapphire Rapids: משפחות מכונות וירטואליות C3, ‏ Z3, ‏ H3, ‏ A3, ‏ v5p
  • ‫Emerald Rapids: משפחות מכונות וירטואליות N4,‏ C4,‏ M4,‏ A3 Ultra ו-A4
  • ‫Granite Rapids: משפחת מכונות וירטואליות N4, ‏ C4

‫CVE-2025-22840: נקודת החולשה הזו משפיעה על מעבד Intel הבא:

  • ‫Granite Rapids: משפחת מכונות וירטואליות N4, ‏ C4

מה לעשות?

לא נדרשת פעולה מצד הלקוחות לגבי אף אחת מנקודות החולשה. ‫Google תעדכן את המערכות שלכם באופן יזום במהלך חלונות הזמנים הסטנדרטיים והמתוכננים לתחזוקה. בשלב הזה, לא נמצאו ראיות לניצול נקודת החולשה, ולא דווח על כך ל-Google.

אילו נקודות חולשה טופלו?

נקודת החולשה, CVE-2025-21090, מאפשרת לגורם לא מורשה שמשתמש בהוראת המעבד AMX, בשילוב עם הוראת המעבד AVX, להשבית את המכונה המארחת.

נקודת התורפה, CVE-2025-22840, מאפשרת לגורם לא מורשה להשתמש בהוראת המעבד prefetchit כדי לטעון תוכן זיכרון שאחרת לא הייתה לו גישה אליו, מה שעלול להוביל להרצת קוד מרחוק.

 בינוני

GCP-2025-043

תאריך פרסום: 12 באוגוסט 2025

תיאור

תיאור רמת סיכון הערות

קיימת נקודת חולשה פוטנציאלית של התקפת מניעת שירות (DoS) בהטמעה של protobuf-python ב-Python. תוקף יכול לגרום לקריסת שירות על ידי שליחת הודעה שנוצרה במיוחד.

השפעה

יכול להיות שהשינוי ישפיע עליכם אם אתם מייבאים את protobuf-python לפרויקטים שלכם, באופן ישיר או עקיף. חשוב לדעת שבספריות הלקוח של Cloud לשימוש ב-Python נעשה שימוש ב-protobuf-python כתלות. אם אתם משתמשים בספריות האלה, חשוב לוודא שאתם משתמשים בגרסה של protobuf-python שמוזכרת בקטע הבא.

מה לעשות?

ודאו שאתם משתמשים בגרסאות האחרונות של חבילות התוכנה הבאות:

  • ‫protobuf-python (4.25.8, ‏ 5.29.5, ‏ 6.31.1)

אילו נקודות חולשה טופלו במסגרת התיקון הזה?

התיקון טיפל בנקודת החולשה הבאה:

נקודת החולשה נובעת מרקורסיה לא מוגבלת כשקצה העורפי (backend) של pure-Python מנתח הודעות מסוימות של Protocol Buffers. תוקף לא מאומת יכול לשלוח הודעה שמכילה קבוצות רקורסיביות מוטמעות עמוקות, הודעות או סדרה של תגי SGROUP. הקלט הזה גורם למפרש של Python לחרוג מעומק הרקורסיה המקסימלי שלו, ומפעיל RecursionError שגורם לקריסת השירות, וכתוצאה מכך למניעת שירות. כל פרויקט שמנתח נתונים לא מהימנים באמצעות הקצה העורפי המושפע נמצא בסיכון.

מידע נוסף זמין בהודעת האבטחה של Protobuf.

גבוהה

CVSS v4.0

ניקוד: 8.2

 CVE-2025-4565

הבעיה הזו משפיעה רק על python הקצה העורפי של הטמעת Protobuf.

לא משנה איזה ערך מוחזר כשבודקים את קצה העורף של הטמעת Protobuf, מומלץ לבצע שדרוג כי משתנה הסביבה PROTOCOL_BUFFERS_PYTHON_IMPLEMENTATION יכול לשנות את קצה העורף של הטמעת Protobuf במהלך זמן הריצה.

GCP-2025-042

תאריך פרסום: 11 באוגוסט 2025

תיאור

תיאור רמת סיכון הערות

חוקרים גילו פגיעת אבטחה במעבדים ספציפיים של Intel, כולל מעבדים שמבוססים על מיקרו-ארכיטקטורות של Skylake, ‏ Broadwell ו-Haswell. הפגיעות הזו מאפשרת לתוקף לקרוא נתונים רגישים ישירות ממטמון L1 של המעבד, שאסור לו לגשת אליו.

נקודת החולשה הזו נחשפה לראשונה ב-CVE-2018-3646 בשנת 2018. כשגילינו את נקודת החולשה הזו, Google יישמה מיד אמצעי הגנה שטיפלו בסיכונים הידועים. הודעות לגבי נקודת החולשה והתיקונים הראשוניים פורסמו באותו זמן. מאז אנחנו חוקרים את הסיכון שנותר ועובדים עם קהילת Linux כדי לטפל בסיכון הזה.

לאחרונה עבדנו עם חוקרי אבטחה מאקדמיה כדי להעריך את מצב האמצעים המתקדמים למיתון סיכוני אבטחה במעבדים, וטכניקות תקיפה פוטנציאליות שלא נלקחו בחשבון בשנת 2018.

‫Google החילה תיקונים על הנכסים המושפעים, כולל Google Cloud, כדי לצמצם את הבעיה.

מה לעשות?

לא נדרשת פעולה מצד הלקוחות. הפתרונות כבר הוחלו על Fleet השרתים של Google.

אילו נקודות חולשה טופלו?

מידע נוסף זמין בייעוץ של Intel בנושא INTEL-SA-00161 וב-CVE-2018-3646.

 גבוהה CVE-2018-3646

GCP-2025-041

תאריך פרסום: 21 ביולי 2025

תאריך עדכון: 10 בנובמבר 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-10 בנובמבר 2025: נוספו גרסאות תיקונים לתוכנת GDC ל-VMware. רמת החומרה של תוכנת GDC ל-VMware עודכנה ל'גבוהה'.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצומתי Ubuntu:

  • CVE-2025-37890

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2025-37890

GCP-2025-040

תאריך פרסום: 15 ביולי 2025

תיאור

תיאור רמת סיכון הערות

לפי הייעוץ בנושא אבטחה VMSA-2025-0013, דווחו באופן פרטי ל-Broadcom מספר נקודות חולשה ב-VMware ESXi.

כבר תיקנו את נקודות החולשה האלה או שאנחנו בתהליך של יישום התיקונים הנדרשים שסופקו על ידי Broadcom. אין פתרונות עקיפים ידועים לפגיעויות שדווחו.

אחרי ההתקנה של התיקון, פריסות VMware Engine צריכות להריץ ESXi 7.0U3w או ESXi 8.0U3f או גרסה מתקדמת יותר.

מה לעשות?

‫Google ממליצה ללקוחות לעקוב אחרי עומסי העבודה שלהם ב-VMware Engine כדי לזהות פעילויות חריגות.

 בינונית עד קריטית

GCP-2025-039

תאריך פרסום: 15 ביולי 2025

תאריך עדכון: 10 בנובמבר 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-10 בנובמבר 2025: נוספו גרסאות תיקונים לתוכנת GDC ל-VMware. רמת החומרה של תוכנת GDC ל-VMware עודכנה ל'גבוהה'.

עדכון מ-28 באוגוסט 2025: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2025-38083

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2025-38083

GCP-2025-038

תאריך פרסום: 9 ביולי 2025

תאריך עדכון: 25 בספטמבר 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-25 בספטמבר 2025: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2025-37752

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2025-37752

GCP-2025-037

תאריך פרסום: 8 ביולי 2025

תיאור רמת סיכון הערות

חברת AMD חשפה שתי נקודות חולשה שמשפיעות על מעבדי AMD EPYC מהדור השני (Rome), מהדור השלישי (Milan) ומהדור הרביעי (Genoa). נקודות החולשה מאפשרות לתוקף להסיק נתונים מחנויות קודמות או מהמטמון L1D, ועלולות לגרום לדליפה של מידע רגיש.

‫Google הטמיעה אמצעי למניעת דליפת המידע הזו בין מכונות וירטואליות.

עדיין יש סיכוי שתהליכים במכונה וירטואלית ינצלו את נקודות החולשה האלה.

מה לעשות?

אחרי 8 ביולי 2025, אמצעי הגנה ברמת האורח שמונעים מתקפות בתוך מכונת אורח יהיו זמינים במכונות הווירטואליות הבאות:

  • מכונות וירטואליות שמופעלות בפעם הראשונה.
  • מכונות וירטואליות שהופסקו לחלוטין והופעלו מחדש. הפעלה מחדש של מערכת ההפעלה לא תפעיל את אמצעי ההגנה, והמכונה הווירטואלית עצמה צריכה להיות מופעלת מחדש באופן מלא כדי שאמצעי ההגנה יופעל. ליבות של מערכת הפעלה אורחת צריכות לתמוך באמצעי ההגנה הזה כדי שהוא יהיה יעיל.

מידע נוסף זמין בעדכון האבטחה של AMD‏ AMD-SB-7029.

בינוני

GCP-2025-036

תאריך פרסום: 1 ביולי 2025

תאריך עדכון: 10 בנובמבר 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-10 בנובמבר 2025: נוספו גרסאות תיקונים לתוכנת GDC ל-VMware. רמת החומרה של תוכנת GDC ל-VMware עודכנה ל'גבוהה'.

עדכון מ-21 ביולי 2025: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2025-38001

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2025-38001

GCP-2025-035

תאריך פרסום: 17 ביוני 2025

תאריך עדכון: 10 בנובמבר 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-10 בנובמבר 2025: נוספו גרסאות תיקונים לתוכנת GDC ל-VMware. רמת החומרה של תוכנת GDC ל-VMware עודכנה ל'גבוהה'.

עדכון מ-21 ביולי 2025: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2025-37997

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2025-37997

GCP-2025-034

תאריך פרסום: 17 ביוני 2025

תאריך עדכון: 21 ביולי 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-21 ביולי 2025: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2025-38000

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2025-38000

GCP-2025-033

תאריך פרסום: 6 ביוני 2025

תיאור

תיאור רמת סיכון הערות

התגלתה בעיית אבטחה שבה תוקפים יכולים לעקוף את ההגבלות על בידוד עומסי עבודה באשכולות GKE.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 בינוני לא רלוונטי

GCP-2025-032

תאריך פרסום: 3 ביוני 2025

תאריך עדכון: 21 ביולי 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-21 ביולי 2025: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2025-37798

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2025-37798

GCP-2025-031

תאריך פרסום: 3 ביוני 2025

תאריך עדכון: 26 באוגוסט 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-26 באוגוסט 2025: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2025-37797

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2025-37797

GCP-2025-030

תאריך פרסום: 23 במאי 2025

תיאור רמת סיכון הערות

לפי הייעוץ בנושא אבטחה VMSA-2024-0017 של VMware, נקודת חולשה של הזרקת SQL ב-VMware Aria Automation דווחה באופן פרטי ל-VMware. יש תיקונים לנקודת החולשה הזו במוצרי VMware שמושפעים ממנה.

מה לעשות?

מומלץ לשדרג ל-VMware Aria Automation KB325790.

חשוב

GCP-2025-029

תאריך פרסום: 23 במאי 2025

תיאור רמת סיכון הערות

לפי הייעוץ בנושא אבטחה VMSA-2025-0006 של VMware, דווח ל-VMware על נקודת חולשה של הסלמת הרשאות מקומית ב-VMware Aria Operations. יש תיקונים לנקודת החולשה הזו במוצרי VMware שמושפעים ממנה.

מה לעשות?

מומלץ לשדרג ל-VMware Aria Operations 8.18 HF5.

חשוב

GCP-2025-028

תאריך פרסום: 23 במאי 2025

תיאור רמת סיכון הערות

לפי הייעוץ בנושא אבטחה VMSA-2025-0003 של VMware, דווחו באופן פרטי ל-VMware מספר נקודות חולשה ב-VMware Aria Operations for logs וב-VMware Aria Operations. יש תיקונים לנקודת החולשה הזו במוצרי VMware שמושפעים ממנה.

מה לעשות?

מומלץ לשדרג ל-VMware Aria Operations for Logs 8.18.3 ול-VMware Aria Operations לגרסה 8.18.3.

חשוב

GCP-2025-027

תאריך פרסום: 16 במאי 2025

תיאור

תיאור רמת סיכון הערות

התגלתה נקודת חולשה באבטחה בשירות מאזן העומסים הקלאסי של אפליקציות (ALB) לפני 26 באפריל 2025.

מה לעשות?

לא נדרשת פעולה מצד הלקוחות. הבעיה נפתרה בשירות Classic Application Load Balancer ב-26 באפריל 2025.

אילו נקודות חולשה טופלו?

CVE-2025-4600 אפשר לתוקפים להבריח בקשות למאזני עומסים קלאסיים של אפליקציות (ALB) בגלל ניתוח שגוי של גופי נתונים גדולים מדי. כשמנתחים את גוף הבקשה של בקשת HTTP באמצעות קידוד העברה בחלקים, מאזן העומסים הקלאסי של אפליקציות (ALB) מאפשר גדלים גדולים מדי של גופי חלקים. לכן, היה אפשר להסתיר בייטים בנתוני הזנב האלה שהמערכת מתעלמת מהם, ושרת HTTP במעלה הזרם עלול לפרש אותם בטעות כסיום שורה. הפגיעות הזו טופלה בשירות Application Load Balancer הקלאסי ב-26 באפריל 2025 באמצעות שיפור האימות של הקלט והלוגיקה של הניתוח.

אנחנו פה לשירותך

בכל שאלה או בקשת עזרה, אפשר לפנות אל Cloud Customer Care.

 גבוהה CVE-2025-4600

GCP-2025-026

תאריך פרסום: 15 במאי 2025

תיאור רמת סיכון הערות

לפי הייעוץ בנושא אבטחה VMSA-2025-0008 של VMware, פרצת אבטחה XSS‏ (cross-site scripting) שמבוססת על DOM ב-VMware Aria Automation דווחה באופן פרטי ל-VMware. יש תיקונים לפרצת האבטחה הזו במוצרי VMware שמושפעים ממנה.

מה לעשות?

מומלץ לשדרג ל-VMware Aria Automation 8.18.1 patch 2.

חשוב

GCP-2025-025

תאריך פרסום: 13 במאי 2025

תיאור

תיאור רמת סיכון הערות

‫Intel הודיעה ל-Google על נקודת חולשה חדשה בערוץ צדדי שמשפיעה על המעבדים הבאים של Intel: ‏ CascadeLake, ‏ Ice Lake XeonSP,‏ Ice Lake XeonD, ‏ Sapphire Rapids ו-Emerald Rapids.

‫Google יישמה תיקונים בנכסים המושפעים, כולל Google Cloud, כדי להבטיח שהלקוחות מוגנים. בשלב הזה, לא נמצאו ראיות לניצול נקודת החולשה, ולא דווח על כך ל-Google.

מה לעשות?

לא נדרשת פעולה מצד הלקוחות. התיקונים כבר הוחלו על Fleet השרתים של Google כדי להגן על הלקוחות.

אילו נקודות חולשה טופלו?

CVE-2024-45332. מידע נוסף זמין במאמר Intel advisory INTEL-SA-01247.

אנחנו פה לשירותך

בכל שאלה או בקשת עזרה, אפשר לפנות אל Cloud Customer Care ולציין את מספר הפנייה 417536835.

 גבוהה CVE-2024-45332

GCP-2025-024

תאריך פרסום: 12 במאי 2025

תאריך עדכון: 13 במאי 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-13 במאי 2025: בכל שאלה או בקשת עזרה, אפשר לפנות אל Cloud Customer Care ולציין את מספר הפנייה 417458390.

חברת Intel הודיעה ל-Google על נקודת חולשה חדשה בהרצה ספקולטיבית שמשפיעה על מעבדי Intel Cascade Lake ומעבדי Intel Ice Lake.

‫Google יישמה תיקונים בנכסים המושפעים, כולל Google Cloud, כדי להבטיח שהלקוחות מוגנים. בשלב הזה, לא נמצאו ראיות לניצול נקודת החולשה, ולא דווח על כך ל-Google.

מה לעשות?

לא נדרשת פעולה מצד הלקוחות. הפתרונות כבר הוחלו על Fleet השרתים של Google.

אמצעי הגנה נוספים של יצרני ציוד מקורי (OEM) של Intel ושותפים אחרים של מערכות הפעלה יופעלו ברגע שהם יהיו זמינים כדי לצמצם את הפגיעות של בחירת יעד עקיפה (ITS) באותו מצב.

אחרי שמחילים את אמצעי ההגנה במערכת ההפעלה, לקוחות עם מכונות וירטואליות (VM) מהדור השלישי או מגרסאות מתקדמות יותר שפועלות לאורך זמן עלולים לחוות ירידה לא מכוונת בביצועים.

אילו נקודות חולשה טופלו?

‫CVE-2024-28956. למידע נוסף, אפשר לעיין בהמלצת האבטחה של Intel‏ INTEL-SA-01153.

 גבוהה CVE-2024-28956

GCP-2025-023

תאריך פרסום: 5 במאי 2025

תיאור

תיאור רמת סיכון הערות

נמצאו פערים פוטנציאליים באבטחה שאפשר לנצל אם לא מטפלים בהם במדיניות JavaCallout ו-PythonScript. טיפלנו בפערים האלה.

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-Apigee.

גבוהה CVE-2023-44487

GCP-2025-022

תאריך פרסום: 1 במאי 2025

תאריך עדכון: 22 במאי 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-22 במאי 2025: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2025-21702

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2025-21702

GCP-2025-021

תאריך פרסום: 29 באפריל 2025

תאריך עדכון: 2 ביוני 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-2 ביוני 2025: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2025-21971

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2025-21971

GCP-2025-020

תאריך פרסום: 29 באפריל 2025

תיאור

תיאור רמת סיכון הערות

פגיעות ב-Looker אפשרה למשתמשים עם הרשאות אדמין (ספציפית: manage_project_connections_restricted) ב-Looker לקרוא קבצים ממערכת הקבצים של המארח הבסיסי ולשאול נקודות קצה של רשת פנימית. הבעיה הזו נפתרה עכשיו, ולא נדרשת פעולה מצד לקוחות Looker שמתארחים ב-Looker (Google Cloud core) וב-Looker (original). מומלץ לעדכן את מופעי Looker שמתארחים באופן עצמאי לגרסה הנתמכת העדכנית.

נקודת חולשה זו תוקנה בכל הגרסאות הנתמכות של Looker באירוח בצד הלקוח, שזמינות בדף ההורדה של Looker.

מה לעשות?

  • בכל המכונות שמתארחות ב-Looker, כולל מכונות Looker ‏ (Google Cloud Core) ומכונות Looker (מקורי), לא צריך לבצע שום פעולה.
  • במקרים של מופעים של Looker באירוח עצמי, מומלץ לעדכן לגרסה העדכנית ביותר של Looker בהקדם האפשרי. כל הגרסאות שמופיעות בהמשך עודכנו כדי להגן מפני הפגיעות הזו. אפשר להוריד את הגרסאות האלה בדף ההורדה של Looker:
    • ‫25.4 -> 25.4.29+
    • ‫25.2 -> 25.2.34+
    • ‫25.0 -> 25.0.55+
    • ‫24.18 -> 24.18.185+
    • ‫24.12 -> 24.12.95+
    • ‫24.6 -> 24.6.107+
 גבוהה

GCP-2025-019

תאריך פרסום: 25 באפריל 2025

תאריך עדכון: 26 ביוני 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-26 ביוני 2025: נוספו גרסאות תיקונים לתוכנת GDC ל-VMware.

עדכון מ-22 במאי 2025: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

התגלו נקודות החולשה הבאות בליבה של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ובצמתים של Ubuntu:

  • CVE-2025-21701

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2025-21701

GCP-2025-018

תאריך פרסום: 23 באפריל 2025

תאריך עדכון: 9 באוקטובר 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-9 באוקטובר 2025: נוספו גרסאות תיקונים לצומתי Ubuntu ב-GKE

התגלו נקודות החולשה הבאות בליבה של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ובצמתים של Ubuntu:

  • CVE-2025-40364

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2025-40364

GCP-2025-017

תאריך פרסום: 17 באפריל 2025

תאריך עדכון: 22 במאי 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-22 במאי 2025: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

עדכון מ-5 במאי 2025: נוספו גרסאות תיקונים לתוכנת GDC ל-VMware. העדפנו את רמת החומרה של תוכנת GDC ל-VMware ל'גבוהה'.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2025-21756

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2025-21756

GCP-2025-016

תאריך פרסום: 16 באפריל 2025

תאריך עדכון: 22 במאי 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-22 במאי 2025: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

עדכון מ-29 באפריל 2025: נוספה גרסת תיקון לתוכנת GDC ל-VMware. העדכון של רמת החומרה בתוכנת GDC ל-VMware היא גבוהה.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2023-52927

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2023-52927

GCP-2025-015

תאריך פרסום: 15 באפריל 2025

תאריך עדכון: 22 במאי 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-22 במאי 2025: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

עדכון מ-17 באפריל 2025: נוספו גרסאות תיקונים ל-GDC ‏ (VMware). העדכון של מידת החומרה של GDC ‏ (VMware) מ'בהמתנה' ל'גבוהה'.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2025-21700

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2025-21700

GCP-2025-014

תאריך פרסום: 10 באפריל 2025

תאריך עדכון: 22 במאי 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-22 במאי 2025: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

עדכון מ-5 במאי 2025: נוספו גרסאות תיקונים לתוכנת GDC ל-VMware. העדפנו את רמת החומרה של תוכנת GDC ל-VMware ל'גבוהה'.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2025-21703

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2025-21703

GCP-2025-013

תאריך פרסום: 24 במרץ 2025

תיאור

תיאור רמת סיכון הערות

התגלו כמה בעיות אבטחה ב-NGINX Ingress Controller,‏ ingress-nginx, רכיב תוכנה בקוד פתוח שפועל בתוך אשכולות Kubernetes כדי לעזור בניהול תעבורת הרשת שנכנסת לאשכול. הבעיה הקריטית ביותר היא CVE-2025-1974. פרטים מלאים ורשימה מלאה זמינים בפיד ה-CVE של Kubernetes.

הבעיות האלה משפיעות על ingress-nginx. אם לא התקנתם את ingress-nginx באשכול, השינוי לא ישפיע עליכם.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 ללא CVE-2025-1974

GCP-2025-012

תאריך פרסום: 19 במרץ 2025

תאריך עדכון: 10 באפריל 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-10 באפריל 2025: נוספו גרסאות תיקונים לצמתי Ubuntu GKE ולתוכנת GDC ל-VMware. העדפנו את רמת החומרה של תוכנת GDC ל-VMware ל'גבוהה'.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2024-53164

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2024-53164

GCP-2025-011

תאריך פרסום: 6 במרץ 2025

תיאור רמת סיכון הערות

‫VMware חשפה מספר נקודות חולשה ב-VMSA-2025-0004 שמשפיעות על רכיבי ESXi שנפרסו בסביבות של לקוחות.

ההשפעה על VMware Engine

העננים הפרטיים שלכם כבר עודכנו או שהם בתהליך עדכון כדי לטפל בפרצת האבטחה. כחלק משירות VMware Engine, כל הלקוחות מקבלים מארחים ייעודיים של מתכת חשופה עם דיסקים מקומיים מצורפים שמבודדים פיזית מחומרה אחרת. המשמעות היא שפרצת האבטחה מוגבלת למכונות וירטואליות אורחות בענן הפרטי הספציפי שלכם בלבד.

העננים הפרטיים שלכם יעודכנו לגרסה 7.0u3s מספר Build 24534642. זה שווה ל-7.0U3s: מספר build‏ 24585291.

מה לעשות?

צריך לפעול לפי ההוראות של Broadcom ושל ספקי האבטחה שלכם בנוגע לפגיעות הזו.

קריטית

GCP-2025-010

תאריך פרסום: 5 במרץ 2025

תאריך עדכון: 2 ביוני 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-2 ביוני 2025: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

עדכון מ-10 באפריל 2025: נוספו גרסאות תיקונים לתוכנת GDC ל-VMware. העדכון של רמת החומרה בתוכנת GDC ל-VMware היא גבוהה.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2024-56770

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2024-56770

GCP-2025-009

תאריך פרסום: 5 במרץ 2025

תיאור

תיאור רמת סיכון הערות

בפרויקט Envoy הודיעו לאחרונה על כמה נקודות חולשה חדשות באבטחה (CVE-2024-53269,‏ CVE-2024-53270 ו-CVE-2024-53271) שעלולות לאפשר לתוקף לגרום לקריסת Envoy.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה

GCP-2025-008

תאריך פרסום: 19 בפברואר 2025

תאריך עדכון: 10 באפריל 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-10 באפריל 2025: נוספו גרסאות תיקונים לתוכנת GDC ל-VMware. העדפנו את רמת החומרה של תוכנת GDC ל-VMware ל'גבוהה'.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ושל Ubuntu:

  • CVE-2024-53141

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2024-53141

GCP-2025-007

תאריך פרסום: 3 בפברואר 2025

תיאור

תיאור רמת סיכון הערות

‫Google גילתה פגיעות במעבדים מבוססי AMD Zen שמשפיעה על מקרים של מכונות וירטואליות סודיות עם AMD SEV-SNP מופעל. הפגיעות הזו מאפשרת לתוקפים עם גישת שורש במכונה פיזית לפגוע בסודיות ובשלמות של המכונה הווירטואלית הסודית.

‫Google יישמה תיקונים בנכסים המושפעים, כולל Google Cloud, כדי להבטיח שהלקוחות מוגנים. בשלב הזה, לא נמצאו ראיות לניצול נקודת החולשה, ולא דווח על כך ל-Google.

פעולות מומלצות

לא נדרשת פעולה מצד הלקוחות. לקוחות שרוצים לאמת את התיקון יכולים לבדוק את גרסת Trusted Computing Base ‏ (TCB) בדוח האימות ממופע Confidential VM שלהם עם AMD SEV-SNP. אלה גרסאות המינימום שבהן נקודת החולשה הזו לא קיימת:

SNP TCB SVN: 0x18 0d24
tcb_version {
  psp_bootloader_version: 4
  snp_firmware_version: 24 (0x18)
  microcode_version: 219
}

מידע נוסף זמין בעדכון האבטחה הדחוף של AMD‏ AMD-SB-3019.

 גבוהה

CVE-2024-56161

GCP-2025-006

תאריך פרסום: 23 בינואר 2025

תיאור

תיאור רמת סיכון הערות

פגיעות ב-Google Secret Manager Provider for Secret Store CSI Driver מאפשרת לתוקף עם הרשאות ליצירת Pod וסודות במרחב שמות להעביר את האסימון של חשבון השירות של Kubernetes של מנהל ההתקן של ה-CSI על ידי הרכבת נפח זדוני ב-Pod.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 בינוני

GCP-2025-005

תאריך פרסום: 22 בינואר 2025

תיאור

תיאור רמת סיכון הערות

שרתים שמשתמשים בספריות אימות של Google ובספריות לקוח של Cloud כדי לבצע אימות ב- Google Cloud באמצעות תצורת פרטי כניסה שנשלטת על ידי תוקף, עלולים להיות חשופים לזיוף בקשות בצד השרת ולקריאות שרירותיות של קבצים.

מה לעשות?

אם אתם מקבלים הגדרת פרטי כניסה (JSON, קובץ או סטרימינג של פרטי כניסה) ממקור חיצוני לצורך אימות ל- Google Cloud, אתם צריכים לאמת אותה לפני שאתם מספקים אותה לספריות האימות של Google או לספריות הלקוח ב-Cloud. אסור לספק סביבת תצורה של אישורים לא מאומתים לספריות של Google, כי זה עלול לסכן את האבטחה של המערכות והנתונים שלכם. מידע נוסף זמין במאמר אימות הגדרות של פרטי כניסה ממקורות חיצוניים.

אילו נקודות חולשה טופלו?

חלק מסוגי ההגדרות של פרטי הכניסה כוללים נקודות קצה ונתיבי קבצים, שספריות האימות משתמשות בהם כדי לקבל אסימון. אם שירות או אפליקציה מקבלים הגדרות של פרטי כניסה ממקור חיצוני ומשתמשים בהן עם ספריות אימות של Google או עם ספריות לקוח של Cloud בלי לבצע אימות, תוקף יכול לספק הגדרות של פרטי כניסה שמכילות נקודת קצה או נתיב זדוניים. כך התוקף יכול להוציא נתונים או טוקנים מהשירות או מהמכונה שבה השירות פועל. כדי למנוע את זה, צריך לבצע אימותים בהגדרות של פרטי הכניסה ממקורות חיצוניים, כמו שמתואר במאמר אימות הגדרות של פרטי כניסה ממקורות חיצוניים.

כדי לעדכן את מפתחי האפליקציות, עדכנו את המסמכים שלנו עם אימותים שצריך לבצע כשמקבלים הגדרות של פרטי כניסה ממקורות חיצוניים.

גבוהה

GCP-2025-004

תאריך פרסום: 16 בינואר 2025

תיאור רמת סיכון הערות

לפי הייעוץ בנושא אבטחה VMSA-2025-0001 של VMware, ‏ נקודת חולשה של Server-Side Request Forgery (‏SSRF) בצד השרת ב-VMware Aria Automation דווחה ל-VMware באופן אחראי. יש תיקונים לנקודת החולשה הזו במוצרי VMware שמושפעים ממנה.

מה לעשות?

מומלץ לשדרג ל-VMware Aria Automation 8.18.2 HF.

בינוני

GCP-2025-003

תאריך פרסום: 9 בינואר 2025

תאריך עדכון: 23 בינואר 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-23 בינואר 2025: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2024-50264

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2024-50264

GCP-2025-002

תאריך פרסום: 9 בינואר 2025

תאריך עדכון: 23 בינואר 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-23 בינואר 2025: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

עדכון מ-22 בינואר 2025: נוספו גרסאות תיקונים ל-GDC ‏ (VMware). עדכנו את רמת החומרה של GDC ‏ (VMware) לבינונית.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2024-53057

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2024-53057

GCP-2025-001

תאריך פרסום: 8 בינואר 2025

תאריך עדכון: 23 בינואר 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-23 בינואר 2025: עודכן הקטע משאבים מושפעים בכרטיסייה GKE.

עדכון מ-8 בינואר 2025: תוקנו תאריך ושעת ההתחלה של הבעיה.

בעיית אבטחה השפיעה על משאבים ב-VPC עם GKE Multi-Cluster Gateway ‏ (MCG) שהוגדר. ‫MCG היא תכונה אופציונלית שמשמשת קבוצת משנה קטנה של לקוחות GKE. אנחנו שולחים הודעה בנפרד לכל לקוח שהתכונה הייתה מופעלת אצלו בתקופת הזמן הזו.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה ללא

GCP-2024-065

תיאור

תיאור רמת סיכון הערות

עדכוני ה-CVE הבאים חושפים את Cloud Service Mesh לנקודות חולשה שניתן לנצל:

  • ‫CVE-2024-53269: Happy Eyeballs: אימות של כתובות IP במקום קריסה בעת מיון.
  • CVE-2024-53270: HTTP/1: שליחת עומס יתר גורמת לקריסה כשהבקשה מאופסת מראש.
  • ‫CVE-2024-53271: מספר בעיות ב-HTTP/1.1 עם envoy.reloadable_features.http1_balsa_delay_reset.

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-Cloud Service Mesh.

גבוהה

GCP-2024-064

תאריך פרסום: 10 בדצמבר 2024

תיאור רמת סיכון הערות

לפי הייעוץ בנושא אבטחה VMSA-2024-0022 של VMware, דווחו ל-VMware מספר נקודות חולשה ב-VMware Aria Operations. יש עדכונים לתיקון נקודות החולשה האלה במוצר VMware שמושפע מהן.

מה לעשות?

מומלץ לשדרג ל-VMware Aria Operations 8.18.2.

חשוב

GCP-2024-063

תאריך פרסום: 6 בדצמבר 2024

תיאור רמת סיכון הערות

התגלתה נקודת חולשה ב-Vertex AI API שמשמשת להגשת בקשות Gemini multimodal, שמאפשרת לעקוף את VPC Service Controls. יכול להיות שתוקף יוכל לנצל לרעה את הפרמטר fileURI של ה-API כדי לבצע זליגת נתונים.

פעולות מומלצות

לא נדרשת שום פעולה. יישמנו תיקון להחזרת הודעת שגיאה כשכתובת URL של קובץ מדיה מצוינת בפרמטר fileUri והתכונה VPC Service Controls מופעלת. תרחישי שימוש אחרים לא מושפעים.

אילו נקודות חולשה טופלו?

ה-Cloud Support API שמשרת בקשות מ-Gemini multimodal מאפשר לכם לכלול קובצי מדיה על ידי ציון כתובת ה-URL של קובץ המדיה בפרמטר fileUri. אפשר להשתמש ביכולת הזו כדי לעקוף את ההיקפים של VPC Service Controls. תוקף שנמצא בתוך גבולות הגזרה לשירות יכול לקודד מידע אישי רגיש בפרמטר fileURI כדי לעקוף את גבולות הגזרה לשירות.

בינוני CVE-2024-12236

GCP-2024-062

תאריך פרסום: 2 בדצמבר 2024

תאריך עדכון: 22 בינואר 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-22 בינואר 2025: נוספו גרסאות תיקונים ל-GDC‏ (VMware). רמת החומרה של GDC‏ (VMware) עודכנה מ'בהמתנה' ל'גבוהה'.

עדכון מ-12 בדצמבר 2024: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ושל Ubuntu:

  • CVE-2024-46800

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2024-46800

GCP-2024-061

תאריך פרסום: 25 בנובמבר 2024

תיאור

תיאור רמת סיכון הערות

בעיית אבטחה שהתגלתה באשכולות Kubernetes עלולה לגרום להרצת קוד מרחוק באמצעות נפח אחסון gitRepo. אם מאגר ה-git בנוי בצורה זדונית, משתמש עם הרשאה ליצור Pod ולשייך נפח gitRepo יכול להריץ פקודות שרירותיות מחוץ לגבולות הקונטיינר.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2024-10220

GCP-2024-060

תאריך פרסום: 17 באוקטובר 2024

תיאור רמת סיכון הערות

לפי הייעוץ בנושא אבטחה VMSA-2024-0020 של VMware, דווחו ל-VMware מספר נקודות חולשה ב-VMware NSX.

הגרסה של NSX-T שפועלת בסביבת VMware Engine לא מושפעת מ-CVE-2024-38815,‏ CVE-2024-38818 או CVE-2024-38817.

מה לעשות?

מאחר שהאשכולות של VMware Engine לא מושפעים מנקודת החולשה הזו, אין צורך לבצע פעולות נוספות.

 בינוני

GCP-2024-059

תאריך פרסום: 16 באוקטובר 2024

תיאור רמת סיכון הערות

לפי הייעוץ בנושא אבטחה VMSA-2024-0021 של VMware, ‏ נקודת חולשה של החדרת SQL מאומתת ב-VMware HCX דווחה באופן פרטי ל-VMware.

יישמנו את הפתרון שאושר על ידי VMware כדי לטפל בפגיעות הזו. התיקון הזה מטפל בפגיעות אבטחה שמתוארת ב-CVE-2024-38814. גרסאות התמונה שפועלות בענן הפרטי של VMware Engine לא משקפות שינוי כלשהו בשלב הזה כדי לציין את השינויים שיושמו. הותקנו פתרונות מתאימים והסביבה שלכם מאובטחת מפני הפגיעות הזו.

מה לעשות?

מומלץ לשדרג לגרסה 4.9.2 של VMware HCX.

גבוהה

GCP-2024-058

תאריך פרסום: 16 באוקטובר 2024

תיאור

תיאור רמת סיכון הערות

במיגרציה ל-Containers for Windows מגרסאות 1.1.0 עד 1.2.2 נוצר m2cuser מקומי עם הרשאות אדמין. הדבר יצר סיכון אבטחה אם הפקודות analyze או generate הופסקו על ידי המשתמש או בגלל שגיאה פנימית שגרמה לדילוג על הפעולה למחיקת המשתמש המקומי m2cuser.

מה לעשות?

הגרסאות הבאות של Migrate to Containers CLI for Windows עודכנו עם קוד לתיקון נקודת החולשה הזו. מומלץ לשדרג ידנית את Migrate to Containers CLI לגרסה הבאה או לגרסה מתקדמת יותר:

אילו נקודות חולשה טופלו?

נקודת החולשה, CVE-2024-9858, מאפשרת לתוקף לקבל גישת אדמין למכונות Windows שמושפעות מהבעיה, באמצעות משתמש האדמין המקומי שנוצר על ידי התוכנה Migrate to Containers.

 בינוני CVE-2024-9858

GCP-2024-057

תאריך פרסום: 3 באוקטובר 2024

תאריך עדכון: 19 בנובמבר 2024

תיאור

תיאור רמת סיכון הערות

עדכון מ-19 בנובמבר 2024: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

עדכון מ-15 באוקטובר 2024: נוספו גרסאות תיקונים ל-GDC‏ (VMware). עדכנו את רמות החומרה של GKE ו-GDC ‏ (VMware).

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ושל Ubuntu:

  • CVE-2024-45016

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 בינוני CVE-2024-45016

GCP-2024-056

תאריך פרסום: 27 בספטמבר 2024

תיאור

תיאור רמת סיכון הערות

התגלתה שרשרת של נקודות חולשה (CVE-2024-47076,‏ CVE-2024-47175,‏ CVE-2024-47176,‏ CVE-2024-47177) במערכת ההדפסה CUPS שבה נעשה שימוש בחלק מהפצות Linux, שעלולה לגרום לביצוע קוד מרחוק. תוקף יכול לנצל את נקודת החולשה הזו אם שירותי CUPS מאזינים ליציאת UDP מספר 631 והוא יכול להתחבר אליה.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 ללא

GCP-2024-055

תאריך פרסום: 24 בספטמבר 2024

תיאור

תיאור רמת סיכון הערות

פגיעות מסוג HTTP Request Smuggling ב-Looker אפשרה לתוקף לא מורשה לתפוס תגובות HTTP שיועדו למשתמשים לגיטימיים.

יש שתי גרסאות של Looker שמתארחות ב-Looker:

  • נמצאה פגיעות ב-Looker (Google Cloud Core). הבעיה הזו כבר טופלה, ובחקירה שלנו לא נמצאו סימנים לניצול לרעה.
  • ‫Looker (המקורי) לא היה פגיע לבעיה הזו.

נמצאו נקודות חולשה במופעי Looker באירוח בצד הלקוח, ולכן צריך לשדרג אותם לאחת מהגרסאות שמופיעות בהמשך.

נקודת חולשה זו תוקנה בכל הגרסאות הנתמכות של Looker באירוח בצד הלקוח, שזמינות בדף ההורדה של Looker.

מה לעשות?

  • בכל המקרים שבהם Looker מארח את המכונה, כולל מכונות Looker (Google Cloud Core), לא נדרשת פעולה מצידכם.
  • במקרים של מופעים של Looker באירוח עצמי, מומלץ לעדכן לגרסה העדכנית ביותר של Looker בהקדם האפשרי. כל הגרסאות שמופיעות בהמשך עודכנו כדי להגן מפני הפגיעות הזו. אפשר להוריד את הגרסאות האלה בדף ההורדה של Looker:
    • ‫23.12 -> 23.12.123+
    • ‫23.18 -> 23.18.117+
    • ‫24.0 -> 24.0.92+
    • ‫24.6 -> 24.6.77+
    • ‫24.8 -> 24.8.66+
    • ‫24.10 -> 24.10.78+
    • ‫24.12 -> 24.12.56+
    • ‫24.14 -> 24.14.37+

אילו נקודות חולשה טופלו?

הפגיעות, CVE-2024-8912, מאפשרת לתוקף לשלוח כותרות בקשות HTTP שנוצרו במיוחד ל-Looker, מה שעלול לגרום ליירוט של תגובות HTTP שמיועדות למשתמשים אחרים.

יכול להיות שהתשובות האלה יכילו מידע רגיש.

אפשר לנצל את נקודת החולשה הזו רק בהגדרות ספציפיות מסוימות.

בינוני CVE-2024-8912

GCP-2024-054

תאריך פרסום: 23 בספטמבר 2024

תיאור

תיאור רמת סיכון הערות

התגלתה בעיית אבטחה באשכולות Kubernetes עם צמתים של Windows, שבה BUILTIN\Users עשויים להיות מסוגלים לקרוא יומנים של קונטיינרים, וNT AUTHORITY\Authenticated משתמשים עשויים להיות מסוגלים לשנות יומנים של קונטיינרים.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 בינוני CVE-2024-5321

GCP-2024-053

תאריך פרסום: 19 בספטמבר 2024

תיאור

תיאור רמת סיכון הערות

כשמנתחים שדות לא מוכרים בספריות Protobuf Java Full ו-Lite, הודעה שנוצרה באופן זדוני עלולה לגרום לשגיאת StackOverflow ולהוביל לקריסת התוכנית.

פעולות מומלצות

אנחנו פועלים במרץ לפתרון הבעיה הזו, ופרסמנו פתרון זמין. מומלץ להשתמש בגרסאות העדכניות ביותר של חבילות התוכנה הבאות:

  • ‫protobuf-java (3.25.5, ‏ 4.27.5, ‏ 4.28.2)
  • ‫protobuf-javalite (3.25.5, ‏ 4.27.5, ‏ 4.28.2)
  • ‫protobuf-kotlin‏ (3.25.5, ‏ 4.27.5, ‏ 4.28.2)
  • ‫protobuf-kotlin-lite (3.25.5, ‏ 4.27.5, ‏ 4.28.2)
  • ‫com-protobuf [JRuby gem only] (3.25.5, 4.27.5, 4.28.2)

אילו נקודות חולשה טופלו במסגרת התיקון הזה?

נקודת החולשה הזו עלולה לגרום למניעת שירות (DoS).

ניתוח של קבוצות מקוננות כשדות לא ידועים באמצעות DiscardUnknownFieldsParser או Java Protobuf Lite parser, או מול שדות מפה של Protobuf, יוצר רקורסיות לא מוגבלות שניתן לנצל לרעה על ידי תוקף.

ציון CVSS4.0:‏ 8.7

גבוהה

 CVE-2024-7254

GCP-2024-052

תיאור

תיאור רמת סיכון הערות

עדכוני ה-CVE הבאים חושפים את Cloud Service Mesh לנקודות חולשה שניתן לנצל:

  • ‫CVE-2024-45807: קריסה של oghttp2 ב-OnBeginHeadersForStream
  • ‫CVE-2024-45808: החדרת יומנים זדונית דרך יומני גישה
  • ‫CVE-2024-45806: פוטנציאל למניפולציה של כותרות x-envoy ממקורות חיצוניים
  • ‫CVE-2024-45809: קריסת מסנן JWT בניקוי מטמון המסלולים עם מפתחות JWK מרוחקים
  • ‫CVE-2024-45810: קריסת Envoy ב-LocalReply בלקוח HTTP אסינכרוני

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-Cloud Service Mesh.

בינונית עד גבוהה

GCP-2024-051

תאריך פרסום: 18 בספטמבר 2024

תיאור רמת סיכון הערות

‫VMware חשפה מספר נקודות חולשה ב-VMSA-2024-0019 שמשפיעות על רכיבי vCenter שנפרסו בסביבות של לקוחות.

ההשפעה על VMware Engine

  • ‫Google כבר השביתה כל ניסיון פוטנציאלי לנצל את נקודת החולשה הזו. לדוגמה, Google חסמה את היציאות שדרכן אפשר לנצל את נקודת החולשה הזו.
  • בנוסף, Google מוודאת שכל הפריסות העתידיות של vCenter לא יהיו חשופות לפגיעות הזו.

מה לעשות?

בשלב הזה לא נדרשת פעולה נוספת.

קריטית

GCP-2024-050

תאריך פרסום: 4 בספטמבר 2024

תיאור

תיאור רמת סיכון הערות

התגלתה נקודת חולשה חדשה ב-Windows שמאפשרת הרצת קוד מרחוק (CVE-2024-38063). תוקף יכול לנצל את נקודת החולשה הזו מרחוק על ידי שליחת מנות IPv6 שנוצרו במיוחד למארח.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 ללא CVE-2024-38063

GCP-2024-049

תאריך פרסום: 21 באוגוסט 2024

תאריך עדכון: 1 בנובמבר 2024

תיאור

תיאור רמת סיכון הערות

עדכון מ-1 בנובמבר 2024: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

עדכון מ-21 באוקטובר 2024: נוספו גרסאות תיקונים ועודכן רמת החומרה של GDC ‏ (VMware).

התגלו נקודות החולשה הבאות בליבה של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ובצמתים של Ubuntu:

  • CVE-2024-36978

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2024-36978

GCP-2024-048

תאריך פרסום: 20 באוגוסט 2024

תאריך עדכון: 30 באוקטובר 2024

תיאור

תיאור רמת סיכון הערות

עדכון מ-30 באוקטובר 2024: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

עדכון מ-25 באוקטובר 2024: נוספו גרסאות תיקונים ועודכן רמת החומרה של GDC ‏ (VMware).

התגלו נקודות החולשה הבאות בליבה של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ובצמתים של Ubuntu:

  • CVE-2024-41009

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2024-41009

GCP-2024-047

תאריך פרסום: 19 באוגוסט 2024

תאריך עדכון: 30 באוקטובר 2024

תיאור

תיאור רמת סיכון הערות

עדכון מ-30 באוקטובר 2024: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

עדכון מ-21 באוקטובר 2024: נוספו גרסאות תיקונים ועודכן רמת החומרה של GDC ‏ (VMware).

התגלו נקודות החולשה הבאות בליבה של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ובצמתים של Ubuntu:

  • CVE-2024-39503

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2024-39503

GCP-2024-046

תאריך פרסום: 5 באוגוסט 2024

תיאור

תיאור רמת סיכון הערות

חברת AMD הודיעה ל-Google על 3 נקודות חולשה חדשות (2 בסיכון בינוני, 1 בסיכון גבוה) בקושחה שמשפיעות על SEV-SNP במעבדי AMD EPYC מהדור השלישי (Milan) ומהדור הרביעי (Genoa).

‫Google יישמה תיקונים בנכסים המושפעים, כולל Google Cloud, כדי להבטיח שהלקוחות מוגנים. בשלב הזה, לא נמצאו ראיות לניצול נקודת החולשה, ולא דווח על כך ל-Google.

פעולות מומלצות

לא נדרשת פעולה מצד הלקוחות. התיקונים כבר הוחלו על Fleet השרתים של Google.

מידע נוסף זמין בעדכון האבטחה הדחוף של AMD‏ AMD-SN-3011.

 בינוני עד גבוה

CVE-2023-31355

CVE-2024-21978

CVE-2024-21980

GCP-2024-045

תאריך פרסום: 17 ביולי 2024

תאריך עדכון: 19 בספטמבר 2024

תיאור

תיאור רמת סיכון הערות

עדכון מ-19 בספטמבר 2024: נוספו גרסאות תיקונים לתוכנת GDC ל-VMware.

עדכון מ-21 באוגוסט 2024: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ושל Ubuntu:

  • CVE-2024-26925

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2024-26925

GCP-2024-044

תאריך פרסום: 16 ביולי 2024

תאריך עדכון: 30 באוקטובר 2024

תיאור

תיאור רמת סיכון הערות

עדכון מ-30 באוקטובר 2024: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

עדכון מ-21 באוקטובר 2024: נוספו גרסאות תיקונים ועודכן רמת החומרה של GDC ‏ (VMware).

התגלו נקודות החולשה הבאות בליבה של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ובצמתים של Ubuntu:

  • CVE-2024-36972

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2024-36972

GCP-2024-043

תאריך פרסום: 16 ביולי 2024

תאריך עדכון: 2 באוקטובר 2024

תיאור

תיאור רמת סיכון הערות

עדכון מ-2 באוקטובר 2024: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

עדכון מ-20 בספטמבר 2024: נוספו גרסאות תיקונים לתוכנת GDC ל-VMware.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ושל Ubuntu:

  • CVE-2024-26921

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2024-26921

GCP-2024-042

תאריך פרסום: 15 ביולי 2024

תאריך עדכון: 18 ביולי 2024

תיאור

תיאור רמת סיכון הערות

עדכון מ-18 ביולי 2024: הובהר שאשכולות Autopilot בהגדרת ברירת המחדל לא מושפעים.

התגלו נקודות החולשה הבאות בליבה של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ובצמתים של Ubuntu:

  • CVE-2024-26809

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2024-26809

GCP-2024-041

תאריך פרסום: 8 ביולי 2024

תאריך עדכון: 16 בספטמבר 2024

תיאור

תיאור רמת סיכון הערות

עדכון מ-16 בספטמבר 2024: נוספו גרסאות תיקונים לתוכנת GDC ל-VMware.

עדכון מ-19 ביולי 2024: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ושל Ubuntu:

  • CVE-2023-52654
  • CVE-2023-52656

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה

GCP-2024-040

תאריך פרסום: 1 ביולי 2024

תאריך עדכון: 16 ביולי 2024

תיאור

תיאור רמת סיכון הערות

עדכונים מתאריך 16 ביולי 2024:

חלק מהלקוחות של חיבור לרשת (VPC) מאפליקציית serverless מושפעים מנקודת חולשה ב-OpenSSH ‏(CVE-2024-6387). במקרה של ניצול מוצלח, הדבר עלול לאפשר לתוקף מרוחק ולא מאומת להריץ קוד שרירותי כמשתמש root במכונה הווירטואלית של היעד. הניצול נחשב לקשה. לדוגמה, הלקוחות לא יכולים לגשת למכונות הווירטואליות, ולמכונות הווירטואליות אין כתובות IP ציבוריות. אין לנו מידע על ניסיונות ניצול.

פעולות מומלצות

אם אפשר, Google עדכנה באופן אוטומטי את הפריסות של Serverless VPC Access. עם זאת, כדאי לוודא שלסוכן השירות שמנוהל על ידי Google יש את התפקיד הנדרש. אם לא, יכול להיות שהמחבר של Serverless VPC Access עדיין פגיע. מומלץ לבצע מיגרציה ל-Direct VPC egress, או לפרוס מחבר חדש ולמחוק את המחבר הישן, כדי לוודא שיש לכם את העדכון הנדרש עם התיקון.

עדכון מ-11 ביולי 2024: נוספו גרסאות תיקונים לתוכנת GDC ל-VMware, ל-GKE ב-AWS ול-GKE ב-Azure. לפרטים, אפשר לעיין בעדכונים הבאים בתיעוד של GKE:

עדכון מתאריך 10 ביולי 2024:

  • נוסף עדכון אבטחה דחוף ל-Migrate to Virtual Machines.

עדכונים מתאריך 9 ביולי 2024:

חלק מהלקוחות של סביבת App Engine גמישה מושפעים מנקודת חולשה ב-OpenSSH‏ (CVE-2024-6387). במקרה של ניצול מוצלח, הדבר עלול לאפשר לתוקף מרוחק ולא מאומת להריץ קוד שרירותי כמשתמש root במכונה הווירטואלית של היעד.

פעולות מומלצות

‫Google כבר עדכנה באופן אוטומטי את הפריסות של סביבות גמישות, איפה שאפשר. עם זאת, חלק מהלקוחות שהשביתו את סוכן השירות שמנוהל על ידי Google, או שביצעו שינויים ב-Cloud APIs של Google או בהגדרות ברירת מחדל אחרות, לא יכלו להתעדכן ועשויים להיות עדיין פגיעים. כדי שהעדכון עם התיקון יחול, צריך לפרוס גרסה חדשה של האפליקציה.

שימו לב: פריסות מעודכנות ידווחו על גרסת ה-SSH‏ OpenSSH_9.6p1. הגרסה הזו עודכנה בתיקון ל-CVE-2024-6387.

אילו נקודות חולשה טופלו?

נקודת החולשה CVE-2024-6387, שמאפשרת לתוקף מרוחק ולא מאומת להריץ קוד שרירותי כ-root במכונת היעד.

עדכונים מתאריך 8 ביולי 2024:

שירות מנוהל לאשכולות Apache Spark ב-Google Compute Engine שפועל בגרסת תמונה 2.2 (כל מערכות ההפעלה) ובגרסה 2.1 (Debian בלבד) מושפע מנקודת חולשה ב-OpenSSH‏ (CVE-2024-6387). במקרה של ניצול מוצלח של נקודת החולשה, תוקף מרוחק ולא מאומת יכול להריץ קוד שרירותי כמשתמש root במכונת היעד.

אין השפעה על גרסאות 2.0 ו-1.5 של Managed Service for Apache Spark בתמונות של Google Compute Engine, וגם לא על תמונות של Managed Service for Apache Spark בגרסה 2.1 שלא פועלות ב-Debian. השינוי לא ישפיע על אשכולות של Managed Service for Apache Spark שמופעל בהם אימות אישי. גם Managed Service for Apache Spark Serverless לא מושפע.

פעולות מומלצות

צריך לעדכן את האשכולות של Managed Service for Apache Spark ב-Google Compute Engine לאחת מהגרסאות הבאות:

  • ‫2.2.24 ואילך
  • ‫2.1.58 ואילך

אם אתם לא מצליחים לעדכן את האשכולות שלכם ב-Managed Service for Apache Spark לאחת מהגרסאות שלמעלה, מומלץ להשתמש בפעולת האתחול שזמינה במיקום הזה: gs://dataproc-initialization-actions/hotfixes/openssh-CVE-2024-6387-mitigation.sh

כדי לציין פעולות אתחול עבור Managed Service for Apache Spark, צריך לפעול לפי ההוראות האלה. חשוב לזכור שצריך להפעיל את פעולת האתחול בכל צומת (צומתי מאסטר וצומתי עובד) עבור אשכולות קיימים.

עדכונים מתאריך 3 ביולי 2024:

  • נוספו גרסאות תיקונים ל-GKE.
  • נוסף עדכון אבטחה דחוף ל-GDC connected.

עדכונים מתאריך 2 ביולי 2024:

  • הבהרנו שהשינוי משפיע על אשכולי Autopilot ונדרשת פעולה מצד המשתמשים.
  • נוספו הערכות השפעה ושלבים לצמצום הסיכון לתוכנת GDC ל-VMware, ל-GKE ב-AWS ול-GKE ב-Azure.
  • תיקנו את עדכון האבטחה הדחוף של תוכנת GDC למתכת חשופה כדי להבהיר שתוכנת GDC למתכת חשופה לא מושפעת ישירות, ושהלקוחות צריכים לבדוק עם ספקי מערכות ההפעלה אם יש תיקונים.

לאחרונה התגלתה ב-OpenSSH נקודת חולשה של הרצת קוד מרחוק, CVE-2024-6387. נקודת החולשה הזו מאפשרת לנצל מרוץ תהליכים שאפשר להשתמש בו כדי לקבל גישה למעטפת מרוחקת, וכך לאפשר לתוקפים לקבל גישת root. בזמן הפרסום, ההערכה היא שקשה לנצל את הפגיעות ושהניצול ייקח כמה שעות לכל מכונה שמוּתקפת. לא ידוע לנו על ניסיונות ניצול.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 קריטית CVE-2024-6387

GCP-2024-039

תאריך פרסום: 28 ביוני 2024

תאריך עדכון: 25 בספטמבר 2024

תיאור

תיאור רמת סיכון הערות

עדכון מ-25 בספטמבר 2024: נוספו גרסאות תיקונים לתוכנת GDC ל-VMware.

עדכון מ-20 באוגוסט 2024: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ושל Ubuntu:

  • CVE-2024-26923

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2024-26923

GCP-2024-038

תאריך פרסום: 26 ביוני 2024

תאריך עדכון: 17 בספטמבר 2024

תיאור

תיאור רמת סיכון הערות

עדכון מ-17 בספטמבר 2024: נוספו גרסאות תיקונים לתוכנת GDC ל-VMware.

עדכון מ-6 באוגוסט 2024: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

התגלו נקודות החולשה הבאות בליבה של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ובצמתים של Ubuntu:

  • CVE-2024-26924

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2024-26924

GCP-2024-037

תאריך פרסום: 18 ביוני 2024

תיאור רמת סיכון הערות

‫VMware חשפה מספר נקודות חולשה ב-VMSA-2024-0012 שמשפיעות על רכיבי vCenter שנפרסו בסביבות של לקוחות.

ההשפעה על Google Cloud VMware Engine

  • אפשר לנצל את נקודת החולשה הזו על ידי גישה ליציאות ספציפיות ב-vCenter Server. ‫Google כבר חסמה את היציאות הפגיעות בשרת vCenter, מה שמונע ניצול פוטנציאלי של נקודת החולשה הזו.
  • בנוסף, Google מוודאת שכל הפריסות העתידיות של vCenter לא יהיו חשופות לפגיעות הזו.

מה לעשות?

בשלב הזה לא נדרשת פעולה נוספת.

קריטית

GCP-2024-036

תאריך פרסום: 18 ביוני 2024

תיאור

תיאור רמת סיכון הערות

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2024-26584

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2024-26584

GCP-2024-035

תאריך פרסום: 12 ביוני 2024

תאריך עדכון: 18 ביולי 2024

תיאור

תיאור רמת סיכון הערות

עדכון מ-18 ביולי 2024: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE, ונוספה גרסת תיקון לגרסה 1.27 במאגרי צמתים של מערכת הפעלה שמותאמת לקונטיינרים.

התגלו נקודות החולשה הבאות בליבה של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ובצמתים של Ubuntu:

  • CVE-2024-26584

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2024-26584

GCP-2024-034

תאריך פרסום: 11 ביוני 2024

תאריך עדכון: 10 ביולי 2024

תיאור

תיאור רמת סיכון הערות

עדכון מ-10 ביולי 2024: נוספו גרסאות תיקון לצמתים של מערכת הפעלה שמותאמת לקונטיינרים שפועלת בהם גרסה משנית 1.26 ו-1.27, ונוספו גרסאות תיקון לצמתים של Ubuntu.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2024-26583

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2024-26583

GCP-2024-033

תאריך פרסום: 10 ביוני 2024

תאריך עדכון: 26 בספטמבר 2024

תיאור

תיאור רמת סיכון הערות

עדכון מ-26 בספטמבר 2024: נוספו גרסאות תיקונים לתוכנת GDC ל-VMware.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים:

  • CVE-2022-23222

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2022-23222

GCP-2024-032

תאריך פרסום: 4 ביוני 2024

תיאור

תיאור רמת סיכון הערות

עדכוני ה-CVE הבאים חושפים את Cloud Service Mesh לנקודות חולשה שניתן לנצל:

  • ‫CVE-2024-23326: ‏ Envoy מקבל באופן שגוי תגובת HTTP 200 לכניסה למצב שדרוג.
  • ‫CVE-2024-32974: קריסה ב-EnvoyQuicServerStream::OnInitialHeadersComplete().
  • ‫CVE-2024-32975: קריסה ב-QuicheDataReader::PeekVarInt62Length().
  • ‫CVE-2024-32976: לולאה אינסופית בזמן ביטול הדחיסה של נתוני Brotli עם קלט נוסף.
  • ‫CVE-2024-34362: קריסה (שימוש אחרי שחרור) ב-EnvoyQuicServerStream.
  • ‫CVE-2024-34363: קריסה עקב חריגת JSON של nlohmann שלא נתפסה.
  • ‫CVE-2024-34364: וקטור OOM של Envoy מלקוח HTTP אסינכרוני עם מאגר תגובות לא מוגבל לתגובת שיקוף.

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-Cloud Service Mesh.

גבוהה

GCP-2024-031

תאריך פרסום: 24 במאי 2024

תיאור

תיאור רמת סיכון הערות

התגלתה נקודת חולשה חדשה (CVE-2024-4323) ב-Fluent Bit, שעלולה לגרום לביצוע קוד מרחוק. הגרסאות 2.0.7 עד 3.0.3 של Fluent Bit מושפעות.

‫GKE, ‏ GKE ב-VMware, ‏ GKE ב-AWS,‏ GKE ב-Azure ו-GKE בשרת פיזי לא משתמשים בגרסה פגיעה של Fluent Bit, ולכן לא מושפעים.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 ללא CVE-2024-4323

GCP-2024-030

תאריך פרסום: 15 במאי 2024

תאריך עדכון: 18 ביולי 2024

תיאור

תיאור רמת סיכון הערות

עדכון מ-18 ביולי 2024: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ושל Ubuntu:

  • CVE-2023-52620

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2023-52620

GCP-2024-029

תאריך פרסום: 14 במאי 2024

תאריך עדכון: 19 באוגוסט 2024

תיאור

תיאור רמת סיכון הערות

עדכון מ-19 באוגוסט 2024: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

התגלו נקודות החולשה הבאות בליבה של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ובצמתים של Ubuntu:

  • CVE-2024-26642

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2024-26642

GCP-2024-028

תאריך פרסום: 13 במאי 2024

תאריך עדכון: 22 במאי 2024

תיאור

תיאור רמת סיכון הערות

עדכון מ-22 במאי 2024: נוספו גרסאות תיקונים ל-Ubuntu

התגלו נקודות החולשה הבאות בליבה של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ובצמתים של Ubuntu:

  • CVE-2024-26581

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2024-26581

GCP-2024-027

תאריך פרסום: 8 במאי 2024

תאריך עדכון: 25 בספטמבר 2024

תיאור

תיאור רמת סיכון הערות

עדכון מ-25 בספטמבר 2024: נוספו גרסאות תיקונים לתוכנת GDC ל-VMware.

עדכון מ-15 במאי 2024: נוספו גרסאות תיקונים למאגרי צמתים של GKE Ubuntu.

עדכון מ-9 במאי 2024: שונה רמת החומרה מבינונית לגבוהה, והובהר שאשכולות GKE Autopilot בהגדרת ברירת המחדל לא מושפעים.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ושל Ubuntu:

  • CVE-2024-26808

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2024-26808

GCP-2024-026

תאריך פרסום: 7 במאי 2024

תאריך עדכון: 6 באוגוסט 2024

תיאור

תיאור רמת סיכון הערות

עדכון מ-6 באוגוסט 2024: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE.

עדכון מ-9 במאי 2024: שונה חומרת הבעיה מבינונית לחמורה.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ושל Ubuntu:

  • CVE-2024-26643

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2024-26643

GCP-2024-025

תאריך פרסום: 26 באפריל 2024

תיאור

תיאור רמת סיכון הערות

צוות Looker תיקן פרצות אבטחה שדווחו על ידי חוקר חיצוני באמצעות תוכנית התגמולים על זיהוי נקודות חולשה באבטחה (VRP) של Google ו-Alphabet, אבל לא נמצאו ראיות לניצול הפרצות. הבעיות האלה נפתרו עכשיו, ולא נדרשת פעולה מצד לקוחות Looker שמתארחים ב-Looker (Google Cloud core) וב-Looker (original). מומלץ לעדכן את מופעי Looker באירוח עצמי לגרסה הנתמכת העדכנית.

פעולות מומלצות

מופעים שמתארחים ב-Looker: מופעים של Looker (Google Cloud Core)‎ ושל Looker (מקורי)

לא נדרשת פעולה מצד הלקוחות.

רק במופעי Looker באירוח עצמי

אם מופע Looker שלכם מתארח באופן עצמאי, מומלץ לשדרג את מופעי Looker לאחת מהגרסאות הבאות:

  • 24.6.12+
  • 24.4.27+
  • 24.2.58+
  • 24.0.65+
  • 23.18.100+
  • 23.12.105+
  • 23.6.163+

איך תיקנו את הבעיה?

‫Google השביתה גישת אדמין ישירה למסד הנתונים הפנימי מאפליקציית Looker, הסירה הרשאות מורחבות שאפשרו גישה בין דיירים וביצעה רוטציה של הסודות שנחשפו. בנוסף, תיקנו פגיעויות של Path traversal שעלולות לחשוף את פרטי הכניסה של חשבון השירות. אנחנו גם מבצעים בדיקה יסודית של הקוד והמערכות שלנו כדי לזהות ולטפל בפגיעויות דומות.

 קריטית

GCP-2024-024

תאריך פרסום: 25 באפריל 2024

תאריך עדכון: 18 ביולי 2024

תיאור

תיאור רמת סיכון הערות

עדכון מ-18 ביולי 2024: נוספו גרסאות תיקונים למאגרי צמתים של Ubuntu ב-GKE

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ושל Ubuntu:

  • CVE-2024-26585

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2024-26585

GCP-2024-023

תאריך פרסום: 24 באפריל 2024

תיאור

תיאור רמת סיכון הערות

עדכוני ה-CVE הבאים חושפים את Cloud Service Mesh לנקודות חולשה שניתן לנצל:

  • ‫CVE-2024-27919: HTTP/2: ניצול זיכרון בגלל הצפה של מסגרת CONTINUATION.
  • CVE-2024-30255: HTTP/2: ניצול משאבי CPU עקב הצפת מסגרות CONTINUATION
  • ‫CVE-2024-32475: סיום חריג כשמשתמשים ב-'auto_sni' עם כותרת ':authority' שאורכה יותר מ-255 תווים.
  • CVE-2023-45288: אפשר להשתמש בפריימים של HTTP/2 CONTINUATION להתקפות מניעת שירות (DoS).

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-Cloud Service Mesh.

גבוהה

GCP-2024-022

תאריך פרסום: 3 באפריל 2024

תאריך עדכון: 17 ביולי 2024

תיאור

תיאור רמת סיכון הערות

עדכון מ-17 ביולי 2024: נוספו גרסאות תיקונים ל-GKE ב-VMware

עדכון מ-9 ביולי 2024: נוספו גרסאות תיקונים ל-GKE בשרת פיזי

עדכון מ-24 באפריל 2024: נוספו גרסאות תיקונים ל-GKE.

לאחרונה התגלתה נקודת חולשה מסוג מניעת שירות (DoS) ‏ (CVE-2023-45288) בכמה הטמעות של פרוטוקול HTTP/2, כולל שרת ה-HTTP של golang שבו נעשה שימוש ב-Kubernetes. נקודת החולשה עלולה להוביל למניעת שירות ברמת הבקרה של Google Kubernetes Engine‏ (GKE).

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2023-45288

GCP-2024-021

תאריך פרסום: 3 באפריל 2024

תיאור

תיאור רמת סיכון הערות

אין השפעה על Compute Engine מ-CVE-2024-3094, שמשפיע על גרסאות 5.6.0 ו-5.6.1 של חבילת xz-utils בספריית liblzma, ועלול להוביל לפגיעה בכלי OpenSSH.

לפרטים נוספים, קראו את עדכון האבטחה הדחוף של Compute Engine.

 בינוני CVE-2024-3094

GCP-2024-020

תאריך פרסום: 2 באפריל 2024

תיאור

תיאור רמת סיכון הערות

חוקרים גילו נקודת חולשה (CVE-2023-48022) ב-Ray. ‫Ray הוא כלי בקוד פתוח של צד שלישי לעומסי עבודה של AI. מכיוון שלא נדרש אימות ב-Ray, גורמים זדוניים יכולים להשיג הרצת קוד מרחוק באמצעות שליחת משימות למופעים שחשופים לציבור. חברת Anyscale, המפתחת של Ray, הגישה ערעור על הפגיעות הזו. Ray טוענת שהפונקציות שלה הן תכונת ליבה מכוונת של המוצר, ושצריך להטמיע את האבטחה מחוץ לאשכול Ray, כי חשיפה לא מכוונת של אשכול Ray לרשת עלולה להוביל לפגיעה באבטחה.

על סמך התשובה, יש מחלוקת לגבי ה-CVE הזה, והוא עשוי שלא להופיע בסורקי פגיעויות. בכל מקרה, נעשה בו ניצול פעיל בטבע, והמשתמשים צריכים להגדיר את השימוש שלהם כמומלץ בהמשך.

פעולות מומלצות

כדי לאבטח את עומסי העבודה שלכם ב-Ray, מומלץ לפעול לפי השיטות המומלצות וההנחיות של Ray, כולל הפעלת קוד מהימן ברשתות מהימנות. הפריסה של ray.io במופעי ענן של לקוחות היא חלק ממודל האחריות המשותפת.

צוות האבטחה של Google Kubernetes Engine‏ (GKE) פרסם בלוג בנושא אבטחת Ray ב-GKE.

למידע נוסף על דרכים להוסיף אימות והרשאה לשירותי Ray, אפשר לעיין במסמכי העזרה בנושא שרת proxy לאימות זהויות (IAP). משתמשי GKE יכולים להטמיע את IAP לפי ההנחיות האלה או באמצעות שימוש חוזר במודולים של Terraform שמקושרים בבלוג.

גבוהה CVE-2023-48022

GCP-2024-018

תאריך פרסום: 12 במרץ 2024

תאריך עדכון: 4 באפריל 2024, 6 במאי 2024

תיאור

תיאור רמת סיכון הערות

עדכון מ-6 במאי 2024: נוספו גרסאות תיקונים למאגרי צמתים של GKE Ubuntu.

עדכון מ-4 באפריל 2024: תוקנו הגרסאות המינימליות למאגרי צמתים של מערכת הפעלה שמותאמת לקונטיינרים ב-GKE.

התגלו נקודות החולשה הבאות בליבה של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ובצמתים של Ubuntu:

  • CVE-2024-1085

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2024-1085

GCP-2024-017

תאריך פרסום: 6 במרץ 2024

תיאור

תיאור רמת סיכון הערות

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ושל Ubuntu:

  • CVE-2023-3611

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2023-3611

GCP-2024-016

תאריך פרסום: 5 במרץ 2024

תיאור רמת סיכון הערות

‫VMware חשפה מספר נקודות חולשה ב-VMSA-2024-0006 שמשפיעות על רכיבי ESXi שנפרסו בסביבות של לקוחות.

ההשפעה על Google Cloud VMware Engine

העננים הפרטיים שלכם עודכנו כדי לטפל בפגיעות האבטחה.

מה לעשות?

לא נדרשת פעולה כלשהי מצדך.

קריטית

GCP-2024-014

תאריך פרסום: 26 בפברואר 2024

תיאור

תיאור רמת סיכון הערות

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ושל Ubuntu:

  • CVE-2023-3776

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2023-3776

GCP-2024-013

תאריך פרסום: 27 בפברואר 2024

תיאור

תיאור רמת סיכון הערות

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ושל Ubuntu:

  • CVE-2023-3610

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2023-3610

GCP-2024-012

תאריך פרסום: 20 בפברואר 2024

תיאור

תיאור רמת סיכון הערות

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ושל Ubuntu:

  • CVE-2024-0193

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2024-0193

GCP-2024-011

תאריך פרסום: 15 בפברואר 2024

תיאור

תיאור רמת סיכון הערות

התגלו נקודות החולשה הבאות בליבה של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ובצמתים של Ubuntu:

  • CVE-2023-6932

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2023-6932

GCP-2024-010

תאריך פרסום: 14 בפברואר 2024

תאריך עדכון: 17 באפריל 2024

תיאור

תיאור רמת סיכון הערות

עדכון מ-17 באפריל 2024: נוספו גרסאות תיקונים ל-GKE ב-VMware.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ושל Ubuntu.

  • CVE-2023-6931

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2023-6931

GCP-2024-009

תאריך פרסום: 13 בפברואר 2024

תיאור

תיאור רמת סיכון הערות

ב-13 בפברואר 2024, חברת AMD חשפה שתי נקודות חולשה שמשפיעות על SEV-SNP במעבדי EPYC שמבוססים על ליבות Zen מהדור השלישי (Milan) והדור הרביעי (Genoa). הפגיעויות מאפשרות לתוקפים עם הרשאות גישה לגשת לנתונים לא עדכניים של אורחים או לגרום לאובדן שלמות הנתונים של האורחים.

‫Google יישמה תיקונים בנכסים שהושפעו, כולל Google Cloud, כדי להבטיח שהלקוחות מוגנים. בשלב הזה, לא נמצאו ראיות לניצול נקודת החולשה, ולא דווח על כך ל-Google.

פעולות מומלצות

לא נדרשת פעולה מצד הלקוחות. התיקונים כבר הוחלו על Fleet השרתים של Google ב- Google Cloud, כולל Compute Engine.

מידע נוסף זמין בעדכון האבטחה הדחוף של AMD‏ AMD-SN-3007.

 בינוני

GCP-2024-008

תאריך פרסום: 12 בפברואר 2024

תיאור

תיאור רמת סיכון הערות

‫CVE-2023-5528 מאפשר לתוקף ליצור קבוצות Pod ונפחים מתמשכים בצמתים של Windows באופן שמאפשר הסלמת הרשאות אדמין בצמתים האלה.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2023-5528

GCP-2024-007

תאריך פרסום: 8 בפברואר 2024

תיאור

תיאור רמת סיכון הערות

עדכוני ה-CVE הבאים חושפים את Cloud Service Mesh לנקודות חולשה שניתן לנצל:

  • ‫CVE-2024-23322: קריסת Envoy מתרחשת כשהמערכת במצב המתנה ומתרחש פסק זמן של בקשות לכל ניסיון בתוך מרווח ההשהיה לפני ניסיון חוזר (backoff).
  • ‫CVE-2024-23323: שימוש מוגזם במעבד (CPU) כשכלי ההתאמה של תבנית ה-URI מוגדר באמצעות ביטוי רגולרי.
  • ‫CVE-2024-23324: אפשר לעקוף את ההרשאה החיצונית כשמסנן פרוטוקול ה-Proxy מגדיר מטא-נתונים לא תקינים בקידוד UTF-8.
  • מערכת Envoy קורסת כשמשתמשים בסוג כתובת שלא נתמך על ידי מערכת ההפעלה.
  • CVE-2024-23327: קריסה בפרוטוקול proxy כשסוג הפקודה הוא LOCAL.

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-Cloud Service Mesh.

גבוהה

GCP-2024-006

תאריך פרסום: 5 בפברואר 2024

תיאור

תיאור רמת סיכון הערות

כששרת proxy של Apigee API Management מתחבר לנקודת קצה של יעד או ל שרת יעד, שרת ה-proxy לא מבצע אימות של שם המארח עבור האישור שמוצג על ידי נקודת הקצה של היעד או שרת היעד כברירת מחדל. אם אימות שם המארח לא מופעל באמצעות אחת מהאפשרויות הבאות, שרתי proxy של Apigee שמתחברים לנקודת קצה של יעד או לשרת יעד עלולים להיות בסיכון למתקפת 'אדם באמצע' על ידי משתמש מורשה. למידע נוסף, אפשר לעיין במאמר הגדרת TLS מ-Edge אל ה-Backend (Cloud ו-Private Cloud).

הפריסות של שרתי proxy ב-Apigee מושפעות בפלטפורמות הבאות של Apigee:

  • ‫Apigee Edge for Public Cloud
  • ‫Apigee Edge לענן פרטי

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-Apigee.

 גבוהה

GCP-2024-005

תאריך פרסום: 31 בינואר 2024
תאריך עדכון: 2 באפריל 2024, 6 במאי 2024

תיאור

תיאור רמת סיכון הערות

עדכון מ-6 במאי 2024: נוספו גרסאות תיקונים ל-GKE ב-AWS ול-GKE ב-Azure.

עדכון מ-2 באפריל 2024: נוספו גרסאות תיקונים ל-GKE בשרת פיזי

עדכון מ-6 במרץ 2024: נוספו גרסאות תיקונים ל-GKE ב-VMware

עדכון מ-28 בפברואר 2024: נוספו גרסאות תיקונים ל-Ubuntu

עדכון מ-15 בפברואר 2024: הוספנו הבהרה שלפיה גרסאות התיקון של Ubuntu 1.25 ו-1.26 בעדכון מ-14 בפברואר 2024 עלולות לגרום לצמתים לא תקינים.

עדכון מ-14 בפברואר 2024: נוספו גרסאות תיקונים ל-Ubuntu

עדכון מ-6 בפברואר 2024: נוספו גרסאות תיקונים למערכת ההפעלה שמותאמת לקונטיינרים.

התגלתה נקודת חולשה באבטחה, CVE-2024-21626, ב-runc. יכול להיות שמשתמש עם הרשאה ליצור קבוצות Pod בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ו-Ubuntu יוכל לקבל גישה מלאה למערכת הקבצים של הצומת.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2024-21626

GCP-2024-004

תאריך פרסום: 24 בינואר 2024
תאריך עדכון: 7 בפברואר 2024

תיאור

תיאור רמת סיכון הערות

עדכון מ-7 בפברואר 2024: נוספו גרסאות תיקונים ל-Ubuntu.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ושל Ubuntu.

  • CVE-2023-6817

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2023-6817

GCP-2024-003

תאריך פרסום: 19 בינואר 2024
תאריך עדכון: 26 בינואר 2024

תיאור

תיאור רמת סיכון הערות

עדכון מ-26 בינואר 2024: הוספנו הבהרות לגבי מספר האשכולות המושפעים והפעולות שביצענו כדי לצמצם את ההשפעה. פרטים נוספים זמינים בעדכון האבטחה הדחוף GCP-2024-003.

זיהינו כמה אשכולות שבהם המשתמשים העניקו הרשאות Kubernetes לקבוצה system:authenticated, שכוללת את כל המשתמשים עם חשבון Google. לא מומלץ להשתמש בסוגים האלה של קשירות, כי הם מפרים את העיקרון של מתן ההרשאה המינימלית הנדרשת ומעניקים גישה לקבוצות גדולות מאוד של משתמשים. הוראות לחיפוש סוגים כאלה של קשירות מופיעות בקטע מה צריך לעשות.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 בינוני

GCP-2024-002

תאריך פרסום: 17 בינואר 2024

תאריך עדכון: 20 בפברואר 2024

תיאור

תיאור רמת סיכון הערות

עדכון מ-20 בפברואר 2024: נוספו גרסאות תיקונים ל-GKE ב-VMware.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים.

  • CVE-2023-6111

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2023-6111

GCP-2024-001

תאריך פרסום: 9 בינואר 2024

תיאור

תיאור רמת סיכון הערות

התגלו כמה נקודות חולשה בקושחת TianoCore EDK II UEFI. הקושחה הזו משמשת במכונות וירטואליות של Google Compute Engine. אם התוקפים ינצלו את נקודות החולשה, הם יוכלו לעקוף את ההפעלה המאובטחת, מה שיספק מדידות שגויות בתהליך ההפעלה המאובטחת, כולל כשמשתמשים בה במכונות וירטואליות מוגנות.

מה לעשות?

לא נדרשת שום פעולה. ‫Google תיקנה את נקודת החולשה הזו ב-Compute Engine, וכל המכונות הווירטואליות מוגנות מפני נקודת החולשה הזו.

אילו נקודות חולשה טופלו במסגרת התיקון הזה?

התיקון טיפל בנקודות החולשה הבאות:

  • CVE-2022-36763
  • CVE-2022-36764
  • CVE-2022-36765
 בינוני

GCP-2023-051

תאריך פרסום: 28 בדצמבר 2023

תיאור

תיאור רמת סיכון הערות

התגלו נקודות החולשה הבאות בליבה של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ובצמתים של Ubuntu.

  • CVE-2023-3609

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2023-3609

GCP-2023-050

תאריך פרסום: 27 בדצמבר 2023

תיאור

תיאור רמת סיכון הערות

התגלו נקודות החולשה הבאות בליבה של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ובצמתים של Ubuntu.

  • CVE-2023-3389

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2023-3389

GCP-2023-049

תאריך פרסום: 20 בדצמבר 2023

תיאור

תיאור רמת סיכון הערות

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ושל Ubuntu.

  • CVE-2023-3090

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2023-3090

GCP-2023-048

תאריך פרסום: 15 בדצמבר 2023

תאריך עדכון: 21 בדצמבר 2023

תיאור

תיאור רמת סיכון הערות

עדכון מ-21 בדצמבר 2023: הבהרה שאשכולות GKE Autopilot בהגדרת ברירת המחדל לא מושפעים.

התגלו נקודות החולשה הבאות בליבה של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ובצמתים של Ubuntu.

  • CVE-2023-3390

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2023-3390

GCP-2023-047

תאריך פרסום: 14 בדצמבר 2023

תיאור

תיאור רמת סיכון הערות

תוקף שפרץ למאגר היומנים של Fluent Bit יכול לשלב את הגישה הזו עם הרשאות גבוהות שנדרשות על ידי Cloud Service Mesh (באשכולות שבהם הוא הופעל) כדי להסלים את ההרשאות באשכול.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 בינוני

GCP-2023-046

תאריך פרסום: 22 בנובמבר 2023
תאריך עדכון: 4 במרץ 2024

תיאור

תיאור רמת סיכון הערות

עדכון מ-4 במרץ 2024: נוספו גרסאות GKE ל-GKE ב-VMware.

עדכון מ-22 בינואר 2024: נוספו גרסאות תיקון של Ubuntu

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ושל Ubuntu.

  • CVE-2023-5717

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2023-5717

GCP-2023-045

תאריך פרסום: 20 בנובמבר 2023

תאריך עדכון: 21 בדצמבר 2023

תיאור

תיאור רמת סיכון הערות

עדכון מ-21 בדצמבר 2023: הבהרה שאשכולות GKE Autopilot בהגדרת ברירת המחדל לא מושפעים.

התגלו נקודות החולשה הבאות בליבה של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ובצמתים של Ubuntu.

  • CVE-2023-5197

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2023-5197

GCP-2023-044

תאריך פרסום: 15 בנובמבר 2023

תיאור

תיאור רמת סיכון הערות

ב-14 בנובמבר, חברת AMD חשפה כמה נקודות חולשה שמשפיעות על מעבדי שרתים שונים של AMD. באופן ספציפי, נקודות החולשה משפיעות על מעבדי שרת EPYC שמבוססים על ליבת Zen דור 2 ‏Rome, דור 3 ‏Milan ודור 4 ‏Genoa.

‫Google יישמה תיקונים בנכסים שהושפעו, כולל Google Cloud, כדי להבטיח שהלקוחות מוגנים. בשלב הזה, לא נמצאו ראיות לניצול נקודת החולשה, ולא דווח על כך ל-Google.

פעולות מומלצות

לא נדרשת פעולה מצד הלקוחות.

התיקונים כבר הוחלו על Fleet השרתים של Google ב-Google Cloud, כולל Google Compute Engine.

אילו נקודות חולשה טופלו?

התיקון טיפל בנקודות החולשה הבאות:

  • CVE-2022-23820
  • CVE-2021-46774
  • CVE-2023-20533
  • CVE-2023-20519
  • CVE-2023-20592
  • CVE-2023-20566
  • CVE-2023-20521
  • CVE-2021-46766
  • CVE-2022-23830
  • CVE-2023-20526
  • CVE-2021-26345

מידע נוסף זמין בהודעת האבטחה של AMD‏ AMD-SN-3005: "AMD INVD Instruction Security Notice", שפורסמה גם כ-CacheWarp, וגם ב-AMD-SN-3002: "AMD Server Vulnerabilities – November 2023".

 בינוני

GCP-2023-043

תאריך פרסום: 14 בנובמבר 2023

תיאור

תיאור רמת סיכון הערות

‫Intel דיווחה על נקודת חולשה במעבד במעבדים נבחרים. ‫Google פעלה כדי לצמצם את הסיכון ל-Fleet השרתים שלה, כולל Google Compute Engine ל- Google Cloudומכשירי ChromeOS, כדי להבטיח שהלקוחות מוגנים.

פרטי נקודת החולשה:

  • CVE-2023-23583

פעולות מומלצות

לא נדרשת פעולה מצד הלקוחות.

הפתרון ש-Intel סיפקה למעבדים המושפעים הוחל על Fleet השרתים של Google, כולל Google Compute Engine עבור Google Cloud.

בשלב הזה, ל-Google Distributed Cloud Edge נדרש עדכון מהיצרן המקורי. כשהעדכון יהיה זמין, Google תתקן את השגיאות במוצר הזה והדף הזה יעודכן בהתאם.

מכשירי ChromeOS עם המעבדים המושפעים קיבלו את התיקון באופן אוטומטי כחלק מגרסאות 119,‏ 118 ו-114 (LTS).

אילו נקודות חולשה טופלו?

‫CVE-2023-23583. פרטים נוספים זמינים בהודעת האבטחה של Intel‏ INTEL-SA-00950.

 גבוהה CVE-2023-23583

GCP-2023-042

תאריך פרסום: 13 בנובמבר 2023
תאריך עדכון: 15 בנובמבר 2023

תיאור

תיאור רמת סיכון הערות

עדכון מ-15 בנובמבר 2023: הבהרנו שרק הגרסאות המשניות שמופיעות ברשימה צריכות לשדרג לגרסת תיקון תואמת ב-GKE.

התגלו נקודות החולשה הבאות בליבה של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ובצמתים של Ubuntu.

  • CVE-2023-4147

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2023-4147

GCP-2023-041

תאריך פרסום: 8 בנובמבר 2023

תאריך עדכון: 21 בנובמבר 2023, 5 בדצמבר 2023, 21 בדצמבר 2023

תיאור

תיאור רמת סיכון הערות

עדכון מ-21 בדצמבר 2023: הבהרה שאשכולות GKE Autopilot בהגדרת ברירת המחדל לא מושפעים.

עדכון מ-5 בדצמבר 2023: נוספו גרסאות GKE נוספות למאגרי צמתים של מערכת הפעלה שמותאמת לקונטיינרים.

עדכון מ-21 בנובמבר 2023: הבהרנו שרק הגרסאות המשניות שמופיעות ברשימה צריכות לשדרג לגרסת תיקון תואמת ל-GKE.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ושל Ubuntu.

  • CVE-2023-4004

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2023-4004

GCP-2023-040

תאריך פרסום: 6 בנובמבר 2023

תאריך עדכון: 21 בנובמבר 2023, 21 בדצמבר 2023

תיאור

תיאור רמת סיכון הערות

עדכון מ-21 בדצמבר 2023: הבהרה שאשכולות GKE Autopilot בהגדרת ברירת המחדל לא מושפעים.

עדכון מ-21 בנובמבר 2023: הבהרנו שרק הגרסאות המשניות שמופיעות ברשימה צריכות לשדרג לגרסת תיקון תואמת ל-GKE.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ושל Ubuntu.

  • CVE-2023-4921

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2023-4921

GCP-2023-039

תאריך פרסום: 6 בנובמבר 2023

תאריך עדכון: 21 בנובמבר 2023, 16 בנובמבר 2023

תיאור

תיאור רמת סיכון הערות

עדכון מ-21 בנובמבר 2023: הבהרנו שרק הגרסאות המשניות שמופיעות ברשימה צריכות לשדרג לגרסת תיקון תואמת ל-GKE.

עדכון מ-16 בנובמבר 2023: נקודת החולשה שמשויכת לעדכון אבטחה דחוף זה היא CVE-2023-4622. בגרסה קודמת של עלון האבטחה, נקודת החולשה CVE-2023-4623 צוינה באופן שגוי.

התגלו נקודות החולשה הבאות בליבה של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ובצמתים של Ubuntu.

  • CVE-2023-4623

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2023-4622

GCP-2023-038

תאריך פרסום: 6 בנובמבר 2023

תאריך עדכון: 21 בנובמבר 2023, 21 בדצמבר 2023

תיאור

תיאור רמת סיכון הערות

עדכון מ-21 בדצמבר 2023: הבהרה שאשכולות GKE Autopilot בהגדרת ברירת המחדל לא מושפעים.

עדכון מ-21 בנובמבר 2023: הבהרנו שרק הגרסאות המשניות שמופיעות ברשימה צריכות לשדרג לגרסת תיקון תואמת ל-GKE.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ושל Ubuntu.

  • CVE-2023-4623

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2023-4623

GCP-2023-037

תאריך פרסום: 6 בנובמבר 2023

תאריך עדכון: 21 בנובמבר 2023, 21 בדצמבר 2023

תיאור

תיאור רמת סיכון הערות

עדכון מ-21 בדצמבר 2023: הבהרה שאשכולות GKE Autopilot בהגדרת ברירת המחדל לא מושפעים.

עדכון מ-21 בנובמבר 2023: הבהרנו שרק הגרסאות המשניות שמופיעות ברשימה צריכות לשדרג לגרסת תיקון תואמת ל-GKE.

התגלו נקודות החולשה הבאות בליבה של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ובצמתים של Ubuntu.

  • CVE-2023-4015

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2023-4015

GCP-2023-036

תאריך פרסום: 30 באוקטובר 2023

תיאור

תיאור רמת סיכון הערות

Deep Learning VM Images הוא אוסף של קובצי אימג' של מכונות וירטואליות שמוכנים להפעלה מיידית, עם מסגרת למידה עמוקה. לאחרונה התגלתה פגיעות מסוג כתיבה מחוץ לגבולות בפונקציה ReadHuffmanCodes()‎ בספרייה libwebp. הפגיעות הזו עלולה להשפיע על תמונות שמשתמשות בספרייה הזו.

Google Cloud סורקת באופן רציף את התמונות שפורסמו לציבור ומעדכנת את החבילות כדי לוודא שהפצות עם תיקונים כלולות בגרסאות האחרונות שזמינות ללקוחות. תמונות של מכונות וירטואליות ללמידה עמוקה עודכנו כדי לוודא שהפצות עם תיקונים כלולות בתמונות האחרונות של מכונות וירטואליות. לקוחות שמשתמשים בתמונות האחרונות של מכונות וירטואליות לא חשופים לפגיעות הזו.

פעולות מומלצות

Google Cloud לקוחות שמשתמשים בתמונות של מכונות וירטואליות שפורסמו צריכים לוודא שהם משתמשים בתמונות העדכניות ביותר ושהסביבות שלהם מעודכנות בהתאם למודל של אחריות משותפת.

תוקף יכול לנצל את CVE-2023-4863 כדי להריץ קוד שרירותי. הפגיעות הזו זוהתה ב-Google Chrome בגרסאות שקדמו ל-116.0.5845.187 וב-libwebp בגרסאות שקדמו ל-1.3.2, והיא מופיעה ב-CVE-2023-4863.

 גבוהה CVE-2023-4863

GCP-2023-035

תאריך פרסום: 26 באוקטובר 2023

תאריך עדכון: 21 בנובמבר 2023, 21 בדצמבר 2023

תיאור

תיאור רמת סיכון הערות

עדכון מ-21 בדצמבר 2023: הבהרה שאשכולות GKE Autopilot בהגדרת ברירת המחדל לא מושפעים.

עדכון מ-21 בנובמבר 2023: הבהרנו שרק הגרסאות המשניות שמופיעות ברשימה צריכות לשדרג לגרסת תיקון תואמת ל-GKE.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ושל Ubuntu.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2023-4206CVE-2023-4207, CVE-2023-4208, CVE-2023-4128

GCP-2023-034

תאריך פרסום: 25 באוקטובר 2023

תאריך עדכון: 27 באוקטובר 2023

תיאור

תיאור רמת סיכון הערות

‫VMware חשפה מספר נקודות חולשה ב-VMSA-2023-0023 שמשפיעות על רכיבי vCenter שנפרסו בסביבות של לקוחות.

ההשפעה על Cloud Customer Care

  • אפשר לנצל את נקודת החולשה הזו על ידי גישה ליציאות ספציפיות ב-vCenter Server. היציאות האלה לא חשופות לאינטרנט הציבורי.
  • אם מערכות לא מהימנות לא יכולות לגשת ליציאות 2012/tcp,‏ 2014/tcp ו-2020/tcp ב-vCenter, אתם לא חשופים לפגיעות הזו.
  • ‫Google כבר חסמה את היציאות הפגיעות בשרת vCenter, כדי למנוע ניצול פוטנציאלי של נקודת החולשה הזו.
  • בנוסף, Google תדאג שכל הפריסות העתידיות של שרת vCenter לא ייחשפו לנקודת החולשה הזו.
  • במועד פרסום העלון, VMware לא הייתה מודעת לניצול כלשהו של הפגיעות 'בשטח'. פרטים נוספים מופיעים במאמרי העזרה של VMware.

מה לעשות?

בשלב הזה לא נדרשת פעולה נוספת.

 קריטית CVE-2023-34048,CVE-2023-34056

GCP-2023-033

תאריך פרסום: 24 באוקטובר 2023

תאריך עדכון: 21 בנובמבר 2023, 21 בדצמבר 2023

תיאור

תיאור רמת סיכון הערות

עדכון מ-21 בדצמבר 2023: הוספנו הבהרה שאשכולות GKE Autopilot בהגדרת ברירת המחדל לא מושפעים, ועומסי עבודה של GKE Sandbox לא מושפעים.

עדכון מ-21 בנובמבר 2023: הבהרנו שרק הגרסאות המשניות שמופיעות ברשימה צריכות לשדרג לגרסת תיקון תואמת ל-GKE.

התגלו נקודות החולשה הבאות בליבה (kernel) של Linux, שעלולות להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים ושל Ubuntu.

  • CVE-2023-3777

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2023-3777

GCP-2023-032

תאריך פרסום: 13 באוקטובר 2023

תאריך עדכון: 3 בנובמבר 2023

תיאור

תיאור רמת סיכון הערות

עדכון מ-3 בנובמבר 2023: נוספה בעיה ידועה בנושא Apigee Edge for Private Cloud.

לאחרונה התגלתה נקודת חולשה של התקפת מניעת שירות (DoS) בכמה הטמעות של פרוטוקול HTTP/2 ‏ (CVE-2023-44487), כולל שירות Apigee Ingress ‏ (Cloud Service Mesh) שמשמש את Apigee X ו-Apigee Hybrid. הפגיעות עלולה להוביל למתקפת מניעת שירות (DoS) על הפונקציונליות של Apigee API management.

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-Apigee.

גבוהה CVE-2023-44487

GCP-2023-031

תאריך פרסום: 10 באוקטובר 2023

תיאור

תיאור רמת סיכון הערות

התקפת מניעת שירות יכולה להשפיע על מישור הנתונים כשמשתמשים בפרוטוקול HTTP/2. להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-Cloud Service Mesh.

גבוהה CVE-2023-44487

GCP-2023-030

תאריך פרסום: 10 באוקטובר 2023

תאריך עדכון: 20 במרץ 2024

תיאור

תיאור רמת סיכון הערות

עדכון מ-20 במרץ 2024: נוספו גרסאות תיקונים ל-GKE ב-AWS ול-GKE ב-Azure עם התיקונים האחרונים ל-CVE-2023-44487.

עדכון מ-14 בפברואר 2024: נוספו גרסאות תיקונים ל-GKE ב-VMware.

עדכון מ-9 בנובמבר 2023: נוסף CVE-2023-39325. עדכנו את גרסאות GKE עם התיקונים האחרונים ל-CVE-2023-44487 ול-CVE-2023-39325.

לאחרונה התגלתה נקודת חולשה של מניעת שירות (DoS) בכמה הטמעות של פרוטוקול HTTP/2‏ (CVE-2023-44487), כולל שרת ה-HTTP של golang שבו נעשה שימוש ב-Kubernetes. נקודת החולשה עלולה להוביל למניעת שירות (DoS) של רמת הבקרה של Google Kubernetes Engine‏ (GKE). אשכולות GKE עם רשתות מורשות שהוגדרו מוגנים על ידי הגבלת הגישה לרשת, אבל כל האשכולות האחרים מושפעים.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2023-44487, CVE-2023-39325

GCP-2023-029

תאריך פרסום: 3 באוקטובר 2023

תיאור

תיאור רמת סיכון הערות

‫TorchServe משמש לאירוח מודלים של למידת מכונה ב-PyTorch לצורך חיזויים אונליין. ‫Vertex AI מספקת קונטיינרים מוכנים מראש להצגת מודלים של PyTorch, שתלויים ב-TorchServe. לאחרונה התגלו נקודות חולשה ב-TorchServe שמאפשרות לתוקף להשתלט על פריסת TorchServe אם ה-API לניהול המודלים שלה חשוף. לקוחות שפרסו מודלים של PyTorch לחיזוי אונליין ב-Vertex AI לא מושפעים מנקודות החולשה האלה, כי Vertex AI לא חושף את ה-API לניהול מודלים של TorchServe. לקוחות שמשתמשים ב-TorchServe מחוץ ל-Vertex AI צריכים לנקוט אמצעי זהירות כדי לוודא שהפריסות שלהם מוגדרות בצורה מאובטחת.

פעולות מומלצות

לקוחות Vertex AI שפרסו מודלים באמצעות קונטיינרים מוכנים מראש של PyTorch ב-Vertex AI לא צריכים לבצע פעולה כלשהי כדי לטפל בפגיעויות, כי הפריסות של Vertex AI לא חושפות את שרת הניהול של TorchServe לאינטרנט.

לקוחות שמשתמשים במאגרי PyTorch מוכנים מראש בהקשרים אחרים, או שמשתמשים בהפצה מותאמת אישית או בהפצה של צד שלישי של TorchServe, צריכים לבצע את הפעולות הבאות:

  • מוודאים ש-API לניהול מודלים של TorchServe לא חשוף לאינטרנט. אפשר להגביל את הגישה ל-API לניהול מודלים לגישה מקומית בלבד, על ידי הקפדה על כך ש-management_address יהיה קשור ל-127.0.0.1.
  • כדי לוודא שאפשר לטעון מודלים רק ממקורות מיועדים, צריך להשתמש בהגדרה allowed_urls.
  • צריך לשדרג את TorchServe לגרסה 0.8.2 בהקדם האפשרי, כי היא כוללת אמצעים לצמצום הסיכון לבעיה הזו. כאמצעי זהירות, ב-Vertex AI יושקו קונטיינרים קבועים מוכנים מראש עד 2023-10-13.

אילו נקודות חולשה טופלו?

ה-Management API של TorchServe קשור ל-0.0.0.0 כברירת מחדל ברוב קובצי האימג' של TorchServe Docker, כולל אלה שפורסמו על ידי Vertex AI, ולכן הוא נגיש לבקשות חיצוניות. כתובת ה-IP שמוגדרת כברירת מחדל ל-Management API השתנתה ל-127.0.0.1 ב-TorchServe 0.8.2, וכך הבעיה הזו נפתרה.

CVE-2023-43654 ו-CVE-2022-1471 מאפשרים למשתמש עם גישה ל-Management API לטעון מודלים ממקורות שרירותיים ולהריץ קוד מרחוק. פתרונות לשני הבעיות האלה כלולים ב-TorchServe 0.8.2: נתיב ההפעלה של הקוד מרחוק הוסר, ואם נעשה שימוש בערך ברירת המחדל של allowed_urls, מוצגת אזהרה.

 גבוהה CVE-2023-43654, CVE-2022-1471

GCP-2023-028

תאריך פרסום: 19 בספטמבר 2023

תאריך עדכון: 29 במאי 2024

תיאור

תיאור רמת סיכון הערות
עדכון מ-29 במאי 2024: הפידים החדשים כבר לא משתמשים בחשבון השירות המשותף, אבל הוא נשאר פעיל עבור פידים קיימים כדי למנוע שיבושים בשירות. השינויים במקור בפידים ישנים חסומים כדי למנוע שימוש לרעה בחשבון השירות המשותף. הלקוחות יכולים להמשיך להשתמש בפידים הישנים שלהם כרגיל, כל עוד הם לא משנים את המקור.

לקוחות יכולים להגדיר את Google Security Operations כך שיקבל נתונים מקטגוריות של Cloud Storage בבעלות הלקוח באמצעות פיד להזנת נתונים. עד לאחרונה, Google Security Operations סיפקה חשבון שירות משותף שהלקוחות השתמשו בו כדי להעניק הרשאה לקטגוריית האחסון. הייתה הזדמנות להגדיר מופע של Google Security Operations של לקוח אחד כך שיקלוט נתונים מקטגוריה של Cloud Storage של לקוח אחר. אחרי שביצענו ניתוח השפעה, לא מצאנו ניצול נוכחי או קודם של נקודת החולשה הזו. נקודת החולשה הייתה קיימת בכל הגרסאות של Google Security Operations לפני 19 בספטמבר 2023.

פעולות מומלצות

החל מ-19 בספטמבר 2023, Google Security Operations עודכן כדי לטפל בנקודת החולשה הזו. לא נדרשת פעולה מצד הלקוחות.

אילו נקודות חולשה טופלו?

בעבר, Google Security Operations סיפקה חשבון שירות משותף שהלקוחות השתמשו בו כדי להעניק הרשאה לקטגוריית אחסון. מכיוון שלקוחות שונים נתנו לאותו חשבון שירות של Google Security Operations הרשאה לקטגוריה שלהם, היה וקטור ניצול לרעה שאיפשר לפיד של לקוח אחד לגשת לקטגוריה של לקוח אחר כשנוצר או שונה פיד. כדי לנצל את וקטור הפריצה הזה, נדרש ידע לגבי ה-URI של הדלי. מעכשיו, במהלך יצירה או שינוי של פיד, Google Security Operations משתמש בחשבונות שירות ייחודיים לכל לקוח.

 גבוהה

GCP-2023-027

תאריך פרסום: 11 בספטמבר 2023
תיאור רמת סיכון הערות

עדכוני VMware vCenter Server מטפלים במספר נקודות חולשה של השחתת זיכרון (CVE-2023-20892, ‏ CVE-2023-20893, ‏ CVE-2023-20894, ‏ CVE-2023-20895, ‏ CVE-2023-20896)

ההשפעה על Customer Care

‫VMware vCenter Server‏ (vCenter Server) ו-VMware Cloud Foundation‏ (Cloud Foundation).

מה לעשות?

הלקוחות לא יושפעו ולא צריך לבצע פעולה כלשהי.

 בינוני

GCP-2023-026

תאריך פרסום: 6 בספטמבר 2023

תיאור

תיאור רמת סיכון הערות

שלוש נקודות חולשה התגלו ב-Kubernetes (CVE-2023-3676‏, CVE-2023-3955‏, CVE-2023-3893). יכול להיות שמשתמש שיכול ליצור קבוצת Pod בצמתים של Windows יוכל להסלים את ההרשאות שלו להרשאות אדמין בצמתים האלה. נקודות החולשה האלה משפיעות על גרסאות Windows של Kubelet ושל Kubernetes CSI proxy.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2023-3676, CVE-2023-3955, CVE-2023-3893

GCP-2023-025

תאריך פרסום: 8 באוגוסט 2023
תיאור רמת סיכון הערות

חברת Intel הכריזה לאחרונה על הודעת אבטחה של Intel‏ INTEL-SA-00828 שמשפיעה על חלק מסדרות המעבדים שלה. מומלץ להעריך את הסיכונים שלכם בהתאם לאזהרה.

ההשפעה על Google Cloud VMware Engine

ה-Fleet שלנו משתמש במשפחות של המעבד שמושפעות מהבעיה. בפריסה שלנו, כל השרת מוקדש ללקוח אחד. לכן, מודל הפריסה שלנו לא מוסיף סיכון נוסף להערכה של הפגיעות הזו.

אנחנו עובדים עם השותפים שלנו כדי לקבל את התיקונים הדרושים, ובמהלך השבועות הקרובים נפרוס את התיקונים האלה לפי עדיפות לכל ה-Fleet באמצעות תהליך השדרוג הרגיל.

פעולות מומלצות

לא נדרשת שום פעולה מצידך. אנחנו פועלים לשדרוג כל המערכות המושפעות.

 גבוהה

GCP-2023-024

תאריך פרסום: 8 באוגוסט 2023

תאריך עדכון: 10 באוגוסט 2023, 4 ביוני 2024

תיאור

תיאור רמת סיכון הערות

עדכון מ-4 ביוני 2024: המוצרים הבאים שעליהם דווחו בעיות עודכנו כדי לתקן את נקודת החולשה הזו:

  • Google Distributed Cloud Hosted
  • Google Distributed Cloud Edge

עדכון 2023-08-10: נוסף מספר הגרסה של ChromeOS LTS.

‫Intel דיווחה על נקודת חולשה במעבדים נבחרים (CVE-2022-40982). Google פעלה כדי לצמצם את הסיכון ל-Fleet השרתים שלה, כולל Google Cloud, כדי להבטיח שהלקוחות מוגנים.

פרטי נקודת החולשה:

  • CVE-2022-40982 (Intel IPU 2023.3,‏ GDS, נקרא גם 'Downfall')

פעולות מומלצות

לא נדרשת פעולה מצד הלקוחות.

כל התיקונים שזמינים כבר הוחלו על Fleet השרתים של Google ב-Google Cloud, כולל Google Compute Engine.

בשלב הזה, למוצרים הבאים נדרשים עדכונים נוספים משותפים ומספקים.

  • Google Cloud VMware Engine
  • Google Distributed Cloud Hosted
  • Google Distributed Cloud Edge
  • Bare Metal Solution של Google Cloud
  • Evolved Packet Core

כאשר התיקונים האלה יהיו זמינים, Google תתקן את השגיאות במוצרים האלה והדף הזה יעודכן בהתאם.

הלקוחות של Google Chromebook ו-ChromeOS Flex קיבלו באופן אוטומטי את המיטיגציות שסיפקה Intel ב-Stable (115), ב-LTS‏ (108), ב-Beta‏ (116) וב-LTC‏ (114). לקוחות Chromebook ו-ChromeOS Flex שמוצמדים לגרסה ישנה יותר צריכים לשקול לבטל את ההצמדה ולעבור לגרסאות Stable או LTS כדי לוודא שיקבלו את תיקוני נקודות החולשה האלה ואחרים.

אילו נקודות חולשה טופלו?

‫CVE-2022-40982 – מידע נוסף זמין בהודעת האבטחה של Intel‏ INTEL-SA-00828.

גבוהה CVE-2022-40982

GCP-2023-023

תאריך פרסום: 8 באוגוסט 2023

תיאור

תיאור רמת סיכון הערות

חברת AMD חשפה נקודת חולשה במעבדים נבחרים (CVE-2023-20569). Google פעלה כדי לצמצם את הסיכון ל-Fleet השרתים שלה, כולל Google Cloud, כדי להבטיח שהלקוחות מוגנים.

פרטי נקודת החולשה:

  • CVE-2023-20569 (AMD SB-7005 שנקרא גם 'Inception')

פעולות מומלצות

המשתמשים במכונות וירטואליות של Compute Engine צריכים לשקול מיטיגציות שמספקות מערכת ההפעלה אם הם משתמשים בהרצת קוד לא מהימן בתוך המכונה. אנחנו ממליצים ללקוחות לפנות לספקי מערכת ההפעלה שלהם כדי לקבל הנחיות ספציפיות יותר.

התיקונים כבר הוחלו על Fleet השרתים של Google ב-Google Cloud, כולל Google Compute Engine.

אילו נקודות חולשה טופלו?

‫CVE-2023-20569 – מידע נוסף זמין במאמר בנושא AMD SB-7005.

בינונית CVE-2023-20569

GCP-2023-022

תאריך פרסום: 3 באוגוסט 2023

תיאור

תיאור רמת סיכון הערות

‫Google זיהתה נקודת חולשה בהטמעות C++‎ של gRPC לפני גרסה 1.57. זו הייתה נקודת חולשה של התקפת מניעת שירות (DoS) בהטמעת C++‎ של gRPC. הן תוקנו בגרסאות 1.53.2,‏ 1.54.3,‏ 1.55.2,‏ 1.56.2 ו-1.57.

פעולות מומלצות

ודאו שאתם משתמשים בגרסאות האחרונות של חבילות התוכנה הבאות:

  • gRPC (C++‎‏, Python‏ו-Ruby) בגרסאות 1.53, 1.54, 1.55 ו-1.56 צריך לשדרג לגרסאות התיקונים הבאות:
    • 1.53.2
    • 1.54.3
    • 1.55.2
    • 1.56.2
  • gRPC (C++‎‏, Python‏ו-Ruby) בגרסה 1.52 ובגרסאות קודמות יותר, צריך לשדרג לאחת מגרסאות התיקון המאושרות. לדוגמה, 1.53.2,‏ 1.54.3,‏ 1.53.4 וכו'.

אילו נקודות חולשה טופלו?

התיקונים האלה מצמצמים את הסיכון שנגרם מנקודות החולשה הבאות:

  • נקודת חולשה של התקפת מניעת שירות (DoS) בהטמעות של C++‎ ב-gRPC: בקשות שנוצרו במיוחד עלולות לגרום לסיום החיבור בין שרת proxy לקצה עורפי.
גבוהה CVE-2023-33953

GCP-2023-021

Updated:2023-07-26

תאריך פרסום:25 ביולי 2023

תיאור

תיאור רמת סיכון הערות

עדכוני ה-CVE הבאים חושפים את Cloud Service Mesh לנקודות חולשה שניתן לנצל:

  • ‫CVE-2023-35941: לקוח זדוני יכול ליצור פרטי כניסה עם תוקף קבוע בתרחישים ספציפיים. לדוגמה, השילוב של מארח וזמן תפוגה במטען הייעודי (payload) של HMAC יכול להיות תמיד תקף בבדיקת ה-HMAC של מסנן OAuth2.
  • CVE-2023-35942: יומני הגישה ל-gRPC שמשתמשים בהיקף הגלובלי של ה-listener עלולים לגרום לקריסה מסוג use-after-free כשה-listener מתרוקן. הפעולה הזו יכולה להיות מופעלת על ידי עדכון LDS עם אותה הגדרה של יומן גישה ל-gRPC.
  • ‫CVE-2023-35943: אם הכותרת origin מוגדרת להסרה באמצעות request_headers_to_remove: origin, מסנן ה-CORS יבצע segfault ו-Envoy יקרוס.
  • CVE-2023-35944: תוקפים יכולים לשלוח בקשות עם Scheme משולב כדי לעקוף את בדיקות ה-Scheme ב-Envoy. לדוגמה, אם בקשה עם HTTP בעל Scheme משולב נשלחת למסנן OAuth2, היא נכשלת בבדיקות ההתאמה המדויקת ל-HTTP, ונשלחת הודעה לנקודת הקצה המרוחקת שה-Scheme היא HTTPS. כתוצאה מכך יכול להיות שתהיה עקיפה של בדיקות פרוטוקול OAuth2 שספציפיות לבקשות HTTP.

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-Cloud Service Mesh.

גבוהה

GCP-2023-020

Updated:2023-07-26

תאריך פרסום: 24 ביולי 2023

תיאור

תיאור רמת סיכון הערות

חברת AMD פרסמה עדכון מיקרוקוד שמתייחס לנקודת חולשה באבטחת החומרה (CVE-2023-20593). ‫Google החילה את התיקונים הנדרשים לנקודת החולשה הזו על Fleet השרתים שלה, כולל שרתים של Google Cloud Platform. הבדיקות מצביעות על כך שאין השפעה על הביצועים של המערכות.

פעולות מומלצות

לא נדרשת פעולה מצד הלקוחות, כי התיקונים כבר הוחלו על Fleet השרתים של Google ב-Google Cloud Platform.

אילו נקודות חולשה טופלו?

CVE-2023-20593 מטפל בנקודת חולשה בחלק ממעבדי AMD. מידע נוסף זמין כאן.

גבוהה CVE-2023-20593

GCP-2023-019

תאריך פרסום:18 ביולי 2023

תיאור

תיאור רמת סיכון הערות

התגלתה נקודת חולשה חדשה (CVE-2023-35945) ב-Envoy, שבה תגובה שנוצרה במיוחד משירות upstream לא מהימן עלולה לגרום להתקפת מניעת שירות (DoS) בגלל מיצוי הזיכרון. הבעיה הזו נגרמת בגלל קודק HTTP/2 של Envoy, שעלול לגרום לדליפה של מיפוי כותרות ומבני ניהול ספרים (bookkeeping) כשמתקבלים פריימים של RST_STREAM מיד אחרי פריימים של GOAWAY משרת במעלה הזרם.

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-Cloud Service Mesh.

גבוהה CVE-2023-35945

GCP-2023-018

תאריך פרסום: 27 ביוני 2023

תיאור

תיאור רמת סיכון הערות

התגלתה נקודת חולשה חדשה (CVE-2023-2235) בליבה (kernel) של Linux, שעלולה להוביל להסלמת הרשאות (privilege escalation) בצומת. אשכולות GKE Autopilot מושפעים מכך, כי צמתים של GKE Autopilot תמיד משתמשים בתמונות צמתים של מערכת הפעלה שמותאמת לקונטיינרים. יש השפעה על אשכולות GKE Standard בגרסה 1.25 ואילך שפועלות בהם תמונות צמתים של מערכת הפעלה שמותאמת לקונטיינרים.

אשכולות GKE לא מושפעים אם הם מריצים רק תמונות צומת של Ubuntu, או אם הם מפעילים גרסאות מוקדמות מ-1.25, או אם הם משתמשים ב-GKE Sandbox.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2023-2235

GCP-2023-017

תאריך פרסום: 26 ביוני 2023

תאריך עדכון: 11 ביולי 2023

תיאור

תיאור רמת סיכון הערות

עדכון מ-11 ביולי 2023: גרסאות חדשות של GKE עודכנו כך שיכללו את הגרסאות האחרונות של Ubuntu שמתקנות את CVE-2023-31436.

התגלתה נקודת חולשה חדשה (CVE-2023-31436) בליבה (kernel) של Linux, שעלולה להוביל להסלמת הרשאות (privilege escalation) בצומת. תהיה לכך השפעה על אשכולות GKE, כולל אשכולות Autopilot. אשכולות GKE שמשתמשים ב-GKE Sandbox לא מושפעים.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2023-31436

GCP-2023-016

תאריך פרסום: 26 ביוני 2023

תיאור

תיאור רמת סיכון הערות

ב-Envoy התגלו מספר נקודות חולשה, שנמצאות בשימוש ב-Cloud Service Mesh, ומאפשרות לתוקפים זדוניים לגרום להתקפת מניעת שירות (DoS) או לקריסה של Envoy. האירועים האלה דווחו בנפרד בעדכון GCP-2023-002.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487

GCP-2023-015

תאריך פרסום: 20 ביוני 2023

תיאור

תיאור רמת סיכון הערות

התגלתה נקודת חולשה חדשה, CVE-2023-0468, בליבה (kernel) של Linux, שעלולה לאפשר למשתמשים לא מורשים להסלים את ההרשאות שלהם לרמה הבסיסית (root). בנקודת החולשה הזו, הפרמטר io_poll_get_ownership ימשיך להגדיל את הערך של req->poll_refs בכל io_poll_wake ואז יגלוש ל-0, ולהפעלה כפולה של fput req->file שתגרום לבעיית struct file refcount. תהיה לכך השפעה על אשכולות GKE, כולל אשכולות Autopilot, עם מערכת הפעלה שמותאמת לקונטיינרים שמשתמשת בגרסת ליבה (Kernel) 5.15 של Linux. אשכולות GKE שמשתמשים בתמונות Ubuntu או ב-GKE Sandbox לא מושפעים.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 בינוני CVE-CVE-2023-0468

GCP-2023-014

תאריך עדכון: 11 באוגוסט 2023
תאריך פרסום: 15 ביוני 2023

תיאור

תיאור רמת סיכון הערות

עדכון מ-11 באוגוסט 2023: נוספו גרסאות תיקונים ל-GKE ב-VMware, ל-GKE ב-AWS, ל-GKE ב-Azure ול-Google Distributed Cloud Virtual for Bare Metal.

ב-Kubernetes התגלו שתי בעיות אבטחה חדשות, שכתוצאה מהן ייתכן שמשתמשים יוכלו להפעיל קונטיינרים שיעקפו את מגבלות המדיניות במהלך שימוש בקונטיינרים זמניים, וב-ImagePolicyWebhook‏ (CVE-2023-2727) או בפלאגין הכניסה ל-ServiceAccount‏ (CVE-2023-2728).

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 בינוני CVE-2023-2727‏, CVE-2023-2728

GCP-2023-013

תאריך פרסום:8 ביוני 2023

תיאור

תיאור רמת סיכון הערות

כשמפעילים את ממשק ה-API ל-Cloud Build בפרויקט, מערכת Cloud Build יוצרת באופן אוטומטי חשבון שירות שמוגדר כברירת מחדל כדי להפעיל בשמכם את גרסאות ה-build. לחשבון השירות הזה של Cloud Build הייתה בעבר הרשאת IAM מסוג logging.privateLogEntries.list, שאפשרה לגרסאות build לקבל גישה לרשימה של יומנים פרטיים כברירת מחדל. ההרשאה הזו בוטלה עכשיו מחשבון השירות של Cloud Build כדי לעמוד בדרישות של העקרון של הרשאות מינימליות.

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-Cloud Build.

 נמוכה

GCP-2023-010

תאריך פרסום: 7 ביוני 2023

תיאור

תיאור רמת סיכון הערות

Google זיהתה שלוש נקודות חולשה חדשות בהטמעת C ++‎.של gRPC. הם יפורסמו בקרוב באופן ציבורי כ-CVE-2023-1428, ‏ CVE-2023-32731 ו-CVE-2023-32732.

באפריל זיהינו שתי נקודות חולשה בגרסאות 1.53 ו-1.54. אחת מהן הייתה נקודת חולשה של התקפת מניעת שירות (DoS) בהטמעת C++‎ של gRPC, והשנייה הייתה נקודת חולשה של זליגת נתונים מרחוק. הן תוקנו בגרסאות 1.53.1, 1.54.2 ואילך.

לפני כן בחודש מרץ, הצוותים הפנימיים שלנו גילו נקודת חולשה של התקפת מניעת שירות (DoS) בהטמעת C++‎ של gRPC, תוך כדי ביצוע פעילויות שגרתיות של fuzzing. היא נמצאה בגרסה 1.52 של gRPC ותוקנה בגרסאות 1.52.2 ו-1.53.

פעולות מומלצות

ודאו שאתם משתמשים בגרסאות האחרונות של חבילות התוכנה הבאות:

  • grpc (C++‎‏, Python‏ו-Ruby) בגרסאות 1.52, 1.53 ו-1.54 צריך לשדרג לגרסאות התיקון הבאות;
    • 1.52.2
    • 1.53.1
    • 1.54.2
  • grpc (C++‎‏, Python‏ו-Ruby) בגרסה 1.51 ובגרסאות קודמות לא מושפעות, כך שמשתמשים עם הגרסאות האלה לא צריכים לבצע שום פעולה

אילו נקודות חולשה טופלו במסגרת התיקונים האלה?

התיקונים האלה מצמצמים את הסיכון שנגרם מנקודות החולשה הבאות:

  • בגרסאות 1.53.1, 1.54.2 ואילך מטופלות הבעיות הבאות: נקודת חולשה של התקפת מניעת שירות (DoS) בהטמעת C++‎ של gRPC. בקשות שנוצרו במיוחד עלולות לגרום לסיום החיבור בין שרת proxy לקצה עורפי. פגיעות בפריצת נתונים מרחוק: חוסר סנכרון בטבלת HPACK בגלל מגבלות על גודל הכותרת עלול לגרום לשרתי proxy backend לדלוף של נתוני כותרת מלקוחות אחרים שמחוברים ל-proxy.
  • בגרסאות 1.52.2,‏ 1.53 ואילך מטופלות הבעיות הבאות: נקודת חולשה של התקפת מניעת שירות (DoS) בהטמעת C++‎ של gRPC. ניתוח של בקשות מסוימות שנוצרו במיוחד עלול להוביל לקריסה שמשפיעה על השרת.

אנחנו ממליצים לשדרג לגרסאות העדכניות ביותר של חבילות התוכנה המפורטות למעלה.

 גבוהה (CVE-2023-1428‏, CVE-2023-32731). בינונית (CVE-2023-32732) CVE-2023-1428, CVE-2023-32731, CVE-023-32732

GCP-2023-009

תאריך פרסום: 6 ביוני 2023

תיאור

תיאור רמת סיכון הערות

התגלתה נקודת חולשה חדשה (CVE-2023-2878) ב-Secrets-store-csi-driver, שבה גורם עם גישה ליומני מנהלי ההתקנים יכול לראות אסימונים של חשבונות שירות.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 ללא CVE-2023-2878

GCP-2023-008

תאריך פרסום: 5 ביוני 2023

תיאור

תיאור רמת סיכון הערות

התגלתה נקודת חולשה חדשה (CVE-2023-1872) בליבה (kernel) של Linux, שעלולה להוביל להסלמת הרשאות (privilege escalation) להרשאות הרמה הבסיסית (root) בצומת.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2023-1872

GCP-2023-007

תאריך פרסום: 2 ביוני 2023

תיאור

תיאור רמת סיכון הערות

לאחרונה התגלתה נקודת חולשה ב-Cloud SQL ל-SQL Server שאפשרה לחשבונות אדמינים של לקוחות ליצור טריגרים במסד הנתונים tempdb ולהשתמש בהם כדי לקבל הרשאות sysadmin במכונה. ההרשאות sysadmin יכולות להעניק לתוקף גישה למסדי נתונים של המערכת וגישה חלקית למכונה שמפעילה את המכונה של שרת ה-SQL.

Google Cloud הבעיה נפתרה ב-Google Cloud באמצעות תיקון של נקודת החולשה באבטחה עד 1 במרץ 2023. Google Cloud לא נמצאו מכונות של לקוחות שנפרצו.

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-Cloud SQL.

 גבוהה

GCP-2023-005

תאריך פרסום: 18 במאי 2023

תאריך עדכון: 6 ביוני 2023

תיאור

תיאור רמת סיכון הערות

עדכון מ-6 ביוני 2023: גרסאות חדשות של GKE עודכנו כך שיכללו את הגרסאות האחרונות של Ubuntu שמתקנות את CVE-2023-1281 ו-CVE-2023-1829.

שתי נקודות חולשה חדשות (CVE-2023-1281‏, CVE-2023-1829) התגלו בליבה (kernel) של Linux, שעלולות לגרום להסלמת הרשאות (privilege escalation) להרשאות הרמה הבסיסית (root) בצומת.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2023-1281 CVE-2023-1829

GCP-2023-004

תאריך פרסום: 26 באפריל 2023

תיאור

תיאור רמת סיכון הערות

שתי נקודות חולשה (CVE-2023-1017 ו-CVE-2023-1018) התגלו במודול פלטפורמה מהימן (TPM) 2.0.

נקודות החולשה יכלו לאפשר לתוקף מתוחכם לנצל קריאה/כתיבה של 2 בייטים מחוץ לטווח במכונות וירטואליות מסוימות של Compute Engine.

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף של Compute Engine.

 בינוני

GCP-2023-003

תאריך פרסום: 11 באפריל 2023

תאריך עדכון: 21 בדצמבר 2023

תיאור

תיאור רמת סיכון הערות

עדכון מ-21 בדצמבר 2023: הבהרה שאשכולות GKE Autopilot בהגדרת ברירת המחדל לא מושפעים.

שתי נקודות חולשה חדשות, CVE-2023-0240 ו-CVE-2023-23586, התגלו בליבה (kernel) של Linux, והיו עלולות לאפשר למשתמש לא מורשה להסלים הרשאות.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2023-0240‏, CVE-2023-23586

GCP-2023-002

תיאור

תיאור רמת סיכון הערות

עדכוני ה-CVE הבאים חושפים את Cloud Service Mesh לנקודות חולשה שניתן לנצל:

  • ‫CVE-2023-27496: אם Envoy פועל עם מסנן OAuth מופעל וחשוף, גורם זדוני יכול ליצור בקשה שתגרום להתקפת מניעת שירות (DoS) על ידי קריסת Envoy.
  • CVE-2023-27488: התוקף יכול להשתמש בנקודת החולשה הזו כדי לעקוף את בדיקות האימות כשמשתמשים ב-ext_authz.
  • CVE-2023-27493: הגדרת Envoy חייבת לכלול גם אפשרות להוסיף כותרות לבקשות שנוצרו באמצעות מקורות קלט מהבקשה, כמו ה-SAN של אישור הרשת השכנה.
  • CVE-2023-27492: תוקפים יכולים לשלוח גופי בקשות גדולים למסלולים שבהם מסנן Lua מופעל ולגרום לקריסות.
  • ‫CVE-2023-27491: תוקפים יכולים לשלוח בקשות HTTP/2 או HTTP/3 שנוצרו במיוחד כדי להפעיל שגיאות בניתוח בשירות HTTP/1 במעלה הזרם.
  • CVE-2023-27487: הכותרת 'x-envoy-Original-path' צריכה להיות כותרת פנימית, אבל Envoy לא מסיר את הכותרת הזאת מהבקשה בתחילת העיבוד שלה כשהיא נשלחת מלקוח לא מהימן.

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-Cloud Service Mesh.:

גבוהה

GCP-2023-001

תאריך פרסום: 1 במרץ 2023, ‏ 21 בדצמבר 2023

תיאור

תיאור רמת סיכון הערות

עדכון מ-21 בדצמבר 2023: הבהרה שאשכולות GKE Autopilot בהגדרת ברירת המחדל לא מושפעים.

התגלתה נקודת חולשה חדשה (CVE-2022-4696) בליבה (kernel) של Linux, שעלולה להוביל להסלמת הרשאות (privilege escalation) בצומת.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2022-4696

GCP-2022-026

תאריך פרסום: 11 בינואר 2023

תיאור

תיאור רמת סיכון הערות

שתי נקודות חולשה חדשות (CVE-2022-3786 ו-CVE-2022-3602) התגלו ב-OpenSSL גרסה 3.0.6, ועלולות לגרום לקריסה.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 בינוני

GCP-2022-025

תאריך פרסום: 21 בדצמבר 2022
תאריך עדכון: 19 בינואר 2023, ‏ 21 בדצמבר 2023

תיאור

תיאור רמת סיכון הערות

עדכון מ-21 בדצמבר 2023: הבהרה שאשכולות GKE Autopilot בהגדרת ברירת המחדל לא מושפעים.

עדכון מ-19 בינואר 2023: הוספנו מידע על כך שגרסה ‎1.21.14-gke.14100 של GKE זמינה.

שתי נקודות חולשה חדשות (CVE-2022-3786 ו-CVE-2022-3602) התגלו ב-OpenSSL גרסה 3.0.6, ועלולות לגרום לקריסה.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 בינוני

GCP-2022-024

תאריך פרסום: 9 בנובמבר 2022

תאריך עדכון: 19 בינואר 2023

תיאור

תיאור רמת סיכון הערות

עדכון מ-19 בינואר 2023: הוספנו מידע על כך שגרסה ‎1.21.14-gke.14100 של GKE זמינה.

עדכון מ-16 בדצמבר 2022: נוספו גרסאות תיקונים ל-GKE ול-GKE ב-VMware.

שתי נקודות חולשה חדשות (CVE-2022-2585 ו-CVE-2022-2588) התגלו בליבה (kernel) של Linux, שעלולות לגרום לבריחה מלאה מקונטיינרים ולאפשר גישה להרשאות הרמה הבסיסית (root) בצומת.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

גבוהה

GCP-2022-023

תאריך פרסום: 4 בנובמבר 2022

תיאור

תיאור רמת סיכון הערות

התגלתה נקודת חולשה באבטחה, CVE-2022-39278 ב-Istio שבשימוש ב-Cloud Service Mesh, ומאפשרת לתוקף זדוני לגרום לקריסה במישור הבקרה.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

גבוהה CVE-2022-39278

GCP-2022-022

תאריך פרסום: 28 באוקטובר 2022

תאריך עדכון: 14 בדצמבר 2022

תיאור

תיאור רמת סיכון הערות

עדכון מ-14 בדצמבר 2022: נוספו גרסאות תיקונים ל-GKE ול-GKE ב-VMware.

התגלתה נקודת חולשה חדשה, CVE-2022-20409, בליבה (kernel) של Linux שעלולה לאפשר למשתמש לא מורשה להסלים את ההרשאות להרשאות ביצוע ברמת המערכת.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

גבוהה CVE-2022-20409

GCP-2022-021

תאריך פרסום: 27 באוקטובר 2022

תאריך עדכון: 19 בינואר 2023, 21 בדצמבר 2023

תיאור

תיאור רמת סיכון הערות

עדכון מ-21 בדצמבר 2023: הבהרה שאשכולות GKE Autopilot בהגדרת ברירת המחדל לא מושפעים.

עדכון מ-19 בינואר 2023: הוספנו מידע על כך שגרסה ‎1.21.14-gke.14100 של GKE זמינה.

עדכון מ-15 בדצמבר 2022: המידע המעודכן שגרסה ‎1.21.14-gke.9400 של Google Kubernetes Engine נמצאת בהמתנה להשקה, ויכול להיות שתוחלף במספר גרסה גבוה יותר.

עדכון מ-22 בנובמבר 2022: נוספו גרסאות תיקונים ל-GKE ב-VMware, ל-GKE ב-AWS ול-GKE ב-Azure.

התגלתה נקודת חולשה חדשה, CVE-2022-3176, בליבה של Linux שעלולה להוביל להסלמת הרשאות (privilege escalation) ברמה המקומית. נקודת החולשה הזו מאפשרת למשתמשים ללא הרשאות לגרום לבריחה מקונטיינרים שמאפשרת גישה להרשאות root בצומת.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

גבוהה CVE-2022-3176

GCP-2022-020

תאריך פרסום: 5 באוקטובר 2022

תאריך עדכון: 12 באוקטובר 2022

תיאור

תיאור רמת סיכון הערות

רמת הבקרה ב-Istio‏ istiod חשופה לשגיאה בעיבוד בקשות. כתוצאה מכך, תוקף זדוני עלול לשלוח הודעה שנוצרה במיוחד כדי לגרום לקריסה של רמת הבקרה, בזמן שה-webhook המאמת של האשכול חשוף באופן ציבורי. מילוי הבקשה של נקודת הקצה (endpoint) הזו מתבצע ביציאה 15017 ב-TLS, אבל לא מחייב אימות כלשהו מצד התוקף.

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-Cloud Service Mesh.

 גבוהה CVE-2022-39278

GCP-2022-019

תאריך פרסום: 22 בספטמבר 2022

תיאור

תיאור רמת סיכון הערות

הטמעות C++‎ ו-Python של ProtocolBuffer חשופות לנקודת חולשה של ניתוח הודעות וניהול זיכרון. כתוצאה מכך עלול להיגרם כשל בזיכרון (OOM) במהלך עיבוד הודעה שנוצרה במיוחד. הדבר עלול להוביל להתקפת מניעת שירות (DoS) בשירותים שמשתמשים בספריות האלה.

פעולות מומלצות

ודאו שאתם משתמשים בגרסאות האחרונות של חבילות התוכנה הבאות:

  • ‎protobuf-cpp (3.18.3, 3.19.5, 3.20.2, 3.21.6)‏
  • ‎protobuf-python (3.18.3, 3.19.5, 3.20.2, 4.21.6)‎

אילו נקודות חולשה טופלו במסגרת התיקון הזה?

התיקון טיפל בנקודת החולשה הבאה:

הודעה קטנה שנוצרה במיוחד וגורמת לשירות הפעיל להקצות כמויות גדולות של זיכרון RAM. מכיוון שהבקשה קטנה, קל לנצל את נקודת החולשה הזו ולגרום למיצוי המשאבים. מערכות C++‎ ו-Python שצורכות protobufs ממקורות לא מהימנים עלולות להיות חשופות למתקפות מניעת שירות (DoS), אם הן מכילות אובייקט ‏MessageSet בבקשת ה-RPC.

בינונית CVE-2022-1941

GCP-2022-018

תאריך פרסום: 1 באוגוסט 2022

תאריך עדכון: 14 בספטמבר 2022, ‏ 21 בדצמבר 2023

תיאור

תיאור רמת סיכון הערות

עדכון מ-21 בדצמבר 2023: הבהרה שאשכולות GKE Autopilot בהגדרת ברירת המחדל לא מושפעים.

עדכון מ-14 בספטמבר 2022: נוספו גרסאות תיקונים ל-GKE ב-VMware, ל-GKE ב-AWS ול-GKE ב-Azure.

התגלתה נקודת חולשה חדשה (CVE-2022-2327) בליבה של Linux, שעלולה להוביל להסלמת הרשאות (privilege escalation) ברמה המקומית. נקודת החולשה הזו מאפשרת למשתמשים לא מורשים לגרום לבריחה מקונטיינר שמאפשרת גישה להרשאות root בצומת.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

גבוהה CVE-2022-2327

GCP-2022-017

תאריך פרסום: 29 ביוני 2022
תאריך עדכון: 22 בנובמבר 2022

תיאור

תיאור רמת סיכון הערות

עדכון מ-22 בנובמבר 2022: עומסי עבודה שמשתמשים ב-GKE Sandbox לא מושפעים מנקודות החולשה האלו.

עדכון מ-21 ביולי 2022: מידע נוסף על GKE ב-VMware.

התגלתה נקודת חולשה חדשה (CVE-2022-1786) בליבה של Linux בגרסאות 5.10 ו-5.11. נקודת החולשה הזו מאפשרת למשתמשים לא מורשים עם גישה מקומית לאשכול לגרום לבריחה מקונטיינרים שמאפשרת גישה להרשאות root בצומת. רק אשכולות עם מערכת הפעלה שמותאמת לקונטיינרים יושפעו מנקודת החולשה הזו. הגרסאות של Ubuntu ב-GKE משתמשות בגרסה 5.4 או 5.15 של הליבה, ולא יושפעו מנקודת החולשה הזו.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2022-1786

GCP-2022-016

תאריך פרסום: 23 ביוני 2022
תאריך עדכון: 22 בנובמבר 2022

תיאור

תיאור רמת סיכון הערות

עדכון מ-22 בנובמבר 2022: אשכולות Autopilot לא מושפעים מנקודת החולשה CVE-2022-29581, אבל חשופים לנקודות החולשה CVE-2022-29582 ו-CVE-2022-1116.

שלוש נקודות חולשה חדשות של השחתת זיכרון (CVE-2022-29581,‏ CVE-2022-29582,‏ CVE-2022-1116) התגלו בליבה של Linux. נקודות החולשה האלה מאפשרות למשתמשים לא מורשים עם גישה מקומית לאשכול, לגרום לבריחה מקונטיינרים שמאפשרת גישה להרשאות root בצומת. כל אשכולות Linux (עם מערכת הפעלה שמותאמת לקונטיינרים או Ubuntu) יושפעו מנקודת החולשה הזו.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה

GCP-2022-015

תאריך פרסום: 9 ביוני 2022
תאריך עדכון: 10 ביוני 2022

תיאור

תיאור רמת סיכון הערות

עדכון מ-10 ביוני 2022: עודכנו הגרסאות של Cloud Service Mesh. להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-Cloud Service Mesh.

ה-CVE הבאות של Envoy ו-Istio חושפות את Cloud Service Mesh ואת Istio ב-GKE לנקודות חולשה שאפשר לנצל מרחוק:

  • ‏CVE-2022-31045: כשהתוספים Metadata Exchange ו-Stats מופעלים, מישור הנתונים של Istio עלול לגשת לזיכרון באופן לא בטוח.
  • ‏CVE-2022-29225: במקרים שבהם תוקף זדוני מעביר מטען ייעודי (payload) קטן מאוד (התקפת פצצת ZIP), הנתונים עלולים לגרום לחריגה מהמגבלות של האחסון הזמני.
  • ‏CVE-2021-29224: שגיאת הפניית מצביע אפס (null pointer dereference) עלולה להתרחש ב-GRpcHealthCheckerImpl.
  • ‏CVE-2021-29226: המסנן של OAuth מאפשר מעקף פשוט.
  • ‏CVE-2022-29228: המסנן של OAuth עלול לפגום בזיכרון (בגרסאות קודמות) או לגרום להפעלה של ASSERT()‎ (בגרסאות מאוחרות יותר).
  • ‏CVE-2022-29227: שגיאה של קריסת הניתובים הפנימיים מתרחשת בבקשות שיש בהן גוף (body) או סוגרים (trailers).

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-Cloud Service Mesh.

קריטית

GCP-2022-014

תאריך פרסום: 26 באפריל 2022
תאריך עדכון: 22 בנובמבר 2022

תיאור

תיאור רמת סיכון הערות

עדכון מ-22 בנובמבר 2022: אשכולות GKE Autopilot ועומסי עבודה שפועלים ב-GKE Sandbox לא מושפעים.

עדכון מ-12 במאי 2022: עודכנו הגרסאות של GKE ב-AWS ו-GKE ב-Azure. להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

שתי נקודות חולשה באבטחה, CVE-2022-1055 ו-CVE-2022-27666, התגלו בליבה של Linux. כל אחת מהן עלולה לאפשר לתוקף מקומי לגרום לבריחה מקונטיינר, לגרום להסלמת הרשאות (privilege escalation) במארח, או לשתיהן. נקודות החולשה האלה משפיעות על כל מערכות ההפעלה של צומתי GKE (מערכת הפעלה שמותאמת לקונטיינרים ו-Ubuntu). להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

גבוהה CVE-2022-1055
CVE-2022-27666

GCP-2022-013

תאריך פרסום: 11 באפריל 2022
תאריך עדכון: 22 באפריל 2022

תיאור

תיאור רמת סיכון הערות

התגלתה נקודת חולשה באבטחה, CVE-2022-23648, באופן הטיפול של containerd במעבר הנתיבים במפרט ה-volume של OCI image. קונטיינרים שהופעלו באמצעות הטמעת CRI של containerd עם הגדרות שנוצרו במיוחד של ה-image, עלולים להשיג גישת קריאה מלאה לקבצים שרירותיים ולספריות שרירותיות במארח. נקודת החולשה הזו עלולה לעקוף כל אכיפה מבוססת-מדיניות בהגדרות הקונטיינר (כולל מדיניות האבטחה של Kubernetes Pod).

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

בינוני CVE-2022-23648

GCP-2022-012

תאריך פרסום: 7 באפריל 2022
תאריך עדכון: 22 בנובמבר 2022

תיאור

תיאור רמת סיכון הערות

עדכון מ-22 בנובמבר 2022: אשכולות GKE בשני המצבים, Standard ו-Autopilot, ועומסי עבודה שמשתמשים ב-GKE Sandbox לא מושפעים.

התגלתה נקודת חולשה באבטחה, CVE-2022-0847,‏ בגרסאות הליבה 5.8 ואילך של Linux, שבעקבותיה עלולה להיגרם הסלמת הרשאות (privilege escalation) להרשאות root בקונטיינר. נקודת החולשה באבטחה משפיעה על המוצרים האלה:

  • מאגרי צמתים של GKE מגרסה 1.22 ואילך, שמשתמשים בקובצי אימג' של מערכת הפעלה שמותאמת לקונטיינרים (Container-Optimized OS גרסה 93 ואילך)
  • ‫GKE on VMware v1.10 לקובצי אימג' של מערכת הפעלה שמותאמת לקונטיינרים
  • ‫GKE ב-AWS v1.21 ו-GKE ב-AWS (דור קודם) בגרסאות 1.19,‏ 1.20 ו-1.21 שמשתמשים ב-Ubuntu
  • אשכולות מנוהלים של GKE on Azure v1.21 שמשתמשים ב-Ubuntu

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

גבוהה CVE-2022-0847

GCP-2022-011

תאריך פרסום: 22 במרץ 2022
תאריך עדכון: 11 באוגוסט 2022

תיאור

תיאור רמת סיכון

עדכון מ-11 באוגוסט 2022: מידע נוסף לגבי ההגדרה של Simultaneous Multi-Threading‏ (SMT). היכולת להפעיל SMT אמורה הייתה להיות מושבתת, אבל היא מופעלת בגרסאות שצוינו.

אם האפשרות של SMT הופעלה למאגר צמתים בארגז החול, היא תישאר מופעלת באופן ידני למרות הבעיה הזו.

קיימת הגדרה שגויה עם Simultaneous Multi-Threading (‏SMT, שנקרא גם Hyper-threading), ב-images של GKE Sandbox. ההגדרה השגויה חושפת צמתים למתקפות בערוצים צדדיים, כמו דגימת נתונים של מיקרו-ארכיטקטורה (MDS). להקשר נוסף, תוכלו לקרוא את מסמכי התיעוד של GKE Sandbox. אנחנו לא ממליצים להשתמש בגרסאות הבאות שמושפעות מהבעיה:

  • ‎1.22.4-gke.1501
  • ‎1.22.6-gke.300
  • ‎1.23.2-gke.300
  • ‎1.23.3-gke.600

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-GKE.

 בינונית

GCP-2022-010

תיאור

תיאור רמת סיכון הערות

ה-Istio CVE הבא חושף את Cloud Service Mesh לנקודת חולשה שאפשר לנצל מרחוק:

  • CVE-2022-24726:‏ רמת הבקרה 'istiod' ב-Istio חשופה לשגיאה בעיבוד בקשות. כתוצאה מכך, תוקף זדוני עלול לשלוח הודעה שנוצרה במיוחד כדי לגרום לקריסה של רמת הבקרה בזמן שה-webhook המאמת של האשכול חשוף באופן ציבורי. מילוי הבקשה של נקודת הקצה (endpoint) הזו מתבצע ביציאה 15017 ב-TLS, אבל לא מחייב אימות כלשהו מצד התוקף.

להוראות ולפרטים נוספים, קראו את העדכון הבא:

גבוהה

GCP-2022-009

תאריך פרסום: 1 במרץ 2022

תיאור

תיאור רמת סיכון

ייתכן שנעשה שימוש בכמה נתיבים לא צפויים לקבלת גישה ל-VM של צומת באשכולות GKE Autopilot, לצורך העברת הרשאות ברמות גבוהות יותר באשכול. הבעיות האלה תוקנו ולא נדרשת כל פעולה נוספת. התיקונים מתייחסים לבעיות שדוּוחו במסגרת תוכנית התמריצים לזיהוי נקודות חולשה.

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-GKE.

 נמוכה

GCP-2022-008

תאריך פרסום: 23 בפברואר 2022
תאריך עדכון: 28 באפריל 2022

תיאור

תיאור רמת סיכון הערות

עדכון מ-28 באפריל 2022: נוספו גרסאות של GKE ב-VMware לתיקון נקודות החולשה האלה. פרטים נוספים זמינים בעדכון האבטחה הדחוף ל-GKE ב-VMware.

בפרויקט Envoy התגלו לאחרונה נקודות חולשה. כל הבעיות שמפורטות כאן תוקנו ב-Envoy גרסה 1.21.1.
  • CVE-2022-23606: כשמוחקים אשכול באמצעות Cluster Discovery Service‏ (CDS), כל החיבורים שנוצרו לנקודות קצה באשכול הזה ואין בהם פעילות מנותקים. בגרסה 1.19 של Envoy התחילה בטעות פעולה חוזרת של ניתוק חיבורים ללא פעילות, דבר שעלול להוביל למיצוי סטאק ולסיום לא תקין של תהליכים כאשר באשכול יש מספר רב של חיבורים ללא פעילות.
  • CVE-2022-21655: קוד ההפניה הפנימית האוטומטית של Envoy מניח שקיימת כניסה למסלול. כשמתבצעת הפניה פנימית אוטומטית למסלול עם רשומה של תגובה מיידית וללא כניסה למסלול, היא עלולה להוביל לביטול האזכור של מצביע null ולקריסה.
  • CVE-2021-43826: כשמגדירים את Envoy לשימוש ב-tcp_proxy שמשתמש במנהור ב-upstream (דרך HTTP) ובסיום TLS ב-downstream,‏ Envoy יקרוס אם הלקוח ב-downstream מתנתק במהלך לחיצת יד (handshake) ב-TLS בעוד שב-upstream עדיין מתקיימת פעולה לביסוס HTTP. הניתוק ב-downstream יכול להיות ביוזמת הלקוח או ביוזמת השרת. הלקוח יכול להתנתק מכל סיבה. השרת עשוי להתנתק אם, לדוגמה, אין בו הצפנות TLS או גרסאות של פרוטוקול TLS שתואמות ללקוח. יכול להיות שתיגרם קריסה גם בהגדרות אחרות ב-downstream.
  • CVE-2021-43825: שליחת תגובה שנוצרת באופן מקומי חייבת להפסיק את המשך העיבוד של נתוני הבקשה או התגובה. Envoy עוקב אחרי הכמות של בקשות בתהליך אגירת נתונים ושל נתוני התגובות, ומבטל את הבקשה אם כמות הנתונים שבתהליך האגירה חורגת מהמגבלה של שליחת 413 או 500 תגובות. עם זאת, כשתגובה שנוצרת באופן מקומי נשלחת בגלל חריגות ממאגר הנתונים הזמני הפנימי בזמן שהתגובה מעובדת על ידי רשת המסננים, יכול להיות שהפעולה לא תבוטל כמו שצריך ותתקבל גישה לבלוק זיכרון שהתפנה.
  • CVE-2021-43824: ‏Envoy קורס במהלך השימוש במסנן JWT עם כלל ההתאמה "safe_regex" ובקשה שנוצרה באופן מיוחד, כמו ‎"CONNECT host:port HTTP/1.1"‎. כשמגיעים למסנן JWT, הכלל "safe_regex" צריך להעריך את הנתיב של כתובת ה-URL אבל לא קיימת כתובת כזו, וכתוצאה מכך Envoy קורס עם כשלים בסגמנטציה.
  • CVE-2022-21654‏: Envoy יאפשר באופן שגוי את המשך הסשן של TLS, אחרי שהאימות של mTLS הוגדר מחדש. אם אישור לקוח הותר לשימוש לפי ההגדרות הישנות אבל לא לפי ההגדרות החדשות, הלקוח יכול להמשיך את סשן ה-TLS הקודם גם אם ההגדרות החדשות לא מתירות זאת. השינויים ישפיעו על ההגדרות הבאות:
    • match_subject_alt_names
    • שינויים ב-CRL
    • allow_expired_certificate
    • Trust_chain_verification
    • only_verify_leaf_cert_crl
  • CVE-2022-21657: ב-Envoy אין הגבלה על מספר האישורים שיכולים להתקבל מהרשת השכנה, בתור לקוח TLS או שרת TLS, גם אם מדובר באישורים שאינם כוללים את ה-extendedKeyUsage הנדרש (id-kp-serverAuth ו-id-kp-clientAuth, בהתאמה). כלומר, ברשת שכנה יכול להופיע אישור באימייל (לדוגמה id-kp-emailProtection) בתור אישור עלה (leaf certificate) או בתור רשות אישורים (CA) ברשת, והוא יתקבל בהצלחה ב-TLS. הדבר בעייתי במיוחד בשילוב עם CVE-2022-21656‏, מכיוון שמתאפשר ל-Web PKI CA,‏ שנועד לשימוש רק עם S/MIME ופטור מביקורת או פיקוח, להנפיק אישורי TLS שיתקבלו על ידי Envoy.
  • CVE-2022-21656: בתהליך ההטמעה של כלי התיקוף, שנועד כדי להטמיע את ברירת המחדל של תרחישים לאימות אישורים, מופיע הבאג "type confusion" במהלך העיבוד של subjectAltNames. העיבוד הזה מאפשר למשל אימות של rfc822Name או uniformResourceIndicator בתור שם דומיין. הבלבול שנוצר מאפשר לעקוף את nameConstraints,‏ שעבר עיבוד באמצעות תהליך ההטמעה שבבסיסו OpenSSL/BoringSSL,‏ וכך נוצרת אפשרות להתחזות של שרתים שרירותיים.
לפרטים והוראות בקשר למוצרים ספציפיים, קראו את העדכונים הבאים:
מה צריך לעשות?
משתמשי Envoy שמנהלים מערכות Envoy משלהם צריכים לוודא שהם משתמשים בגרסה 1.21.1 של Envoy. משתמשי Envoy שמנהלים מערכות Envoy משלהם צריכים לפתח את הקבצים הבינאריים ממקור כמו GitHub ולפרוס אותם.

משתמשים שמריצים מערכות Envoy מנוהלות לא צריכים לעשות שום דבר (Google Cloud תספק את הקבצים הבינאריים של Envoy), ומוצרי Google Cloud שבמערכות שלהם יעברו לגרסה 1.21.1. 		גבוהה CVE-2022-23606
CVE-2022-21655
CVE-2021-43826
CVE-2021-43825
CVE-2021-43824
CVE-2022-21654
CVE-2022-21657
CVE-2022-21656

GCP-2022-007

תאריך פרסום: 22 בפברואר 2022

תיאור

תיאור רמת סיכון הערות

ה-CVE הבאות של Envoy ו-Istio חושפות את Cloud Service Mesh ואת Istio ב-GKE לנקודות חולשה שאפשר לנצל מרחוק:

  • CVE-2022-23635:‏ Istiod קורס בזמן קבלת בקשות עם כותרת authorization שנוצרה במיוחד.
  • CVE-2021-43824:‏ ביטול האזכור הפוטנציאלי של מצביע null במהלך השימוש בהתאמת safe_regex של מסנן JWT.
  • CVE-2021-43825:‏ שגיאת Use-after-free שנוצרת בזמן שמסנני התגובה מגדילים את נתוני התגובה, ומספר הנתונים הגדול חורג מהמגבלות של מאגר הנתונים הזמני ב-downstream.
  • CVE-2021-43826:‏ שגיאת Use-after-free במהלך מנהור של TCP דרך HTTP,‏ אם הלקוח ב-downstream מתנתק במהלך ביסוס החיבור ב-upstream.
  • CVE-2022-21654:‏ טיפול שגוי בהגדרות שמאפשר שימוש מחדש בסשן של mTLS בלי אימות מחדש אחרי שהגדרות האימות השתנו.
  • CVE-2022-21655:‏ טיפול שגוי בביצוע של הפניות פנימיות אוטומטיות בנתיבים עם רשומה של תגובה ישירה.
  • CVE-2022-23606:‏ מיצוי סטאק כאשר אשכול נמחק באמצעות Cluster Discovery Service.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

גבוהה

GCP-2022-006

תאריך פרסום: 14 בפברואר 2022
תאריך עדכון: 16 במאי 2022

תיאור

תיאור רמת סיכון הערות

עדכון מ-16 במאי 2022: ‏GKE גרסה ‎1.19.16-gke.7800 ואילך נוספה לרשימת הגרסאות שיש להן קוד, כדי לתקן את נקודת החולשה הזו. להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-GKE.

עדכון מ-12 במאי 2022: עודכנו הגרסאות של GKE,‏ GKE ב-VMware,‏ GKE ב-AWS ו-GKE ב-Azure. להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

התגלתה נקודת חולשה באבטחה, CVE-2022-0492, בפונקציה cgroup_release_agent_write בליבה של Linux. במתקפה נעשה שימוש במרחבי שמות של משתמשים ללא הרשאות, ובנסיבות מסוימות יכול להיות שנקודת החולשה הזו תנוצל לפירצה בקונטיינר.

 נמוכה

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

GCP-2022-005

תאריך פרסום: 11 בפברואר 2022
תאריך עדכון: 15 בפברואר 2022

תיאור

תיאור רמת סיכון הערות

התגלתה נקודת חולשה באבטחה, CVE-2021-43527, בכל תוכנה בינארית שמקשרת לגרסאות הפגיעות של libnss3 הנמצאות בגרסאות NSS (שירותי אבטחת רשת) שקדמו ל-3.73 או 3.68.1. הדבר עלול להשפיע על אפליקציות שמשתמשות ב-NSS לאימות אישורים או ב-TLS,‏ X.509,‏ OCSP או פונקציונליות CRL, בהתאם לאופן ההגדרה של ה-NSS או השימוש בו.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

בינוני CVE-2021-43527

GCP-2022-004

תאריך פרסום: 4 בפברואר 2022

תיאור

תיאור רמת סיכון הערות

נקודת חולשה באבטחה, CVE-2021-4034 התגלתה ב-pkexec, חלק מחבילת PolicyKit (‏polkit) של Linux, שמאפשרת למשתמש מאומת לבצע מתקפה של הסלמת הרשאות (privilege escalation). בדרך כלל השימוש ב-PolicyKit הוא רק במערכות Linux במחשבים, כדי לאפשר למשתמשים בלי הרשאות root לבצע פעולות כמו הפעלה מחדש של המערכת, התקנת חבילות, הפעלה מחדש של שירותים וכו', בכפוף למדיניות.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

ללא CVE-2021-4034

GCP-2022-002

תאריך פרסום: 1 בפברואר 2022
תאריך עדכון: 25 בפברואר 2022

תיאור

תיאור רמת סיכון הערות

עדכון מ-25 בפברואר 2022: הגרסאות של GKE עודכנו. להוראות ולפרטים נוספים, קראו את העדכון הבא:

עדכון מ-23 בפברואר 2022: הגרסאות של GKE ו-GKE on VMware עודכנו. להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

עדכון מ-4 בפברואר 2022: ההשקה של גרסאות תיקון ל-GKE החלה ב-2 בפברואר.

שלוש נקודות חולשה באבטחה, CVE-2021-4154,‏ CVE-2021-22600 ו-CVE-2022-0185, התגלו בליבה של Linux, וכל אחת מהן עלולה לגרום לפירצה בקונטיינר, להסלמת הרשאות (privilege escalation) כנגד המארח או גם וגם. נקודות החולשה האלה משפיעות על כל מערכות ההפעלה של הצמתים (COS ו-Ubuntu) ב-GKE, ב-GKE ב-VMware, ב-GKE ב-AWS (דור נוכחי וקודם) וב-GKE ב-Azure. Pods שמשתמשים ב-GKE Sandbox לא חשופים לנקודות החולשה האלה. לפרטים נוספים, קראו את הערות המוצר של COS.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

גבוהה

GCP-2022-001

תאריך פרסום: 6 בינואר 2022

תיאור

תיאור רמת סיכון הערות

התגלתה בעיה פוטנציאלית מסוג 'התקפת מניעת שירות (DoS)' בתהליך הניתוח של נתונים בינאריים ב-protobuf-java.

פעולות מומלצות

ודאו שאתם משתמשים בגרסאות האחרונות של חבילות התוכנה הבאות:

  • protobuf-java (3.16.1, 3.18.2, 3.19.2)
  • protobuf-kotlin (3.18.2, 3.19.2)
  • google-protobuf ‎[JRuby gem] (3.19.2)

משתמשי Protobuf "javalite"‎ (בדרך כלל Android) אינם מושפעים מכך.

אילו נקודות חולשה טופלו במסגרת התיקון הזה?

התיקון טיפל בנקודת החולשה הבאה:

נקודת חולשה בתהליך ההטמעה בנוגע לאופן הניתוח של שדות לא מוכרים ב-Java. מטען ייעודי (payload) זדוני קטן (כ-800KB) יכול להעסיק את המנתח למשך מספר דקות על ידי יצירת כמות גדולה של אובייקטים קצרי-טווח שגורמים להפסקות garbage collection חוזרות ונשנות באופן תדיר.

 גבוהה CVE-2021-22569

GCP-2021-024

תאריך פרסום: 21 באוקטובר 2021

תיאור

תיאור רמת סיכון הערות

בעיית אבטחה התגלתה בקטע הבקרה ingress-nginx ב-Kubernetes, ‏CVE-2021-25742. קטעי Ingress-nginx בהתאמה אישית מאפשרים אחזור של אסימונים וסודות של חשבונות שירות של ingress-nginx בכל מרחבי השמות.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

ללא CVE-2021-25742

GCP-2021-019

תאריך פרסום: 29 בספטמבר 2021

תיאור

תיאור רמת סיכון הערות

יש בעיה ידועה שבזמן עדכון משאב BackendConfig באמצעות ה-API של v1beta1, מדיניות האבטחה הפעילה של Google Cloud Armor מוסרת מהשירות.

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-GKE.

 נמוכה

GCP-2021-022

תאריך פרסום: 22 בספטמבר 2021

תיאור

תיאור רמת סיכון הערות

התגלתה נקודת חולשה במודול LDAP של GKE Enterprise Identity Service (AIS) ב-GKE בגרסאות 1.8 ו-1.8.1 של VMware, כך שאפשר לחזות מפתחות מקור המשמשים ליצירת מפתחות. משתמש מאומת עלול להשתמש בנקודת החולשה הזו כדי להוסיף הצהרות שרירותיות ולהסלים הרשאות (privilege escalation) בלי סוף.

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-GKE ב-VMware.

 גבוהה

GCP-2021-021

תאריך פרסום: 22 בספטמבר 2021

תיאור

תיאור רמת סיכון הערות

התגלתה ב-Kubernetes נקודת חולשה באבטחה, CVE-2020-8561,‏ שמאפשרת להשתמש בתגובות מסוימות לפעולות מאתר אחר (webhook) כדי להפנות בקשות kube-apiserver לרשתות פרטיות של שרת ה-API.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

בינוני CVE-2020-8561

GCP-2021-023

תאריך פרסום: 21 בספטמבר 2021

תיאור

תיאור רמת סיכון הערות

לפי הייעוץ בנושא אבטחה VMSA-2021-0020 של VMware, התקבלו ב-VMware דיווחים על מספר נקודות חולשה ב-vCenter. VMware פרסמה עדכונים כדי לתקן את נקודות החולשה האלה במוצרי VMware שמושפעים מהן.

כבר יישמנו ב-Google Cloud VMware Engine את התיקונים שסופקו על ידי VMware למחסנית vSphere, בהתאם לייעוץ בנושא אבטחה של VMware. עדכון זה מתייחס לנקודות החולשה באבטחה שמפורטות ב-CVE-2021-22005,‏ CVE-2021-22006,‏ CVE-2021-22007,‏ CVE-2021-22008 ו-CVE-2021-22010. בעיות אבטחה אחרות שהן לא קריטיות יטופלו בשדרוג הקרוב של סטאק VMware (בהתאם להודעה מראש שנשלחה בחודש יולי). בקרוב יפורסמו פרטים נוספים לגבי לוחות הזמנים הספציפיים של השדרוג.

ההשפעה על VMware Engine

לפי הבדיקות שלנו, לא היתה השפעה על אף לקוח.

פעולות מומלצות

מאחר שהאשכולות של VMware Engine לא מושפעים מנקודת החולשה הזו, אין צורך לבצע פעולות נוספות.

 קריטית

GCP-2021-020

תאריך פרסום: 17 בספטמבר 2021

תיאור

תיאור רמת סיכון הערות

יכול להיות שחלק מתהליכי הניתוב של מאזני העומסים ב-Google Cloud אל השירות לקצה העורפי שמופעל על ידי שרת proxy לאימות זהויות (IAP) נחשפו לגורם לא מהימן, בתנאים מוגבלים. הדבר קשור לבעיה שדווחה דרך תוכנית התמריצים שלנו לאיתור נקודות חולשה.

התנאים היו שהשרתים:
  • היו מאזני עומסים מסוג HTTP(S) וגם
  • השתמשו בברירת מחדל של קצה עורפי או בקצה עורפי עם כלל למיפוי מארחים באמצעות תווים כלליים לחיפוש (כלומר, host="*"‎).

בנוסף, כנראה שמשתמש בארגון שלכם לחץ על קישור שנוצר במיוחד על ידי צד לא מהימן.

הבעיה נפתרה. נכון ל-17 בספטמבר 2021, בוצע עדכון ב-IAP ליצירת קובצי cookie למארחים מורשים בלבד. מארח מוגדר כמורשה אם הוא תואם לפחות לאחד מ-Subject Alternative Names‏ (SAN) באחד מהאישורים שמותקנים במאזני העומסים שלכם.

פעולות מומלצות

חלק מהמשתמשים עשויים לקבל תגובה לא מורשית מסוג HTTP 401 עם קוד שגיאה 52 של IAP, כשהם מנסים לגשת לאפליקציות או לשירותים. קוד השגיאה מתקבל כאשר הלקוחות שולחים כותרת Host שלא תואמת לאף Subject Alternative Names שקשור לאישורי SSL של מאזן העומסים. האדמין של מאזן העומסים צריך לעדכן את אישורי ה-SSL כדי לוודא שברשימת Subject Alternative Name‏ (SAN) מופיעים כל שמות המארחים שבאמצעותם המשתמשים נכנסים לאפליקציות או לשירותים שמוגנים על ידי IAP. למידע נוסף על קודי שגיאה של IAP

גבוהה

GCP-2021-018

תאריך פרסום: 15 בספטמבר 2021
תאריך עדכון: 20 בספטמבר 2021

תיאור

תיאור רמת סיכון הערות

התגלתה ב-Kubernetes בעיית אבטחה, CVE-2021-25741, שבה ייתכן שמשתמשים יוכלו ליצור קונטיינר עם תושבות של נפח אחסון בנתיב משני כדי לגשת לקבצים ולספריות מחוץ לנפח האחסון, כולל מערכת הקבצים של המארח.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

גבוהה CVE-2021-25741

GCP-2021-017

תאריך פרסום: 1 בספטמבר 2021
תאריך עדכון: 23 בספטמבר 2021

תיאור

תיאור רמת סיכון הערות

עדכון מ-23 בספטמבר 2021: קונטיינרים שפועלים בתוך GKE Sandbox לא מושפעים מנקודת החולשה הזו בנוגע למתקפות שנוצרות מתוך הקונטיינר.

שתי נקודות חולשה באבטחה, CVE-2021-33909 ו-CVE-2021-33910,‏ התגלו בליבה של Linux ועלולות לגרום לקריסה של מערכות הפעלה או לאפשר למשתמשים לא מורשים להסלים הרשאות (privilege escalation) להרשאות root. נקודת החולשה הזו משפיעה על כל מערכות ההפעלה של צומתי GKE‏ (COS ו-Ubuntu).

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

גבוהה CVE-2021-33909, CVE-2021-33910

GCP-2021-016

תאריך פרסום: 24 באוגוסט 2021

תיאור

תיאור רמת סיכון הערות

ה-CVE הבאות של Envoy ו-Istio חושפות את Cloud Service Mesh ואת Istio ב-GKE לנקודות חולשה שאפשר לנצל מרחוק:

  • CVE-2021-39156:‏ בקשות HTTP עם מקטע (קטע בסוף URI שמתחיל בתו #) בנתיב ה-URI עלולות לעקוף את מדיניות ההרשאה מבוססת-הנתיב URI של Istio.
  • CVE-2021-39155:‏ בקשות HTTP עלולות לעקוף את מדיניות ההרשאה של Istio במהלך שימוש בכללים המבוססים על hosts או על notHosts.
  • CVE-2021-32781:‏ השפעה על התוספים או התוספים הקנייניים decompressor,‏ json-transcoder ו-grpc-web של Envoy שמשנים ומגדילים את גוף הבקשה או התשובה. שינוי והגדלת הגוף בתוסף של Envoy מעבר לשטח האחסון הזמני הפנימי עלולים לגרום ל-Envoy לגשת לזיכרון שההקצאה שלו בוטלה ולהיסגר בצורה חריגה.
  • CVE-2021-32780:‏ שירות upstream לא מהימן עלול לגרום ל-Envoy להיסגר בצורה חריגה על ידי שליחת המסגרת GOAWAY ואחריה המסגרת SETTINGS כשהפרמטר SETTINGS_MAX_CONCURRENT_STREAMS מוגדר ל-0. (לא רלוונטי ל-Istio ב-GKE)
  • CVE-2021-32778:‏ לקוח Envoy שפותח ואז מאתחל מספר גדול של בקשות HTTP/2 עלול לגרום לשימוש חריג במעבד (CPU). (לא רלוונטי ל-Istio ב-GKE)
  • CVE-2021-32777:‏ בקשות HTTP עם כותרות עם ערכים מרובים עלולות לבצע בדיקה חלקית של מדיניות הרשאה כשנעשה שימוש בתוסף ext_authz.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

גבוהה

GCP-2021-015

תאריך פרסום: 13 ביולי 2021
תאריך עדכון: 15 ביולי 2021

תיאור

תיאור רמת סיכון הערות

התגלתה נקודת חולשה חדשה באבטחה, CVE-2021-22555,‏ שבה גורם זדוני עם ההרשאות CAP_NET_ADMIN עלול לגרום לפירצה בקונטיינר שמאפשרת גישה להרשאות root במארח. נקודת החולשה הזו משפיעה על כל אשכולות GKE ו-GKE ב-VMware בגרסאות 2.6.19 ואילך של Linux.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

גבוהה CVE-2021-22555

GCP-2021-014

תאריך פרסום: 5 ביולי 2021

תיאור

תיאור רמת סיכון הערות

Microsoft פרסמה עדכון אבטחה דחוף בקשר לנקודת החולשה CVE-2021-34527 בביצוע קוד מרחוק ‏(RCE), שמשפיעה על שמירת מסמכים שנשלחו להדפסה בשרתי Windows. בנוסף, פורסם עדכון חדש יותר על ידי CERT Coordination Center ‏(CERT/CC) בקשר לנקודת חולשה דומה עם הכינוי PrintNightmare, שגם משפיעה על שמירת מסמכים שנשלחו להדפסה ב-Windows:‏ PrintNightmare, נקודת חולשה קריטית בשמירת מסמכים שנשלחו להדפסה ב-Windows

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-GKE.

גבוהה CVE-2021-34527

GCP-2021-012

תאריך פרסום: 24 ביוני 2021
תאריך עדכון: 9 ביולי 2021

תיאור

תיאור רמת סיכון הערות

דווח לאחרונה בפרויקט Istio על נקודת חולשה באבטחה שבה אפשר לקבל גישה לפרטי כניסה שצוינו ב-Gateway ובשדה DestinationRule credentialName field ממרחבי שמות שונים.

להוראות בקשר למוצרים ספציפיים ולפרטים נוספים, קראו את העדכונים הבאים:

 גבוהה CVE-2021-34824

GCP-2021-011

תאריך פרסום: 4 ביוני 2021
תאריך עדכון: 19 באוקטובר 2021

תיאור

תיאור רמת סיכון הערות

עדכון מתאריך 19 באוקטובר 2021:

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

קהילת האבטחה חשפה לאחרונה נקודת חולשה חדשה באבטחה (CVE-2021-30465) שהתגלתה ב-runc ועלולה לאפשר גישה מלאה למערכת הקבצים של צמתים.

ב-GKE, כדי לנצל את נקודת החולשה הזו נדרשת יכולת ליצור Pods, ולכן הגדרנו את רמת הסיכון של נקודת החולשה הזו כבינונית.

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-GKE.

בינונית CVE-2021-30465

GCP-2021-010

תאריך פרסום: 25 במאי 2021

תיאור

תיאור רמת סיכון הערות

לפי הייעוץ בנושא אבטחה VMSA-2021-0010 של VMware,‏ נקודות החולשה של ביצוע קוד מרחוק ועקיפת האימות ב-vSphere Client‏ (HTML5) דווחו באופן פרטי ל-VMware. VMware פרסמה עדכונים כדי לתקן את נקודות החולשה האלה במוצרי VMware שמושפעים מהן.

יישמנו את התיקונים שסופקו על ידי VMware לסטאק vSphere,‏ בהתאם לייעוץ בנושא אבטחה של VMware. עדכון זה מתייחס לנקודות החולשה באבטחה שמפורטות ב-CVE-2021-21985 ו-CVE-2021-21986. גרסאות התמונה שפועלות בענן הפרטי של VMware Engine לא משקפות שינוי כלשהו בשלב זה כדי לציין את התיקונים שיושמו. אין לכם מה לדאוג, כי התיקונים המתאימים הותקנו והסביבה שלכם מאובטחת מפני נקודות החולשה האלה.

ההשפעה על VMware Engine

לפי הבדיקות שלנו, לא היתה השפעה על אף לקוח.

פעולות מומלצות

מאחר שהאשכולות של VMware Engine לא מושפעים מנקודת החולשה הזו, אין צורך לבצע פעולות נוספות.

 קריטית

GCP-2021-008

תאריך פרסום: 17 במאי 2021

תיאור

תיאור רמת סיכון הערות

Istio כולל נקודת חולשה שאפשר לנצל מרחוק, שבה לקוח חיצוני יכול לגשת לשירותים בלתי צפויים באשכול תוך עקיפה של בדיקות ההרשאה, כאשר יש שער שמוגדר באמצעות הגדרת הניתוב AUTO_PASSTHROUGH.

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-Cloud Service Mesh.

גבוהה

 CVE-2021-31921

GCP-2021-007

תאריך פרסום: 17 במאי 2021

תיאור

תיאור רמת סיכון הערות

Istio כולל נקודת חולשה שאפשר לנצל מרחוק, שבה נתיב של בקשת HTTP שמכיל כמה קווים נטויים או תווים של קו נטוי עם תווי בריחה (escape)‏ (%2F או %5C) עלול לעקוף את מדיניות האימות של Istio כשמשתמשים בכללי אימות מבוססי-נתיב.

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-Cloud Service Mesh.

גבוהה

 CVE-2021-31920

GCP-2021-006

תאריך פרסום: 11 במאי 2021

תיאור

תיאור רמת סיכון הערות

בפרויקט Istio חשפו לאחרונה נקודת חולשה חדשה באבטחה (CVE-2021-31920) שמשפיעה על Istio.

Istio כולל נקודת חולשה שאפשר לנצל מרחוק, שבה נתיב של בקשת HTTP שמכיל כמה קווים נטויים או תווים של קו נטוי עם תווי בריחה (escape)‏ ( או ) עלול לעקוף את מדיניות האימות כשמשתמשים בכללי אימות מבוססי-נתיב.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

גבוהה

 CVE-2021-31920

GCP-2021-005

תאריך פרסום: 11 במאי 2021

תיאור

תיאור רמת סיכון הערות

בנקודת חולשה שדווחה נמצא שב-Envoy אין פענוח של רצפי קו נטוי עם תווי בריחה (escape)‏ %2F ו-%5C שנמצאים בנתיבי כתובות ה-URL מסוג HTTP בגרסה 1.18.2 ובגרסאות קודמות של Envoy. בנוסף, בחלק מהמוצרים המבוססים על Envoy לא מופעלים אמצעי בקרה לנורמליזציה של נתיבים. תוקף מרחוק יכול ליצור נתיב עם לוכסנים שבוטלו (לדוגמה, /something%2F..%2Fadmin,), כדי לעקוף את בקרת הגישה (לדוגמה, חסימה של /admin). לאחר מכן, שרת קצה עורפי יכול לפענח רצפים של לוכסנים ולנרמל את הנתיב כדי לספק לתוקף גישה מעבר להיקף שסופק על ידי מדיניות בקרת הגישה.

פעולות מומלצות

אם השרתים העורפיים מתייחסים ל-/ ו-%2F או ל-\ ו-%5C כתווים שניתנים להחלפה והוגדרה התאמה שמבוססת על נתיב כתובת ה-URL, ‏ מומלץ להגדיר מחדש את השרת העורפי כך שלא יתייחס ל-\ ו-%2F או ל-\ ו-%5C כתווים שניתנים להחלפה, אם זה אפשרי.

אילו שינויים התנהגותיים התגלו?

האפשרויות normalize_path ו-merge adjacent slashes (מיזוג קווים נטויים צמודים) של Envoy הופעלו כדי לטפל בנקודות חולשה שכיחות אחרות שקשורות לבלבול בין נתיבים במוצרים המבוססים על Envoy.

גבוהה

 CVE-2021-29492

GCP-2021-004

תאריך פרסום: 6 במאי 2021

תיאור

תיאור רמת סיכון הערות

בפרויקטים Envoy ו-Istioדיווחו לאחרונה על מספר נקודות חולשה חדשות באבטחה (CVE-2021-28683,‏ CVE-2021-28682 ו-CVE-2021-29258), שעלולות לאפשר לתוקף לגרום לקריסת Envoy.

אשכולות של Google Kubernetes Engine לא מריצים את Istio כברירת מחדל ואין להם נקודות חולשה. אם Istio הותקן באשכול והוגדר לחשוף שירותים לאינטרנט, השירותים האלה עלולים להיות חשופים להתקפת מניעת שירות (DoS).

‫Google Distributed Cloud Virtual for Bare Metal ו-GKE ב-VMware משתמשים ב-Envoy כברירת מחדל בשביל Ingress, כך ששירותי Ingress עלולים להיות חשופים להתקפת מניעת שירות (DoS).

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

בינוני

GCP-2021-003

תאריך פרסום: 19 באפריל 2021

תיאור

תיאור רמת סיכון הערות

בפרויקט Kubernetesדיווחו לאחרונה על נקודת חולשה חדשה באבטחה, CVE-2021-25735,‏ שעלולה לאפשר לעדכוני צמתים לעקוף את Validating Admission Webhook.

בתרחיש שבו לתוקף יש מספיק הרשאות והתבצעה הטמעה של Validating Admission Webhook שמשתמש במאפיינים ישנים לאובייקט Node (לדוגמה, שדות ב-Node.NodeSpec), התוקף יכול לעדכן את המאפיינים של צומת ולגרום לפגיעה באשכול. אין השפעה על אף אחד מכללי המדיניות שנאכפים על ידי אמצעי בקרת הכניסה המובנים של GKE ו-Kubernetes, אבל מומלץ ללקוחות לבדוק את כל ה-Admission Webhooks הנוספים שהם התקינו.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

בינוני

CVE-2021-25735

GCP-2021-002

תאריך פרסום: 5 במרץ 2021

תיאור

תיאור רמת סיכון הערות

לפי הייעוץ בנושא אבטחה VMSA-2021-0002 של VMware,‏ התקבלו ב-VMware דיווחים על מספר נקודות חולשה ב-VMware ESXi וב-vSphere Client‏ (HTML5). VMware פרסמה עדכונים כדי לתקן את נקודות החולשה האלה במוצרי VMware שמושפעים מהן.

יישמנו את הפתרונות הזמניים הרשמיים שפורסמו למחסנית vSphere, בהתאם לייעוץ בנושא אבטחה של VMware. עדכון זה מתייחס לנקודות החולשה באבטחה שמפורטות ב-CVE-2021-21972,‏ CVE-2021-21973 ו-CVE-2021-21974.

ההשפעה על VMware Engine

לפי הבדיקות שלנו, לא היתה השפעה על אף לקוח.

פעולות מומלצות

מאחר שהאשכולות של VMware Engine לא מושפעים מנקודת החולשה הזו, אין צורך לבצע פעולות נוספות.

 קריטית

GCP-2021-001

תאריך פרסום: 28 בינואר 2021

תיאור

תיאור רמת סיכון הערות

לאחרונה התגלתה נקודת חולשה בכלי sudo של Linux, כפי שמפורט ב-CVE-2021-3156,‏ שעלולה לאפשר לתוקף עם גישה לא מורשית למעטפת מקומית במערכת שבה מותקן sudo להסלים את ההרשאות שלו (privilege escalation) להרשאות root.

התשתית שעליה מריצים את Compute Engine לא מושפעת מנקודת החולשה הזו.

‫Google Kubernetes Engine‏ (GKE),‏ GKE ב-VMware,‏ GKE ב-AWS ואשכולות Google Distributed Cloud Virtual for Bare Metal לא מושפעים מנקודת החולשה הזו.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

אין CVE-2021-3156

GCP-2020-015

תאריך פרסום: 7 בדצמבר 2020
תאריך עדכון: 22 בדצמבר 2020

תיאור

תיאור רמת סיכון הערות

עדכון מתאריך 22 בדצמבר 2021: בפקודה ל-GKE שמופיעה בקטע הבא צריך להשתמש ב-gcloud beta במקום בפקודה gcloud. 

gcloud container clusters update –no-enable-service-externalips
עדכון מתאריך 15 בדצמבר 2021: מעכשיו אפשר לבצע את הפעולות הבאות כדי למזער את ההשפעה על GKE:
  1. החל מגרסה 1.21 של GKE,‏ אמצעי אישור הבקשות DenyServiceExternalIPs, הפועל כברירת מחדל לאשכולות חדשים חוסם שירותים עם כתובות IP חיצוניות.
  2. לקוחות שמשדרגים לגרסה 1.21 של GKE יכולים לחסום שירותים עם כתובות IP חיצוניות באמצעות הפקודה הבאה: 
    gcloud container clusters update –no-enable-service-externalips

לפרטים נוספים, תוכלו לקרוא על הקשחת האבטחה באשכול.

בפרויקט Kubernetes גילו לאחרונה נקודת חולשה חדשה באבטחה, CVE-2020-8554,‏ שעלולה לאפשר לתוקף עם הרשאות ליצירת שירותי Kubernetes מסוג LoadBalancer או ClusterIP ליירט תנועה ברשת שנוצרת מ-Pods אחרים באשכול. נקודת החולשה הזו בפני עצמה לא מעניקה לתוקף הרשאות ליצור שירותי Kubernetes.

כל האשכולות של Google Kubernetes Engine‏ (GKE),‏ GKE ב-VMware ו-GKE ב-AWS מושפעים מנקודת החולשה הזו.

מה לעשות?

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

בינוני

 CVE-2020-8554

GCP-2020-014

תאריך פרסום: 20 באוקטובר 2020
תאריך עדכון: 20 באוקטובר 2020

תיאור

תיאור רמת סיכון הערות

בפרויקט Kubernetes גילו לאחרונה מספר בעיות שמאפשרות לחשוף נתונים סודיים בזמן שפועלות אפשרויות של רישום מפורט (verbose) ביומן. אלה הבעיות:

  • CVE-2020-8563:‏ דליפת מידע סודי מהיומנים של kube-controller-manager ב-vSphere Provider
  • CVE-2020-8564:‏ דליפת מידע סודי בקשר להגדרות ב-Docker כאשר הקובץ לא תקין ו-logLevel >= 4
  • CVE-2020-8565:‏ תיקון חלקי של CVE-2019-11250 ב-Kubernetes שמאפשר דליפת אסימונים מהיומנים כאשר logLevel >= 9. הבעיה הזו התגלתה על ידי GKE Security
  • CVE-2020-8566:‏ חשיפה של Ceph RBD adminSecrets מהיומנים כאשר logLevel >= 4

פעולות מומלצות

אין צורך לבצע פעולות נוספות בגלל רמות ברירת המחדל של הרישום המפורט (verbose) ביומן ב-GKE.

אין

Google Cloud השפעה

ההשפעה על כל מוצר מפורטת בהמשך.

מוצר

השפעה

Google Kubernetes Engine (GKE)

אין השפעה על Google Kubernetes Engine (GKE).

GKE On-Prem

אין השפעה על GKE On-Prem.

GKE ב-AWS

אין השפעה על GKE ב-AWS.

GCP-2020-013

תאריך פרסום: 29 בספטמבר 2020

תיאור

Microsoft חשפה את נקודת החולשה הבאה:

נקודת חולשה

רמת סיכון

CVE

CVE-2020-1472:‏ נקודת חולשה בשרת Windows מאפשרת לתוקפים להשתמש ב-Netlogon Remote Protocol כדי להריץ אפליקציה שנוצרה במיוחד על מכשיר ברשת.

ציון בסיס של NVD:‏ 10 (קריטית)

CVE-2020-1472

למידע נוסף, קראו את הדיווח של Microsoft.

Google Cloud השפעה

התשתית שמארחת את Google Cloud ואת המוצרים של Google לא מושפעת מנקודת החולשה הזו. ריכזנו כאן מידע נוסף מפורט על כל מוצר ומוצר.

מוצר

השפעה

Compute Engine

CVE-2020-1472

אצל רוב הלקוחות לא נדרשת פעולה נוספת.

לקוחות שמשתמשים במכונות וירטואליות של Compute Engine שמריצות שרת Windows צריכים לוודא שהם עדכנו את המכונות עם התיקון האחרון של Windows או להשתמש בתמונות משרת Windows שפורסמו לאחר 17 באוגוסט 2020 (החל מגרסה 20200813).

Google Kubernetes Engine

CVE-2020-1472

אצל רוב הלקוחות לא נדרשת פעולה נוספת.

לקוחות שמארחים בקרי דומיין בצמתים של שרתי Windows ב-GKE צריכים לוודא שגם הצמתים וגם עומסי העבודה בקונטיינרים שמריצים בצמתים האלה כוללים את תמונת הצומת העדכנית ביותר של Windows, ברגע שהיא זמינה. במהלך אוקטובר נעדכן בדף ההערות למוצר של GKE על גרסה חדשה של תמונת צומת.

שירות מנוהל ל-Microsoft Active Directory

CVE-2020-1472

אצל רוב הלקוחות לא נדרשת פעולה נוספת.

התיקון שפורסם באוגוסט על ידי מיקרוסופט וכולל תיקונים לפרוטוקול NetLogon הותקן בכל בקרי הדומיין של שירות מנוהל ל-Microsoft AD. התיקון הזה מגן מפני ניצול פוטנציאלי. התקנת תיקונים בזמן היא אחד מהיתרונות המרכזיים של השימוש בשירות המנוהל ל-Microsoft Active Directory. לקוחות שמריצים את Microsoft Active Directory באופן ידני (ולא משתמשים בשירות המנוהל של Google Cloud)‏ צריכים לוודא שהמכונות שלהם כוללות את התיקון האחרון של Windows או להשתמש בתמונות של שרת Windows.

Google Workspace

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

הסביבה הסטנדרטית של App Engine

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

הסביבה הגמישה של App Engine

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

Cloud Run

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

פונקציות Cloud Run

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

Managed Service for Apache Airflow

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

Dataflow

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

Managed Service for Apache Spark

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

Cloud SQL

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

GCP-2020-012

תאריך פרסום: 14 בספטמבר 2020
תאריך עדכון: 17 בספטמבר 2020

תיאור

תיאור רמת סיכון הערות

לאחרונה התגלתה נקודת חולשה בליבה של Linux, כפי שמפורט ב-CVE-2020-14386, שעלולה לאפשר לנתיבי בריחה מהקונטיינר לקבל הרשאות root בצומת המארח.

ההשפעה היא על כל צומתי ה-GKE. Pods שפועלים ב-GKE Sandbox לא יכולים לנצל את נקודת החולשה הזו.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:


אילו נקודות חולשה טופלו במסגרת התיקון?

התיקון פותר את נקודת החולשה הבאה:

נקודת החולשה CVE-2020-14386, שמאפשרת לקונטיינרים עם CAP_NET_RAW
לכתוב בין 1 ל-10 בייטים של זיכרון ליבה, ואולי גם ליצור נתיב בריחה מהקונטיינר ולקבל הרשאות root בצומת המארח. נקודת החולשה הזו היא ברמת סיכון גבוהה.

גבוהה

CVE-2020-14386

GCP-2020-011

תאריך פרסום: 24 ביולי 2020

תיאור

תיאור רמת סיכון הערות

לאחרונה התגלתה ב-Kubernetes נקודת חולשה ברשת, CVE-2020-8558. שירותים לפעמים מתקשרים עם אפליקציות אחרות שמריצים בתוך אותו Pod באמצעות ממשק הלולאה החוזרת (loopback) המקומי (127.0.0.1). נקודת החולשה הזו מאפשרת לתוקף עם גישה לרשת של האשכול לשלוח תעבורת נתונים לממשק הלולאה החוזרת של צמתים ו-Pods סמוכים. כך אפשר לנצל לרעה שירותים שמסתמכים על כך שממשק הלולאה החוזרת לא נגיש מחוץ ל-Pod.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

נמוכה (GKE ו-GKE ב-AWS),
בינונית (GKE ב-VMware)

CVE-2020-8558

GCP-2020-010

תאריך פרסום: 27 ביולי 2020

תיאור

Microsoft חשפה את נקודת החולשה הבאה:

נקודת חולשה

רמת סיכון

CVE

CVE-2020-1350:‏ אפשר לנצל שרתי Windows Servers שפועלים בתור שרת DNS, כך שהם יריצו קודים לא מהימנים בחשבון המערכת המקומי (Local System Account).

ציון בסיס של NVD:‏ 10.0 (קריטית)

CVE-2020-1350

למידע נוסף, קראו את הדיווח של Microsoft.

Google Cloud השפעה

התשתית שמארחת את המוצרים של Google Cloud ו-Google לא מושפעת מנקודת החולשה הזו. Google Cloud ריכזנו כאן מידע נוסף מפורט על כל מוצר ומוצר.

מוצר

השפעה

Compute Engine

CVE-2020-1350

אצל רוב הלקוחות לא נדרשת פעולה נוספת.

לקוחות שמשתמשים במכונות וירטואליות של Compute Engine שמריצות שרת Windows בתור שרת DNS צריכים לוודא שהמכונות שלהם כוללות את התיקון האחרון של Windows או להשתמש בתמונות של שרת Windows שסופקו החל מ-14 ביולי 2020.

Google Kubernetes Engine

CVE-2020-1350

אצל רוב הלקוחות לא נדרשת פעולה נוספת.

לקוחות שמשתמשים ב-GKE עם צומת של שרת Windows בתור שרת DNS צריכים לעדכן באופן ידני את הצמתים ואת עומסי העבודה בקונטיינרים שפועלים בצמתים האלה לגרסה של שרת Windows שכוללת את התיקון.

שירות מנוהל ל-Microsoft Active Directory

CVE-2020-1350

אצל רוב הלקוחות לא נדרשת פעולה נוספת.

התמונה המתוקנת עודכנה אוטומטית בכל הדומיינים של שירות מנוהל ל-Microsoft AD. לקוחות שמריצים את Microsoft Active Directory באופן ידני (ולא משתמשים בשירות המנוהל של Microsoft AD) צריכים לוודא שהמכונות שלהם כוללות את התיקון האחרון של Windows או להשתמש בתמונות של שרת Windows שסופקו החל מ-14 ביולי 2020.

Google Workspace

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

הסביבה הסטנדרטית של App Engine

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

הסביבה הגמישה של App Engine

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

Cloud Run

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

פונקציות Cloud Run

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

Managed Service for Apache Airflow

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

Dataflow

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

Managed Service for Apache Spark

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

Cloud SQL

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

GCP-2020-009

תאריך פרסום: 15 ביולי 2020

תיאור

תיאור רמת סיכון הערות

לאחרונה התגלתה ב-Kubernetes נקודת חולשה של הסלמת הרשאות (privilege escalation), CVE-2020-8559. נקודת החולשה הזו מאפשרת לתוקף שכבר פרץ לצומת לבצע פקודות בכל Pod באשכול. לכן, התוקף יכול להשתמש בצומת שכבר נמצא בסיכון כדי לפגוע בצמתים אחרים ולקרוא מידע או לגרום לפעולות הרסניות.

חשוב לזכור שהתוקף יוכל לנצל את נקודת החולשה הזו רק אם הצומת באשכול כבר נמצא בסיכון. נקודת החולשה הזו בפני עצמה לא מסכנת צמתים באשכול.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

בינוני

CVE-2020-8559

GCP-2020-008

תאריך פרסום: 19 ביוני 2020

תיאור

תיאור רמת סיכון הערות

תיאור

מכונות וירטואליות שמופעל בהן OS Login עלולות להיות חשופות לנקודות חולשה של הסלמת הרשאות (privilege escalation). נקודות החולשה האלה מאפשרות למשתמשים שהוענקו להם הרשאות OS Login‏ (אבל לא הוענקה להם הרשאת אדמין) להסלים הרשאות (privilege escalation) להרשאות root במכונה הווירטואלית.

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף של Compute Engine.

 גבוהה

GCP-2020-007

תאריך פרסום: 1 ביוני 2020

תיאור

תיאור רמת סיכון הערות

לאחרונה התגלתה ב-Kubernetes נקודת החולשה CVE-2020-8555 של Server Side Request Forgery (‏SSRF), שמאפשרת למשתמשים מורשים מסוימים להדליף עד 500 בייטים של מידע רגיש מהרשת המארחת של רמת הבקרה. רמת הבקרה של Google Kubernetes Engine‏ (GKE) משתמשת באמצעי הבקרה מ-Kubernetes, ולכן היא מושפעת מנקודת החולשה הזו. מומלץ לשדרג את מישור הבקרה לגרסה האחרונה עם התיקון. לא צריך לשדרג צמתים.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

בינוני

CVE-2020-8555

GCP-2020-006

תאריך פרסום: 1 ביוני 2020

תיאור

תיאור רמת סיכון הערות

ב-Kubernetes חשפו נקודת חולשה שמאפשרת לקונטיינר מורשה להפנות תעבורת נתונים של צומת לקונטיינר אחר. במתקפה הזו אי אפשר לקרוא או לשנות תעבורת נתונים הדדית של TLS/SSH, למשל בין ה-kubelet ושרת ה-API או תעבורת נתונים מאפליקציות באמצעות mTLS. כל הצמתים של Google Kubernetes Engine‏ (GKE) מושפעים מנקודת החולשה הזו, ומומלץ לשדרג אותם לגרסה האחרונה עם התיקון.

להוראות ולפרטים נוספים, קראו את העדכונים הבאים:

בינוני

בעיה 91507 ב-Kubernetes

GCP-2020-005

תאריך פרסום: 7 במאי 2020

תיאור

נקודת חולשה

רמת סיכון

CVE

לאחרונה התגלתה נקודת חולשה בליבה של Linux, כפי שמפורט ב-CVE-2020-8835, שמאפשרת לנתיבי בריחה מהקונטיינר לקבל הרשאות root בצומת המארח.

צמתי Ubuntu של Google Kubernetes Engine‏ (GKE) שמריצים בגרסה 1.16 או 1.17 של GKE מושפעים מנקודת החולשה הזו. מומלץ לשדרג לגרסה האחרונה עם התיקון.

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-GKE.

גבוהה

CVE-2020-8835

GCP-2020-004

תאריך פרסום: 31 במרץ 2020
תאריך עדכון: 31 במרץ 2020

תיאור

ב-Kubernetes חשפו את נקודות החולשה הבאות:

נקודת חולשה

רמת סיכון

CVE

CVE-2019-11254:‏ זוהי נקודת חולשה של התקפת מניעת שירות (DoS) שמשפיעה על שרת ה-API.

בינונית

CVE-2019-11254

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-GKE ב-VMware.

GCP-2020-003

תאריך פרסום: 31 במרץ 2020
תאריך עדכון: 31 במרץ 2020

תיאור

ב-Kubernetes חשפו את נקודות החולשה הבאות:

נקודת חולשה

רמת סיכון

CVE

CVE-2019-11254:‏ זוהי נקודת חולשה של התקפת מניעת שירות (DoS) שמשפיעה על שרת ה-API.

בינונית

CVE-2019-11254

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-GKE.

GCP-2020-002

תאריך פרסום: 23 במרץ 2020
תאריך עדכון: 23 במרץ 2020

תיאור

ב-Kubernetes חשפו את נקודות החולשה הבאות:

נקודת חולשה

רמת סיכון

CVE

CVE-2020-8551:‏ זוהי נקודת חולשה של התקפת מניעת שירות (DoS) שמשפיעה על ה-kubelet.

בינונית

CVE-2020-8551

CVE-2020-8552:‏ זוהי נקודת חולשה של התקפת מניעת שירות (DoS) שמשפיעה על שרת ה-API.

בינונית

CVE-2020-8552

להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-GKE.

GCP-2020-001

תאריך פרסום: 21 בינואר 2020
תאריך עדכון: 21 בינואר 2020

תיאור

Microsoft חשפה את נקודת החולשה הבאה:

נקודת חולשה

רמת סיכון

CVE

CVE-2020-0601: נקודת החולשה הזו נקראת גם Windows Crypto API Spoofing Vulnerability. אפשר לנצל אותה כדי לגרום לקובצי הפעלה זדוניים להיראות מהימנים או לאפשר לתוקף לערוך התקפות אדם בתווך ולפענח מידע סודי לגבי חיבורי משתמשים לתוכנה המושפעת.

ציון בסיס של NVD:‏ 8.1 (גבוהה)

CVE-2020-0601

למידע נוסף, קראו את הדיווח של Microsoft.

Google Cloud השפעה

התשתית שמארחת את Google Cloud ואת המוצרים של Google לא מושפעת מנקודת החולשה הזו. ריכזנו כאן מידע נוסף מפורט על כל מוצר ומוצר.

מוצר

השפעה

Compute Engine

CVE-2020-0601

אצל רוב הלקוחות לא נדרשת פעולה נוספת.

לקוחות שמשתמשים במכונות וירטואליות של Compute Engine שמריצות שרת Windows צריכים לוודא שהמכונות שלהם כוללות את התיקון האחרון של Windows או להשתמש בתמונות של שרת Windows שסופקו החל מ-15 בינואר 2020. לפרטים נוספים ראו עדכון אבטחה דחוף של Compute Engine.

Google Kubernetes Engine

CVE-2020-0601

אצל רוב הלקוחות לא נדרשת פעולה נוספת.

כדי לתקן את נקודת החולשה הזו, לקוחות שמשתמשים ב-GKE עם צמתים של שרתי Windows צריכים לעדכן לגרסה עם התיקון גם את הצמתים וגם את עומסי העבודה בקונטיינרים שפועלים בצמתים האלה. להוראות ולפרטים נוספים, קראו את עדכון האבטחה הדחוף ל-GKE.

שירות מנוהל ל-Microsoft Active Directory

CVE-2020-0601

אצל רוב הלקוחות לא נדרשת פעולה נוספת.

התמונה המתוקנת עודכנה אוטומטית בכל הדומיינים של שירות מנוהל ל-Microsoft AD. לקוחות שמריצים את Microsoft Active Directory באופן ידני (ולא משתמשים בשירות המנוהל של Microsoft AD) צריכים לוודא שהמכונות שלהם כוללות את התיקון האחרון של Windows או להשתמש בתמונות של שרת Windows שסופקו החל מ-15 בינואר 2020.

Google Workspace

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

הסביבה הסטנדרטית של App Engine

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

הסביבה הגמישה של App Engine

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

Cloud Run

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

פונקציות Cloud Run

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

Managed Service for Apache Airflow

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

Dataflow

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

Managed Service for Apache Spark

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

Cloud SQL

לא נדרשת פעולה מצד הלקוחות.

השירות הזה לא מושפע מנקודת החולשה הזו.

GCP-2019-001

תאריך פרסום: 12 בנובמבר 2019
תאריך עדכון: 12 בנובמבר 2019

תיאור

‏Intel דיווחה על נקודות החולשה הבאות:

נקודת חולשה

רמת סיכון

CVE

CVE-2019-11135: אפשר להשתמש בנקודת החולשה הזו שמכונה TSX Async Abort (‏TAA) כדי לנצל ביצוע ספקולטיבי בטרנזקציות של TSX. נקודת החולשה הזו עלולה לאפשר חשיפה של נתונים דרך אותם מבני נתונים במיקרו-ארכיטקטורה שנחשפו על ידי דגימת נתונים של מיקרו-ארכיטקטורה (MDS).

בינונית

CVE-2019-11135

CVE-2018-12207:‏ זוהי נקודת חולשה של התקפת מניעת שירות (DoS) שמשפיעה על מארחים של מכונות וירטואליות (לא על אורחים). הבעיה הזו נקראת Machine Check Error on Page Size Change'‏

בינונית

CVE-2018-12207

למידע נוסף, קראו את הדיווחים של Intel:

Google Cloud השפעה

התשתית שמארחת את המוצרים של Google Cloud ו-Google מוגנת מפני נקודות החולשה האלה. Google Cloud ריכזנו כאן מידע נוסף מפורט על כל מוצר ומוצר.

מוצר

השפעה

Compute Engine

CVE-2019-11135

אצל רוב הלקוחות לא נדרשת פעולה נוספת.

לקוחות N2,‏ C2 ו-M2 שמריצים קודים לא מהימנים בשירותים מרובי-הדיירים שלהם בתוך מכונות וירטואליות של Compute Engine, צריכים להפסיק ולהפעיל מחדש את המכונות הווירטואליות כדי לוודא שהן מעודכנות עם תיקוני האבטחה האחרונים.

CVE-2018-12207

אצל כל הלקוחות לא נדרשת פעולה נוספת.

Google Kubernetes Engine

CVE-2019-11135

אצל רוב הלקוחות לא נדרשת פעולה נוספת.

אם אתם משתמשים במאגרי צמתים עם צמתים מסוג N2,‏ M2 ו-C2, והצמתים האלה מריצים קודים לא מהימנים בתוך אשכולות GKE מרובי-דיירים, עליכם להפעיל מחדש את הצמתים שלכם. אם אתם רוצים להפעיל מחדש את כל הצמתים במאגר, תצטרכו לשדרג את מאגר הצמתים שהושפע.

CVE-2018-12207

אצל כל הלקוחות לא נדרשת פעולה נוספת.

הסביבה הסטנדרטית של App Engine

לא נדרשת כל פעולה נוספת.

הסביבה הגמישה של App Engine

CVE-2019-11135

לא נדרשת כל פעולה נוספת.

כדאי ללקוחות לקרוא את השיטות המומלצות של Intel בקשר לשיתוף ברמת האפליקציה, שעשויה להתרחש בין hyper-threads בתוך Flex VM.

CVE-2018-12207

לא נדרשת כל פעולה נוספת.

Cloud Run

לא נדרשת כל פעולה נוספת.

פונקציות Cloud Run

לא נדרשת כל פעולה נוספת.

Managed Service for Apache Airflow

לא נדרשת כל פעולה נוספת.

Dataflow

CVE-2019-11135

אצל רוב הלקוחות לא נדרשת פעולה נוספת.

ללקוחות Dataflow שמריצים מספר עומסי עבודה לא מהימנים במכונות וירטואליות מסוג N2,‏ C2 ו- M2 של Compute Engine המנוהלות על ידי Dataflow, וחוששים ממתקפות פנימיות של אורחים, כדאי להפעיל מחדש את כל צינורות עיבוד הנתונים בזמן אמת שהם מריצים כרגע. הם גם יכולים לבטל את כל צינורות עיבודי נתונים בבת אחת ולהפעיל אותם מחדש. לא נדרשת כל פעולה נוספת לגבי צינורות עיבוד נתונים שיופעלו מהיום והלאה.

CVE-2018-12207

אצל כל הלקוחות לא נדרשת פעולה נוספת.

Managed Service for Apache Spark

CVE-2019-11135

אצל רוב הלקוחות לא נדרשת פעולה נוספת.

ללקוחות Cloud Dataproc שמפעילים מספר עומסי עבודה לא מהימנים באותו אשכול של Cloud Dataproc במכונות וירטואליות מסוג N2,‏ C2 ו- M2 של Compute Engine, ומודאגים ממתקפות פנימיות של אורחים, כדאי לפרוס מחדש את האשכולות.

CVE-2018-12207

אצל כל הלקוחות לא נדרשת פעולה נוספת.

Cloud SQL

לא נדרשת כל פעולה נוספת.