安全公告

Apigee 平台中发现了一个漏洞，该漏洞可能会让在自己的 Apigee 环境中拥有管理员或开发者级权限的恶意方提升权限并访问跨租户数据。

具体而言，Apigee X 的沙盒技术中的一个漏洞允许使用链路本地端点来访问客户租户项目中的服务账号令牌 (P4SA)。利用此身份，攻击者理论上可以读取其他 Apigee 组织（租户）中的分析元数据或篡改内部监控记录。

该怎么做？

客户无需采取任何操作。Google 已实施多层缓解策略来解决此问题：

• 缓解令牌滥用问题：缓解了运行时 pod 中 Apigee 服务账号令牌的漏洞利用向量。
• 最小权限原则：Apigee 服务账号权限已受到限制，以防止未经授权的修改。
• 数据隔离：已移除文件夹级服务账号对多租户 Google Cloud Storage 存储分区的访问权限。

Google 已确认，虽然理论上可以访问内部监控记录，但这些记录仅供 Google 内部使用，其泄露不会影响 Apigee 中客户数据的安全性或完整性。

2026 年 1 月之前的 Log Analytics 界面版本可以配置为自动执行 SQL 查询。此漏洞可让攻击者精心设计查询网址，当具有凭据的用户打开该网址时，攻击者便可访问表内容或产生查询费用。

如需了解详情，请参阅 Google Cloud Observability 安全公告。

一组安全漏洞会影响 Intel® TDX 固件。这些漏洞涵盖各种缺陷，包括竞态条件 (CVE-2025-30513、CVE-2025-31944)、越界读取 (CVE-2025-32007、CVE-2025-27940)、使用未初始化的变量 (CVE-2025-32467) 以及在瞬态执行期间暴露敏感信息 (CVE-2025-27572)。这些问题加在一起可能会导致信息泄露、权限升级或拒绝服务。利用通常需要系统上的特权用户访问权限。

该怎么做？

客户无需采取任何操作。我们已对 Google 服务器舰队应用了所有相关修复。如需了解详情，请参阅 Intel 的 PSIRT 技术咨询 INTEL-TA-01397。

• CVE-2025-30513
• CVE-2025-31944
• CVE-2025-32007
• CVE-2025-32467
• CVE-2025-27572
• CVE-2025-27940

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2025-40297

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

我们在 OpenSSL 库中发现了多个安全漏洞。最重要的发现是 CVE-2025-15467，这是一个严重程度为“严重”的漏洞，可能会允许通过基于网络的向量进行远程代码执行 (RCE) 或拒绝服务 (DoS) 攻击。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

此漏洞会影响 2026 年 1 月之前的 Log Analytics 界面和 Cloud Monitoring 信息中心界面版本。

如需了解详情，请参阅 Google Cloud Observability 安全公告。

Compute Engine 中发现了一个漏洞，该漏洞会影响 C4A 和 A4X 虚拟机：

• CVE-2025-0647

如需了解相关说明和更多详情，请参阅 Compute Engine 安全公告。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2025-39964

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2025-40215

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2025-40214

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

Cloud Data Fusion 中发现了以下漏洞：

• CVE-2025-9571

如需了解相关说明和更多详情，请参阅 Cloud Data Fusion 安全公告。

Google Security Operations SOAR 的自定义集成功能中存在一个漏洞，经过身份验证且具有 IDE 角色的用户可以利用该漏洞在服务器上实现远程代码执行 (RCE)。此漏洞是由于 Python 软件包代码的验证不足所致，导致攻击者可以上传包含恶意 setup.py 文件的软件包。然后，此文件可能会在安装过程中执行，从而危及服务器。

该怎么做？

客户无需采取任何操作。所有客户都已自动升级到修复后的版本：6.3.64 或更高版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2025-39965

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

在 Envoy 代理中发现了以下漏洞：

• CVE-2025-66220
• CVE-2025-64527
• CVE-2025-64763

如需了解相关说明和更多详情，请参阅 Cloud Service Mesh 安全公告。

• CVE-2025-66220
• CVE-2025-64527
• CVE-2025-64763

2025 年 12 月 4 日更新：现在提供 Web 应用防火墙规则。

我们在开源 React 和 Next.js 框架中发现了一个远程代码执行漏洞。虽然 Google Cloud 本身并不存在漏洞，但运行在 Google Cloud 上的这些框架的用户可能容易受到攻击。

以下框架版本会受到此漏洞的影响：

• React 19.0、19.1.0、19.1.1 和 19.2.0
• Next.js 15.x、Next.js 16.x 和 Next.js 14.3.0-canary.77 及更高版本的 Canary 版

以下框架版本包含针对此漏洞的修复：

• React 19.0.1、19.1.2 和 19.2.1
• Next.js 15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7、15.6.0-canary.58 和 16.0.7

如需了解详情，请参阅有关这些漏洞的 React 建议和 Vercel 建议。

客户应立即采取行动，通过重新部署具有更新依赖项的工作负载来保护其工作负载。

Google 如何提供帮助？

我们已发布一项 Cloud Armor Web 应用防火墙 (WAF) 规则，旨在检测并阻止相关的漏洞利用尝试。这项新规则旨在帮助保护使用全球或区域级应用负载平衡器的面向互联网的应用和服务。我们建议您在更新工作负载时，暂时部署此规则作为缓解措施。 如需了解有关应用此规则的说明，请参阅这篇博文。

对于使用 App Engine 标准版、Cloud Functions、Cloud Run Functions、Cloud Run、Firebase Hosting 或 Firebase App Hosting 的客户，系统已强制执行一项规则，以限制通过向自定义网域和默认网域发送请求来实施的利用行为。

使用 Artifact Analysis 的客户将收到有关新制品和现有制品中这些漏洞的通知，以便他们识别存在风险的工作负载。

如有新信息，我们会更新本安全公告。

2025-12-11 更新： 添加了 GDC (VMware) 的补丁版本和严重程度评级。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2025-40019

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

2025-12-11 更新： 添加了 GDC (VMware) 的补丁版本和严重程度评级。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2025-40018

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

在 runc（一种用于运行容器的开源软件组件）中发现了多个安全问题；这些漏洞（CVE-2025-31133、CVE-2025-52565 和 CVE-2025-52881）中披露的攻击使得攻击者可在 Cloud Run 工作器池和作业中执行完全容器逃逸，从而导致根权限从容器中提升到沙盒实例。如果攻击者拥有部署恶意容器映像的权限，则可以利用这些漏洞来访问您的 Cloud Run 沙盒实例中的其他容器。

• CVE-2025-31133
• CVE-2025-52565
• CVE-2025-52881

工作器池、作业和少量尚未更新的服务存在漏洞。

我们正在准备在 1 月初推出更新。发布完成后，我们会更新此公告。

请通过 g.co/vrp 向 Cloud 漏洞奖励计划报告与此漏洞相关的任何问题。

• CVE-2025-31133
• CVE-2025-52565
• CVE-2025-52881

Looker 修复了一个漏洞，该漏洞可能会导致 Looker 中具有查看者权限的攻击者精心设计一个恶意网址，当 Looker 管理员打开该网址时，系统会执行攻击者提供的脚本。利用漏洞需要实例上至少安装一个 Looker 扩展程序。

Looker 托管的实例和自行托管的实例均被发现存在漏洞。

对于 Looker 托管的实例，此问题已得到缓解。

该怎么做？

Looker 托管的实例：

客户无需采取任何操作。

仅限自托管 Looker 实例：

如果您的 Looker 实例是自托管的，我们建议您尽快升级 Looker 实例。我们已在所有受支持的 Looker 版本中修补了此漏洞，以用于自托管实例。以下所有版本都经过更新，针对此漏洞采取了保护措施：

• 25.16.0 及所有更高版本
• 25.12.7+
• 25.6.66+
• 25.0.79+
• 24.18.201+

您可以在 Looker 下载页面上下载这些 Looker 版本：https://download.looker.com/

Looker 修复了一项漏洞，该漏洞可能会导致攻击者在配置了 OIDC 身份验证的 Looker 实例中接管 Looker 账号，原因是电子邮件地址字符串规范化。

Looker 托管的实例和自行托管的实例均被发现存在漏洞。

对于 Looker 托管的实例，此问题已得到缓解。

该怎么做？

Looker 托管的实例：

客户无需采取任何操作。

仅限自托管 Looker 实例：

如果您的 Looker 实例是自托管的，我们建议您尽快将 Looker 实例升级到以下版本之一：

• 25.10.22+
• 25.8.39+
• 25.6.57+
• 25.0.69+
• 24.18.193+
• 24.12.100+

您可以在 Looker 下载页面上下载这些 Looker 版本：https://download.looker.com/

注意：版本 25.12 及更高版本不受此安全问题的影响。

2025-11-27 更新：添加了 GKE 和 GDC（裸机）的补丁版本。

在 runc（GKE 的默认低级容器运行时）中发现了一组三个容器逃逸漏洞。这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权：

• CVE-2025-31133
• CVE-2025-52565
• CVE-2025-52881

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

• CVE-2025-31133
• CVE-2025-52565
• CVE-2025-52881

研究人员在 AMD Milan 机器上发现了 AMD SEV-SNP（安全嵌套分页）中的一个漏洞。

攻击可能会导致恶意 Hypervisor 操纵 RMP 初始化值，从而可能导致 AMD SEV-SNP 客户机内存完整性丢失。

Google 已发布一项缓解措施，可防止出现此问题。

该怎么做？

客户无需采取任何行动即可缓解此问题。我们已针对采用 AMD SEV-SNP 的机密虚拟机实例应用了缓解措施。

不过，采用 AMD SEV-SNP 的机密虚拟机实例现在使用 v4 证明格式。使用 go-sev-guest 库来解析证明报告的客户应更新到 go-sev-guest v0.14.0 或更高版本。

对于使用自己的解析器的客户，证明报告格式则由 SEV 安全嵌套分页固件 ABI 规范定义。

解决了哪些漏洞？

如需了解详情，请参阅 AMD 咨询 AMD-SB-3020。

在 Envoy 代理中发现了以下漏洞：

• CVE-2025-62504
• CVE-2025-62409

如需了解相关说明和更多详情，请参阅 Cloud Service Mesh 安全公告。

• CVE-2025-62504
• CVE-2025-62409

2025-11-17 更新： 添加了 Ubuntu GKE 节点的补丁版本。

2025-10-30 更新：添加了 GDC software for VMware 的补丁版本和严重程度评级

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2025-39682

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

2025-10-30 更新：添加了 GKE 上 Ubuntu 节点的补丁版本，以及 GDC software for VMware 的补丁版本和严重程度评级

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2024-58240

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

在开源 Valkey 和 Redis 中发现了一个远程代码执行漏洞。因此，Memorystore for Redis、Memorystore for Redis Cluster 和 Memorystore for Valkey 支持的所有版本都会受到影响。

默认情况下，Google Cloud 的 Memorystore 资产不会向公共互联网公开，因此对于遵循 Google Cloud 安全最佳实践的 Memorystore 用户而言，此漏洞的风险为低。

您该怎么做？

Google 已开始自动应用补丁，预计完成日期为 2025 年 11 月 6 日。您无需采取任何行动即可获得此修复。

如果您想在 2025 年 11 月 6 日之前将这些补丁应用到 Memorystore 集群或实例，请使用自助维护完成以下操作：

1. 查看 Memorystore for Redis 实例、Memorystore for Redis Cluster 中的集群或 Memorystore for Valkey 实例的当前维护版本。
2. 验证版本是否与最新的已修补版本一致。
3. 如果版本不是最新的维护版本，请使用自助式维护将实例或集群更新为最新的维护版本，适用于 Memorystore for Redis、Memorystore for Redis Cluster 和 Memorystore for Valkey。

Oracle 发布了一份安全警报，确认 Oracle E-Business Suite (EBS) 容易受到未经身份验证的攻击。

该怎么做？

Google 不使用 Oracle EBS，因此 Google Cloud 不受此漏洞的影响。

2025-10-22 更新：添加了指向 CVE 的链接。

2025 年 9 月 23 日，我们发现 Vertex AI API 中存在一个技术问题，该问题导致在使用流式传输请求时，某些第三方模型的部分回答在收件人之间错误路由。该问题现已解决。 Google 模型（例如 Gemini）未受到影响。

某些内部代理未正确处理具有 Expect: 100-continue 标头的 HTTP 请求，导致流式响应连接出现不同步，本应针对一个请求的响应被错误地作为后续请求的响应发送了出去。

我该怎么做？

我们已实施修复，以正确处理 Expect: 100-continue 标头，并防止此问题再次发生。我们还添加了测试、监控和提醒功能，以便快速检测到此问题的发生，防止出现回归。目前，客户无需采取任何措施来防止出现意外行为。

修复程序已按不同时间表部署到不同模型中，Anthropic 模型已于 9 月 26 日凌晨 12:45（太平洋夏季时间）修复，所有其他平台已于 9 月 28 日晚上 7:10（太平洋夏季时间）修复。Vertex AI API 上受影响的模型以及问题解决时间如下所示：

• Anthropic 合作伙伴模型即服务模型 (Claude)

  • 该问题已于 2025 年 9 月 26 日凌晨 12:45（太平洋夏季时间）修复。

• 所有开放式模型即服务模型，包括：DeepSeek（R1-0528 和 V3.1）、OpenAI（gpt-oss-120b 和 gpt-oss-20b）、Qwen（Next Instruct 80B、Next Thinking 80B、Qwen 3 Coder 和 Qwen 3 235B）、Llama（Maverick、Scout、3.3、3.2、3.1 405b、3.1 70b 和 3.1 8b）

  • 该问题已于 2025 年 9 月 28 日凌晨 2:43（太平洋夏季时间）修复。

• Mistral 和 AI21 合作伙伴模型即服务模型

  • 该问题已于 2025 年 9 月 28 日上午 11:00（太平洋夏季时间）修复。

• 使用公共端点调用了“StreamRawPredict”“ChatCompletions”“GenerateContent”或“StreamGenerateContent”方法的自行部署的模型

  • 该问题已于 2025 年 9 月 28 日晚上 7:10（太平洋夏季时间）修复。

  • 专用（Model Garden 中的默认设置）端点和私有端点均未受到影响。

在 AMD Zen 5 处理器 (Turin) 的 RDSEED 指令中发现了一个缺陷。此指令用于生成加密随机数。在某些系统负载条件下，16 位和 32 位版本的 RDSEED 可能会静默失败，从而可能会影响依赖于随机数生成的应用。使用 64 位版 RDSEED 的客户不受影响。

该怎么做？

AMD 正在调查此漏洞。

请务必注意，64 位 Linux 内核使用 RDSEED 指令的安全 64 位版本，该版本可提供从 /dev/[u]random 获取的随机数。这些随机数不受此漏洞的影响。

如果您有使用 RDSEED 指令自行合成随机数的应用代码，请注意该指令的 16 位和 32 位版本是不安全的。64 位版本的指令是安全的。

解决了哪些漏洞？

此漏洞允许攻击者导致 RDSEED 静默失败，从而可能危及应用中的随机数生成。

2025-11-11 更新： 添加了 GKE 中 Ubuntu 节点池的补丁版本。

2025-10-27 更新：添加了 GDC software for VMware 的补丁版本和严重程度评级。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2025-38618

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

2025-11-13 更新：添加了 GDC software for VMware 的补丁版本。将 GDC software for VMware 的严重程度更新为“高”。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2025-39946

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

2025-11-11 更新： 添加了 GKE 中 Ubuntu 节点池的补丁版本。

2025-10-16 更新：添加了 GDC software for VMware 的补丁版本和严重程度评级

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2025-38617

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

根据 VMware 安全建议 VMSA-2025-0015，Broadcom 收到关于 VMware Aria Operations 和 VMware Tools 中存在多个漏洞的非公开报告。我们发布了补丁，以修复受影响的 Broadcom 产品中的这些漏洞。

该怎么做？

我们建议升级到 VMware Aria Automation 8.18.5 和 VMware Tools 13.0.5。

• VMSA-2025-0015
• CVE-2025-41244
• CVE-2025-41245
• CVE-2025-41246

Looker Studio 已修复外部研究人员通过 Google 和 Alphabet 漏洞奖励计划 (VRP) 报告的漏洞，但未发现任何被利用的证据。这些问题现已解决，用户无需执行任何操作。

该怎么做？

客户无需采取任何操作。

解决了哪些漏洞？

这些漏洞允许通过共享报告、具有查看者凭据的数据源、Studio Linking API 和 Conversational Analytics 未经授权地访问数据。

Looker 已修复外部研究人员通过 Google 和 Alphabet 漏洞奖励计划 (VRP) 报告的漏洞，但未发现任何被利用的证据。这些问题现已解决，Looker (Google Cloud Core) 和 Looker（原始版本）上的 Looker 托管客户无需执行任何操作。我们建议将自托管的 Looker 实例更新到受支持的最新版本。

该怎么做？

Looker 托管的实例：Looker (Google Cloud Core) 实例和 Looker（原始版本）实例

客户无需采取任何操作。

仅限自托管 Looker 实例

如果 Looker 实例是自托管的，我们建议您将 Looker 实例升级到以下版本之一：

• 25.12.30+
• 25.10.54+
• 25.6.79+
• 25.0.89+
• 24.18.209+

注意：版本 25.14 及更高版本不受这些安全问题的影响。

解决了哪些漏洞？

这些漏洞使得 Looker 中拥有开发者权限的用户能够访问托管 Looker 的底层系统及其内部数据库。

研究人员发现了一个会影响 Intel CPU 和所有 AMD Zen CPU 的安全漏洞。攻击者可利用已知的推测性执行漏洞，通过此漏洞读取敏感数据。

该怎么做？

目前无需采取任何措施，因为 Google 已针对受影响的资产（包括 Google Cloud）应用了修复，以在整个舰队中无中断地缓解该问题。

解决了哪些漏洞？

如需了解详情，请参阅 COMSEC 博文。

2025-11-11 更新： 添加了 GKE 中 Ubuntu 节点池的补丁版本。

2025-10-15 更新： 添加了 GDC software for VMware 的补丁版本和严重程度评级。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2025-38500

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

在 Google Security Operations SOAR 版本 6.3.54.0 和 6.3.53.2 中发现了一个严重漏洞。具有上传 ZIP 文件权限（例如，在导入用例时）的已通过身份验证的用户可以上传能够将文件写入服务器文件系统上任意位置的 ZIP 归档文件。

用于从 ZIP 归档中提取文件的系统无法阻止归档中的文件被写入其预期目标文件夹之外的位置。此漏洞也称为目录遍历或 Zip Slip 漏洞。

该怎么做？

客户无需采取任何操作。所有客户都已自动升级到修复后的版本或更高版本：6.3.54.1 或 6.3.53.3

解决了哪些漏洞？

攻击者可以利用此漏洞覆盖应用文件。通过覆盖报告生成功能使用的 JavaScript 文件，攻击者可以在 Google SecOps SOAR 实例上实现远程代码执行 (RCE)。攻击者可以在服务器上运行自己的代码。

如需了解详情，请参阅 Google SecOps GCP-2025-049 安全公告。

在 Envoy 代理中发现了以下漏洞：

• CVE-2025-54588

如需了解相关说明和更多详情，请参阅 Cloud Service Mesh 安全公告。

2025-09-25 更新：添加了 GKE 上 Ubuntu 节点池的补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2025-38350

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

2025-11-11 更新： 添加了 GKE 中 Ubuntu 节点池的补丁版本。

2025-10-15 更新： 添加了 GDC software for VMware 的补丁版本和严重程度评级。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2025-38477

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

一位外部研究人员通过 Google 和 Alphabet 漏洞奖励计划 (VRP) 报告了 Dataform API 中的一个漏洞。此漏洞可能会导致未经授权的用户访问客户代码库和数据。Google 迅速修复了该问题，并向所有区域发布了修复程序。目前，Google 未发现或收到任何漏洞被利用的证据。

该怎么做？

客户无需采取任何操作。Google 已针对所有受影响的产品和服务应用了缓解措施。

解决了哪些漏洞？

如需了解详情，请参阅 CVE-2025-9118。

Intel 向 Google 通报了两个新的安全漏洞。

CVE-2025-21090：此漏洞会影响以下 Intel 处理器：

• Sapphire Rapids：C3、Z3、H3、A3、v5p 虚拟机系列
• Emerald Rapids：N4、C4、M4、A3 Ultra、A4 虚拟机系列
• Granite Rapids：N4、C4 虚拟机系列

CVE-2025-22840：此漏洞会影响以下 Intel 处理器：

• Granite Rapids：N4、C4 虚拟机系列

该怎么做？

对于这两个漏洞，客户无需采取任何行动。Google 将在您的标准维护窗口和计划维护窗口期间主动更新您的系统。目前，Google 未发现或收到任何漏洞被利用的证据。

解决了哪些漏洞？

此漏洞 (CVE-2025-21090) 允许未获授权的操作者利用 AMX CPU 指令与 AVX CPU 指令相结合，使宿主机无法运行。

漏洞 CVE-2025-22840 允许非特权执行者利用 prefetchit CPU 指令加载其原本无法访问的内存内容，从而可能导致远程代码执行。

• CVE-2025-21090
• CVE-2025-22840

protobuf-python 的纯 Python 实现中存在潜在的拒绝服务攻击 (DoS) 漏洞。攻击者可以通过发送精心设计的消息来导致服务崩溃。

影响

如果您在项目中直接或间接导入了 protobuf-python，则可能会受到影响。请注意，Python 版 Cloud 客户端库使用 protobuf-python 作为依赖项。如果您使用这些库，请确保您使用的是下一部分中提到的 protobuf-python 版本。

该怎么做？

确保您使用的是以下软件包的最新版本：

• protobuf-python（4.25.8、5.29.5、6.31.1）

该补丁解决了哪些漏洞？

该补丁程序解决了以下漏洞：

当纯 Python 后端解析某些 Protocol Buffers 消息时，会出现无界递归，从而导致此漏洞。未经身份验证的攻击者可以发送包含深度嵌套的递归群组、消息或一系列 SGROUP 标记的消息。此输入会导致 Python 解释器超出其最大递归深度，从而触发 RecursionError 并导致服务崩溃，最终导致拒绝服务。任何使用受影响的后端解析不受信任数据的项目都存在风险。

如需了解详情，请参阅 Protobuf 安全公告。

高

CVSS v4.0

得分：8.2

此问题仅影响 python Protobuf 实现后端。

无论检查 Protobuf 实现后端时返回的值是什么，都建议进行升级，因为环境变量 PROTOCOL_BUFFERS_PYTHON_IMPLEMENTATION 可以在运行时更改 Protobuf 实现后端。

研究人员在特定 Intel CPU（包括基于 Skylake、Broadwell 和 Haswell 微架构的 CPU）中发现了一个安全漏洞。此漏洞可能会让攻击者直接从 CPU 的 L1 缓存中读取他们无权访问的敏感数据。

此漏洞最初于 2018 年在 CVE-2018-3646 中披露。发现此漏洞后，Google 立即实施了缓解措施，以应对已知风险。当时发布了有关该漏洞和初始修复的通信。自那时起，我们一直在研究剩余风险，并与上游 Linux 社区合作来缓解此风险。

最近，我们与学术界的安全研究人员合作，评估了最新的 CPU 安全缓解措施，以及 2018 年未考虑到的潜在攻击技术。

Google 针对受影响的资产（包括 Google Cloud）应用了修复，以缓解此问题。

该怎么做？

客户无需采取任何操作。我们针对 Google 服务器舰队应用了缓解措施。

解决了哪些漏洞？

如需了解详情，请参阅 Intel 咨询 INTEL-SA-00161 和 CVE-2018-3646。

2025-11-10 更新：添加了 GDC software for VMware 的补丁版本。将 GDC software for VMware 的严重程度更新为“高”。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Ubuntu 节点上的提权：

• CVE-2025-37890

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

根据安全建议 VMSA-2025-0013，Broadcom 收到关于 VMware ESXi 中存在多个漏洞的非公开报告。

我们已经修补了这些漏洞，或者正在应用 Broadcom 提供的必要补丁。对于这些报告的漏洞，目前没有已知的解决方法。

修补后，您的 VMware Engine 部署应运行 ESXi 7.0U3w 或 ESXi 8.0U3f 或更高版本。

该怎么做？

Google 建议客户监控 VMware Engine 上的工作负载，以发现任何异常活动。

• VMSA-2025-0013
• CVE-2025-41236
• CVE-2025-41237
• CVE-2025-41238
• CVE-2025-41239

2025-11-10 更新：添加了 GDC software for VMware 的补丁版本。将 GDC software for VMware 的严重程度更新为“高”。

2025-08-28 更新：添加了 GKE 上 Ubuntu 节点池的补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2025-38083

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

2025-09-25 更新：添加了 GKE 上 Ubuntu 节点池的补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2025-37752

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

AMD 披露了两个会影响 AMD EPYC 第 2 代 (Rome)、第 3 代 (Milan) 和第 4 代 (Genoa) CPU 的漏洞。这些漏洞使攻击者能够根据之前的存储区或 L1D 缓存推断数据，从而可能导致敏感信息泄露。

Google 已发布一项缓解措施，可防止虚拟机之间发生此类信息泄露。

单个虚拟机中的进程仍有可能利用这些漏洞。

该怎么做？

2025 年 7 月 8 日之后，以下虚拟机可使用客机级缓解措施来防范客机内攻击：

• 首次启动的虚拟机。
• 已完全停止并重新启动的虚拟机。操作系统重启不会启用缓解措施，必须完全重启虚拟机本身才能启用缓解措施。客机操作系统内核必须支持此缓解措施，才能使其生效。

如需了解详情，请参阅 AMD 安全公告 AMD-SB-7029。

• CVE-2024-36350
• CVE-2024-36357

2025-11-10 更新：添加了 GDC software for VMware 的补丁版本。将 GDC software for VMware 的严重程度更新为“高”。

2025-07-21 更新： 添加了 GKE 上 Ubuntu 节点池的补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2025-38001

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

2025-11-10 更新：添加了 GDC software for VMware 的补丁版本。将 GDC software for VMware 的严重程度更新为“高”。

2025-07-21 更新： 添加了 GKE 上 Ubuntu 节点池的补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2025-37997

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

2025-07-21 更新： 添加了 GKE 上 Ubuntu 节点池的补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2025-38000

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

发现了一个安全问题，攻击者可能会绕过 GKE 集群的工作负载隔离限制。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

2025-07-21 更新： 添加了 GKE 上 Ubuntu 节点池的补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2025-37798

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

2025-08-26 更新：添加了 GKE 上 Ubuntu 节点池的补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2025-37797

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

根据 VMware 安全建议 VMSA-2024-0017，VMware 收到关于 VMware Aria Automation 中 SQL 注入漏洞的非公开报告。我们发布了补丁，以修复受影响的 VMware 产品中的此漏洞。

该怎么做？

我们建议升级到 VMware Aria Automation KB325790。

• VMSA-2024-0017
• CVE-2024-22280

根据 VMware 安全建议 VMSA-2025-0006，VMware 收到关于 VMware Aria Operations 中本地权限提升漏洞的负责任报告。我们发布了补丁，以修复受影响的 VMware 产品中的此漏洞。

该怎么做？

我们建议升级到 VMware Aria Operations 8.18 HF5。

• VMSA-2025-0006
• CVE-2025-22231

根据 VMware 安全建议 VMSA-2025-0003，VMware 收到关于 VMware Aria Operations for Logs 和 VMware Aria Operations 中存在多个漏洞的非公开报告。我们发布了补丁，以修复受影响的 VMware 产品中的此漏洞。

该怎么做？

我们建议将 VMware Aria Operations for Logs 升级到 8.18.3，将 VMware Aria Operations 升级到 8.18.3。

• VMSA-2025-0003
• CVE-2025-22218
• CVE-2025-22219
• CVE-2025-22220
• CVE-2025-22221
• CVE-2025-22222

在 2025 年 4 月 26 日之前，在传统应用负载均衡器服务中检测到一个安全漏洞。

该怎么做？

客户无需采取任何操作。此问题已于 2025 年 4 月 26 日在传统应用负载均衡器服务中得到解决。

解决了哪些漏洞？

CVE-2025-4600：由于错误解析过大的分块正文，攻击者可以将请求偷偷传送到传统应用负载均衡器。在使用分块传输编码解析 HTTP 请求的请求正文时，传统应用负载均衡器允许过大的分块正文。因此，可以在此被忽略的尾随数据中隐藏字节，而上游 HTTP 服务器可能会错误地将其解读为行终止符。我们已于 2025 年 4 月 26 日在传统应用负载均衡器服务中解决此漏洞，方法是改进了输入验证和解析逻辑。

我们随时为您提供帮助

如果您有任何疑问或需要帮助，请与 Cloud Customer Care 团队联系。

根据 VMware 安全咨询 VMSA-2025-0008，VMware 收到关于 VMware Aria Automation 中基于 DOM 的跨站脚本攻击 (XSS) 漏洞的非公开报告。我们发布了补丁，以修复受影响的 VMware 产品中的此漏洞。

该怎么做？

我们建议升级到 VMware Aria Automation 8.18.1 补丁 2。

• VMSA-2025-0008
• CVE-2025-22249

Intel 向 Google 通报了影响以下 Intel 处理器的新边信道漏洞：CascadeLake、Ice Lake XeonSP、Ice Lake XeonD、Sapphire Rapids 和 Emerald Rapids。

Google 针对受影响的资产（包括 Google Cloud）应用了修复，以确保客户得到保护。目前，Google 未发现或收到任何漏洞被利用的证据。

该怎么做？

客户无需采取任何操作。我们已针对 Google 服务器舰队应用了修复，以保护客户。

解决了哪些漏洞？

CVE-2024-45332。 如需了解详情，请参阅 Intel 咨询 INTEL-SA-01247。

我们随时为您提供帮助

如果您有任何疑问或需要帮助，请与 Cloud Customer Care 团队联系，并提供问题编号 417536835。

2025-05-13 更新：如果您有任何疑问或需要帮助，请与 Cloud Customer Care 团队联系，并提供问题编号 417458390。

Intel 向 Google 通报了影响 Intel Cascade Lake 处理器和 Intel Ice Lake 处理器的新推测执行漏洞。

Google 针对受影响的资产（包括 Google Cloud）应用了修复，以确保客户得到保护。目前，Google 未发现或收到任何漏洞被利用的证据。

该怎么做？

客户无需采取任何操作。我们针对 Google 服务器舰队应用了缓解措施。

Intel 原始设备制造商 (OEM) 和其他操作系统合作伙伴的进一步缓解措施将在可用后立即部署，以缓解同模式间接目标选择 (ITS) 漏洞。

应用操作系统缓解措施后，长时间运行第 3 代或更高版本虚拟机的客户可能会遇到一些意外的性能下降问题

解决了哪些漏洞？

CVE-2024-28956。如需了解详情，请参阅 Intel 安全咨询 INTEL-SA-01153。

我们已发现并处理 JavaCallout 和 PythonScript 政策中存在的潜在安全漏洞，若未及时处理，这些漏洞可能被利用。

如需了解相关说明和更多详情，请参阅 Apigee 安全公告。

2025-05-22 更新：添加了 GKE 上 Ubuntu 节点池的补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2025-21702

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

2025-06-02 更新：添加了 GKE 上 Ubuntu 节点池的补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2025-21971

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

Looker 中的一个漏洞允许 Looker 中具有管理员权限（具体而言是 manage_project_connections_restricted）的用户从底层主机文件系统中读取文件并查询内部网络端点。此问题现已解决，使用 Looker (Google Cloud Core) 和 Looker（原始版本）的 Looker 托管客户无需执行任何操作。我们建议将自托管的 Looker 实例更新到受支持的最新版本。

我们已在所有受支持的客户托管 Looker 版本中修补了此漏洞，这些版本可在 Looker 下载页面上找到。

该怎么做？

• 对于 Looker 托管的所有实例（包括 Looker [Google Cloud Core] 和 Looker [原始版本] 实例），您无需采取任何措施。
• 对于客户托管的 Looker 实例，请尽快更新到最新支持的 Looker 版本。以下所有版本都经过更新，针对此漏洞采取了保护措施。您可以在 Looker 下载页面上下载这些版本：
  • 25.4 -> 25.4.29+
  • 25.2 -> 25.2.34+
  • 25.0 -> 25.0.55+
  • 24.18 -> 24.18.185+
  • 24.12 -> 24.12.95+
  • 24.6 -> 24.6.107+

2025-06-26 更新：添加了 GDC software for VMware 的补丁版本。

2025-05-22 更新：添加了 GKE 上 Ubuntu 节点池的补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权：

• CVE-2025-21701

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

2025-10-09 更新：添加了 GKE 上 Ubuntu 节点的补丁版本

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权：

• CVE-2025-40364

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

2025-05-22 更新：添加了 GKE 上 Ubuntu 节点池的补丁版本。

2025-05-05 更新：添加了 GDC software for VMware 的补丁版本。将 GDC software for VMware 的严重程度更新为“高”。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2025-21756

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

2025-05-22 更新：添加了 GKE 上 Ubuntu 节点池的补丁版本。

2025-04-29 更新：添加了 GDC software for VMware 的补丁版本。将 GDC software for VMware 的严重程度更新为“高”。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2023-52927

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

2025-05-22 更新：添加了 GKE 上 Ubuntu 节点池的补丁版本。

2025-04-17 更新：添加了 GDC (VMware) 的补丁版本。将 GDC (VMware) 的严重程度从“待确定”更新为“高”。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2025-21700

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

2025-05-22 更新：添加了 GKE 上 Ubuntu 节点池的补丁版本。

2025-05-05 更新：添加了 GDC software for VMware 的补丁版本。将 GDC software for VMware 的严重程度更新为“高”。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2025-21703

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

在 NGINX Ingress 控制器 (ingress-nginx) 中发现了多个安全问题，该控制器是一种在 Kubernetes 集群内运行的开源软件组件，可帮助管理进入集群的网络流量。在我们发现的安全问题中，最严重的是 CVE-2025-1974。如需了解完整详情和完整列表，请参阅 Kubernetes CVE Feed。

这些问题会影响 ingress-nginx。如果您的集群上未安装 ingress-nginx，则不会受到影响。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

2025-04-10 更新：添加了 Ubuntu GKE 节点和 GDC software for VMware 的补丁版本。将 GDC software for VMware 的严重程度更新为“高”。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2024-53164

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

VMware 在 VMSA-2025-0004 中披露了多个影响客户环境中部署的 ESXi 组件的漏洞。

VMware Engine 影响

您的私有云已修补或正在更新，以解决安全漏洞。作为 VMware Engine 服务的一部分，所有客户都会获得专用裸机主机，该主机具有实际与其他硬件隔离的本地挂接磁盘。这意味着，该漏洞仅限于您特定私有云中的客户虚拟机。

您的私有云将更新为 7.0u3s build 号 24534642。这相当于 7.0U3s：build 号 24585291。

该怎么做？

请遵循 Broadcom 和安全供应商针对此漏洞提供的说明。

• VMSA-2025-0004
• CVE-2025-22224
• CVE-2025-22225
• CVE-2025-22226

2025-06-02 更新：添加了 GKE 上 Ubuntu 节点池的补丁版本。

2025-04-10 更新：添加了 GDC software for VMware 的补丁版本。将 GDC software for VMware 的严重程度更新为“高”。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2024-56770

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

Envoy 项目最近公布了几个新的安全漏洞（CVE-2024-53269、CVE-2024-53270 和 CVE-2024-53271），攻击者可能会利用这些漏洞导致 Envoy 崩溃。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

• CVE-2024-53269
• CVE-2024-53270
• CVE-2024-53271

2025-04-10 更新：添加了 GDC software for VMware 的补丁版本。将 GDC software for VMware 的严重程度更新为“高”。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权：

• CVE-2024-53141

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

Google 发现了基于 AMD Zen 的 CPU 中存在一个漏洞，该漏洞会影响启用了 AMD SEV-SNP 的机密虚拟机实例。此漏洞会使在物理机中具有 root 访问权限的攻击者破坏机密虚拟机实例的机密性和完整性。

Google 针对受影响的资产（包括 Google Cloud）应用了修复，以确保客户得到保护。目前，Google 未发现或收到任何漏洞被利用的证据。

该怎么做？

客户无需采取任何操作。如果客户想验证此修复，可以检查采用 AMD SEV-SNP 的机密虚拟机实例的证明报告中的可信计算基准 (TCB) 版本。可缓解此漏洞的最低版本如下：

SNP TCB SVN: 0x18 0d24
tcb_version {
  psp_bootloader_version: 4
  snp_firmware_version: 24 (0x18)
  microcode_version: 219
}

如需了解详情，请参阅 AMD 安全公告 AMD-SB-3019。

CVE-2024-56161

Google Secret Manager Provider for Secret Store CSI Driver 存在一个漏洞，攻击者可利用该漏洞在命名空间中创建 Pod 和 Secret，并通过在 Pod 上装载恶意卷来窃取 CSI 驱动程序的 Kubernetes 服务账号令牌。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

如果服务器使用 Google 身份验证库和 Cloud 客户端库通过由攻击者控制的凭据配置向 Google Cloud 进行身份验证，则可能会受到服务器端请求伪造和任意文件读取的影响。

该怎么做？

如果您接受外部来源的凭证配置（凭证 JSON、文件或数据流）以对 Google Cloud进行身份验证，则必须先验证该凭证配置，然后才能将其提供给 Google 身份验证库或 Cloud 客户端库。向 Google 库提供未经验证的凭据配置可能会危害您的系统和数据安全。 如需了解详情，请参阅 验证外部来源的凭据配置。

解决了哪些漏洞？

某些类型的凭证配置包含端点和文件路径，身份验证库会使用这些端点和文件路径来获取令牌。如果服务或应用接受外部来源的凭据配置，并将其与 Google 身份验证库或 Cloud 客户端库搭配使用，但未进行验证，攻击者便可提供包含恶意端点或路径的凭据配置。这样一来，攻击者就可以从服务或运行该服务的机器中窃取数据或令牌。为防止这种情况，应按照 验证外部来源的凭证配置中所述，对外部来源的凭证配置执行验证。

为了告知应用开发者，我们更新了文档，其中说明了在接受从外部来源获取的凭证配置时要执行的验证。

根据 VMware 安全建议 VMSA-2025-0001，VMware 收到关于 VMware Aria Automation 中服务器端请求伪造 (SSRF) 漏洞的负责任报告。我们发布了补丁，以修复受影响的 VMware 产品中的此漏洞。

该怎么做？

我们建议升级到 VMware Aria Automation 8.18.2 HF。

• VMSA-2025-0001
• CVE-2025-22215

2025-01-23 更新：添加了 GKE 上 Ubuntu 节点池的补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2024-50264

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

2025-01-23 更新：添加了 GKE 上 Ubuntu 节点池的补丁版本。

2025-01-22 更新：添加了 GDC (VMware) 的补丁版本。将 GDC (VMware) 的严重程度更新为“中”。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2024-53057

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

2025-01-23 更新：更新了 GKE 标签页中的受影响的资源部分。

2025-01-08 更新：更正了问题的开始日期和时间。

安全问题影响到配置了 GKE 多集群网关 (MCG) 的 VPC 中的资源。MCG 作为可选功能，只有一小部分 GKE 客户使用。我们将分别通知在上述时间段内启用了该功能的客户。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

以下 CVE 导致 Cloud Service Mesh 遭到可利用的漏洞攻击：

• CVE-2024-53269：Happy Eyeballs：验证 additional_address 是否为 IP 地址，而不是在排序时崩溃。
• CVE-2024-53270：HTTP/1：在事先重置请求时，发送过载会崩溃。
• CVE-2024-53271：HTTP/1.1：envoy.reloadable_features.http1_balsa_delay_reset 存在多个问题。

如需了解相关说明和更多详情，请参阅 Cloud Service Mesh 安全公告。

• CVE-2024-53269
  
• CVE-2024-53270
  
• CVE-2024-53271
  

根据 VMware 安全建议 VMSA-2024-0022，VMware 收到关于 VMware Aria Operations 中存在多个漏洞的负责任报告。我们已推出更新，以修复受影响的 VMware 产品中的这些漏洞。

该怎么做？

我们建议升级到 VMware Aria Operations 8.18.2。

• VMSA-2024-0022
• CVE-2024-38830
• CVE-2024-38831
• CVE-2024-38832
• CVE-2024-38833
• CVE-2024-38834

我们发现 Vertex AI API 在处理 Gemini 多模态请求时存在漏洞，可绕过 VPC Service Controls。攻击者可能能够滥用该 API 的 fileURI 参数来渗漏数据。

该怎么做？

无需执行任何操作。我们已实现一项修复，以便在 fileUri 参数中指定媒体文件网址且 VPC Service Controls 处于启用状态时返回错误消息。其他使用情形不受影响。

解决了哪些漏洞？

借助 Cloud Support API（用于提供 Gemini 多模态请求），您可以在 fileUri 参数中指定媒体文件的网址，以包含媒体文件。此功能可用于绕过 VPC Service Controls 边界。服务边界内的攻击者可能会在 fileURI 参数中对敏感数据进行编码，以绕过服务边界。

2025-01-22 更新：添加了 GDC (VMware) 的补丁版本。将 GDC (VMware) 的严重程度从“待确定”更新为“高”。

2024-12-12 更新：添加了 GKE 上 Ubuntu 节点池的补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权：

• CVE-2024-46800

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

在 Kubernetes 集群中发现了一个安全问题，该问题可能会导致使用 gitRepo 卷执行远程代码。如果 git 仓库是恶意构建的，那么能够创建 Pod 并关联 gitRepo 卷的用户就能够在容器边界之外执行任意命令。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

根据 VMware 安全建议 VMSA-2024-0020，VMware 收到关于 VMware NSX 中存在多个漏洞的负责任报告。

您的 VMware Engine 环境中运行的 NSX-T 版本不受 CVE-2024-38815、CVE-2024-38818 或 CVE-2024-38817 的影响。

该怎么做？

由于 VMware Engine 集群不受此漏洞的影响，因此无需采取进一步行动。

• VMSA-2024-0020
• CVE-2024-38815
• CVE-2024-38817
• CVE-2024-38818

根据 VMware 安全建议 VMSA-2024-0021，VMware 收到关于 VMware HCX 中经过身份验证的 SQL 注入漏洞的非公开报告。

我们已应用 VMware 批准的缓解措施来解决此漏洞。此修复解决了 CVE-2024-38814 中所述的安全漏洞。在 VMware Engine 私有云中运行的映像版本目前未反映任何更改来指示所应用的更改。 系统已安装相应的缓解措施，您的环境将不会受到此漏洞的影响。

该怎么做？

我们建议升级到 VMware HCX 版本 4.9.2。

• VMSA-2024-0021
• CVE-2024-38814

适用于 Windows 的 Migrate to Containers 版本 1.1.0 至 1.2.2 创建了具有管理员权限的本地 m2cuser。如果用户中断了 analyze 或 generate 命令，或者由于内部错误导致跳过删除本地用户 m2cuser 的操作，则会造成安全风险。

该怎么做？

以下版本的适用于 Windows 的 Migrate to Containers CLI 已更新，内含修复此漏洞的代码。 建议您手动将 Migrate to Containers CLI 升级到以下版本或更高版本：

• 2024 年 10 月 8 日发布的 Migrate to Containers CLI for Windows 1.2.3 - Migrate to Containers CLI 版本说明 | Google Cloud

解决了哪些漏洞？

CVE-2024-9858 漏洞允许攻击者使用 Migrate to Containers 软件创建的本地管理员用户账号，获取对受影响的 Windows 机器的管理员访问权限。

2024-11-19 更新：添加了 GKE 上 Ubuntu 节点池的补丁版本。

2024-10-15 更新：添加了 GDC (VMware) 的补丁版本。更新了 GKE 和 GDC (VMware) 的严重程度。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权：

• CVE-2024-45016

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

在某些 Linux 发行版使用的 CUPS 打印系统中发现了一个漏洞链（CVE-2024-47076、CVE-2024-47175、CVE-2024-47176、CVE-2024-47177），该漏洞链可能导致远程代码执行。如果 CUPS 服务正在监听 UDP 端口 631 并且可以连接到该端口，攻击者便可以利用此漏洞。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

• CVE-2024-47076
• CVE-2024-47175
• CVE-2024-47176
• CVE-2024-47177

Looker 中的 HTTP 请求走私漏洞允许未经授权的攻击者捕获发往合法用户的 HTTP 响应。

Looker 有两个由 Looker 托管的版本：

• Looker (Google Cloud Core) 被发现存在漏洞。此问题已得到缓解，并且我们的调查未发现任何利用迹象。
• Looker（原始版本）不受此问题的影响。

我们发现客户托管的 Looker 实例存在漏洞，必须升级到以下版本之一。

我们已在所有受支持的客户托管 Looker 版本中修补了此漏洞，这些版本可在 Looker 下载页面上找到。

该怎么做？

• 对于 Looker 托管的所有实例（包括 Looker [Google Cloud Core] 实例），您无需采取任何措施。
• 对于客户托管的 Looker 实例，请尽快更新到最新支持的 Looker 版本。以下所有版本都经过更新，针对此漏洞采取了保护措施。您可以在 Looker 下载页面上下载这些版本：
  • 23.12 -> 23.12.123+
  • 23.18 -> 23.18.117+
  • 24.0 -> 24.0.92+
  • 24.6 -> 24.6.77+
  • 24.8 -> 24.8.66+
  • 24.10 -> 24.10.78+
  • 24.12 -> 24.12.56+
  • 24.14 -> 24.14.37+

解决了哪些漏洞？

CVE-2024-8912 漏洞允许攻击者向 Looker 发送专门设计的 HTTP 请求标头，从而可能导致拦截发往其他用户的 HTTP 响应。

这些回答可能包含敏感信息。

此漏洞仅在某些特定配置下可被利用。

在包含 Windows 节点的 Kubernetes 集群中发现了一个安全问题，BUILTIN\Users 可能可以读取容器日志，NT AUTHORITY\Authenticated 用户可能可以修改容器日志。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

在解析 Protobuf Java Full 和 Lite 库中的未知字段时，恶意编造的消息可能会导致 StackOverflow 错误并导致程序崩溃。

该怎么做？

我们一直在努力解决此问题，并已发布缓解措施，目前已可使用。我们建议您使用以下软件包的最新版本：

• protobuf-java (3.25.5, 4.27.5, 4.28.2)
• protobuf-javalite（3.25.5、4.27.5、4.28.2）
• protobuf-kotlin（3.25.5、4.27.5、4.28.2）
• protobuf-kotlin-lite（3.25.5、4.27.5、4.28.2）
• com-protobuf [仅限 JRuby gem]（3.25.5、4.27.5、4.28.2）

该补丁程序解决了哪些漏洞？

此漏洞可能会导致拒绝服务。

使用 DiscardUnknownFieldsParser 或 Java Protobuf Lite 解析器解析嵌套组为未知字段，或解析 Protobuf 映射字段，会创建无界限递归，攻击者可能会滥用此类递归。

CVSS4.0 评分 8.7

高

以下 CVE 导致 Cloud Service Mesh 遭到可利用的漏洞攻击：

• CVE-2024-45807：oghttp2 在 OnBeginHeadersForStream 上崩溃
• CVE-2024-45808：通过访问日志进行恶意日志注入
• CVE-2024-45806：可能会操纵来自外部来源的“x-envoy”标头
• CVE-2024-45809：JWT 过滤器在使用远程 JWK 的清除路由缓存中崩溃
• CVE-2024-45810：Envoy 因 http 异步客户端中的 LocalReply 而崩溃

如需了解相关说明和更多详情，请参阅 Cloud Service Mesh 安全公告。

• CVE-2024-45807
  
• CVE-2024-45808
  
• CVE-2024-45806
  
• CVE-2024-45809
  
• CVE-2024-45810
  

VMware 在 VMSA-2024-0019 中披露了多个影响客户环境中部署的 vCenter 组件的漏洞。

VMware Engine 影响

• Google 已停用任何可能利用此漏洞的攻击。例如，Google 已屏蔽可能被利用来攻击此漏洞的端口。
• 此外，Google 确保 vCenter 未来的所有部署都不会受到此漏洞的影响。

该怎么做？

目前不需要采取进一步的措施。

• CVE-2024-38812
• CVE-2024-38813

Windows 中发现了一个新的远程代码执行漏洞 (CVE-2024-38063)。 攻击者可以通过向主机发送特别设计的 IPv6 数据包来远程利用此漏洞。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

2024-11-01 更新：添加了 GKE 上 Ubuntu 节点池的补丁版本。

2024-10-21 更新：添加了 GDC (VMware) 的补丁版本并更新了严重程度。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权：

• CVE-2024-36978

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

2024-10-30 更新：添加了 GKE 上 Ubuntu 节点池的补丁版本。

2024-10-25 更新：添加了 GDC (VMware) 的补丁版本并更新了严重程度。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权：

• CVE-2024-41009

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

2024-10-30 更新：添加了 GKE 上 Ubuntu 节点池的补丁版本。

2024-10-21 更新：添加了 GDC (VMware) 的补丁版本并更新了严重程度。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权：

• CVE-2024-39503

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

AMD 向 Google 通报了 3 个新的固件漏洞（2 个中等风险，1 个高风险），这些漏洞会影响 AMD EPYC 第 3 代 (Milan) 和第 4 代 (Genoa) CPU 中的 SEV-SNP。

Google 针对受影响的资产（包括 Google Cloud）应用了修复，以确保客户得到保护。目前，Google 未发现或收到任何漏洞被利用的证据。

该怎么做？

客户无需采取任何操作。我们已对 Google 服务器舰队进行了修正。

如需了解详情，请参阅 AMD 安全公告 AMD-SN-3011。

CVE-2023-31355

CVE-2024-21978

CVE-2024-21980

2024-09-19 更新：添加了 GDC software for VMware 的补丁版本。

2024-08-21 更新：添加了 GKE 上 Ubuntu 节点池的补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权：

• CVE-2024-26925

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

2024-10-30 更新：添加了 GKE 上 Ubuntu 节点池的补丁版本。

2024-10-21 更新：添加了 GDC (VMware) 的补丁版本并更新了严重程度。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权：

• CVE-2024-36972

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

2024 年 10 月 2 日更新：添加了 GKE 上 Ubuntu 节点池的补丁版本。

2024-09-20 更新：添加了 GDC software for VMware 的补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权：

• CVE-2024-26921

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

2024-07-18 更新：澄清默认配置中的 Autopilot 集群不受影响。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权：

• CVE-2024-26809

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

2024-09-16 更新：添加了 GDC software for VMware 的补丁版本。

2024-07-19 更新：添加了 GKE 上 Ubuntu 节点池的补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权：

• CVE-2023-52654
• CVE-2023-52656

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

• CVE-2023-52654
• CVE-2023-52656

2024-07-16 更新：

部分无服务器 VPC 访问通道客户可能会受到 OpenSSH 中的漏洞 (CVE-2024-6387) 的影响。如果成功利用此漏洞，未通过身份验证的远程攻击者就能以 root 权限在目标虚拟机上执行任意代码。我们认为利用该漏洞十分困难。例如，客户无法访问虚拟机，并且虚拟机没有公共 IP。我们没有发现任何利用该漏洞发起的攻击。

该怎么做？

Google 已尽可能自动更新无服务器 VPC 访问通道部署。不过，您应验证由 Google 管理的服务代理是否具有所需的角色。 否则，您的无服务器 VPC 访问通道连接器可能仍然存在安全漏洞。我们建议您迁移到直接 VPC 出站流量，或部署新的连接器并删除旧的连接器，以确保您获得包含相应修复的必要更新。

2024 年 7 月 11 日更新：添加了 GDC software for VMware、GKE on AWS 和 GKE on Azure 的补丁版本。如需了解详情，请参阅 GKE 文档中的以下公告：

• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告

2024-07-10 更新：

• 添加了有关 Migrate to Virtual Machines 的安全公告。

2024-07-09 更新：

部分 App Engine 柔性环境客户可能会受到 OpenSSH 中的漏洞 (CVE-2024-6387) 的影响。如果成功利用此漏洞，未通过身份验证的远程攻击者就能以 root 权限在目标虚拟机上执行任意代码。

该怎么做？

Google 已尽可能自动更新柔性环境部署。但是，如果某些客户禁用了 Google 代管式服务代理，或者更改了 Google Cloud API 或其他默认配置，则无法进行更新，可能仍然容易受到攻击。您应部署应用的新版本，以获取包含相应修复的更新。

请注意，更新后的部署应用显示的 SSH 版本为 OpenSSH_9.6p1。此版本已修补，包含针对 CVE-2024-6387 的修复。

解决了哪些漏洞？

漏洞 CVE-2024-6387，可让未通过身份验证的远程攻击者以 root 权限在目标机器上执行任意代码。

2024-07-08 更新：

在映像版本 2.2（所有操作系统）和 2.1（仅限 Debian）上运行的 Dataproc on Google Compute Engine 集群会受到 OpenSSH 漏洞 (CVE-2024-6387) 的影响。如果成功利用此漏洞，则可能会允许未经身份验证的远程攻击者以 root 身份在目标机器上执行任意代码。

Dataproc on Google Compute Engine 映像版本 2.0 和 1.5 以及未在 Debian 上运行的 Dataproc 映像版本 2.1 不受影响。启用了个人身份验证的 Dataproc 集群不受影响。Dataproc Serverless 也不会受到影响。

该怎么做？

请将 Google Compute Engine 上的 Dataproc 集群更新为以下版本之一：

• 2.2.24 或更高版本
• 2.1.58 或更高版本

如果您无法将 Dataproc 集群更新为上述版本之一，建议您使用以下位置提供的初始化操作： gs://dataproc-initialization-actions/hotfixes/openssh-CVE-2024-6387-mitigation.sh

请按照以下说明为 Dataproc 指定初始化操作。请注意，对于现有集群，必须在每个节点（主节点和工作器节点）上运行初始化操作。

2024-07-03 更新：

• 添加了 GKE 的补丁版本。
• 添加了有关互联 GDC 的安全公告。

2024-07-02 更新：

• 明确了 Autopilot 集群会受到影响，需要用户采取行动。
• 添加了 GDC software for VMware、GKE on AWS 和 GKE on Azure 的影响评估和缓解措施。
• 更正了 GDC software for Bare Metal 安全公告，以明确说明 GDC software for Bare Metal 未直接受到影响，并且客户应向操作系统供应商咨询是否有补丁。

最近在 OpenSSH 中发现了一个远程代码执行漏洞 CVE-2024-6387。该漏洞利用了可用于获取远程 shell 访问权限的竞态条件，使攻击者能够获取 root 访问权限。截至本文发布之时，我们认为利用该漏洞十分困难，攻击每台设备需要花费数小时的时间。我们没有发现任何利用该漏洞发起的攻击。

如需了解相关说明和更多详细信息，请参阅以下公告：

• Compute Engine 安全公告
• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告
• Google Cloud VMware Engine 安全公告
• Apigee 安全公告
• Dataflow 安全公告
• 互联 GDC 安全公告
• Migrate to Virtual Machines 安全公告

2024-09-25 更新：添加了 GDC software for VMware 的补丁版本。

2024 年 8 月 20 日更新：添加了 GKE 上 Ubuntu 节点池的补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权：

• CVE-2024-26923

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

2024-09-17 更新：添加了 GDC software for VMware 的补丁版本。

2024 年 8 月 6 日更新：添加了 GKE 上 Ubuntu 节点池的补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权：

• CVE-2024-26924

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GDC software for VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GDC software for Bare Metal 安全公告

VMware 在 VMSA-2024-0012 中披露了多个影响客户环境中部署的 vCenter 组件的漏洞。

对 Google Cloud VMware Engine 的影响

• 通过访问 vCenter Server 中的特定端口，可以利用此漏洞。Google 已屏蔽 vCenter Server 上易受攻击的端口，以防止任何潜在利用此漏洞的攻击。
• 此外，Google 确保 vCenter 未来的所有部署都不会受到此漏洞的影响。

该怎么做？

目前不需要采取进一步的措施。

• CVE-2024-37079
• CVE-2024-37080
• CVE-2024-37081

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2024-26584

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

2024 年 7 月 18 日更新：添加了 GKE 上 Ubuntu 节点池的补丁版本，并添加了运行版本 1.27 的 Container-Optimized OS 节点池的补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权：

• CVE-2024-26584

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

2024 年 7 月 10 日更新：添加了运行次要版本 1.26 和 1.27 的 Container-Optimized OS 节点的补丁版本，并添加了 Ubuntu 节点的补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2024-26583

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

2024-09-26 更新：添加了 GDC software for VMware 的补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权：

• CVE-2022-23222

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

以下 CVE 导致 Cloud Service Mesh 遭到可利用的漏洞攻击：

• CVE-2024-23326：Envoy 错误地接受 HTTP 200 响应来进入升级模式。
• CVE-2024-32974：EnvoyQuicServerStream::OnInitialHeadersComplete() 中发生崩溃。
• CVE-2024-32975：QuicheDataReader::PeekVarInt62Length() 中发生崩溃。
• CVE-2024-32976：使用额外输入解压缩 Brotli 数据时，出现无限循环。
• CVE-2024-34362：EnvoyQuicServerStream 中发生崩溃 (use-after-free)。
• CVE-2024-34363：由于未捕获的 nlohmann JSON 异常而崩溃。
• CVE-2024-34364：来自 HTTP 异步客户端的 Envoy OOM 向量，具有用于镜像响应的无界限响应缓冲区。

如需了解相关说明和更多详情，请参阅 Cloud Service Mesh 安全公告。

• CVE-2024-23326
  
• CVE-2024-32974
  
• CVE-2024-32975
  
• CVE-2024-32976
  
• CVE-2024-34362
  
• CVE-2024-34363
  
• CVE-2024-34364
  

在 Fluent Bit 中发现了一个新漏洞 (CVE-2024-4323)，该漏洞可能导致远程代码执行。Fluent Bit 版本 2.0.7 到 3.0.3 会受到影响。

GKE、GKE on VMware、GKE on AWS、GKE on Azure 和 GKE on Bare Metal 不使用有漏洞的 Fluent Bit 版本，因此不受影响。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

2024-07-18 更新：添加了 GKE 上 Ubuntu 节点池的补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权：

• CVE-2023-52620

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

2024-08-19 更新：添加了 GKE 上 Ubuntu 节点池的补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权：

• CVE-2024-26642

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

2024 年 5 月 22 日更新：添加了 Ubuntu 的补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权：

• CVE-2024-26581

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

2024-09-25 更新：添加了 GDC software for VMware 的补丁版本。

2024 年 5 月 15 日更新：添加了 GKE Ubuntu 节点池的补丁版本。

2024 年 5 月 9 日更新：将严重级别从“中”更正为“高”，并澄清默认配置中的 GKE Autopilot 集群不受影响。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权：

• CVE-2024-26808

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

2024 年 8 月 6 日更新：添加了 GKE 上 Ubuntu 节点池的补丁版本。

2024 年 5 月 9 日更新：将严重级别从“中”更正为“高”。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权：

• CVE-2024-26643

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

Looker 已修复外部研究人员通过 Google 和 Alphabet 漏洞奖励计划 (VRP) 报告的漏洞，但未发现任何被利用的证据。这些问题现已解决，Looker (Google Cloud Core) 和 Looker（原始版本）上的 Looker 托管客户无需执行任何操作。我们建议将自托管的 Looker 实例更新到受支持的最新版本。

该怎么做？

Looker 托管的实例：Looker (Google Cloud Core) 实例和 Looker（原始版本）实例

客户无需采取任何操作。

仅限自托管 Looker 实例

如果 Looker 实例是自托管的，我们建议您将 Looker 实例升级到以下版本之一：

• 24.6.12+
• 24.4.27+
• 24.2.58+
• 24.0.65+
• 23.18.100+
• 23.12.105+
• 23.6.163+

问题修复情况如何？

Google 停用了从 Looker 应用对内部数据库的直接管理员权限，移除了可实现跨租户访问的提升权限，并轮换了公开的密钥。此外，我们还修补了可能已造成服务账号凭证泄露的路径遍历漏洞。我们还在对代码和系统进行全面审核，以发现并解决任何类似的潜在漏洞。

2024-07-18 更新：添加了 GKE 上 Ubuntu 节点池的补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权：

• CVE-2024-26585

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

以下 CVE 导致 Cloud Service Mesh 遭到可利用的漏洞攻击：

• CVE-2024-27919：HTTP/2：因 CONTINUATION 帧泛滥导致内存耗尽。
• CVE-2024-30255：HTTP/2：因 CONTINUATION 帧泛滥导致 CPU 耗尽
• CVE-2024-32475：使用“auto_sni”时，如果“:authority”标头长度超过 255 个字符，会发生异常终止。
• CVE-2023-45288：HTTP/2 CONTINUATION 帧可被利用来进行 DoS 攻击。

如需了解相关说明和更多详情，请参阅 Cloud Service Mesh 安全公告。

• CVE-2024-27919
  
• CVE-2024-30255
  
• CVE-2024-32475
  
• CVE-2023-45288
  

2024 年 7 月 17 日更新：添加了 GKE on VMware 的补丁版本。

2024 年 7 月 9 日更新：添加了 GKE on Bare Metal 的补丁版本。

2024 年 4 月 24 日更新：添加了 GKE 的补丁版本。

最近在 HTTP/2 协议的多个实现中发现了拒绝服务攻击 (DoS) 漏洞 (CVE-2023-45288)，包括 Kubernetes 使用的 golang HTTP 服务器。该漏洞可能会导致 Google Kubernetes Engine (GKE) 控制平面遭受 DoS 攻击。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

Compute Engine 不受 CVE-2024-3094 的影响，该漏洞会影响 liblzma 库中 xz-utils 软件包的版本 5.6.0 和 5.6.1，并可能导致 OpenSSH 实用程序遭到入侵。

如需了解更多详情，请参阅 Compute Engine 安全公告。

研究人员在 Ray 中发现了一个漏洞 (CVE-2023-48022)。Ray 是一种适用于 AI 工作负载的第三方开源工具。由于 Ray 不需要身份验证，因此威胁行为者可以通过向公开暴露的实例提交作业来实现远程代码执行。Ray 的开发者 Anyscale 已对该漏洞提出异议。Ray 认为，其函数是预期的核心产品功能，并且必须在 Ray 集群之外实现安全性，因为 Ray 集群的任何意外网络暴露都可能导致破解。

根据响应，此 CVE 存在争议，可能不会显示在漏洞扫描器中。无论如何，该漏洞正被积极利用，用户应按照以下建议配置其使用情况。

该怎么做？

遵循 Ray 最佳实践和准则，包括在受信任的网络上运行受信任的代码，以保护您的 Ray 工作负载。在客户云实例中部署 ray.io 属于共担责任模型。

Google Kubernetes Engine (GKE) 安全团队发布了一篇博客，介绍了如何加固 Ray on GKE 安全。

如需详细了解如何向 Ray 服务添加身份验证和授权，请参阅 Identity-Aware Proxy (IAP) 文档。GKE 用户可以按照此指导或通过重复利用博客中链接的 Terraform 模块来实现 IAP。

2024 年 5 月 6 日更新：添加了 GKE Ubuntu 节点池的补丁版本。

2024 年 4 月 4 日更新：更正了 GKE Container-Optimized OS 节点池的最低版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权：

• CVE-2024-1085

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权：

• CVE-2023-3611

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

VMware 在 VMSA-2024-0006 中披露了多个影响客户环境中部署的 ESXi 组件的漏洞。

对 Google Cloud VMware Engine 的影响

您的私有云已更新，以解决安全漏洞。

该怎么做？

您无需执行任何操作。

• VMSA-2024-0006
• CVE-2024-22252
• CVE-2024-22253
• CVE-2024-22254
• CVE-2024-22255

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权：

• CVE-2023-3776

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权：

• CVE-2023-3610

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权：

• CVE-2024-0193

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权：

• CVE-2023-6932

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

2024 年 4 月 17 日更新：添加了 GKE on VMware 的补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。

• CVE-2023-6931

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

2024 年 2 月 13 日，AMD 披露了基于第三代“Milan”和第四代“Genoa”Zen 核心的 EPYC CPU 中影响 SEV-SNP 的两个漏洞。这些漏洞使特权攻击者能够访问客机中的过时数据，或导致客机完整性受损。

Google 针对受影响的资产（包括 Google Cloud）应用了修复，以确保客户得到保护。目前，Google 未发现或收到任何漏洞被利用的证据。

该怎么做？

客户无需采取任何操作。我们已针对 Google Cloud的 Google 服务器舰队（包括 Compute Engine）应用了相应修复措施。

如需了解详情，请参阅 AMD 安全公告 AMD-SN-3007。

• CVE-2023-31346
• CVE-2023-31347

CVE-2023-5528 允许攻击者在 Windows 节点上创建 Pod 和永久性卷，从而在这些节点上实现管理员权限提升。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

以下 CVE 导致 Cloud Service Mesh 遭到可利用的漏洞攻击：

• CVE-2024-23322：当处于空闲状态，且请求的单次尝试超时在暂停间隔内发生时，Envoy 会崩溃。
• CVE-2024-23323：使用正则表达式配置 URI 模板匹配器时，CPU 使用率过高。
• CVE-2024-23324：当代理协议过滤器设置无效的 UTF-8 元数据时，可以绕过外部授权。
• 使用操作系统不支持的地址类型时，Envoy 会崩溃。
• CVE-2024-23327：当命令类型为 LOCAL 时，代理协议会崩溃。

如需了解相关说明和更多详情，请参阅 Cloud Service Mesh 安全公告。

• CVE-2024-23322
  
• CVE-2024-23323
  
• CVE-2024-23324
  
• CVE-2024-23325
  
• CVE-2024-23327
  

当 Apigee API Management 代理连接到目标端点或目标服务器时，该代理不会对目标端点或目标服务器默认提供的证书执行主机名验证。如果未使用以下选项之一启用主机名验证，则连接到目标端点或目标服务器的 Apigee 代理可能会面临已获授权的用户发起中间人攻击的风险。如需了解详情，请参阅配置从 Edge 到后端（云和私有云）的 TLS。

以下 Apigee 平台上的 Apigee 代理部署会受到影响：

• 适用于公有云的 Apigee Edge
• 适用于私有云的 Apigee Edge

如需了解相关说明和更多详情，请参阅 Apigee 安全公告。

2024 年 5 月 6 日更新：添加了 GKE on AWS 和 GKE on Azure 的补丁版本。

2024 年 4 月 2 日更新：添加了 GKE on Bare Metal 的补丁版本。

2024 年 3 月 6 日更新：添加了 GKE on VMware 的补丁版本。

2024 年 2 月 28 日更新：添加了 Ubuntu 的补丁版本。

2024-02-15 更新：明确说明了 2024-02-14 更新中的 1.25 和 1.26 Ubuntu 补丁版本可能会导致不健康节点。

2024 年 2 月 14 日更新：添加了 Ubuntu 的补丁版本。

2024-02-06 更新：添加了 Container-Optimized OS 的补丁版本。

在 runc 中发现了一个安全漏洞 CVE-2024-21626，有权在 Container-Optimized OS 和 Ubuntu 节点上创建 Pod 的用户也许可以获得对节点文件系统的完整访问权限。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

2024 年 2 月 7 日更新：添加了 Ubuntu 的补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。

• CVE-2023-6817

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

2024-01-26 更新：明确说明了受影响的集群数量以及我们为帮助缓解影响而采取的措施。如需了解详情，请参阅 GCP-2024-003 安全公告。

我们已经确定了若干集群，其中用户已向 system:authenticated 群组（包括拥有 Google 账号的所有用户）授予了 Kubernetes 权限。我们不建议进行上述类型的绑定，因为这违反了最小权限原则，向大量用户授予了访问权限。如需了解如何查找这些类型的绑定，请参阅“该怎么做”部分中的指导。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告

2024 年 2 月 20 日更新：添加了 GKE on VMware 的补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 节点上的提权。

• CVE-2023-6111

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

我们在 TianoCore EDK II UEFI 固件中发现了多个漏洞。此固件用于 Google Compute Engine 虚拟机。如果被利用，这些漏洞可能会导致安全启动被绕过，从而在安全启动过程中提供虚假测量结果，包括在安全强化型虚拟机中使用时。

该怎么做？

无需进行任何操作。Google 已在 Compute Engine 中修补此漏洞，所有虚拟机均可抵御此漏洞。

该补丁解决了哪些漏洞？

该补丁缓解了以下漏洞：

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。

• CVE-2023-3609

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。

• CVE-2023-3389

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。

• CVE-2023-3090

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

2023 年 12 月 21 日更新：澄清默认配置中的 GKE Autopilot 集群不受影响。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。

• CVE-2023-3390

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

破解了 Fluent Bit 日志记录容器的攻击者可以将该访问权限与 Cloud Service Mesh（在已启用它的集群上）所需的高权限相结合，以提升集群中的权限。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

2024 年 3 月 4 日更新：添加了 GKE on VMware 的 GKE 版本。

2024 年 1 月 22 日更新：添加了 Ubuntu 补丁版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。

• CVE-2023-5717

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

2023 年 12 月 21 日更新：澄清默认配置中的 GKE Autopilot 集群不受影响。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。

• CVE-2023-5197

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

11 月 14 日，AMD 披露了多个影响各种 AMD 服务器 CPU 的漏洞。具体而言，这些漏洞会影响利用 Zen 核心第 2 代“Rome”、第 3 代“Milan”和第 4 代“Genoa”的 EPYC 服务器 CPU。

Google 针对受影响的资产（包括 Google Cloud）应用了修复，以确保客户得到保护。目前，Google 未发现或收到任何漏洞被利用的证据。

该怎么做？

客户无需采取任何操作。

我们已针对 Google Cloud（包括 Google Compute Engine）的 Google 服务器舰队应用了相应修复措施。

解决了哪些漏洞？

该补丁缓解了以下漏洞：

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2023-20521
• CVE-2021-46766
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

如需了解详情，请参阅 AMD 的安全公告 AMD-SN-3005：“AMD INVD 指令安全公告”（也称为 CacheWarp）和 AMD-SN-3002：“AMD 服务器漏洞 - 2023 年 11 月”。

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

Intel 披露了部分处理器中的 CPU 漏洞。Google 已采取措施来减轻其服务器舰队（包括适用于 Google Cloud的 Google Compute Engine）和 Chrome 操作系统设备的负担，以确保客户受到保护。

漏洞详情：

• CVE-2023-23583

该怎么做？

客户无需采取任何操作。

Intel 针对受影响的处理器提供的缓解措施已应用于 Google 服务器舰队，包括 Google Compute Engine for Google Cloud。

目前，Google Distributed Cloud Edge 需要原始设备制造商 (OEM) 进行更新。更新发布后，Google 会修复此产品，并相应地更新此公告。

搭载受影响处理器的 Chrome 操作系统设备会在版本 119、118 和 114 (LTS) 中自动收到相应修复。

解决了哪些漏洞？

CVE-2023-23583如需了解详情，请参阅 Intel 安全公告 INTEL-SA-00950。

2023 年 11 月 15 日更新：明确指出只有列出的次要版本需要升级到 GKE 的相应修补版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。

• CVE-2023-4147

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

2023 年 12 月 21 日更新：澄清默认配置中的 GKE Autopilot 集群不受影响。

2023 年 12 月 5 日更新：为 Container-Optimized OS 节点池添加了其他 GKE 版本。

2023 年 11 月 21 日更新：明确指出只有列出的次要版本需要升级到 GKE 的相应修补版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。

• CVE-2023-4004

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

2023 年 12 月 21 日更新：澄清默认配置中的 GKE Autopilot 集群不受影响。

2023 年 11 月 21 日更新：明确指出只有列出的次要版本需要升级到 GKE 的相应修补版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。

• CVE-2023-4921

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

2023 年 11 月 21 日更新：明确指出只有列出的次要版本需要升级到 GKE 的相应修补版本。

2023 年 11 月 16 日更新：与此安全公告关联的漏洞为 CVE-2023-4622。在先前版本的安全公告中，CVE-2023-4623 被错误地列为漏洞。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。

• CVE-2023-4623

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

2023 年 12 月 21 日更新：澄清默认配置中的 GKE Autopilot 集群不受影响。

2023 年 11 月 21 日更新：明确指出只有列出的次要版本需要升级到 GKE 的相应修补版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。

• CVE-2023-4623

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

2023 年 12 月 21 日更新：澄清默认配置中的 GKE Autopilot 集群不受影响。

2023 年 11 月 21 日更新：明确指出只有列出的次要版本需要升级到 GKE 的相应修补版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。

• CVE-2023-4015

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

Deep Learning VM Image 是一组预先打包的虚拟机映像，具有深度学习框架，可立即运行。最近，在“libwebp”库的“ReadHuffmanCodes()”函数中发现了越界写入漏洞。这可能会影响使用此库的映像。

Google Cloud 会持续扫描其公开发布的映像并更新软件包，以确保修补后的发行版包含在可供客户使用的最新版本中。Deep Learning VM Image 已更新，可确保最新的虚拟机映像包含修补后的发行版。采用最新虚拟机映像的客户不会受到此漏洞的影响。

该怎么做？

使用已发布的虚拟机映像的Google Cloud 客户应确保其采用最新的映像，并确保其环境已根据责任共担模型完全更新到最新版本。

CVE-2023-4863 可能会被攻击者用来执行任意代码。116.0.5845.187 之前的 Google Chrome 以及 1.3.2 之前的“libwebp”中发现了此漏洞，它列于 CVE-2023-4863 下。

2023 年 12 月 21 日更新：澄清默认配置中的 GKE Autopilot 集群不受影响。

2023 年 11 月 21 日更新：明确指出只有列出的次要版本需要升级到 GKE 的相应修补版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

VMware 在 VMSA-2023-0023 中披露了多个影响客户环境中部署的 vCenter 组件的漏洞。

Cloud Customer Care 影响

• 通过访问 vCenter Server 中的特定端口即可利用此漏洞。这些端口不会公开给公共互联网。
• 如果不可信系统无法访问 vCenter 端口 2012/tcp、2014/tcp 和 2020/tcp，则您不会受到此漏洞的影响。
• Google 已屏蔽 vCenter Server 上易受攻击的端口，以防止此漏洞任何潜在的攻击。
• 此外，Google 将确保 vCenter Server 未来的所有部署都不会受到此漏洞的影响。
• 在公告发布时，VMware 并不知道任何“实际的”漏洞利用行为。如需了解详情，请参阅 VMware 文档。

该怎么做？

目前不需要采取进一步的措施。

2023 年 12 月 21 日更新：澄清默认配置中的 GKE Autopilot 集群不受影响，并且 GKE Sandbox 工作负载不受影响。

2023 年 11 月 21 日更新：明确指出只有列出的次要版本需要升级到 GKE 的相应修补版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点上的提权。

• CVE-2023-3777

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

2023 年 11 月 3 日更新：添加了 Apigee Edge for Private Cloud 的已知问题。

最近在 HTTP/2 协议的多个实现中发现了拒绝服务 (DoS) 漏洞 (CVE-2023-44487)，包括 Apigee X 和 Apigee Hybrid 使用的 Apigee Ingress (Cloud Service Mesh) 服务。该漏洞可能会导致 Apigee API 管理功能遭受 DoS 攻击。

如需了解相关说明和更多详情，请参阅 Apigee 安全公告。

使用 HTTP/2 协议时，拒绝服务攻击可能会影响数据平面。如需了解相关说明和更多详情，请参阅 Cloud Service Mesh 安全公告。

2024-03-20 更新：添加了 GKE on AWS 和 GKE on Azure 的补丁版本，其中包含针对 CVE-2023-44487 的最新补丁。

2024 年 2 月 14 日更新：添加了 GKE on VMware 的补丁版本。

2023 年 11 月 9 日更新：添加了 CVE-2023-39325。更新了 GKE 版本，包含针对 CVE-2023-44487 和 CVE-2023-39325 的最新补丁。

最近在 HTTP/2 协议的多个实现中发现了拒绝服务攻击 (DoS) 漏洞 (CVE-2023-44487)，包括 Kubernetes 使用的 golang HTTP 服务器。该漏洞可能会导致 Google Kubernetes Engine (GKE) 控制平面遭受 DoS 攻击。已配置授权网络的 GKE 集群通过限制网络访问来获得保护，但所有其他集群都会受到影响。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

TorchServe 用于托管 PyTorch 机器学习模型以进行在线预测。Vertex AI 提供依赖于 TorchServe 的预构建 PyTorch 模型部署容器。最近在 TorchServe 中发现了漏洞，如果其模型管理 API 公开，攻击者可以利用这些漏洞控制 TorchServe 部署。将 PyTorch 模型部署到 Vertex AI 在线预测的客户不受这些漏洞的影响，因为 Vertex AI 不会公开 TorchServe 的模型管理 API。在 Vertex AI 之外使用 TorchServe 的客户应采取预防措施来确保其部署得到安全设置。

该怎么做？

使用 Vertex AI 的预构建 PyTorch 服务容器并采用已部署模型的 Vertex AI 客户不需要执行任何操作来修复漏洞，因为 Vertex AI 的部署不会向互联网公开 TorchServe 的管理服务器。

在其他环境中使用预构建 PyTorch 容器或者使用定制或第三方分发 TorchServe 的客户应执行以下操作：

• 确保 TorchServe 模型管理 API 未向互联网公开。只有确保将 management_address 绑定到 127.0.0.1，才能将模型管理 API 限制为本地访问。
• 使用 allowed_urls 设置可确保模型只能从预期来源加载。
• 请尽快将 TorchServe 升级到 0.8.2 版（其中包含此问题的缓解措施）。为保险起见，Vertex AI 将于 2023 年 10 月 13 日发布已修复的预构建容器。

解决了哪些漏洞？

在大多数 TorchServe Docker 映像中（包括由 Vertex AI 发布的映像），TorchServe 的管理 API 都是默认绑定到 0.0.0.0，使其可被外部请求访问。在 TorchServe 0.8.2 中，管理 API 的默认 IP 地址更改为 127.0.0.1，从而缓解了此问题。

CVE-2023-43654 和 CVE-2022-1471 允许有权访问管理 API 的用户从任意来源加载模型并远程执行代码。TorchServe 0.8.2 中添加了这两个问题的缓解措施：移除远程代码执行路径；如果使用 allowed_urls 的默认值，则会发出警告。

客户可以配置 Google Security Operations，以使用注入 Feed 从客户拥有的 Cloud Storage 存储桶中注入数据。直到最近，Google Security Operations 团队才提供了一个共享服务账号，客户可使用该账号向存储桶授予权限。存在一种情况，即某个客户的 Google Security Operations 实例可以配置为从另一个客户的 Cloud Storage 存储桶中注入数据。在执行影响分析后，我们发现目前或之前未出现过利用此漏洞的情况。在 2023 年 9 月 19 日之前的所有版本的 Google Security Operations 中都存在此漏洞。

该怎么做？

自 2023 年 9 月 19 日起，Google Security Operations 已更新，可解决此漏洞。客户无需采取任何操作。

解决了哪些漏洞？

以前，Google Security Operations团队会提供一个共享服务账号，客户可使用该账号向存储桶授予权限。由于不同的客户向自己的存储桶授予了相同的 Google Security Operations服务账号权限，因此存在一种利用方式，即在创建或修改 Feed 时，某个客户的 Feed 可以访问其他客户的存储桶。此利用向量需要了解存储桶 URI。现在，在创建或修改 Feed 期间，Google Security Operations团队会为每位客户使用唯一的服务账号。

VMware vCenter Server 更新解决了多个内存损坏漏洞（CVE-2023-20892、CVE-2023-20893、CVE-2023-20894、CVE-2023-20895、CVE-2023-20896）

Customer Care 影响

VMware vCenter Server (vCenter Server) 和 VMware Cloud Foundation (Cloud Foundation)。

该怎么做？

客户不会受到影响，无需执行任何操作。

• CVE-2023-20893

在 Kubernetes 中发现了三个漏洞（CVE-2023-3676、CVE-2023-3955、CVE-2023-3893），利用这些漏洞，可以在 Windows 节点上创建 Pod 的用户也许能够升级到这些节点上的管理员权限。这些漏洞会影响 Kubelet 的 Windows 版本和 Kubernetes CSI 代理。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

Intel 最近宣布了 Intel Security Advisory INTEL-SA-00828，这会影响部分处理器系列。我们鼓励您根据建议评估风险。

对 Google Cloud VMware Engine 的影响

我们的舰队会使用受影响的处理器系列。在我们的部署中，整个服务器专用于一个客户。因此，我们的部署模型不会对此漏洞的评估增添任何风险。

我们正在与合作伙伴合作，以获取必要的补丁，还将在未来几周内使用标准升级流程在整个舰队中优先部署这些补丁。

该怎么做？

您无需执行任何操作，我们正在努力升级所有受影响的系统。

• CVE-2022-40982

2024 年 6 月 4 日更新：以下缺失的产品现已更新，可修复此漏洞：

• Google Distributed Cloud Hosted
• Google Distributed Cloud Edge

2023-08-10 更新：添加了 ChromeOS LTS 版本号。

Intel 披露了部分处理器中的一个漏洞 (CVE-2022-40982)。 Google 已采取措施来缓解其服务器舰队（包括 Google Cloud）的压力，以确保客户受到保护。

漏洞详情：

• CVE-2022-40982（Intel IPU 2023.3，“GDS”，又名“Downfall”）

该怎么做？

客户无需采取任何操作。

所有可用的补丁都已应用于 Google Cloud 的 Google 服务器舰队（包括 Google Compute Engine）。

目前，以下产品需要合作伙伴和供应商提供更多更新。

• Google Cloud VMware Engine
• Google Distributed Cloud Hosted
• Google Distributed Cloud Edge
• Google Cloud 裸金属解决方案
• 演进的 Packet 核心服务

这些补丁发布后，Google 会修复这些产品，并相应地更新此公告。

Google Chromebook 和 ChromeOS Flex 客户自动收到了 Intel 在稳定渠道 (115)、LTS 渠道 (108)、Beta 版渠道 (116) 和 LTC 渠道 (114) 中提供的缓解措施。如果 Chromebook 和 ChromeOS Flex 客户固定到较旧的版本，应考虑取消固定并改用稳定版或 LTS 版，以确保他们收到此漏洞修复和其他漏洞修复。

解决了哪些漏洞？

CVE-2022-40982 - 如需了解详情，请参阅 Intel 安全公告 INTEL-SA-00828。

AMD 披露了部分处理器中的一个漏洞 (CVE-2023-20569)。 Google 已采取措施来缓解其服务器舰队（包括 Google Cloud）的压力，以确保客户受到保护。

漏洞详情：

• CVE-2023-20569（AMD SB-7005，又名“Inception”）

该怎么做？

如果 Compute Engine 虚拟机的用户使用实例内不受信任的代码执行，则应考虑操作系统提供的缓解措施。我们建议客户与操作系统供应商联系，以获取更具体的指导。

我们已针对 Google Cloud 的 Google 服务器舰队（包括 Google Compute Engine）应用了相应修复措施。

解决了哪些漏洞？

CVE-2023-20569 - 如需了解详情，请参阅 AMD SB-7005。

Google 在 gRPC C++ 1.57 版之前的多版实现代码中发现了一个漏洞。拒绝服务攻击漏洞。这些漏洞已在 1.53.2、1.54.3、1.55.2、1.56.2 和 1.57 版本中修复。

该怎么做？

确保您使用的是以下软件包的最新版本：

• gRPC（C++、Python、Ruby）版本 1.53、1.54、1.55 和 1.56 需要升级至以下补丁版本：
• 1.53.2
• 1.54.3
• 1.55.2
• 1.56.2
• gRPC（C++、Python、Ruby）版本 1.52 及更早版本需要升级至某个经批准的补丁版本。例如，1.53.2、1.54.3、1.53.4 等。

解决了哪些漏洞？

这些补丁解决了以下漏洞：

• gRPC C++ 实现代码中的拒绝服务攻击漏洞：特别设计的请求可能导致代理和后端之间的连接终止。

以下 CVE 导致 Cloud Service Mesh 遭到可利用的漏洞攻击：

• CVE-2023-35941：在某些特定场景中，恶意客户端能够构建永久有效的凭据。 例如，HMAC 载荷中主机和到期时间的组合在 OAuth2 过滤器的 HMAC 检查中可以始终有效。
• CVE-2023-35942：当监听器排空时，使用监听器的全局范围的 gRPC 访问日志记录器可能导致 use-after-free 崩溃。这可由具有相同 gRPC 访问日志配置的 LDS 更新触发。
• CVE-2023-35943：如果 origin 标头配置为通过 request_headers_to_remove: origin 移除，CORS 过滤器将发生 segfault 并使 Envoy 崩溃。
• CVE-2023-35944：攻击者可以发送具有大小写混合的传输协议的请求，以绕过 Envoy 中的传输协议检查。例如，如果向 OAuth2 过滤器发送具有大小写混合的传输协议 HTTP 的请求，它将无法通过 HTTP 的完全匹配检查，并通知远程端点传输协议为 HTTPS，从而可能绕过专门针对 HTTP 请求的 OAuth2 检查。

如需了解相关说明和更多详情，请参阅 Cloud Service Mesh 安全公告。

• CVE-2023-35941
  
• CVE-2023-35942
  
• CVE-2023-35943
  
• CVE-2023-35944
  

AMD 已发布一项微码更新，用于解决硬件安全漏洞 (CVE-2023-20593)。Google 已针对其服务器舰队（包括 Google Cloud Platform 的服务器）应用了针对此漏洞的必要修复措施。测试表明，对系统性能没有影响。

该怎么做？

客户无需采取任何措施，因为 Google Cloud Platform 的 Google 服务器舰队已应用了修复程序。

解决了哪些漏洞？

CVE-2023-20593 解决了部分 AMD CPU 中的一个漏洞。如需了解详情，请点击此处。

在 Envoy 中发现了一个新漏洞 (CVE-2023-35945)，即来自不受信任的上行服务的专门设计的响应可能会通过耗尽内存引发拒绝服务攻击。造成此问题的原因是 Envoy 的 HTTP/2 编解码器在从上行服务器收到 RST_STREAM 之后立即收到 GOAWAY 帧时可能泄露标头映射和簿记结构。

如需了解相关说明和更多详情，请参阅 Cloud Service Mesh 安全公告。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-2235)，此漏洞可能会导致节点上的权限提升。GKE Autopilot 集群会受到影响，因为 GKE Autopilot 节点始终使用 Container-Optimized OS 节点映像。运行 Container-Optimized OS 节点映像的 1.25 版或更高版本的 GKE Standard 集群会受到影响。

如果 GKE 集群仅运行 Ubuntu 节点映像、运行 1.25 之前的版本或使用 GKE Sandbox，则不会受到影响。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

2023-07-11 更新：新的 GKE 版本已更新，包含修复 CVE-2023-31436 的最新 Ubuntu 版本。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-31436)，此漏洞可能会导致节点上的权限提升。GKE 集群（包括 Autopilot 集群）会受到影响。 使用 GKE Sandbox 的 GKE 集群不受影响。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

在 Cloud Service Mesh 中使用的 Envoy 中发现了多个漏洞，这些漏洞使恶意攻击者能够发起拒绝服务攻击或使 Envoy 崩溃。这些漏洞单独报告为 GCP-2023-002。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

在 Linux 内核中发现了一个新漏洞 CVE-2023-0468，无特权的用户可以利用该漏洞将权限提升为 root，因为 io_poll_get_ownership 会在每个 io_poll_wake 上不断增加 req->poll_refs，然后溢出为 0，这会两次运行 fput req->file 并导致结构体文件 refcount 问题。使用 Linux 内核版本 5.15 且具有 Container-Optimized OS 的 GKE 集群（包括 Autopilot 集群）会受到影响。使用 Ubuntu 映像或使用 GKE Sandbox 的 GKE 集群不受影响。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

2023-08-11 更新：添加了 GKE on VMware、GKE on AWS、GKE on Azure 和 Google Distributed Cloud Virtual for Bare Metal 的补丁版本。

在 Kubernetes 中发现了两个新的安全问题：使用临时容器以及 ImagePolicyWebhook (CVE-2023-2727) 或 ServiceAccount 准入插件 (CVE-2023-2728) 时，用户可能能够启动绕过政策限制的容器。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

当您在项目中启用 Cloud Build API 时，Cloud Build 会自动创建一个默认服务账号来代表您执行 build。此 Cloud Build 服务账号之前具有 logging.privateLogEntries.list IAM 权限，默认允许 build 拥有列出私密日志的权限。为遵循最小权限安全原则，我们撤消了 Cloud Build 服务账号的此权限。

如需了解相关说明和更多详情，请参阅 Cloud Build 安全公告。

Google 在 gRPC C++ 实现代码中发现了三个新漏洞。这些漏洞将很快公开发布，并分别命名为 CVE-2023-1428、CVE-2023-32731 和 CVE-2023-32732。

4 月，我们在 1.53 和 1.54 版本中发现了两个漏洞。其中一个是 gRPC C++ 实现代码中存在的拒绝服务攻击漏洞，另一个是远程数据渗漏漏洞。这些漏洞已经在 1.53.1、1.54.2 和更高版本中得到修复。

之前在 3 月份，我们的内部团队在执行常规模糊测试活动时，在 gRPC 的 C++ 实现代码中发现了一个拒绝服务攻击漏洞。该漏洞在 gRPC 1.52 版本中发现，并在 1.52.2 和 1.53 版本中得到修复。

该怎么做？

确保您使用的是以下软件包的最新版本：

• grpc（C++、Python、Ruby）版本 1.52、1.53 和 1.54 需要升级到以下补丁版本；
• 1.52.2
• 1.53.1
• 1.54.2
• grpc（C++、Python、Ruby）版本 1.51 及更低版本不受影响，因此使用这些版本的用户无需采取任何措施

这些补丁修复了哪些漏洞？

这些补丁解决了以下漏洞：

• 1.53.1、1.54.2 和更高版本解决了以下漏洞：gRPC C++ 实现代码中的拒绝服务攻击漏洞。特别设计的请求可能导致代理和后端之间的连接终止。远程数据渗漏漏洞：由于标头大小限制，HPACK 表中的去同步化处理可能导致代理后端从连接到代理的其他客户端泄露标头数据。
• 1.52.2、1.53 和更高版本解决了以下漏洞： gRPC C++ 实现代码中存在的拒绝服务攻击漏洞。解析一些特别设计的请求时，可能导致崩溃并对服务器造成影响。

我们建议升级到上述所列的以下软件包的最新版本。

在 secrets-store-csi-driver 中发现了一个新漏洞 (CVE-2023-2878)，有权访问驱动程序日志的行为体可以看到服务账号令牌。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

在 Linux 内核中发现了一个新漏洞 (CVE-2023-1872)，此漏洞可能会导致节点上的权限提升为 root。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

我们最近在 Cloud SQL for SQL Server 中发现了一个漏洞，该漏洞允许客户管理员账号在 tempdb 数据库中创建触发器，并使用这些账号在实例中获取 sysadmin 权限。sysadmin 特权将允许攻击者访问系统数据库，并允许对运行该 SQL Server 实例的机器进行部分访问。

Google Cloud 在 2023 年 3 月 1 日之前修复了安全漏洞，从而解决了此问题。 Google Cloud 未发现任何已破解的客户实例。

如需了解相关说明和更多详情，请参阅 Cloud SQL 安全公告。

2023-06-06 更新：新的 GKE 版本已更新，包含修复 CVE-2023-1281 和 CVE-2023-1829 的最新 Ubuntu 版本。

在 Linux 内核中发现了两个新漏洞（CVE-2023-1281、CVE-2023-1829），这些漏洞可能会导致节点上的权限提升为 root。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

在可信平台模块 (TPM) 2.0 中发现了两个漏洞（CVE-2023-1017 和 CVE-2023-1018）。

这些漏洞可能会让复杂的攻击者在某些 Compute Engine 虚拟机上利用 2 字节超出界限读写。

如需了解相关说明和更多详情，请参阅 Compute Engine 安全公告。

• CVE-2023-1017
• CVE-2023-1018

2023 年 12 月 21 日更新：澄清默认配置中的 GKE Autopilot 集群不受影响。

在 Linux 内核中发现了两个新漏洞 CVE-2023-0240 和 CVE-2023-23586，无特权的用户可以利用这些漏洞来提升权限。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

以下 CVE 导致 Cloud Service Mesh 遭到可利用的漏洞攻击：

• CVE-2023-27496：如果 Envoy 在启用 OAuth 过滤器的情况下运行，恶意行为体可能会构造请求，通过使 Envoy 崩溃形成拒绝服务攻击。
• CVE-2023-27488：使用 ext_authz 时，攻击者可以利用此漏洞绕过身份验证检查。
• CVE-2023-27493：Envoy 配置还必须包含一个选项，用于添加使用请求中的输入生成的请求标头，例如对等证书 SAN。
• CVE-2023-27492：攻击者可能针对启用 Lua 过滤器的路由发送大型请求正文并触发崩溃。
• CVE-2023-27491：攻击者可能发送特别设计的 HTTP/2 或 HTTP/3 请求，从而触发 HTTP/1 上游服务的解析错误。
• CVE-2023-27487：标头 x-envoy-original-path 应该是内部标头，但当请求从不受信任的客户端发出时，Envoy 不会在请求处理开始时从请求中移除此标头。

如需了解相关说明和更多详情，请参阅 Cloud Service Mesh 安全公告。

• CVE-2023-27496
  
• CVE-2023-27488
  
• CVE-2023-27493
  
• CVE-2023-27492
  
• CVE-2023-27491
  
• CVE-2023-27487
  

2023 年 12 月 21 日更新：澄清默认配置中的 GKE Autopilot 集群不受影响。

在 Linux 内核中发现了一个新漏洞 (CVE-2022-4696)，此漏洞可能会导致节点上的权限提升。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

在 OpenSSL 版本 3.0.6 中发现了两个可能导致崩溃的新漏洞（CVE-2022-3786 和 CVE-2022-3602）。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

• CVE-2022-3786
• CVE-2022-3602

2023 年 12 月 21 日更新：澄清默认配置中的 GKE Autopilot 集群不受影响。

2023-01-19 更新：添加了有关 GKE 1.21.14-gke.14100 版已发布的信息。

在 OpenSSL 版本 3.0.6 中发现了两个可能导致崩溃的新漏洞（CVE-2022-3786 和 CVE-2022-3602）。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

• CVE-2022-3786
• CVE-2022-3602

2023-01-19 更新：添加了有关 GKE 1.21.14-gke.14100 版已发布的信息。

2022 年 12 月 16 日更新：添加了适用于 GKE 和 GKE on VMware 的补丁版本。

Linux 内核中发现了两个新漏洞（CVE-2022-2585 和 CVE-2022-2588），这些漏洞可能会导致容器被完全破解到节点上。

如需了解相关说明和更多详情，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

• CVE-2022-2585
• CVE-2022-2588

在 Cloud Service Mesh 中使用的 Istio 中发现了一个安全漏洞 CVE-2022-39278，它使恶意攻击者能够让控制平面崩溃。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

2022-12-14 更新：添加了 GKE 和 GKE on VMware 的补丁版本。

在 Linux 内核中发现了一个新漏洞 CVE-2022-20409，该漏洞可能会允许无特权的用户提升到拥有系统执行特权。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

2023 年 12 月 21 日更新：澄清默认配置中的 GKE Autopilot 集群不受影响。

2023-01-19 更新：添加了有关 GKE 1.21.14-gke.14100 版已发布的信息。

2022 年 12 月 15 日更新：更新了关于 Google Kubernetes Engine 1.21.14-gke.9400 版正在等待发布并可能会被更高的版本号取代的信息。

2022 年 11 月 22 日更新：添加了 GKE on VMware、GKE on AWS 和 GKE on Azure 的补丁版本。

我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-3176)，该漏洞可能会导致本地权限提升。此漏洞允许无特权的用户实现完全的容器逃逸，从而获得节点的 root 权限。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

Istio 控制平面 istiod 容易出现请求处理错误，从而允许恶意攻击者发送特别设计的消息，当集群的验证 webhook 公开提供时，会导致控制平面崩溃。此端点通过 TLS 端口 15017 提供，但不需要攻击者进行任何身份验证。

如需了解相关说明和更多详情，请参阅 Cloud Service Mesh 安全公告。

ProtocolBuffer 的 C++ 和 Python 实现中存在一个消息解析和内存管理漏洞，在处理特别设计的消息时，该漏洞可能会触发内存不足 (OOM) 故障。这可能会导致使用相应库的服务遭到拒绝服务攻击 (DoS)。

该怎么做？

确保您使用的是以下软件包的最新版本：

• protobuf-cpp（3.18.3、3.19.5、3.20.2、3.21.6）
• protobuf-python（3.18.3、3.19.5、3.20.2、4.21.6）

该补丁解决了哪些漏洞？

该补丁程序解决了以下漏洞：

一种专门构建的小消息，可导致正在运行的服务分配大量 RAM。请求的大小较小，这意味着很容易利用该漏洞耗尽资源。如果使用不受信任的 protobuf 的 C++ 和 Python 系统在其 RPC 请求中包含 MessageSet 对象，则容易受到 DoS 攻击。

2023 年 12 月 21 日更新：澄清默认配置中的 GKE Autopilot 集群不受影响。

2022 年 9 月 14 日更新：添加了 GKE on VMware、GKE on AWS 和 GKE on Azure 的补丁版本。

我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-2327)，该漏洞可能会导致本地权限升级。此漏洞允许无特权的用户实现完全的容器逃逸，从而获得节点的 root 权限。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

2022 年 11 月 22 日更新：使用 GKE Sandbox 的工作负载不受这些漏洞的影响。

2022-07-21 更新：添加了有关 GKE on VMware 的更多信息。

在 Linux 内核版本 5.10 和 5.11 中发现了一个新漏洞 (CVE-2022-1786)。此漏洞允许具有集群本地访问权限的非特权用户实现完全的容器逃逸 (container breakout)，从而获得节点的 root 权限。只有运行 Container-Optimized OS 的集群会受到影响。GKE Ubuntu 版本使用内核版本 5.4 或 5.15，并且不受影响。

如需了解相关说明和更多详情，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

2022 年 11 月 22 日更新：Autopilot 集群不受 CVE-2022-29581 影响，但容易受到 CVE-2022-29582 和 CVE-2022-1116 的影响。

在 Linux 内核中发现了三个新的内存损坏漏洞（CVE-2022-29581、CVE-2022-29582、CVE-2022-1116）。这些漏洞允许具有集群本地访问权限的非特权用户实现完全的容器逃逸，从而获得节点的 root 权限。所有 Linux 集群（Container-Optimized OS 和 Ubuntu）都会受到影响。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

• CVE-2022-29581
• CVE-2022-29582
• CVE-2022-1116

2022-06-10 更新：Cloud Service Mesh 版本已更新。如需了解相关说明和更多详情，请参阅 Cloud Service Mesh 安全公告。

以下 Envoy 和 Istio CVE 导致 GKE 上的 Cloud Service Mesh 和 Istio 遭到可远程利用的漏洞攻击：

• CVE-2022-31045：启用元数据交换和统计扩展程序后，Istio 数据平面可能会以不安全的方式访问内存。
• CVE-2022-29225：如果恶意攻击者传递了高度压缩的小型载荷（zip 炸弹攻击），则数据可能会超过中间缓冲区限制。
• CVE-2021-29224：GrpcHealthCheckerImpl 中可能存在 null 指针解引用。
• CVE-2021-29226：OAuth 过滤器允许普通绕过。
• CVE-2022-29228：OAuth 过滤器可能会损坏内存（更低版本）或触发 ASSERT()（更高版本）。
• CVE-2022-29227：包含正文或尾部的请求的内部重定向会崩溃。

如需了解相关说明和更多详情，请参阅 Cloud Service Mesh 安全公告。

• CVE-2022-31045
  
• CVE-2022-29225
  
• CVE-2021-29224
  
• CVE-2021-29226
  
• CVE-2022-29228
  
• CVE-2022-29227
  

2022-11-22 更新：在 GKE Sandbox 中运行的 GKE Autopilot 集群和工作负载不受影响。

2022 年 5 月 12 日更新：GKE on AWS 和 GKE on Azure 版本已更新。如需了解相关说明和更多详情，请参阅以下安全公告：

• GKE on AWS 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

---

在 Linux 内核中发现了两个安全漏洞：CVE-2022-1055 和 CVE-2022-27666。每个漏洞都可能导致本地攻击者能够执行容器逃逸和/或主机上的提权。这些漏洞会影响所有 GKE 节点操作系统（Container-Optimized OS 和 Ubuntu）。如需了解相关说明和更多详细信息，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

在 OCI 映像卷规范中，containerd 在处理路径遍历时发现了安全漏洞 CVE-2022-23648。通过 containerd 的 CRI 实现使用特别设计的映像配置启动的容器，可以获得对主机上任意文件和目录的完整读取权限。 此漏洞可能会绕过容器设置上基于政策的所有强制执行（包括 Kubernetes Pod 安全政策）。

如需了解相关说明和更多详细信息，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

2022-11-22 更新：对于 Standard 模式和 Autopilot 模式的 GKE 集群，使用 GKE Sandbox 的工作负载不受影响。

我们已在 Linux 内核 5.8 版及更高版本中发现安全漏洞 CVE-2022-0847，此漏洞可能会将容器权限升级为 root。此漏洞会影响以下产品：

• 使用 Container-Optimized OS 映像（Container-Optimized OS 93 及更高版本）的 GKE 节点池版本 1.22 及更高版本
• 使用 Container-Optimized OS 映像的 GKE on VMware v1.10
• GKE on AWS v1.21 和 GKE on AWS（上一代）v1.19、v1.20、v1.21（使用 Ubuntu）
• 使用 Ubuntu 的 GKE on Azure v1.21 的托管式集群

如需了解相关说明和更多详细信息，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

2022 年 8 月 11 日更新：增加了有关并发多线程 (SMT) 配置的更多信息。在下面列出的版本中，SMT 本应停用，但却被启用。

如果您为沙盒化节点池手动启用 SMT，则尽管存在此问题，SMT 仍将保持手动启用状态。

GKE Sandbox 映像上的并发多线程 (SMT)（也称为超线程）配置错误。配置错误可能会使节点面临微通道数据抽样 (MDS) 等边信道攻击（如需更多背景信息，请参阅 GKE Sandbox 文档）。我们不建议您使用以下受影响的版本：

• 1.22.4-gke.1501
• 1.22.6-gke.300
• 1.23.2-gke.300
• 1.23.3-gke.600

如需了解相关说明和更多详情，请参阅 GKE 安全公告。

以下 Istio CVE 导致 Cloud Service Mesh 遭到可远程利用的漏洞攻击：

• CVE-2022-24726：Istio 控制平面“istiod”容易出现请求处理错误，从而允许恶意攻击者发送特别设计的消息，当用于验证集群的 webhook 公开提供时，会导致控制平面崩溃。此端点通过 TLS 端口 15017 提供，但不需要攻击者进行任何身份验证。

如需了解相关说明和更多详细信息，请参阅以下安全公告：

• Cloud Service Mesh 安全公告。

• CVE-2022-24726

用于访问 GKE Autopilot 集群上的节点虚拟机的一些意外路径可能已被用来提升集群中的权限。这些问题已得到解决，无需采取进一步措施。这些修复解决了通过漏洞奖励计划报告的问题。

如需了解相关说明和更多详情，请参阅 GKE 安全公告。

2022-04-28 更新：：添加了修复这些漏洞的 GKE on VMware 版本。如需了解详情，请参阅 GKE on VMware 安全公告。

• CVE-2022-23606：通过集群发现服务 (CDS) 删除集群后，与该集群中的端点建立的所有空闲连接都会断开连接。Envoy 版本 1.19 中错误地引入了断开空闲连接的递归，这可能会导致栈耗尽，并且当集群有大量空闲连接时，进程会异常终止。
• CVE-2022-21655：Envoy 的内部重定向代码假定路由条目存在。当内部重定向到具有直接响应条目但没有路由条目的路由时，会导致取消对 null 指针的引用并崩溃。
• CVE-2021-43826：当 Envoy 配置为使用 tcp_proxy（使用上行隧道 [通过 HTTP] 和下行 TLS 终结）时，如果在 TLS 握手期间下行客户端断开连接，而上行 HTTP 流仍在建立中，Envoy 会崩溃。下游断开连接可以由客户端或服务器发起。客户端可以因任何原因断开连接。例如，如果服务器没有与客户端兼容的 TLS 加密或 TLS 协议版本，则可能会断开连接。其他下行配置也可能会触发此崩溃。
• CVE-2021-43825： 发送本地生成的响应必须停止进一步处理请求或响应数据。Envoy 会跟踪缓冲的请求和响应数据量，如果缓冲的数据量超过限制，则会通过发送 413 或 500 响应来中止请求。但是，当本地生成的响应因内部缓冲区溢出而发送，同时响应由过滤器链处理时，操作可能无法正确中止，并导致访问已释放的内存块。
• CVE-2021-43824：在使用 JWT 过滤器时，如果使用“safe_regex”匹配规则和“CONNECT host:port HTTP/1.1”等特意设计的请求，Envoy 会崩溃。到达 JWT 过滤器时，“safe_regex”规则应评估网址路径，但此处没有网址路径，因此 Envoy 会因出现段错误而崩溃。
• CVE-2022-21654：在重新配置 mTLS 验证设置后，Envoy 会错误地允许 TLS 会话恢复。如果旧配置允许使用客户端证书，但新配置不允许，则即使当前配置应禁止使用客户端证书，客户端仍可恢复之前的 TLS 会话。以下设置的更改会受到影响：
  • match_subject_alt_names
  • CRL 变更
  • allow_expired_certificate
  • Trust_chain_verification
  • only_verify_leaf_cert_crl
• CVE-2022-21657： Envoy 不会限制其从对等方（作为 TLS 客户端或 TLS 服务器）接受的证书集，使其仅包含具有必要 extendedKeyUsage（分别为 id-kp-serverAuth 和 id-kp-clientAuth）的证书。这意味着对等体可以提供电子邮件证书（例如 id-kp-emailProtection），作为叶证书或作为证书链中的 CA，并且该证书将被接受用于 TLS。与 CVE-2022-21656 相结合时，这种情况尤为严重，因为它允许仅用于 S/MIME 且因此免于审核或监督的 Web PKI CA 颁发将被 Envoy 接受的 TLS 证书。
• CVE-2022-21656： 用于实现默认证书验证例程的验证器实现存在“类型混淆”bug，会在处理 subjectAltNames 时出现此 bug。此处理方式允许 rfc822Name 或 uniformResourceIndicator 等作为域名进行身份验证。这种混淆会导致绕过底层 OpenSSL/BoringSSL 实现所处理的 nameConstraints，从而可能冒充任意服务器。

• Cloud Service Mesh 安全公告

• Istio on GKE 安全公告

• GKE
• GKE on VMware
• Google Distributed Cloud Virtual for Bare Metal

以下 Envoy 和 Istio CVE 导致 GKE 上的 Cloud Service Mesh 和 Istio 遭到可远程利用的漏洞攻击：

• CVE-2022-23635：Istiod 在收到包含特别设计的 authorization 标头的请求后崩溃。
• CVE-2021-43824：使用 JWT 过滤条件 safe_regex 的匹配项时，可能存在 null 指针解引用
• CVE-2021-43825：当响应过滤器增加响应数据且增加的数据超过下行缓冲区限制时，会发生 use-after-free 漏洞。
• CVE-2021-43826：通过 HTTP 建立 TCP 隧道时，如果在上行连接建立期间下行断开连接，则会发生 use-after-free 漏洞。
• CVE-2022-21654：错误的配置处理会导致在验证设置发生更改后无需重新验证便可重用 mTLS 会话。
• CVE-2022-21655：对具有直接响应条目的路由的内部重定向处理错误。
• CVE-2022-23606：通过集群服务发现删除集群时栈耗尽。

如需了解相关说明和更多详细信息，请参阅以下安全公告：

• Cloud Service Mesh 安全公告。
• Istio on GKE 安全公告。

• CVE-2022-23635
  
• CVE-2021-43824
  
• CVE-2021-43825
  
• CVE-2021-43826
  
• CVE-2022-21654
  
• CVE-2022-21655
  
• CVE-2022-23606
  

2022 年 5 月 16 日更新：将 GKE 1.19.16-gke.7800 版或更高版本添加到包含修复此漏洞的代码的版本列表中。如需了解详情，请参阅 GKE 安全公告。

2022 年 5 月 12 日更新：GKE、GKE on VMware、GKE on AWS 和 GKE on Azure 版本已更新。如需了解相关说明和更多详情，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告

在 Linux 内核的 cgroup_release_agent_write 函数中发现了安全漏洞 CVE-2022-0492。该攻击使用无特权的用户命名空间；在某些情况下，此漏洞可能会被用于执行容器逃逸。

如需了解相关说明和更多详情，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告

在与低于 3.73 或 3.68.1 的 NSS（网络安全服务）版本中找到的 libnss3 易受攻击版本相关联的任何二进制文件中，找到了安全漏洞 CVE-2021-43527。使用 NSS 进行证书验证或其他 TLS、X.509、OCSP 或 CRL 功能的应用可能会受到影响，具体取决于 NSS 的使用/配置方式。

如需了解相关说明和更多详情，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on Azure 安全公告

在 pkexec 中发现了一个安全漏洞 CVE-2021-4034，该漏洞是 Linux 政策套件软件包 (pokit) 的一部分，它会允许经过身份验证的用户执行提升权限攻击。该政策套件通常仅在 Linux 桌面系统上使用，以允许非 root 用户执行受政策约束的操作，例如重新启动系统、安装软件包、重启服务等。

如需了解相关说明和更多详情，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on Azure 安全公告

2022 年 2 月 25 日更新：GKE 版本已更新。如需了解相关说明和更多详情，请参阅以下安全公告：

• GKE 安全公告

2022 年 2 月 23 日更新： GKE 和 GKE on VMware 版本已更新。如需了解相关说明和更多详情，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告

2022 年 2 月 4 日更新：GKE 补丁程序版本的发布开始日期为 2 月 2 日。

已在 Linux 内核中发现三个安全漏洞：CVE-2021-4154、CVE-2021-22600 和 CVE-2022-0185，其中每个都可能导致容器入侵和/或在主机上发生权限提升。这些漏洞会影响 GKE、GKE on VMware、GKE on AWS（当前版本和上一代）和 GKE on Azure 上的所有节点操作系统（COS 和 Ubuntu）。 使用 GKE Sandbox 的 Pod 不受这些漏洞的影响。请参阅 COS 版本说明了解详情。

如需了解相关说明和更多详情，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告

• CVE-2021-4154
• CVE-2021-22600
• CVE-2022-0185

解析二进制数据的过程中发现了 protobuf-java 中可能存在的拒绝服务攻击问题。

该怎么做？

确保您使用的是以下软件包的最新版本：

• protobuf-java (3.16.1, 3.18.2, 3.19.2)
• protobuf-kotlin (3.18.2, 3.19.2)
• google-protobuf [JRuby gem] (3.19.2)

Protobuf“javalite”用户（通常是 Android）不受影响。

该补丁程序解决了哪些漏洞？

该补丁程序解决了以下漏洞：

在 Java 中解析未知字段的方式的实现漏洞。通过创建大量导致频繁且重复的垃圾回收暂停的短期对象，小型（约 800 KB）恶意载荷可能会占用解析器几分钟的时间。

在 Kubernetes ingress-nginx 控制器中发现了安全问题 (CVE-2021-25742)。Ingress-nginx 自定义代码段允许检索所有命名空间中的 ingress-nginx 服务账号令牌和 Secret。

如需了解相关说明和更多详情，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

存在一个已知问题，即使用 v1beta1 API 更新 BackendConfig 资源会从其 Service 中移除活跃的 Google Cloud Armor 安全政策。

如需了解相关说明和更多详情，请参阅 GKE 安全公告。

在 GKE on VMware 版本 1.8 和 1.8.1 的 GKE Enterprise Identity Service (AIS) LDAP 模块中发现了一个漏洞，在该漏洞中，用于生成密钥的种子密钥是可预测的。利用此漏洞，经过身份验证的用户可以无限期地添加任意声明和提升权限。

如需了解相关说明和更多详情，请参阅 GKE on VMware 安全公告。

在 Kubernetes 中发现了一个安全漏洞 CVE-2020-8561，某些网络钩子可以将 kube-apiserver 请求重定向到该 API 服务器的专用网络。

如需了解相关说明和更多详情，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

根据 VMware 安全建议 VMSA-2021-0020，VMware 接收到了 vCenter 中多个漏洞的报告。VMware 已推出更新，以在受影响的 VMware 产品中修复这些漏洞。

我们已按照 VMware 安全建议，将 VMware 针对 vSphere 堆栈提供的补丁程序应用于 Google Cloud VMware Engine。此更新解决了 CVE-2021-22005、CVE-2021-22006、CVE-2021-22007、CVE-2021-22008 和 CVE-2021-22010 中所述的安全漏洞。其他非关键安全问题将在即将进行的 VMware 堆栈升级中解决（根据 7 月份发送的提前通知，我们将尽快提供升级的具体时间）。

VMware Engine 影响

根据我们的调查，没有客户受到影响。

该怎么做？

由于 VMware Engine 集群不受此漏洞的影响，因此无需采取进一步行动。

• VMSA-2021-0020
• CVE-2021-22005
• CVE-2021-22006
• CVE-2021-22007
• CVE-2021-22008
• CVE-2021-22010

在限定条件下，某些路由到启用了 Identity-Aware Proxy (IAP) 的后端服务的 Google Cloud 负载均衡器可能容易受到不可信方的攻击。此举措可解决用户通过我们的漏洞奖励计划报告的一个问题。

• 是 HTTP(S) 负载均衡器并且
• 使用默认后端或具有通配符主机映射规则（即 host="*"）的后端

此外，组织中的某个用户必须点击了不可信方发送的专门链接。

此问题现已得到解决。自 2021 年 9 月 17 日起，更新后的 IAP 仅会为获得授权的主机签发 Cookie。如果主机至少与负载均衡器上安装的其中一个证书中的一个主题备用名称 (SAN) 匹配，则该主机会被视为已获得授权。

您需要采取的措施

您的部分用户在尝试访问应用或服务时，可能会遇到带有 IAP 错误代码 52 的 HTTP 401 Unauthorized 响应。此错误代码表示客户端发送的 Host 标头与负载均衡器的 SSL 证书所关联的任何主题备用名称都不匹配。负载均衡器管理员需要更新 SSL 证书，以确保主题备用名称 (SAN) 列表包含所有主机名，用户需通过这些主机名访问受 IAP 保护的应用或服务。详细了解 IAP 错误代码。

在 Kubernetes 中发现了一个安全问题 (CVE-2021-25741)，导致用户可以创建具有子路径卷挂载的容器来访问卷外部的文件和目录，包括主机文件系统。

如需了解相关说明和更多详情，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

2021-09-23 更新：对于源自 GKE Sandbox 中运行的容器的攻击，这些容器不受此漏洞影响。

在 Linux 内核中发现了两个安全漏洞 CVE-2021-33909 和 CVE-2021-33910，可能会导致操作系统崩溃或由无特权用户升级为 root 用户。此漏洞会影响所有 GKE 节点操作系统（COS 和 Ubuntu）。

如需了解相关说明和更多详细信息，请参阅以下安全公告：

• GKE 安全公告
• GKE on AWS 安全公告。

以下 Envoy 和 Istio CVE 导致 GKE 上的 Cloud Service Mesh 和 Istio 遭到可远程利用的漏洞攻击：

• CVE-2021-39156：URI 路径中包含片段（URI 末尾以 # 字符开头的部分）的 HTTP 请求可以绕过 Istio 基于 URI 路径的授权政策。
• CVE-2021-39155：使用基于 hosts 或 notHosts 的规则时，HTTP 请求可能会绕过 Istio 授权政策。
• CVE-2021-32781：影响 Envoy 的 decompressor、json-transcoder 或 grpc-web 扩展程序或专有扩展程序，从而修改或增加请求或响应正文的大小。如果修改和增加 Envoy 扩展中正文超出内部缓冲区大小，可能会导致 Envoy 访问取消分配的内存并异常终止。
• CVE-2021-32780：不受信任的上游服务通过发送 GOAWAY 帧，后跟 SETTINGS 帧，并将 SETTINGS_MAX_CONCURRENT_STREAMS 参数设置为 0，可能会导致 Envoy 异常终止。（不适用于 Istio on GKE）
• CVE-2021-32778：如果 Envoy 客户端打开然后重置大量 HTTP/2 请求，可能会导致 CPU 耗用量过高。（不适用于 Istio on GKE）
• CVE-2021-32777：使用 ext_authz 扩展时，具有多个值标头的 HTTP 请求可能会执行不完整的授权政策检查。

如需了解相关说明和更多详细信息，请参阅以下安全公告：

• Cloud Service Mesh 安全公告。
• Istio on GKE 安全公告。

• CVE-2021-39156
• CVE-2021-39155
• CVE-2021-32781
• CVE-2021-32780
• CVE-2021-32778
• CVE-2021-32777

发现了新的安全漏洞 CVE-2021-22555，具有 CAP_NET_ADMIN 特权的恶意方可能在宿主机上引发容器逃逸，从而获得 root 权限。此漏洞会影响运行 Linux 2.6.19 或更高版本的所有 GKE 集群和 GKE on VMware。

如需了解相关说明和更多详细信息，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告

Microsoft 发布了有关远程代码执行 (RCE) 漏洞的安全公告 CVE-2021-34527，该漏洞会影响 Windows 服务器的打印假脱机程序。CERT 协调中心 (CERT/CC) 发布了一个相关漏洞的更新说明，该补丁程序名为“PrintNightmare”，也影响 Windows 打印后台处理程序 - PrintNightmare, Critical Windows Print Spooler Vulnerability

如需了解相关说明和更多详情，请参阅 GKE 安全公告。

Istio 项目最近宣布存在一个安全漏洞，用户可通过不同的命名空间访问网关和 DestinationRule credentialName 字段中指定的凭据。

如需了解具体产品的说明和更多详情，请参阅：

• Cloud Service Mesh 安全公告。
• GKE Enterprise 安全公告 GCP-2021-012，了解特定于 Google Kubernetes Engine、Google Distributed Cloud Virtual for Bare Metal 和 GKE on VMware 的信息。

2021 年 10 月 19 日更新：

如需了解相关说明和更多详细信息，请参阅以下安全公告：

• GKE on VMware 安全公告
• GKE on AWS 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告