Boletines de seguridad

Los siguientes boletines de seguridad se relacionan con los productos de Google Cloud .

Usa este feed XML para suscribirte a los boletines de seguridad de esta página. Suscribirse

GCP-2026-010

Publicado: 2026-02-13

Descripción

Descripción Gravedad Notas

Se identificó una vulnerabilidad en la plataforma de Apigee que podría haber permitido que un agente malicioso con permisos de nivel de administrador o desarrollador en su propio entorno de Apigee elevara los privilegios y accediera a datos de varios arrendatarios.

Específicamente, una vulnerabilidad en la tecnología de zona de pruebas de Apigee X permitió el uso de un extremo local de vínculo para acceder a los tokens de cuentas de servicio (P4SA) dentro de un proyecto de inquilino del cliente. Si aprovecha esta identidad, un atacante podría, en teoría, leer los metadatos de las estadísticas o manipular los registros de supervisión internos en otras organizaciones (inquilinos) de Apigee.

¿Qué debo hacer?

No se requiere que el cliente realice ninguna acción. Google implementó una estrategia de mitigación de varios niveles para resolver este problema:

  • Mitigación de la explotación de tokens: Se mitigó el vector de explotación del token de la cuenta de servicio de Apigee en los Pods del entorno de ejecución.
  • Principio de privilegio mínimo: Los permisos de la cuenta de servicio de Apigee se restringieron para evitar modificaciones no autorizadas.
  • Aislamiento de datos: Se quitó el acceso de las cuentas de servicio a nivel de carpeta a los buckets de Google Cloud Storage de múltiples usuarios.

Google confirmó que, si bien los registros de supervisión internos eran teóricamente accesibles, estos registros solo se usan de forma interna en Google y su exposición no afecta la seguridad ni la integridad de los datos de los clientes en Apigee.

 Alta CVE-2025-13292

GCP-2026-009

Publicado: 2026-02-13

Descripción

Descripción Gravedad Notas

Las versiones de la interfaz de usuario de Log Analytics anteriores a enero de 2026 se pueden configurar para ejecutar automáticamente consultas en SQL. Una vulnerabilidad puede permitir que un atacante cree una URL de consulta que, cuando la abra alguien con credenciales, pueda acceder al contenido de la tabla o generar un costo de consulta.

Para obtener más información, consulta el boletín de seguridad de Google Cloud Observability.

 Alta

GCP-2026-008

Fecha de publicación: 2026-02-10

Descripción

Descripción Gravedad Notas

Un conjunto de vulnerabilidades de seguridad afectan el firmware de Intel® TDX. Estas vulnerabilidades abarcan varias fallas, incluidas las condiciones de carrera (CVE-2025-30513, CVE-2025-31944), las lecturas fuera de límites (CVE-2025-32007, CVE-2025-27940), el uso de una variable no inicializada (CVE-2025-32467) y la exposición de información sensible durante la ejecución transitoria (CVE-2025-27572). En conjunto, estos problemas pueden permitir la divulgación de información, la escalación de privilegios o la denegación de servicio. Por lo general, la explotación requiere acceso de usuario con privilegios en el sistema.

¿Qué debo hacer?

No se requiere que el cliente realice ninguna acción. Se aplicaron todas las correcciones pertinentes a la flota de servidores de Google. Para obtener más información, consulta el aviso técnico INTEL-TA-01397 del PSIRT de Intel.

Alta

GCP-2026-007

Fecha de publicación: 2026-02-09

Descripción

Descripción Gravedad Notas

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2025-40297

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2025-40297

GCP-2026-006

Publicado: 29-01-2026

Descripción

Descripción Gravedad Notas

Se identificaron varias vulnerabilidades de seguridad en la biblioteca de OpenSSL. El hallazgo más significativo es CVE-2025-15467, una vulnerabilidad crítica que podría permitir ataques de ejecución remota de código (RCE) o de denegación de servicio (DoS) a través de vectores basados en la red.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2025-15467

GCP-2026-005

Publicado: 2026-01-28

Descripción

Descripción Gravedad Notas

Esta vulnerabilidad afecta a las versiones de la interfaz de Log Analytics y de la interfaz de paneles de Cloud Monitoring anteriores a enero de 2026.

Para obtener más información, consulta el boletín de seguridad de Google Cloud Observability.

 Alta

GCP-2026-004

Publicado: 2026-01-14

Descripción

Descripción Gravedad Notas

Se descubrió una vulnerabilidad en procesadores Arm seleccionados que afecta a las VMs C4A y A4X en Compute Engine:

  • CVE-2025-0647

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Compute Engine.

 Media CVE-2025-0647

GCP-2026-003

Fecha de publicación: 2026-01-09

Descripción

Descripción Gravedad Notas

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2025-39964

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2025-39964

GCP-2026-002

Fecha de publicación: 2026-01-07

Descripción

Descripción Gravedad Notas

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2025-40215

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2025-40215

GCP-2026-001

Fecha de publicación: 2026-01-07

Descripción

Descripción Gravedad Notas

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2025-40214

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2025-40214

GCP-2025-076

Publicado: 2025-12-08

Descripción

Descripción Gravedad Notas

Se descubrió la siguiente vulnerabilidad en Cloud Data Fusion:

  • CVE-2025-9571

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Cloud Data Fusion.

 Alta CVE-2025-9571

GCP-2025-075

Publicada: 2025-12-07

Descripción

Descripción Gravedad Notas

Una vulnerabilidad en la función de integraciones personalizadas de Google Security Operations SOAR podría permitir que un usuario autenticado con un rol de IDE logre la ejecución remota de código (RCE) en el servidor. La vulnerabilidad se debió a una validación insuficiente del código del paquete de Python, lo que permitió que un atacante subiera un paquete con un archivo setup.py malicioso. Este archivo se podría ejecutar durante la instalación y, de esta manera, comprometer el servidor.

¿Qué debo hacer?

No se requiere que el cliente realice ninguna acción. Todos los clientes se actualizaron automáticamente a la versión corregida: 6.3.64 o posterior.

 Alta CVE-2025-13428

GCP-2025-074

Published: 2025-12-05

Descripción

Descripción Gravedad Notas

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2025-39965

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2025-39965

GCP-2025-073

Published:2025-12-03

Descripción

Descripción Gravedad Notas

Se descubrieron las siguientes vulnerabilidades en Envoy Proxy:

  • CVE-2025-66220
  • CVE-2025-64527
  • CVE-2025-64763

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Cloud Service Mesh.

 Media

GCP-2025-072

Publicado: 2025-12-04

Actualización: 2025-12-05

Descripción

Descripción Gravedad Notas

Actualización del 4/12/2025: Ya está disponible una regla de firewall de aplicaciones web.

Se encontró una vulnerabilidad de ejecución remota de código en los frameworks de código abierto React y Next.js. Si bien Google Cloud no es vulnerable en sí, los usuarios de estos frameworks que se ejecutan en Google Cloud pueden ser vulnerables.

Las siguientes versiones del framework se ven afectadas por esta vulnerabilidad:

  • React 19.0, 19.1.0, 19.1.1 y 19.2.0
  • Next.js 15.x, Next.js 16.x y Next.js 14.3.0-canary.77 y versiones canary posteriores

Las siguientes versiones del framework incluyen correcciones para esta vulnerabilidad:

  • React 19.0.1, 19.1.2 y 19.2.1
  • Next.js 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 15.6.0-canary.58 y 16.0.7

Para obtener más información, consulta el aviso de React y el aviso de Vercel sobre estas vulnerabilidades.

Los clientes deben tomar medidas de inmediato para proteger sus cargas de trabajo. Para ello, deben volver a implementarlas con dependencias actualizadas.

¿Cómo puede ayudar Google?

Se puso a disposición una regla de firewall de aplicación web (WAF) de Cloud Armor diseñada para detectar y bloquear intentos de explotación relacionados. Esta nueva regla tiene como objetivo proteger tus aplicaciones y servicios orientados a Internet que usan balanceadores de cargas de aplicaciones globales o regionales. Te recomendamos que implementes esta regla como una mitigación temporal mientras actualizas tus cargas de trabajo. Las instrucciones para aplicar esta regla están disponibles en esta entrada de blog.

Para los clientes que usan App Engine estándar, Cloud Functions, Cloud Run Functions, Cloud Run, Firebase Hosting o Firebase App Hosting, ya se aplica una regla para limitar la explotación a través de solicitudes a dominios personalizados y predeterminados.

Los clientes que usen Artifact Analysis recibirán notificaciones sobre estas vulnerabilidades en los artefactos nuevos y existentes para ayudarlos a identificar las cargas de trabajo en riesgo.

Este boletín de seguridad se actualizará a medida que haya nueva información disponible.

 Crítico CVE-2025-55182

GCP-2025-071

Published: 2025-12-02

Última actualización: 11-12-2025

Descripción

Descripción Gravedad Notas

Actualización del 11/12/2025: Se agregaron versiones de parche y una clasificación de gravedad para GDC (VMware).

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2025-40019

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2025-40019

GCP-2025-070

Published: 2025-12-02

Última actualización: 11-12-2025

Descripción

Descripción Gravedad Notas

Actualización del 11/12/2025: Se agregaron versiones de parche y una clasificación de gravedad para GDC (VMware).

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2025-40018

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2025-40018

GCP-2025-069

Publicado: 24/11/2025

Descripción

Descripción Gravedad Notas

Se descubrieron varios problemas de seguridad en runc, un componente de software de código abierto que se usa para ejecutar contenedores. Los ataques divulgados en estas vulnerabilidades (CVE-2025-31133, CVE-2025-52565 y CVE-2025-52881) permiten que un atacante ejecute un escape del contenedor completo en tus trabajos y grupos de trabajadores de Cloud Run, lo que lleva a una elevación de privilegios raíz fuera del contenedor hacia tu instancia en zona de pruebas. Un actor con privilegios para implementar una imagen de contenedor maliciosa puede aprovechar estas vulnerabilidades para obtener acceso a los otros contenedores dentro de tu instancia de zona de pruebas de Cloud Run.

  • CVE-2025-31133
  • CVE-2025-52565
  • CVE-2025-52881

Los grupos de trabajadores, los trabajos y una cantidad limitada de servicios que aún no se actualizaron son vulnerables.

Se está preparando una actualización para su lanzamiento a principios de enero. Este boletín se actualizará cuando se complete el lanzamiento.

Informa cualquier problema relacionado con esta vulnerabilidad al Programa de recompensas por detección de vulnerabilidades de Cloud en g.co/vrp.

 Alta

GCP-2025-068

Publicado: 2025-11-21

Descripción

Descripción Gravedad Notas

Looker corrigió una vulnerabilidad que podría haber permitido que un atacante con permisos de visualizador en Looker creara una URL maliciosa que, cuando la abriera un administrador de Looker, ejecutaría una secuencia de comandos proporcionada por el atacante. La explotación requería que se instalara al menos una extensión de Looker en la instancia.

Se descubrió que tanto las instancias alojadas en Looker como las autoalojadas eran vulnerables.

Este problema ya se mitigó en las instancias alojadas en Looker.

¿Qué debo hacer?

Instancias alojadas por Looker:

No se requiere que el cliente realice ninguna acción.

Solo para instancias de Looker autoalojadas:

Si tu instancia de Looker es autoalojada, te recomendamos que actualices tus instancias de Looker lo antes posible. Esta vulnerabilidad se corrigió en todas las versiones compatibles de Looker para instancias autoalojadas. Las siguientes versiones se actualizaron para ofrecer protección frente a esta vulnerabilidad:

  • 25.16.0 y todas las versiones posteriores
  • 25.12.7+
  • 25.6.66+
  • 25.0.79+
  • 24.18.201+

Puedes descargar estas versiones de Looker en la página de descargas de Looker: https://download.looker.com/

 Alta CVE-2025-12739

GCP-2025-067

Publicado: 19-11-2025

Descripción

Descripción Gravedad Notas

Looker corrigió una vulnerabilidad que podría haber permitido que un atacante se apoderara de una cuenta de Looker en una instancia de Looker configurada con autenticación de OIDC debido a la normalización de cadenas de direcciones de correo electrónico.

Se descubrió que tanto las instancias alojadas en Looker como las autoalojadas eran vulnerables.

Este problema ya se mitigó en las instancias alojadas en Looker.

¿Qué debo hacer?

Instancias alojadas por Looker:

No se requiere que el cliente realice ninguna acción.

Solo para instancias de Looker autoalojadas:

Si tu instancia de Looker es autoalojada, te recomendamos que actualices tus instancias de Looker lo antes posible a una de las siguientes versiones:

  • 25.10.22+
  • 25.8.39+
  • 25.6.57+
  • 25.0.69+
  • 24.18.193+
  • 24.12.100+

Puedes descargar estas versiones de Looker en la página de descargas de Looker: https://download.looker.com/

Nota: Las versiones 25.12 y posteriores no se ven afectadas por este problema de seguridad.

 Alta CVE-2025-12414

GCP-2025-066

Fecha de publicación: 10-11-2025

Última actualización: 27-11-2025

Descripción

Descripción Gravedad Notas

Actualización del 27/11/2025: Se agregaron versiones de parche para GKE y GDC (Bare Metal).

Se descubrió un conjunto de tres vulnerabilidades de escape de contenedores en runc, el entorno de ejecución de contenedores de bajo nivel predeterminado para GKE. Las vulnerabilidades pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2025-31133
  • CVE-2025-52565
  • CVE-2025-52881

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta

GCP-2025-065

Fecha de publicación: 2025-11-06

Descripción

Descripción Gravedad Notas

Los investigadores descubrieron una vulnerabilidad en AMD SEV-SNP (paginación anidada segura) en las máquinas AMD Milan.

Un ataque podría permitir que un hipervisor malicioso manipule los valores de inicialización del RMP, lo que podría provocar la pérdida de la integridad de la memoria del huésped de AMD SEV-SNP.

Google lanzó una mitigación que evita este problema.

¿Qué debo hacer?

No es necesario que el cliente realice ninguna acción para la mitigación. Ya se aplicaron mitigaciones a las instancias de Confidential VM con SEV-SNP de AMD.

Sin embargo, las instancias de Confidential VM con SEV-SNP de AMD ahora usan el formato de certificación v4. Los clientes que usan la biblioteca go-sev-guest para analizar informes de certificación deben actualizar a go-sev-guest v0.14.0 o versiones posteriores.

Para los clientes que usan sus propios analizadores, el formato de los informes de certificación se define en la especificación de ABI del firmware de paginación anidada segura de SEV.

¿Qué vulnerabilidades se abordan?

Para obtener más información, consulta el aviso de AMD AMD-SB-3020.

 Media CVE-2025-0033

GCP-2025-064

Publicado: 28-10-2025

Descripción

Descripción Gravedad Notas

Se descubrieron las siguientes vulnerabilidades en Envoy Proxy:

  • CVE-2025-62504
  • CVE-2025-62409

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Cloud Service Mesh.

 Media

GCP-2025-063

Publicado: 28-10-2025

Última actualización: 17-11-2025

Descripción

Descripción Gravedad Notas

Actualización del 17/11/2025: Se agregaron versiones de parche para los nodos de Ubuntu en GKE.

Actualización del 30/10/2025: Se agregaron versiones de parche y una calificación de gravedad para el software de GDC para VMware.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2025-39682

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2025-39682

GCP-2025-062

Publicación: 22 de octubre de 2025

Actualizado: 2025-10-30

Descripción

Descripción Gravedad Notas

Actualización del 30/10/2025: Se agregaron versiones de parche para los nodos de Ubuntu en GKE, y versiones de parche y una clasificación de gravedad para el software de GDC para VMware.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2024-58240

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2024-58240

GCP-2025-061

Publicado: 21-10-2025

Descripción

Descripción Gravedad Notas

Se encontró una vulnerabilidad de ejecución de código remoto en Valkey y Redis de código abierto. Como resultado, todas las versiones compatibles con Memorystore para Redis, Memorystore for Redis Cluster y Memorystore para Valkey se ven afectadas.

De forma predeterminada, los activos de Memorystore de Google Cloud no están expuestos a la Internet pública, por lo que el riesgo de esta vulnerabilidad es Bajo para los usuarios de Memorystore que siguen las prácticas recomendadas de seguridad de Google Cloud.

¿Qué deberías hacer?

Google comenzó a aplicar parches automáticamente, y se estima que la fecha de finalización será el 6 de noviembre de 2025. No es necesario que realices ninguna acción para recibir esta corrección.

Si deseas aplicar estos parches a tus clústeres o instancias de Memorystore antes del 6 de noviembre de 2025, usa el mantenimiento de autoservicio para completar las siguientes acciones:

  1. Consulta la versión de mantenimiento actual de tus instancias de Memorystore para Redis, clústeres en Memorystore for Redis Cluster o instancias de Memorystore para Valkey.
  2. Verifica si la versión coincide con las versiones parcheadas más recientes.
  3. Si la versión no es la de mantenimiento más reciente, actualiza tus instancias o clústeres a la versión de mantenimiento más reciente con el mantenimiento de autoservicio para Memorystore para Redis, Memorystore for Redis Cluster y Memorystore para Valkey.
 Crítico CVE-2025-49844

GCP-2025-060

Publicado: 21-10-2025

Descripción

Descripción Gravedad Notas

Oracle publicó una alerta de seguridad en la que confirma que Oracle E-Business Suite (EBS) es vulnerable a un exploit no autenticado.

¿Qué debo hacer?

Google no utiliza Oracle EBS, y Google Cloud esta vulnerabilidad no lo afecta.

 Baja CVE-2025-61882

GCP-2025-059

Publicado: 21-10-2025

Actualizado: 22-10-2025

Descripción

Descripción Gravedad Notas

Actualización del 22-10-2025: Se agregó un vínculo a la CVE.

El 23 de septiembre de 2025, descubrimos un problema técnico en la API de Vertex AI que provocó que una cantidad limitada de respuestas se enrutaran de forma incorrecta entre los destinatarios de ciertos modelos de terceros cuando se usaban solicitudes de transmisión. Este problema ahora está resuelto. Los modelos de Google, p.ej., Gemini, no se vieron afectados.

Algunos proxies internos no controlaban correctamente las solicitudes HTTP que tenían un encabezado Expect: 100-continue, lo que provocaba una desincronización en una conexión de respuesta de transmisión, en la que una respuesta destinada a una solicitud se entregaba como respuesta para una solicitud posterior.

¿Qué debo hacer?

Implementamos correcciones para abordar correctamente la presencia del encabezado Expect: 100-continue y evitar que este problema vuelva a ocurrir. También agregamos pruebas, supervisión y alertas para poder detectar rápidamente si se produce este problema y evitar una regresión. Por el momento, los clientes no tienen que realizar ninguna acción para evitar que se produzca el comportamiento no deseado.

Las correcciones se implementaron en diferentes modelos con programas separados. Se realizó la corrección en los modelos de Anthropic el 26 de septiembre a las 12:45 a.m. (PDT) y en todas las superficies el 28 de septiembre a las 7:10 p.m. (PDT). A continuación, se indican los modelos afectados en la API de Vertex AI y la hora de resolución:

  • Modelos de socios de Anthropic (Claude)

    • El problema se solucionó el 26 de septiembre de 2025 a las 12:45 a.m. (PDT).

  • Todos los modelos de código abierto como servicio, incluidos DeepSeek (R1-0528 y V3.1), OpenAI (gpt-oss-120b y gpt-oss-20b), Qwen (Next Instruct 80B, Next Thinking 80B, Qwen 3 Coder y Qwen 3 235B) y Llama (Maverick, Scout, 3.3, 3.2, 3.1 405b, 3.1 70b y 3.1 8b)

    • El problema se solucionó el 28 de septiembre de 2025 a las 2:43 a.m. (PDT).

  • Mistral y AI21 Modelos de Model-as-a-Service de socios

    • El problema se solucionó el 28 de septiembre de 2025 a las 11:00 a.m. (PDT).

  • Modelos implementados por sí mismos para los que se invocó el método "StreamRawPredict", "ChatCompletions", "GenerateContent" o "StreamGenerateContent" con extremos públicos

    • El problema se solucionó el 28 de septiembre de 2025 a las 7:10 p.m. (PDT).

    • No se vieron afectados los extremos dedicados (la opción predeterminada en Model Garden) ni los privados.

Media CVE-2025-11915

GCP-2025-058

Publicado: 2025-10-20

Descripción

Descripción Gravedad Notas

Se descubrió una falla en la instrucción RDSEED en los procesadores AMD Zen 5 (Turin). Esta instrucción se usa para generar números aleatorios criptográficos. En ciertas condiciones de carga del sistema, las versiones de 16 y 32 bits de RDSEED pueden fallar de forma silenciosa, lo que podría comprometer las aplicaciones que dependen de la generación de números aleatorios. Los clientes que usan la versión de 64 bits de RDSEED no se ven afectados.

¿Qué debo hacer?

AMD está investigando la vulnerabilidad.

Es importante tener en cuenta que el kernel de Linux de 64 bits usa la versión segura de 64 bits de la instrucción RDSEED, que alimenta los números aleatorios obtenidos de /dev/[u]random. Esta vulnerabilidad no afecta a esos números aleatorios.

Si tienes código de la aplicación que sintetiza números aleatorios por sí mismo con la instrucción RDSEED, ten en cuenta que las versiones de 16 y 32 bits de la instrucción no son seguras. La versión de 64 bits de la instrucción es segura.

¿Qué vulnerabilidades se abordan?

Esta vulnerabilidad permite que un atacante provoque una falla silenciosa en RDSEED, lo que podría comprometer la generación de números aleatorios en las aplicaciones.

Alta

GCP-2025-057

Fecha de publicación: 17-10-2025

Última actualización: 11-11-2025

Descripción

Descripción Gravedad Notas

Actualización del 11/11/2025: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Actualización del 27/10/2025: Se agregaron versiones de parche y una clasificación de gravedad para el software de GDC para VMware.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2025-38618

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2025-38618

GCP-2025-056

Publicado: 2025-10-16

Última actualización: 13-11-2025

Descripción

Descripción Gravedad Notas

Actualización del 13/11/2025: Se agregaron versiones de parche para el software de GDC para VMware. Se actualizó la gravedad del software de GDC para VMware a Alta.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2025-39946

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2025-39946

GCP-2025-055

Fecha de publicación: 15/10/2025

Última actualización: 11-11-2025

Descripción

Descripción Gravedad Notas

Actualización del 11/11/2025: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Actualización del 16/10/2025: Se agregaron versiones de parche y una clasificación de gravedad para el software de GDC para VMware.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2025-38617

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2025-38617

GCP-2025-054

Publicado: 2025-10-14

Descripción

Descripción Gravedad Notas

Según el aviso de seguridad de VMware VMSA-2025-0015, se informaron de forma privada a Broadcom varias vulnerabilidades en VMware Aria Operations y VMware Tools. Hay parches disponibles para corregir estas vulnerabilidades en los productos afectados de Broadcom.

¿Qué debo hacer?

Te recomendamos que actualices a VMware Aria Automation 8.18.5 y VMware Tools 13.0.5.

 Importante

GCP-2025-053

Publicado: 2025-09-30

Descripción

Descripción Gravedad Notas

Looker Studio corrigió las vulnerabilidades informadas por un investigador externo a través del Programa de recompensas por detección de vulnerabilidades (VRP) de Google y Alphabet, pero no encontró evidencia de explotación. Estos problemas ya se resolvieron y no es necesario que los usuarios realicen ninguna acción.

¿Qué debo hacer?

No se requiere que el cliente realice ninguna acción.

¿Qué vulnerabilidades se abordan?

Las vulnerabilidades permitieron el acceso no autorizado a los datos a través de informes compartidos, fuentes de datos con credenciales de visualizador, la API de Studio Linking y Conversational Analytics.

 Alta

GCP-2025-052

Publicado: 2025-09-30

Descripción

Descripción Gravedad Notas

Looker corrigió las vulnerabilidades informadas por un investigador externo a través del Programa de recompensas por detección de vulnerabilidades (VRP) de Google y Alphabet, pero no encontró evidencia de explotación. Estos problemas ya se solucionaron. No es necesario que los clientes alojados por Looker en Looker (Google Cloud Core) y Looker (original) realicen ninguna acción, Se recomienda que las instancias autoalojadas de Looker se actualicen a la versión compatible más reciente.

¿Qué debo hacer?

Instancias alojadas por Looker: Instancias de Looker (Google Cloud Core) y Looker (original)

No se requiere que el cliente realice ninguna acción.

Solo para instancias de Looker autoalojadas

Si tu instancia de Looker es autoalojada, te recomendamos que la actualices a una de las siguientes versiones:

  • 25.12.30+
  • 25.10.54+
  • 25.6.79+
  • 25.0.89+
  • 24.18.209+

Nota: Las versiones 25.14 y posteriores no se ven afectadas por estos problemas de seguridad.

¿Qué vulnerabilidades se abordan?

Las vulnerabilidades permitían que los usuarios con permisos de desarrollador en Looker accedieran tanto al sistema subyacente que aloja Looker como a su base de datos interna.

 Alta

GCP-2025-051

Publicado: 2025-09-11

Descripción

Descripción Gravedad Notas

Los investigadores descubrieron una vulnerabilidad de seguridad que afecta a las CPU de Intel y a todas las CPU AMD Zen. Esta vulnerabilidad permite que un atacante lea datos sensibles de forma potencial aprovechando vulnerabilidades conocidas de ejecución especulativa.

¿Qué debo hacer?

En este momento, no se requiere ninguna acción, ya que Google aplicó correcciones a los recursos afectados, incluido Google Cloud, para mitigar el problema de forma no disruptiva en toda la flota.

¿Qué vulnerabilidades se abordan?

Para obtener más información, consulta la entrada de blog sobre COMSEC.

 Alta CVE-2025-40300

GCP-2025-050

Fecha de publicación: 10/09/2025

Última actualización: 11-11-2025

Descripción

Descripción Gravedad Notas

Actualización del 11/11/2025: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Actualización del 15/10/2025: Se agregaron versiones de parche y una calificación de gravedad para el software de GDC para VMware.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2025-38500

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2025-38500

GCP-2025-049

Publicado: 2025-09-10

Descripción

Descripción Gravedad Notas

Se encontró una vulnerabilidad crítica en las versiones 6.3.54.0 y 6.3.53.2 de Google Security Operations SOAR. Un usuario autenticado con permisos para subir archivos ZIP (por ejemplo, cuando importa casos de uso) podría subir un archivo ZIP capaz de escribir archivos en ubicaciones arbitrarias del sistema de archivos del servidor.

El sistema para extraer archivos de archivos ZIP no pudo evitar que los archivos dentro del archivo se escribieran fuera de la carpeta de destino prevista. Esto también se conoce como vulnerabilidad de salto de directorio o Zip Slip.

¿Qué debo hacer?

No se requiere que el cliente realice ninguna acción. Todos los clientes se actualizaron automáticamente a la versión corregida o una superior: 6.3.54.1 o 6.3.53.3.

¿Qué vulnerabilidades se abordan?

Un atacante podría aprovechar esta vulnerabilidad para reemplazar archivos de la aplicación. Si se reemplaza un archivo JavaScript que usa la función de generación de informes, un atacante podría lograr la ejecución de código remoto (RCE) en la instancia de SOAR de Google SecOps. El atacante podría ejecutar su propio código en el servidor.

Para obtener más información, consulta el boletín de seguridad de Google SecOps GCP-2025-049.

Alta CVE-2025-9918

GCP-2025-048

Fecha de publicación: 2025-09-02

Descripción

Descripción Gravedad Notas

Se descubrió la siguiente vulnerabilidad en Envoy Proxy:

  • CVE-2025-54588

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Cloud Service Mesh.

 Alta CVE-2025-54588

GCP-2025-047

Fecha de publicación: 27-08-2025

Actualizada: 2025-09-25

Descripción

Descripción Gravedad Notas

Actualización del 25/09/2025: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2025-38350

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2025-38350

GCP-2025-046

Fecha de publicación: 23/08/2025

Última actualización: 11-11-2025

Descripción

Descripción Gravedad Notas

Actualización del 11/11/2025: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Actualización del 15/10/2025: Se agregaron versiones de parche y una calificación de gravedad para el software de GDC para VMware.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2025-38477

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2025-38477

GCP-2025-045

Fecha de publicación: 21-08-2025

Descripción

Descripción Gravedad Notas

Un investigador externo informó una vulnerabilidad en la API de Dataform a través del Programa de recompensas por detección de vulnerabilidades (VRP) de Google y Alphabet. Esta vulnerabilidad podría permitir el acceso no autorizado a los repositorios de código y los datos de los clientes. Google solucionó el problema rápidamente y lanzó la corrección en todas las regiones. Por el momento, no se encontró ni se informó a Google evidencia de explotación.

¿Qué debo hacer?

No se requiere que el cliente realice ninguna acción. Google ya aplicó mitigaciones a todos los productos y servicios afectados.

¿Qué vulnerabilidades se abordan?

Para obtener más información, consulta CVE-2025-9118.

 Crítico CVE-2025-9118

GCP-2025-044

Published: 2025-08-12

Descripción

Descripción Gravedad Notas

Intel notificó a Google sobre dos nuevas vulnerabilidades de seguridad.

CVE-2025-21090: Esta vulnerabilidad afecta a los siguientes procesadores Intel:

  • Sapphire Rapids: Familias de VMs C3, Z3, H3, A3 y v5p
  • Emerald Rapids: Familias de VMs N4, C4, M4, A3 Ultra y A4
  • Granite Rapids: familia de VMs N4 y C4

CVE-2025-22840: Esta vulnerabilidad afecta al siguiente procesador Intel:

  • Granite Rapids: familia de VMs N4 y C4

¿Qué debo hacer?

No se requiere que el cliente realice ninguna acción para ninguna de las vulnerabilidades. Google actualizará de forma proactiva tus sistemas durante los períodos de mantenimiento estándar y planificados. Por el momento, no se encontró ni se informó a Google evidencia de explotación.

¿Qué vulnerabilidades se abordan?

La vulnerabilidad, CVE-2025-21090, permite que un actor sin privilegios que utiliza la instrucción de CPU AMX, junto con la instrucción de CPU AVX, deje inoperativa la máquina anfitrión.

La vulnerabilidad, CVE-2025-22840, permite que un actor sin privilegios que utiliza la instrucción de CPU prefetchit cargue contenido de la memoria al que, de otro modo, no tendría acceso, lo que podría provocar la ejecución remota de código.

 Media

GCP-2025-043

Published: 2025-08-12

Descripción

Descripción Gravedad Notas

Existe una posible vulnerabilidad de denegación del servicio (DoS) en la implementación de protobuf-python pura de Python. Un atacante puede provocar que un servicio falle si envía un mensaje especialmente diseñado.

Impacto

Podrías verte afectado si importas protobuf-python en tus proyectos, ya sea de forma directa o transitiva. Ten en cuenta que las bibliotecas cliente de Cloud para Python usan protobuf-python como una dependencia. Si usas estas bibliotecas, asegúrate de usar una versión de protobuf-python mencionada en la siguiente sección.

¿Qué debo hacer?

Asegúrate de usar las versiones más recientes de los siguientes paquetes de software:

  • protobuf-python (4.25.8, 5.29.5 y 6.31.1)

¿Qué vulnerabilidades trata este parche?

Este parche mitiga la siguiente vulnerabilidad:

La vulnerabilidad surge de la recursión no delimitada cuando el backend de Python puro analiza ciertos mensajes de búferes de protocolo. Un atacante no autenticado puede enviar un mensaje que contenga grupos recursivos anidados profundamente, mensajes o una serie de etiquetas SGROUP. Este ingreso hace que el intérprete de Python supere su profundidad de recursión máxima, lo que activa un RecursionError que falla el servicio y provoca una denegación de servicio. Cualquier proyecto que analice datos no confiables con el backend afectado está en riesgo.

Para obtener más información, consulta el Aviso de seguridad de Protobuf.

Alta

CVSS v4.0

Puntuación: 8.2

 CVE-2025-4565

Este problema solo afecta el python backend de implementación de Protobuf.

Independientemente del valor que se devuelva cuando se verifique el backend de implementación de Protobuf, se recomienda una actualización, ya que la variable de entorno PROTOCOL_BUFFERS_PYTHON_IMPLEMENTATION puede cambiar el backend de implementación de Protobuf durante el tiempo de ejecución.

GCP-2025-042

Fecha de publicación: 11/08/2025

Descripción

Descripción Gravedad Notas

Investigadores descubrieron una vulnerabilidad de seguridad en CPUs específicas de Intel, incluidas las basadas en las microarquitecturas Skylake, Broadwell y Haswell. Esta vulnerabilidad permite que un atacante lea potencialmente datos sensibles directamente desde la caché de L1 de la CPU a la que no está autorizado a acceder.

Esta vulnerabilidad se divulgó inicialmente en CVE-2018-3646 en 2018. Cuando se descubrió esta vulnerabilidad, Google implementó de inmediato medidas de mitigación para abordar los riesgos conocidos. En ese momento, se publicó la comunicación sobre la vulnerabilidad y las correcciones iniciales. Desde entonces, hemos estado investigando el riesgo residual y trabajando con la comunidad de Linux upstream para mitigar este riesgo.

Hace poco, trabajamos con investigadores de seguridad de instituciones académicas para evaluar el estado actual de las mitigaciones de seguridad de la CPU y las posibles técnicas de ataque que no se tuvieron en cuenta en 2018.

Google aplicó correcciones a los activos afectados, incluido Google Cloud, para mitigar el problema.

¿Qué debo hacer?

No se requiere que el cliente realice ninguna acción. Ya se aplicaron mitigaciones a la flota de servidores de Google.

¿Qué vulnerabilidades se abordan?

Para obtener más información, consulta el aviso de Intel INTEL-SA-00161 y CVE-2018-3646.

 Alta CVE-2018-3646

GCP-2025-041

Publicado: 2025-07-21

Última actualización: 10-11-2025

Descripción

Descripción Gravedad Notas

Actualización del 10/11/2025: Se agregaron versiones de parche para el software de GDC para VMware. Se actualizó la gravedad del software de GDC para VMware a Alta.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Ubuntu:

  • CVE-2025-37890

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2025-37890

GCP-2025-040

Fecha de publicación: 2025-07-15

Descripción

Descripción Gravedad Notas

Según el aviso VMSA-2025-0013, se informaron de forma privada a Broadcom varias vulnerabilidades en VMware ESXi.

Ya aplicamos parches a estas vulnerabilidades o estamos en proceso de aplicar los parches necesarios que proporciona Broadcom. No hay soluciones alternativas conocidas para estas vulnerabilidades informadas.

Una vez que se apliquen los parches, tus implementaciones de VMware Engine deberían ejecutar ESXi 7.0U3w o ESXi 8.0U3f, o una versión posterior.

¿Qué debo hacer?

Google recomienda a los clientes que supervisen sus cargas de trabajo en VMware Engine para detectar cualquier actividad inusual.

 De medio a crítico

GCP-2025-039

Fecha de publicación: 2025-07-15

Última actualización: 10-11-2025

Descripción

Descripción Gravedad Notas

Actualización del 10/11/2025: Se agregaron versiones de parche para el software de GDC para VMware. Se actualizó la gravedad del software de GDC para VMware a Alta.

Actualización del 28/08/2025: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2025-38083

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2025-38083

GCP-2025-038

Fecha de publicación: 2025-07-09

Actualizada: 2025-09-25

Descripción

Descripción Gravedad Notas

Actualización del 25/09/2025: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2025-37752

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2025-37752

GCP-2025-037

Publicado: 2025-07-08

Descripción Gravedad Notas

AMD divulgó dos vulnerabilidades que afectan a las CPU AMD EPYC de 2ª generación (Rome), 3ª generación (Milan) y 4ª generación (Genoa). Las vulnerabilidades permiten que un atacante infiera datos de almacenes anteriores o de la caché L1D, lo que podría provocar la filtración de información sensible.

Google lanzó una mitigación que evita esta filtración de información entre las VMs.

Aún existe la posibilidad de que los procesos dentro de una sola VM exploten estas vulnerabilidades.

¿Qué debo hacer?

Después del 8 de julio de 2025, estará disponible para las siguientes VMs una mitigación a nivel del invitado que protege contra los ataques internos del invitado:

  • VMs que se inician por primera vez
  • VMs que se detienen por completo y se vuelven a iniciar Los reinicios del sistema operativo no habilitarán la mitigación, y la VM en sí debe reiniciarse por completo para habilitarla. Para que esta mitigación sea eficaz, los kernels del sistema operativo invitado deben admitirla.

Para obtener más información, consulta el boletín de seguridad de AMD AMD-SB-7029.

Media

GCP-2025-036

Fecha de publicación: 2025-07-01

Última actualización: 10-11-2025

Descripción

Descripción Gravedad Notas

Actualización del 10/11/2025: Se agregaron versiones de parche para el software de GDC para VMware. Se actualizó la gravedad del software de GDC para VMware a Alta.

Actualización del 21/07/2025: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2025-38001

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2025-38001

GCP-2025-035

Fecha de publicación: 17/06/2025

Última actualización: 10-11-2025

Descripción

Descripción Gravedad Notas

Actualización del 10/11/2025: Se agregaron versiones de parche para el software de GDC para VMware. Se actualizó la gravedad del software de GDC para VMware a Alta.

Actualización del 21/07/2025: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2025-37997

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2025-37997

GCP-2025-034

Fecha de publicación: 17/06/2025

Actualización: 21-07-2025

Descripción

Descripción Gravedad Notas

Actualización del 21/07/2025: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2025-38000

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2025-38000

GCP-2025-033

Fecha de publicación: 2025-06-06

Descripción

Descripción Gravedad Notas

Se descubrió un problema de seguridad en el que los atacantes podrían eludir las restricciones de aislamiento de cargas de trabajo en los clústeres de GKE.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Media N/A

GCP-2025-032

Fecha de publicación: 03-06-2025

Actualización: 21-07-2025

Descripción

Descripción Gravedad Notas

Actualización del 21/07/2025: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2025-37798

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2025-37798

GCP-2025-031

Fecha de publicación: 03-06-2025

Actualización: 2025-08-26

Descripción

Descripción Gravedad Notas

Actualización del 26/08/2025: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2025-37797

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2025-37797

GCP-2025-030

Fecha de publicación: 23-05-2025

Descripción Gravedad Notas

Según el aviso de seguridad de VMware VMSA-2024-0017, se informó de forma privada a VMware sobre una vulnerabilidad de inyección SQL en VMware Aria Automation. Hay parches disponibles para corregir esta vulnerabilidad en los productos afectados de VMware.

¿Qué debo hacer?

Te recomendamos que actualices a VMware Aria Automation KB325790.

Importante

GCP-2025-029

Fecha de publicación: 23-05-2025

Descripción Gravedad Notas

Según el aviso de seguridad de VMware VMSA-2025-0006, se informó de forma responsable a VMware sobre una vulnerabilidad de elevación de privilegios local en VMware Aria Operations. Hay parches disponibles para corregir esta vulnerabilidad en los productos afectados de VMware.

¿Qué debo hacer?

Te recomendamos que actualices a VMware Aria Operations 8.18 HF5.

Importante

GCP-2025-028

Fecha de publicación: 23-05-2025

Descripción Gravedad Notas

Según el aviso de seguridad de VMware VMSA-2025-0003, se informaron de forma privada a VMware varias vulnerabilidades en VMware Aria Operations for Logs y VMware Aria Operations. Hay parches disponibles para corregir esta vulnerabilidad en los productos afectados de VMware.

¿Qué debo hacer?

Te recomendamos que actualices a VMware Aria Operations for Logs 8.18.3 y VMware Aria Operations a 8.18.3.

Importante

GCP-2025-027

Fecha de publicación: 16-05-2025

Descripción

Descripción Gravedad Notas

Se detectó una vulnerabilidad de seguridad en el servicio del balanceador de cargas de aplicaciones clásico antes del 26 de abril de 2025.

¿Qué debo hacer?

No se requiere que el cliente realice ninguna acción. El problema se resolvió en el servicio de balanceador de cargas de aplicaciones clásico el 26 de abril de 2025.

¿Qué vulnerabilidades se abordan?

La CVE-2025-4600 permitió que los atacantes ingresaran solicitudes de contrabando a los balanceadores de cargas de aplicaciones clásicos debido a un análisis incorrecto de los cuerpos de fragmentos de gran tamaño. Cuando se analiza el cuerpo de la solicitud de una solicitud HTTP con codificación de transferencia fragmentada, el balanceador de cargas de aplicaciones clásico permite cuerpos de fragmentos demasiado grandes. Por lo tanto, era posible ocultar bytes dentro de estos datos finales ignorados que un servidor HTTP upstream podría interpretar de forma incorrecta como un terminador de línea. Esta vulnerabilidad se abordó en el servicio del balanceador de cargas de aplicaciones clásico el 26 de abril de 2025 a través de una lógica mejorada de validación y análisis de entrada.

Estamos aquí para ayudarte

Si tienes alguna pregunta o necesitas asistencia, comunícate con la Atención al cliente de Cloud.

 Alta CVE-2025-4600

GCP-2025-026

Fecha de publicación: 15-05-2025

Descripción Gravedad Notas

Según el aviso de seguridad de VMware VMSA-2025-0008, se informó de forma privada a VMware sobre una vulnerabilidad de secuencias de comandos entre sitios (XSS) basada en DOM en VMware Aria Automation. Hay parches disponibles para corregir esta vulnerabilidad en los productos afectados de VMware.

¿Qué debo hacer?

Te recomendamos que actualices a VMware Aria Automation 8.18.1, parche 2.

Importante

GCP-2025-025

Fecha de publicación: 13-05-2025

Descripción

Descripción Gravedad Notas

Intel notificó a Google sobre una nueva vulnerabilidad de canal lateral que afecta a los siguientes procesadores de Intel: Cascade Lake, Ice Lake XeonSP, Ice Lake XeonD, Sapphire Rapids y Emerald Rapids.

Google aplicó correcciones a los recursos afectados, incluido Google Cloud, para garantizar la protección de los clientes. Por el momento, no se encontró ni se informó a Google evidencia de explotación.

¿Qué debo hacer?

No se requiere que el cliente realice ninguna acción. Ya se aplicaron correcciones a la flota de servidores de Google para proteger a los clientes.

¿Qué vulnerabilidades se abordan?

CVE-2024-45332. Para obtener más información, consulta el aviso de Intel INTEL-SA-01247.

Estamos aquí para ayudarte

Si tienes alguna pregunta o necesitas ayuda, comunícate con el equipo de Atención al cliente de Cloud y menciona el número de problema 417536835.

 Alta CVE-2024-45332

GCP-2025-024

Publicada: 12-05-2025

Actualizada: 2025-05-13

Descripción

Descripción Gravedad Notas

Actualización del 13/5/2025: Si tienes alguna pregunta o necesitas ayuda, comunícate con la Atención al cliente de Cloud y menciona el número de problema 417458390.

Intel notificó a Google sobre una nueva vulnerabilidad de ejecución especulativa que afecta a los procesadores Intel Cascade Lake y a los procesadores Intel Ice Lake.

Google aplicó correcciones a los recursos afectados, incluido Google Cloud, para garantizar la protección de los clientes. Por el momento, no se encontró ni se informó a Google evidencia de explotación.

¿Qué debo hacer?

No se requiere que el cliente realice ninguna acción. Ya se aplicaron mitigaciones a la flota de servidores de Google.

Se implementarán más mitigaciones de los fabricantes de equipos originales (OEM) de Intel y otros socios de sistemas operativos tan pronto como estén disponibles para mitigar la vulnerabilidad de selección de destino indirecta (ITS) en el mismo modo.

Después de que se apliquen las mitigaciones del sistema operativo, es posible que los clientes con VMs de tercera generación o posteriores de larga duración experimenten una degradación del rendimiento no deseada.

¿Qué vulnerabilidades se abordan?

CVE-2024-28956. Para obtener más información, consulta el aviso de seguridad INTEL-SA-01153 de Intel.

 Alta CVE-2024-28956

GCP-2025-023

Publicado: 05-05-2025

Descripción

Descripción Gravedad Notas

Se descubrieron y abordaron posibles brechas de seguridad que podrían explotarse si no se abordan en las políticas de JavaCallout y PythonScript.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Apigee.

Alta CVE-2023-44487

GCP-2025-022

Fecha de publicación: 01/05/2025

Actualización: 22-05-2025

Descripción

Descripción Gravedad Notas

Actualización del 22/05/2025: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2025-21702

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2025-21702

GCP-2025-021

Publicado: 2025-04-29

Actualización: 2025-06-02

Descripción

Descripción Gravedad Notas

Actualización del 02/06/2025: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2025-21971

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2025-21971

GCP-2025-020

Publicado: 2025-04-29

Descripción

Descripción Gravedad Notas

Una vulnerabilidad en Looker permitió que los usuarios con permisos de administrador (específicamente, manage_project_connections_restricted) en Looker leyeran archivos del sistema de archivos del host subyacente y consultaran extremos de red internos. Este problema ya se solucionó. No es necesario que los clientes alojados por Looker que usan Looker (Google Cloud Core) y Looker (original) realicen ninguna acción. Se recomienda que las instancias autoalojadas de Looker se actualicen a la versión compatible más reciente.

Esta vulnerabilidad se corrigió en todas las versiones compatibles de Looker alojado por el cliente, que están disponibles en la página de descarga de Looker.

¿Qué debo hacer?

  • En el caso de todas las instancias alojadas por Looker, incluidas las instancias de Looker (Google Cloud Core) y Looker (original), no es necesario que realices ninguna acción.
  • En el caso de las instancias de Looker alojadas por el cliente, actualiza a la versión compatible más reciente de Looker lo antes posible. Las versiones a continuación se actualizaron para ofrecer protección frente a esta vulnerabilidad. Puedes descargar estas versiones en la página de descarga de Looker:
    • 25.4 -> 25.4.29+
    • 25.2 -> 25.2.34+
    • 25.0 -> 25.0.55+
    • 24.18 -> 24.18.185+
    • 24.12 -> 24.12.95+
    • 24.6 -> 24.6.107+
 Alta

GCP-2025-019

Fecha de publicación: 25/04/2025

Actualizada: 2025-06-26

Descripción

Descripción Gravedad Notas

Actualización del 26/06/2025: Se agregaron versiones de parche para el software de GDC para VMware.

Actualización del 22/05/2025: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2025-21701

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2025-21701

GCP-2025-018

Fecha de publicación: 2025-04-23

Actualizada: 2025-10-09

Descripción

Descripción Gravedad Notas

Actualización del 09/10/2025: Se agregaron versiones de parche para los nodos de Ubuntu en GKE

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2025-40364

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2025-40364

GCP-2025-017

Fecha de publicación: 2025-04-17

Actualización: 22-05-2025

Descripción

Descripción Gravedad Notas

Actualización del 22/05/2025: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Actualización del 05/05/2025: Se agregaron versiones de parche para el software de GDC para VMware. Se actualizó la gravedad del software de GDC para VMware a Alta.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2025-21756

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2025-21756

GCP-2025-016

Fecha de publicación: 2025-04-16

Actualización: 22-05-2025

Descripción

Descripción Gravedad Notas

Actualización del 22/05/2025: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Actualización del 29/04/2025: Se agregó la versión de parche del software de GDC para VMware. Se actualizó la gravedad del software de GDC para VMware a Alta.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2023-52927

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-52927

GCP-2025-015

Fecha de publicación: 15/04/2025

Actualización: 22-05-2025

Descripción

Descripción Gravedad Notas

Actualización del 22/05/2025: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Actualización del 17/04/2025: Se agregaron versiones de parche para GDC (VMware). Se actualizó la gravedad de GDC (VMware) de Pendiente a Alta.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2025-21700

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2025-21700

GCP-2025-014

Publicado: 2025-04-10

Actualización: 22-05-2025

Descripción

Descripción Gravedad Notas

Actualización del 22/05/2025: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Actualización del 05/05/2025: Se agregaron versiones de parche para el software de GDC para VMware. Se actualizó la gravedad del software de GDC para VMware a Alta.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2025-21703

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2025-21703

GCP-2025-013

Publicado: 2025-03-24

Descripción

Descripción Gravedad Notas

Se descubrieron varios problemas de seguridad en el controlador de entrada de NGINX, ingress-nginx, un componente de software de código abierto que se ejecuta dentro de los clústeres de Kubernetes para ayudar a administrar el tráfico de red que ingresa al clúster. La más grave es CVE-2025-1974. Para obtener todos los detalles y una lista completa, consulta el feed de CVE de Kubernetes.

Estos problemas afectan a ingress-nginx. Si no tienes ingress-nginx instalado en tu clúster, no te verás afectado.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Ninguno CVE-2025-1974

GCP-2025-012

Publicación: 19 de marzo de 2025

Actualización: 2025-04-10

Descripción

Descripción Gravedad Notas

Actualización del 10/04/2025: Se agregaron versiones de parche para los nodos de Ubuntu GKE y el software de GDC para VMware. Se actualizó la gravedad del software de GDC para VMware a Alta.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2024-53164

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2024-53164

GCP-2025-011

Fecha de publicación: 2025-03-06

Descripción Gravedad Notas

VMware divulgó varias vulnerabilidades en VMSA-2025-0004 que afectan a los componentes de ESXi implementados en entornos de clientes.

El impacto de VMware Engine

Tus nubes privadas ya tienen el parche aplicado o están en proceso de actualización para abordar la vulnerabilidad de seguridad. Como parte del servicio VMware Engine, todos los clientes obtienen hosts de equipos físicos dedicados con discos locales conectados que están aislados de manera física de otro hardware. Esto significa que la vulnerabilidad se limita a las VMs invitadas dentro de tu nube privada específica.

Tus nubes privadas se actualizarán a la versión 7.0u3s, número de compilación 24534642. Esto equivale a 7.0U3s: número de compilación 24585291.

¿Qué debo hacer?

Sigue las instrucciones de Broadcom y tus proveedores de seguridad con respecto a esta vulnerabilidad.

Crítico

GCP-2025-010

Publicación: 05-03-2025

Actualización: 2025-06-02

Descripción

Descripción Gravedad Notas

Actualización del 02/06/2025: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Actualización del 10/04/2025: Se agregaron versiones de parche para el software de GDC para VMware. Se actualizó la gravedad del software de GDC para VMware a Alta.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2024-56770

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2024-56770

GCP-2025-009

Publicado: 2025-03-05

Descripción

Descripción Gravedad Notas

Recientemente, el proyecto Envoy anunció varias vulnerabilidades de seguridad nuevas (CVE-2024-53269, CVE-2024-53270 y CVE-2024-53271) que podrían permitir que un atacante bloquee Envoy.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta

GCP-2025-008

Fecha de publicación: 2025-02-19

Actualización: 2025-04-10

Descripción

Descripción Gravedad Notas

Actualización del 10/04/2025: Se agregaron versiones de parche para el software de GDC para VMware. Se actualizó la gravedad del software de GDC para VMware a Alta.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2024-53141

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2024-53141

GCP-2025-007

Publicado: 2025-02-03

Descripción

Descripción Gravedad Notas

Google descubrió una vulnerabilidad en las CPU basadas en AMD Zen que afecta a las instancias de Confidential VM con SEV-SNP de AMD habilitado. Esta vulnerabilidad permite que los atacantes con acceso raíz en una máquina física pongan en riesgo la confidencialidad y la integridad de la instancia de Confidential VM.

Google aplicó correcciones a los recursos afectados, incluido Google Cloud, para garantizar la protección de los clientes. Por el momento, no se encontró evidencia de explotación ni se informó a Google sobre ella.

¿Qué debo hacer?

No se requiere que el cliente realice ninguna acción. Los clientes que deseen verificar la corrección pueden consultar la versión de la base de procesamiento confiable (TCB) en el informe de certificación de su instancia de Confidential VM con SEV-SNP de AMD. Las versiones mínimas que mitigan esta vulnerabilidad son las siguientes:

SNP TCB SVN: 0x18 0d24
tcb_version {
  psp_bootloader_version: 4
  snp_firmware_version: 24 (0x18)
  microcode_version: 219
}

Para obtener más información, consulta el boletín de seguridad de AMD AMD-SB-3019.

 Alta

CVE-2024-56161

GCP-2025-006

Publicado: 2025-01-23

Descripción

Descripción Gravedad Notas

Una vulnerabilidad en el proveedor de Google Secret Manager para el controlador de CSI de Secret Store permite que un atacante con permisos de creación de Pods y Secrets en un espacio de nombres filtre el token de la cuenta de servicio de Kubernetes del controlador de CSI activando un volumen malicioso en un Pod.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Media

GCP-2025-005

Publicado: 2025-01-22

Descripción

Descripción Gravedad Notas

Los servidores que usan bibliotecas de autenticación de Google y bibliotecas cliente de Cloud para autenticarse en Google Cloud con una configuración de credenciales controlada por un atacante podrían ser vulnerables a la falsificación de solicitudes del servidor y a la lectura de archivos arbitrarios.

¿Qué debo hacer?

Si aceptas una configuración de credenciales (JSON, archivo o flujo de credenciales) de una fuente externa para la autenticación en Google Cloud, debes validarla antes de proporcionarla a las bibliotecas de autenticación de Google o a las bibliotecas cliente de Cloud. Proporcionar una configuración de credenciales no validadas a las bibliotecas de Google puede comprometer la seguridad de tus sistemas y datos. Para obtener más información, consulta Valida la configuración de credenciales de fuentes externas.

¿Qué vulnerabilidades se abordan?

Algunos tipos de configuraciones de credenciales incluyen extremos y rutas de acceso a archivos, que las bibliotecas de autenticación usan para adquirir un token. Cuando un servicio o una aplicación acepta configuraciones de credenciales de origen externo y las usa con las bibliotecas de autenticación de Google o las bibliotecas cliente de Cloud sin validación, un atacante puede proporcionar una configuración de credenciales que contenga un extremo o una ruta maliciosos. Esto permite que el atacante filtre datos o tokens del servicio o de la máquina en la que se ejecuta el servicio. Para evitar esto, se deben realizar validaciones en la configuración de credenciales obtenidas de fuentes externas, como se describe en Cómo validar la configuración de credenciales de fuentes externas.

Para informar a los desarrolladores de aplicaciones, actualizamos nuestra documentación con las validaciones que se deben realizar cuando se aceptan configuraciones de credenciales que se obtienen de fuentes externas.

Alta

GCP-2025-004

Fecha de publicación: 16/01/2025

Descripción Gravedad Notas

Según el aviso de seguridad de VMware VMSA-2025-0001, se informó a VMware de forma responsable sobre una vulnerabilidad de falsificación de solicitudes del servidor (SSRF) en VMware Aria Automation. Hay parches disponibles para corregir esta vulnerabilidad en los productos afectados de VMware.

¿Qué debo hacer?

Te recomendamos que actualices a VMware Aria Automation 8.18.2 HF.

Media

GCP-2025-003

Fecha de publicación: 09/01/2025

Actualización: 23/01/2025

Descripción

Descripción Gravedad Notas

Actualización del 23/01/2025: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2024-50264

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2024-50264

GCP-2025-002

Fecha de publicación: 09/01/2025

Actualización: 23/01/2025

Descripción

Descripción Gravedad Notas

Actualización del 23/01/2025: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Actualización del 22/01/2025: Se agregaron versiones de parche para GDC (VMware). Se actualizó la gravedad para GDC (VMware) a Media.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2024-53057

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2024-53057

GCP-2025-001

Publicado: 2025-01-08

Actualización: 23/01/2025

Descripción

Descripción Gravedad Notas

Actualización del 23/01/2025: Se actualizó la sección Recursos afectados en la pestaña GKE.

Actualización del 8 de enero de 2025: Se corrigieron la fecha y la hora de inicio del problema.

Un problema de seguridad afectó a los recursos de VPC que tenían configurada la puerta de enlace de varios clústeres (MCG) de GKE. La MCG es una función opcional que utiliza un pequeño grupo de clientes de GKE. Estamos notificando de forma individual a los clientes que tenían la función habilitada durante ese período.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta Ninguno

GCP-2024-065

Descripción

Descripción Gravedad Notas

Los siguientes CVE exponen Cloud Service Mesh a vulnerabilidades explotables:

  • CVE-2024-53269: Happy Eyeballs: Valida que additional_address sean direcciones IP en lugar de fallar cuando se ordenan.
  • CVE-2024-53270: HTTP/1: Se produce una falla por sobrecarga de envío cuando se restablece la solicitud de antemano.
  • CVE-2024-53271: HTTP/1.1: Varios problemas con envoy.reloadable_features.http1_balsa_delay_reset.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Cloud Service Mesh.

Alta

GCP-2024-064

Publicado: 10-12-2024

Descripción Gravedad Notas

Según el aviso de seguridad de VMware VMSA-2024-0022, se informaron de forma responsable a VMware varias vulnerabilidades en VMware Aria Operations. Hay actualizaciones disponibles para corregir estas vulnerabilidades en el producto afectado de VMware.

¿Qué debo hacer?

Te recomendamos que actualices a VMware Aria Operations 8.18.2.

Importante

GCP-2024-063

Publicado: 2024-12-06

Descripción Gravedad Notas

Se descubrió una vulnerabilidad en el servicio de la API de Vertex AI que atiende las solicitudes multimodales de Gemini, lo que permite omitir los Controles del servicio de VPC. Un atacante podría abusar del parámetro fileURI de la API para filtrar datos.

¿Qué debo hacer?

No se requiere ninguna acción. Implementamos una corrección para mostrar un mensaje de error cuando se especifica una URL de archivo multimedia en el parámetro fileUri y se habilitan los Controles del servicio de VPC. Otros casos de uso no se ven afectados.

¿Qué vulnerabilidades se abordan?

La API de Cloud Support que procesa solicitudes multimodales de Gemini te permite incluir archivos multimedia especificando la URL del archivo multimedia en el parámetro fileUri. Esta capacidad se puede usar para omitir los perímetros de los Controles del servicio de VPC. Un atacante dentro del perímetro de servicio podría codificar datos sensibles en el parámetro fileURI para eludir el perímetro de servicio.

Media CVE-2024-12236

GCP-2024-062

Publicado: 2024-12-02

Actualización: 22-01-2025

Descripción

Descripción Gravedad Notas

Actualización del 22/01/2025: Se agregaron versiones de parche para GDC (VMware). Se actualizó la gravedad de GDC (VMware) de Pendiente a Alta.

Actualización del 12/12/2024: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2024-46800

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2024-46800

GCP-2024-061

Publicado: 25 de noviembre de 2024

Descripción

Descripción Gravedad Notas

Un problema de seguridad descubierto en los clústeres de Kubernetes podría provocar la ejecución remota de código con un volumen gitRepo. Si el repositorio de Git se construye de forma maliciosa, un usuario con la capacidad de crear un Pod y asociar un volumen gitRepo podría ejecutar comandos arbitrarios más allá del límite del contenedor.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2024-10220

GCP-2024-060

Publicado: 2024-10-17

Descripción Gravedad Notas

Según el aviso de seguridad de VMware VMSA-2024-0020, se informaron de forma responsable a VMware varias vulnerabilidades en VMware NSX.

Las versiones de NSX-T que se ejecutan en tu entorno de VMware Engine no se ven afectadas por las CVE-2024-38815, CVE-2024-38818 ni CVE-2024-38817.

¿Qué debo hacer?

Debido a que los clústeres de VMware Engine no se ven afectados por esta vulnerabilidad, no es necesario que realices ninguna otra acción.

 Media

GCP-2024-059

Publicado: 16-10-2024

Descripción Gravedad Notas

Según el aviso de seguridad de VMware VMSA-2024-0021, se informó de forma privada a VMware sobre una vulnerabilidad de inyección de SQL autenticada en VMware HCX.

Aplicamos la mitigación aprobada por VMware para abordar esta vulnerabilidad. Esta corrección aborda una vulnerabilidad de seguridad que se describe en CVE-2024-38814. Las versiones de imágenes que se ejecutan en tu nube privada de VMware Engine no reflejan ningún cambio en este momento para indicar los cambios aplicados. Se instalaron las mitigaciones adecuadas y tu entorno está protegido contra esta vulnerabilidad.

¿Qué debo hacer?

Te recomendamos que actualices a la versión 4.9.2 de VMware HCX.

Alta

GCP-2024-058

Publicado: 2024-10-16

Descripción

Descripción Gravedad Notas

Las versiones de Migrate to Containers para Windows de la 1.1.0 a la 1.2.2 crearon un m2cuser local con privilegios de administrador. Esto representaba un riesgo de seguridad si el usuario interrumpía los comandos analyze o generate, o si se producía un error interno que provocaba que se omitiera la acción para borrar el usuario local m2cuser.

¿Qué debo hacer?

Las siguientes versiones de la CLI de Migrate to Containers para Windows se actualizaron con código para corregir esta vulnerabilidad. Te recomendamos que actualices manualmente la CLI de Migrate to Containers a la siguiente versión o una posterior:

¿Qué vulnerabilidades se abordan?

La vulnerabilidad, CVE-2024-9858, permite que un atacante obtenga acceso de administrador a las máquinas con Windows afectadas a través del usuario administrador local creado por el software de Migrate to Containers.

 Media CVE-2024-9858

GCP-2024-057

Publicado: 2024-10-03

Actualizada: 2024-11-19

Descripción

Descripción Gravedad Notas

Actualización del 19/11/2024: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Actualización del 15/10/2024: Se agregaron versiones de parche para GDC (VMware). Se actualizaron los niveles de gravedad de GKE y GDC (VMware).

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2024-45016

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Media CVE-2024-45016

GCP-2024-056

Publicado: 2024-09-27

Descripción

Descripción Gravedad Notas

Se descubrió una cadena de vulnerabilidades (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 y CVE-2024-47177) que podría provocar la ejecución remota de código en el sistema de impresión CUPS que utilizan algunas distribuciones de Linux. Un atacante puede aprovechar esta vulnerabilidad si los servicios de CUPS están escuchando en el puerto UDP 631 y pueden conectarse a él.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Ninguno

GCP-2024-055

Publicado: 2024-09-24

Descripción

Descripción Gravedad Notas

Una vulnerabilidad de contrabando de solicitudes HTTP en Looker permitió que un atacante no autorizado capturara respuestas HTTP destinadas a usuarios legítimos.

Looker aloja dos versiones de Looker:

  • Se descubrió que Looker (Google Cloud Core) es vulnerable. El problema ya se mitigó y nuestra investigación no encontró indicios de explotación.
  • Looker (original) no era vulnerable a este problema.

Se descubrió que las instancias de Looker alojadas por el cliente son vulnerables y deben actualizarse a una de las versiones que se indican a continuación.

Esta vulnerabilidad se corrigió en todas las versiones compatibles de Looker alojado por el cliente, que están disponibles en la página de descarga de Looker.

¿Qué debo hacer?

  • En el caso de todas las instancias alojadas por Looker, incluidas las instancias de Looker (Google Cloud Core), no es necesario que realices ninguna acción.
  • En el caso de las instancias de Looker alojadas por el cliente, actualiza a la versión compatible más reciente de Looker lo antes posible. Las versiones a continuación se actualizaron para ofrecer protección frente a esta vulnerabilidad. Puedes descargar estas versiones en la página de descarga de Looker:
    • 23.12 -> 23.12.123+
    • 23.18 -> 23.18.117+
    • 24.0 -> 24.0.92+
    • 24.6 -> 24.6.77 y versiones posteriores
    • 24.8 -> 24.8.66+
    • 24.10 -> 24.10.78+
    • 24.12 -> 24.12.56+
    • 24.14 -> 24.14.37+

¿Qué vulnerabilidades se abordan?

La vulnerabilidad, CVE-2024-8912, permite que un atacante envíe encabezados de solicitudes HTTP diseñados a Looker, lo que podría provocar la interceptación de respuestas HTTP destinadas a otros usuarios.

Estas respuestas podrían contener información sensible.

Esta vulnerabilidad solo se puede aprovechar con ciertas configuraciones específicas.

Media CVE-2024-8912

GCP-2024-054

Publicado: 2024-09-23

Descripción

Descripción Gravedad Notas

Se descubrió un problema de seguridad en los clústeres de Kubernetes con nodos de Windows en el que BUILTIN\Users puede leer los registros de contenedores y los usuarios de NT AUTHORITY\Authenticated pueden modificar los registros de contenedores.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Media CVE-2024-5321

GCP-2024-053

Publicado: 2024-09-19

Descripción

Descripción Gravedad Notas

Cuando se analizan campos desconocidos en las bibliotecas de Protobuf Java Full y Lite, un mensaje creado de forma maliciosa puede causar un error de StackOverflow y provocar una falla del programa.

¿Qué debo hacer?

Hemos trabajado arduamente para solucionar este problema y lanzamos una mitigación que ya está disponible. Te recomendamos que uses las versiones más recientes de los siguientes paquetes de software:

  • protobuf-java (3.25.5, 4.27.5 y 4.28.2)
  • protobuf-javalite (3.25.5, 4.27.5 y 4.28.2)
  • protobuf-kotlin (3.25.5, 4.27.5 y 4.28.2)
  • protobuf-kotlin-lite (3.25.5, 4.27.5 y 4.28.2)
  • com-protobuf [solo gem de JRuby] (3.25.5, 4.27.5, 4.28.2)

¿Qué vulnerabilidades corrige este parche?

Esta vulnerabilidad es una posible denegación de servicio.

Analizar grupos anidados como campos desconocidos con DiscardUnknownFieldsParser o el analizador de Java Protobuf Lite, o en contra de los campos de mapa de Protobuf, crea recursiones no vinculadas que un atacante puede aprovechar.

Puntuación de CVSS 4.0 de 8.7

Alta

 CVE-2024-7254

GCP-2024-052

Descripción

Descripción Gravedad Notas

Los siguientes CVE exponen Cloud Service Mesh a vulnerabilidades explotables:

  • CVE-2024-45807: Fallo de oghttp2 en OnBeginHeadersForStream
  • CVE-2024-45808: Inyección de registros maliciosos a través de registros de acceso
  • CVE-2024-45806: Posibilidad de manipular encabezados "x-envoy" desde fuentes externas
  • CVE-2024-45809: Falla del filtro de JWT en la caché de rutas claras con JWKs remotos
  • CVE-2024-45810: Envoy falla para LocalReply en el cliente HTTP asíncrono

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Cloud Service Mesh.

De medio a alto

GCP-2024-051

Publicado: 2024-09-18

Descripción Gravedad Notas

VMware divulgó varias vulnerabilidades en VMSA-2024-0019 que afectan a los componentes de vCenter implementados en los entornos de los clientes.

El impacto de VMware Engine

  • Google ya inhabilitó cualquier posible explotación de esta vulnerabilidad. Por ejemplo, Google bloqueó los puertos a través de los cuales se podría aprovechar esta vulnerabilidad.
  • Además, Google garantiza que todas las implementaciones futuras de vCenter no estén expuestas a esta vulnerabilidad.

¿Qué debo hacer?

Por el momento, no se requiere ninguna acción de tu parte.

Crítico

GCP-2024-050

Publicado: 2024-09-04

Descripción

Descripción Gravedad Notas

Se descubrió una nueva vulnerabilidad de ejecución de código remoto (CVE-2024-38063) en Windows. Un atacante podría aprovechar esta vulnerabilidad de forma remota enviando paquetes IPv6 especialmente diseñados a un host.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Ninguno CVE-2024-38063

GCP-2024-049

Fecha de publicación: 21 de agosto de 2024

Última actualización: 1 de noviembre de 2024

Descripción

Descripción Gravedad Notas

Actualización del 1/11/2024: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Actualización del 21/10/2024: Se agregaron versiones de parche y se actualizó la gravedad para GDC (VMware).

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2024-36978

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2024-36978

GCP-2024-048

Publicado: 2024-08-20

Actualizada: 2024-10-30

Descripción

Descripción Gravedad Notas

Actualización del 30/10/2024: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Actualización del 25/10/2024: Se agregaron versiones de parche y se actualizó la gravedad para GDC (VMware).

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2024-41009

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2024-41009

GCP-2024-047

Publicado: 2024-08-19

Actualizada: 2024-10-30

Descripción

Descripción Gravedad Notas

Actualización del 30/10/2024: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Actualización del 21/10/2024: Se agregaron versiones de parche y se actualizó la gravedad para GDC (VMware).

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2024-39503

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2024-39503

GCP-2024-046

Publicado: 2024-08-05

Descripción

Descripción Gravedad Notas

AMD notificó a Google sobre 3 vulnerabilidades nuevas de firmware (2 de riesgo medio y 1 de riesgo alto) que afectan a SEV-SNP en las CPU AMD EPYC de 3ª generación (Milan) y 4ª generación (Genoa).

Google aplicó correcciones a los recursos afectados, incluido Google Cloud, para garantizar la protección de los clientes. En este momento, no se encontró ni se informó a Google evidencia de explotación.

¿Qué debo hacer?

No se requiere que el cliente realice ninguna acción. Ya se aplicaron las correcciones a la flota de servidores de Google.

Para obtener más información, consulta el boletín de seguridad de AMD AMD-SN-3011.

 Media a alta

CVE-2023-31355

CVE-2024-21978

CVE-2024-21980

GCP-2024-045

Publicado: 2024-07-17

Actualizada: 2024-09-19

Descripción

Descripción Gravedad Notas

Actualización del 19/09/2024: Se agregaron versiones de parche para el software de GDC para VMware.

Actualización del 21/08/2024: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2024-26925

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2024-26925

GCP-2024-044

Publicado: 2024-07-16

Actualizada: 2024-10-30

Descripción

Descripción Gravedad Notas

Actualización del 30/10/2024: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Actualización del 21/10/2024: Se agregaron versiones de parche y se actualizó la gravedad para GDC (VMware).

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2024-36972

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2024-36972

GCP-2024-043

Publicado: 2024-07-16

Actualizada: 2024-10-02

Descripción

Descripción Gravedad Notas

Actualización del 02/10/2024: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Actualización del 20/09/2024: Se agregaron versiones de parche para el software de GDC para VMware.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2024-26921

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2024-26921

GCP-2024-042

Publicado: 2024-07-15

Actualizada: 2024-07-18

Descripción

Descripción Gravedad Notas

Actualización del 18/7/2024: Se aclaró que los clústeres de Autopilot en la configuración predeterminada no se ven afectados.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2024-26809

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2024-26809

GCP-2024-041

Publicado: 2024-07-08

Actualizada: 2024-09-16

Descripción

Descripción Gravedad Notas

Actualización del 16/09/2024: Se agregaron versiones de parche para el software de GDC para VMware.

Actualización del 19/07/2024: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2023-52654
  • CVE-2023-52656

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta

GCP-2024-040

Publicado: 2024-07-01

Actualizada: 2024-07-16

Descripción

Descripción Gravedad Notas

Actualizaciones del 2024-07-16:

Es posible que algunos clientes de Acceso a VPC sin servidores se vean afectados por una vulnerabilidad en OpenSSH (CVE-2024-6387). En caso de que se explote correctamente, esto podría permitir que un atacante remoto no autenticado ejecute código arbitrario como raíz en la máquina virtual de destino. Se cree que la explotación es difícil. Por ejemplo, los clientes no pueden acceder a las VMs y estas no tienen IPs públicas. No tenemos conocimiento de ningún intento de explotación.

¿Qué debo hacer?

Google actualizó automáticamente las implementaciones de Acceso a VPC sin servidores en la medida de lo posible. Sin embargo, debes verificar que el agente de servicio administrado por Google tenga el rol requerido. De lo contrario, es posible que tu conector de acceso a VPC sin servidores siga siendo vulnerable. Te recomendamos que migres a la salida de VPC directa o que implementes un conector nuevo y borres el conector anterior para asegurarte de tener la actualización requerida con la corrección.

Actualización del 11/07/2024: Se agregaron versiones de parche para el software de GDC para VMware, GKE en AWS y GKE en Azure. Para obtener más detalles, consulta los siguientes boletines en la documentación de GKE:

Actualización del 10 de julio de 2024:

  • Se agregó un boletín de seguridad para Migrate to Virtual Machines.

Actualizaciones del 2024-07-09:

Es posible que algunos clientes del entorno flexible de App Engine se vean afectados por una vulnerabilidad en OpenSSH (CVE-2024-6387). En caso de que se explote correctamente, esto podría permitir que un atacante remoto no autenticado ejecute código arbitrario como raíz en la máquina virtual de destino.

¿Qué debo hacer?

Google ya actualizó automáticamente las implementaciones del entorno flexible en la medida de lo posible. Sin embargo, algunos clientes que inhabilitaron el agente de servicio administrado por Google o realizaron cambios en las APIs de Google Cloud o en otros parámetros de configuración predeterminados no pudieron actualizarse y es posible que aún sean vulnerables. Debes implementar una nueva versión de tu app para obtener la actualización con la corrección.

Ten en cuenta que las implementaciones actualizadas informarán la versión de SSH OpenSSH_9.6p1. Esta versión se corrigió con una solución para CVE-2024-6387.

¿Qué vulnerabilidades se abordan?

La vulnerabilidad CVE-2024-6387, que permite que un atacante remoto no autenticado ejecute código arbitrario como raíz en la máquina de destino.

Actualizaciones del 2024-07-08:

Los clústeres de Dataproc en Google Compute Engine que ejecutan las versiones de imagen 2.2 (todos los sistemas operativos) y 2.1 (solo Debian) se ven afectados por una vulnerabilidad en OpenSSH (CVE-2024-6387) que, en caso de explotación exitosa, podría permitir que un atacante remoto no autenticado ejecute código arbitrario como raíz en la máquina de destino.

Las versiones de imágenes 2.0 y 1.5 de Dataproc en Google Compute Engine, así como las imágenes de Dataproc de la versión 2.1 que no se ejecutan en Debian, no se ven afectadas. Los clústeres de Dataproc con la autenticación personal habilitada no se ven afectados. Dataproc Serverless tampoco se ve afectado.

¿Qué debo hacer?

Actualiza tus clústeres de Dataproc en Google Compute Engine a una de las siguientes versiones:

  • 2.2.24 o una versión posterior
  • 2.1.58 o una versión posterior

En caso de que no puedas actualizar tus clústeres de Dataproc a una de las versiones anteriores, te recomendamos que uses la acción de inicialización disponible en esta ubicación: gs://dataproc-initialization-actions/hotfixes/openssh-CVE-2024-6387-mitigation.sh

Sigue estas instrucciones para especificar acciones de inicialización para Dataproc. Ten en cuenta que la acción de inicialización se debe ejecutar en cada nodo (principales y trabajadores) para los clústeres existentes.

Actualizaciones del 2024-07-03:

  • Se agregaron versiones de parche para GKE.
  • Se agregó un boletín de seguridad para la GDC conectada.

Actualización del 2024-07-02:

  • Se aclaró que los clústeres de Autopilot se ven afectados y requerirán la acción del usuario.
  • Se agregaron evaluaciones de impacto y pasos de mitigación para el software de GDC para VMware, GKE en AWS y GKE en Azure.
  • Se corrigió el boletín de seguridad del software de GDC para Bare Metal para aclarar que el software de GDC para Bare Metal no se ve afectado directamente y que los clientes deben consultar con los proveedores del SO para obtener parches.

En la actualidad, se descubrió una vulnerabilidad de ejecución de código remoto, CVE-2024-6387, en OpenSSH. La vulnerabilidad explota una condición de carrera que puede usarse para obtener acceso a una shell remota, lo que permitiría que los atacantes obtengan acceso raíz. En el momento de la publicación, se cree que la explotación podría ser difícil y tardar varias horas por cada máquina que está siendo atacada. No tenemos conocimiento de ningún intento de explotación.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Crítico CVE-2024-6387

GCP-2024-039

Publicado: 2024-06-28

Actualizada: 2024-09-25

Descripción

Descripción Gravedad Notas

Actualización del 25/09/2024: Se agregaron versiones de parche para el software de GDC para VMware.

Actualización del 20/08/2024: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2024-26923

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2024-26923

GCP-2024-038

Fecha de publicación: 2024-06-26

Actualizada: 2024-09-17

Descripción

Descripción Gravedad Notas

Actualización del 17/09/2024: Se agregaron versiones de parche para el software de GDC para VMware.

Actualización del 06/08/2024: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2024-26924

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2024-26924

GCP-2024-037

Fecha de publicación: 18 de junio de 2024

Descripción Gravedad Notas

VMware divulgó varias vulnerabilidades en VMSA-2024-0012 que afectan a los componentes de vCenter implementados en los entornos de los clientes.

Impacto de Google Cloud VMware Engine

  • La vulnerabilidad se puede aprovechar accediendo a puertos específicos en vCenter Server. Google ya bloqueó los puertos vulnerables en el servidor de vCenter, lo que evita cualquier posible aprovechamiento de esta vulnerabilidad.
  • Además, Google garantiza que todas las implementaciones futuras de vCenter no estén expuestas a esta vulnerabilidad.

¿Qué debo hacer?

Por el momento, no se requiere ninguna acción de tu parte.

Crítico

GCP-2024-036

Fecha de publicación: 18 de junio de 2024

Descripción

Descripción Gravedad Notas

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2024-26584

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2024-26584

GCP-2024-035

Publicado: 2024-06-12

Actualizada: 2024-07-18

Descripción

Descripción Gravedad Notas

Actualización del 18/07/2024: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE y se agregó una versión de parche para la versión 1.27 en los grupos de nodos de Container-Optimized OS.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2024-26584

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2024-26584

GCP-2024-034

Fecha de publicación: 2024-06-11

Actualizada: 2024-07-10

Descripción

Descripción Gravedad Notas

Actualización del 10/07/2024: Se agregaron versiones de parche para los nodos de Container-Optimized OS que ejecutan las versiones secundarias 1.26 y 1.27, y se agregaron versiones de parche para los nodos de Ubuntu.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2024-26583

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2024-26583

GCP-2024-033

Fecha de publicación: 10 de junio de 2024

Actualizada: 26/09/2024

Descripción

Descripción Gravedad Notas

Actualización del 26/09/2024: Se agregaron versiones de parche para el software de GDC para VMware.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2022-23222

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2022-23222

GCP-2024-032

Publicado: 2024-06-04

Descripción

Descripción Gravedad Notas

Los siguientes CVE exponen Cloud Service Mesh a vulnerabilidades explotables:

  • CVE-2024-23326: Envoy acepta de forma incorrecta la respuesta HTTP 200 para ingresar al modo de actualización.
  • CVE-2024-32974: Falla en EnvoyQuicServerStream::OnInitialHeadersComplete().
  • CVE-2024-32975: Se produce una falla en QuicheDataReader::PeekVarInt62Length().
  • CVE-2024-32976: Bucle infinito durante la descompresión de datos de Brotli con entrada adicional.
  • CVE-2024-34362: Falla (uso después de la liberación) en EnvoyQuicServerStream.
  • CVE-2024-34363: Se produce una falla debido a una excepción JSON de nlohmann no detectada.
  • CVE-2024-34364: Vector de OOM de Envoy desde el cliente asíncrono de HTTP con búfer de respuesta no limitado para la respuesta de duplicación.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Cloud Service Mesh.

Alta

GCP-2024-031

Publicado: 24 de mayo de 2024

Descripción

Descripción Gravedad Notas

Se descubrió una nueva vulnerabilidad (CVE-2024-4323) en Fluent Bit que podría provocar la ejecución de código remoto. Las versiones de Fluent Bit de la 2.0.7 a la 3.0.3 se ven afectadas.

GKE, GKE en VMware, GKE en AWS, GKE en Azure y GKE on Bare Metal no usan una versión vulnerable de Fluent Bit y no se ven afectados.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Ninguno CVE-2024-4323

GCP-2024-030

Publicado: 15 de mayo de 2024

Actualizada: 2024-07-18

Descripción

Descripción Gravedad Notas

Actualización del 18/07/2024: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2023-52620

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-52620

GCP-2024-029

Publicado: 2024-05-14

Actualizada: 2024-08-19

Descripción

Descripción Gravedad Notas

Actualización del 19/08/2024: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2024-26642

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2024-26642

GCP-2024-028

Publicado: 2024-05-13

Actualizada: 2024-05-22

Descripción

Descripción Gravedad Notas

Actualización del 22/05/2024: Se agregaron versiones de parche para Ubuntu

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2024-26581

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2024-26581

GCP-2024-027

Publicado: 2024-05-08

Actualizada: 2024-09-25

Descripción

Descripción Gravedad Notas

Actualización del 25/09/2024: Se agregaron versiones de parche para el software de GDC para VMware.

Actualización del 15/05/2024: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Actualización del 9 de mayo de 2024: Se corrigió la gravedad de media a alta y se aclaró que los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2024-26808

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2024-26808

GCP-2024-026

Publicado: 2024-05-07

Actualizada: 2024-08-06

Descripción

Descripción Gravedad Notas

Actualización del 06/08/2024: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Actualización del 2024-05-09: Se corrigió la gravedad de media a alta.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2024-26643

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2024-26643

GCP-2024-025

Publicado: 2024-04-26

Descripción

Descripción Gravedad Notas

Looker corrigió las vulnerabilidades informadas por un investigador externo a través del Programa de recompensas por detección de vulnerabilidades (VRP) de Google y Alphabet, pero no encontró evidencia de explotación. Estos problemas ya se solucionaron. No es necesario que los clientes alojados por Looker en Looker (Google Cloud Core) y Looker (original) realicen ninguna acción, Se recomienda que las instancias autoalojadas de Looker se actualicen a la versión compatible más reciente.

¿Qué debo hacer?

Instancias alojadas por Looker: Instancias de Looker (Google Cloud Core) y Looker (original)

No se requiere que el cliente realice ninguna acción.

Solo para instancias de Looker autoalojadas

Si tu instancia de Looker es autoalojada, te recomendamos que la actualices a una de las siguientes versiones:

  • 24.6.12+
  • 24.4.27+
  • 24.2.58+
  • 24.0.65+
  • 23.18.100+
  • 23.12.105+
  • 23.6.163+

¿Cómo se solucionó?

Google inhabilitó el acceso de administrador directo a la base de datos interna desde la aplicación de Looker, quitó los privilegios elevados que permitían el acceso entre usuarios y rotó los Secrets expuestos. Además, aplicamos un parche para las vulnerabilidades de salto de directorio que posiblemente expusieron las credenciales de la cuenta de servicio. También estamos revisando nuestro código y los sistemas de manera exhaustiva para identificar y solucionar posibles vulnerabilidades similares.

 Crítico

GCP-2024-024

Publicado: 2024-04-25

Actualizada: 2024-07-18

Descripción

Descripción Gravedad Notas

Actualización del 18/07/2024: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2024-26585

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2024-26585

GCP-2024-023

Publicado: 24 de abril de 2024

Descripción

Descripción Gravedad Notas

Los siguientes CVE exponen Cloud Service Mesh a vulnerabilidades explotables:

  • CVE-2024-27919: HTTP/2: Agotamiento de la memoria debido a una inundación de tramas CONTINUATION.
  • CVE-2024-30255: HTTP/2: Agotamiento de la CPU debido a una inundación de marcos CONTINUATION
  • CVE-2024-32475: Finalización anormal cuando se usa "auto_sni" con un encabezado ":authority" de más de 255 caracteres.
  • CVE-2023-45288: Los marcos CONTINUATION de HTTP/2 se pueden utilizar para ataques de DoS.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Cloud Service Mesh.

Alta

GCP-2024-022

Publicado: 2024-04-03

Actualizada: 2024-07-17

Descripción

Descripción Gravedad Notas

Actualización del 17/07/2024: Se agregaron versiones de parche para GKE en VMware.

Actualización del 09/07/2024: Se agregaron versiones de parche para GKE on Bare Metal

Actualización del 24/04/2024: Se agregaron versiones de parche para GKE.

Hace poco, se descubrió una vulnerabilidad de denegación del servicio (DoS) (CVE-2023-45288) en varias implementaciones del protocolo HTTP/2, incluido el servidor HTTP de Golang que usa Kubernetes. La vulnerabilidad podría provocar un DoS del plano de control de Google Kubernetes Engine (GKE).

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-45288

GCP-2024-021

Publicado: 2024-04-03

Descripción

Descripción Gravedad Notas

Compute Engine no se ve afectado por CVE-2024-3094, que afecta a las versiones 5.6.0 y 5.6.1 del paquete xz-utils en la biblioteca liblzma y podría comprometer la utilidad OpenSSH.

Para obtener más detalles, consulta el boletín de seguridad de Compute Engine.

 Media CVE-2024-3094

GCP-2024-020

Publicado: 2024-04-02

Descripción

Descripción Gravedad Notas

Los investigadores descubrieron una vulnerabilidad (CVE-2023-48022) en Ray. Ray es una herramienta de código abierto de terceros para cargas de trabajo de IA. Debido a que Ray no requiere autenticación, los actores de amenazas pueden lograr la ejecución de código remoto enviando trabajos a instancias expuestas públicamente. Anyscale, el desarrollador de Ray, impugnó la vulnerabilidad. Ray sostiene que sus funciones son una característica principal y prevista del producto, y que la seguridad debe implementarse fuera de un clúster de Ray, ya que cualquier exposición no intencional del clúster de Ray a la red podría generar una vulneración.

Según la respuesta, se impugna este CVE y es posible que no aparezca en los análisis de vulnerabilidades. De todos modos, se está aprovechando activamente en la naturaleza, y los usuarios deben configurar su uso como se sugiere a continuación.

¿Qué debo hacer?

Sigue las prácticas recomendadas y los lineamientos de Ray, incluida la ejecución de código de confianza en redes confiables, para proteger tus cargas de trabajo de Ray. Deployment de ray.io en las instancias de nube del cliente se encuentra bajo el modelo de responsabilidad compartida.

La seguridad de Google Kubernetes Engine (GKE) publicó un blog sobre cómo proteger Ray en GKE.

Para obtener más información sobre las formas de agregar autenticación y autorización a los servicios de Ray, consulta la documentación de Identity-Aware Proxy (IAP). Los usuarios de GKE pueden implementar IAP siguiendo esta orientación o reutilizando los módulos de Terraform vinculados en el blog.

Alta CVE-2023-48022

GCP-2024-018

Publicado: 12 de marzo de 2024

Actualizada: 2024-04-04, 2024-05-06

Descripción

Descripción Gravedad Notas

Actualización del 06/05/2024: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Actualización del 4 de abril de 2024: Se corrigieron las versiones mínimas para los grupos de nodos de Container-Optimized OS de GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2024-1085

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2024-1085

GCP-2024-017

Publicado: 2024-03-06

Descripción

Descripción Gravedad Notas

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2023-3611

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-3611

GCP-2024-016

Publicado: 2024-03-05

Descripción Gravedad Notas

VMware divulgó varias vulnerabilidades en VMSA-2024-0006 que afectan a los componentes de ESXi implementados en los entornos de los clientes.

Impacto de Google Cloud VMware Engine

Tus nubes privadas se actualizaron para abordar la vulnerabilidad de seguridad.

¿Qué debo hacer?

No es necesario que realices ninguna acción.

Crítico

GCP-2024-014

Publicado: 26 de febrero de 2024

Descripción

Descripción Gravedad Notas

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2023-3776

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-3776

GCP-2024-013

Publicado: 27/02/2024

Descripción

Descripción Gravedad Notas

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2023-3610

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-3610

GCP-2024-012

Publicado: 2024-02-20

Descripción

Descripción Gravedad Notas

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2024-0193

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2024-0193

GCP-2024-011

Fecha de publicación: 15/02/2024

Descripción

Descripción Gravedad Notas

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

  • CVE-2023-6932

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-6932

GCP-2024-010

Publicado: 2024-02-14

Actualizada: 2024-04-17

Descripción

Descripción Gravedad Notas

Actualización del 17/04/2024: Se agregaron versiones de parche para GKE en VMware.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-6931

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-6931

GCP-2024-009

Publicado: 2024-02-13

Descripción

Descripción Gravedad Notas

El 13 de febrero de 2024, AMD divulgó dos vulnerabilidades que afectan a SEV-SNP en las CPU de EPYC basadas en los núcleos Zen de tercera generación "Milan" y cuarta generación "Genoa". Las vulnerabilidades permiten que los atacantes con privilegios accedan a datos obsoletos de los invitados o provoquen una pérdida de integridad de los invitados.

Google aplicó correcciones a los recursos afectados, incluido Google Cloud, para garantizar la protección de los clientes. Por el momento, no se encontró ni se informó a Google evidencia de explotación.

¿Qué debo hacer?

No se requiere que el cliente realice ninguna acción. Ya se aplicaron correcciones a la flota de servidores de Google para Google Cloud, incluido Compute Engine.

Para obtener más información, consulta el boletín de seguridad de AMD AMD-SN-3007.

 Moderado

GCP-2024-008

Publicado: 2024-02-12

Descripción

Descripción Gravedad Notas

CVE-2023-5528 permite que un atacante cree pods y volúmenes persistentes en nodos de Windows de una manera que permite la elevación de privilegios de administrador en esos nodos.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-5528

GCP-2024-007

Publicado: 2024-02-08

Descripción

Descripción Gravedad Notas

Los siguientes CVE exponen Cloud Service Mesh a vulnerabilidades explotables:

  • CVE-2024-23322: Envoy falla cuando hay tiempos inactivos y de espera de solicitudes por intento en el intervalo de retirada.
  • CVE-2024-23323: Se produce un uso excesivo de la CPU cuando el comparador de plantillas de URI se configura a través de una regex.
  • CVE-2024-23324: Es posible omitir la autorización externa cuando el filtro de protocolo del proxy establece metadatos UTF-8 no válidos.
  • Envoy falla cuando se utiliza un tipo de dirección que no es compatible con el SO.
  • CVE-2024-23327: Se produce una falla en el protocolo del proxy cuando el tipo de comando es LOCAL.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Cloud Service Mesh.

Alta

GCP-2024-006

Publicado: 5 de febrero de 2024

Descripción

Descripción Gravedad Notas

Cuando un proxy de administración de API de Apigee se conecta a un extremo de destino o a un servidor de destino, el proxy no realiza la validación del nombre de host para el certificado que presenta el extremo o el servidor de destino de forma predeterminada. Si la validación del nombre de host no está habilitada a través de una de las siguientes opciones, los proxies de Apigee que se conectan a un extremo o un servidor de destino pueden estar en riesgo de que un usuario autorizado reciba un ataque de intermediario. Para obtener más información, consulta Configura TLS del perímetro al backend (nube y nube privada).

Las implementaciones de proxies de Apigee en las siguientes plataformas de Apigee se ven afectadas:

  • Apigee Edge para la nube pública
  • Apigee Edge para la nube privada

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Apigee.

 Alta

GCP-2024-005

Fecha de publicación: 2024-01-31
Última actualización: 2024-04-02, 2024-05-06

Descripción

Descripción Gravedad Notas

Actualización del 06/05/2024: Se agregaron versiones de parche para GKE en AWS y GKE en Azure.

Actualización del 02/04/2024: Se agregaron versiones de parche para GKE on Bare Metal

Actualización del 06/03/2024: Se agregaron versiones de parche para GKE en VMware

Actualización del 28/02/2024: Se agregaron versiones de parche para Ubuntu

Actualización del 15/02/2024: Se aclaró que las versiones de parche de Ubuntu 1.25 y 1.26 de la actualización del 14/02/2024 podrían causar nodos en mal estado.

Actualización del 14/02/2024: Se agregaron versiones de parche para Ubuntu

Actualización del 06/02/2024: Se agregaron versiones de parche para Container-Optimized OS.

Se detectó una vulnerabilidad de seguridad, CVE-2024-21626, en runc, en la que un usuario con permiso para crear Pods en los nodos de Container-Optimized OS y Ubuntu podría obtener acceso completo al nodo sistema de archivos.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2024-21626

GCP-2024-004

Fecha de publicación: 24/01/2024
Última actualización: 07/02/2024

Descripción

Descripción Gravedad Notas

Actualización del 07/02/2024: Se agregaron versiones de parche para Ubuntu.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-6817

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-6817

GCP-2024-003

Fecha de publicación: 19/01/2024
Última actualización: 26/01/2024

Descripción

Descripción Gravedad Notas

Actualización del 26/01/2024: Se aclaró la cantidad de clústeres afectados y las medidas que tomamos para mitigar el impacto. Para obtener más detalles, consulta el boletín de seguridad de GCP-2024-003.

Identificamos varios clústeres en los que los usuarios otorgaron privilegios de Kubernetes al grupo system:authenticated, que incluye a todos los usuarios con una Cuenta de Google. Estos tipos de vinculaciones no se recomiendan debido a que infringen el principio de privilegio mínimo y otorgan acceso a grupos muy grandes de usuarios. Consulta la guía en "Qué debo hacer" para obtener instrucciones sobre cómo encontrar estos tipos de vinculaciones.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Media

GCP-2024-002

Publicado: 17 de enero de 2024

Actualizada: 2024-02-20

Descripción

Descripción Gravedad Notas

Actualización del 20/02/2024: Se agregaron versiones de parche para GKE en VMware.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

  • CVE-2023-6111

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-6111

GCP-2024-001

Publicado: 2024-01-09

Descripción

Descripción Gravedad Notas

Se descubrieron varias vulnerabilidades en el firmware de UEFI de TianoCore EDK II. Este firmware se usa en las VMs de Google Compute Engine. Si se explotan, las vulnerabilidades podrían permitir omitir el inicio seguro, lo que proporcionaría mediciones falsas en el proceso de inicio seguro, incluso cuando se usa en VMs protegidas.

¿Qué debo hacer?

No es necesario que realices ninguna acción. Google aplicó un parche a esta vulnerabilidad en Compute Engine, y todas las VMs están protegidas contra ella.

¿Qué vulnerabilidades trata este parche?

El parche mitigó las siguientes vulnerabilidades:

  • CVE-2022-36763
  • CVE-2022-36764
  • CVE-2022-36765
 Media

GCP-2023-051

Publicado: 28-12-2023

Descripción

Descripción Gravedad Notas

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3609

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-3609

GCP-2023-050

Publicado: 27-12-2023

Descripción

Descripción Gravedad Notas

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3389

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-3389

GCP-2023-049

Publicado: 20-12-2023

Descripción

Descripción Gravedad Notas

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3090

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-3090

GCP-2023-048

Publicado: 15-12-2023

Última actualización: 21-12-2023

Descripción

Descripción Gravedad Notas

Actualización del 21/12/2023: Se aclaró que los clústeres de Autopilot de GKE con la configuración predeterminada no se ven afectados.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3390

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-3390

GCP-2023-047

Publicado: 2023-12-14

Descripción

Descripción Gravedad Notas

Un atacante que haya vulnerado el contenedor de registro de Fluent Bit podría combinar ese acceso con los privilegios altos que requiere Cloud Service Mesh (en los clústeres que lo hayan habilitado) para aumentar los privilegios en el clúster.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Media

GCP-2023-046

Fecha de publicación: 22/11/2023
Última actualización: 04/03/2024

Descripción

Descripción Gravedad Notas

Actualización del 4 de marzo de 2024: Se agregaron versiones de GKE para GKE en VMware.

Actualización del 22/01/2024: Se agregaron versiones de parche de Ubuntu

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-5717

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-5717

GCP-2023-045

Publicado: 2023-11-20

Última actualización: 21-12-2023

Descripción

Descripción Gravedad Notas

Actualización del 21/12/2023: Se aclaró que los clústeres de Autopilot de GKE con la configuración predeterminada no se ven afectados.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-5197

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-5197

GCP-2023-044

Publicado: 15 de noviembre de 2023

Descripción

Descripción Gravedad Notas

El 14 de noviembre, AMD divulgó varias vulnerabilidades que afectan a diversas CPUs de servidor de AMD. Específicamente, las vulnerabilidades afectan a las CPU de servidor EPYC que utilizan la generación 2 del núcleo Zen "Rome", la generación 3 "Milan" y la generación 4 "Genoa".

Google aplicó correcciones a los recursos afectados, incluido Google Cloud, para garantizar la protección de los clientes. Por el momento, no se encontró ni se informó a Google evidencia de explotación.

¿Qué debo hacer?

No se requiere que el cliente realice ninguna acción.

Ya se aplicaron correcciones a la flota de servidores de Google Cloud, incluido Google Compute Engine.

¿Qué vulnerabilidades se abordan?

El parche mitigó las siguientes vulnerabilidades:

  • CVE-2022-23820
  • CVE-2021-46774
  • CVE-2023-20533
  • CVE-2023-20519
  • CVE-2023-20592
  • CVE-2023-20566
  • CVE-2023-20521
  • CVE-2021-46766
  • CVE-2022-23830
  • CVE-2023-20526
  • CVE-2021-26345

Para obtener más información, consulta el aviso de seguridad de AMD AMD-SN-3005: "Aviso de seguridad de la instrucción INVD de AMD", también publicado como CacheWarp, y AMD-SN-3002: "Vulnerabilidades del servidor de AMD: noviembre de 2023".

 Moderado

GCP-2023-043

Publicado: 2023-11-14

Descripción

Descripción Gravedad Notas

Intel divulgó una vulnerabilidad de CPU en algunos procesadores. Google tomó medidas para mitigar su flota de servidores, incluidos Google Compute Engine para Google Cloudy los dispositivos ChromeOS, para garantizar la protección de los clientes.

Los detalles de la vulnerabilidad son los siguientes:

  • CVE-2023-23583

¿Qué debo hacer?

No se requiere que el cliente realice ninguna acción.

La mitigación que proporcionó Intel para los procesadores afectados se aplicó a la flota de servidores de Google, incluido Google Compute Engine para Google Cloud.

En este momento, Google Distributed Cloud Edge requiere una actualización del OEM. Google corregirá este producto una vez que la actualización esté disponible, y este boletín se actualizará en consecuencia.

Los dispositivos ChromeOS con los procesadores afectados recibieron la corrección automáticamente como parte de las versiones 119, 118 y 114 (LTS).

¿Qué vulnerabilidades se abordan?

CVE-2023-23583. Para obtener más detalles, consulta el aviso de seguridad de Intel INTEL-SA-00950.

 Alta CVE-2023-23583

GCP-2023-042

Fecha de publicación: 13/11/2023
Última actualización: 15/11/2023

Descripción

Descripción Gravedad Notas

Actualización del 15/11/2023: Se aclaró que solo las versiones secundarias enumeradas deben actualizarse a una versión con parche correspondiente para GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4147

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-4147

GCP-2023-041

Publicado: 2023-11-08

Última actualización: 21-11-2023, 05-12-2023, 21-12-2023

Descripción

Descripción Gravedad Notas

Actualización del 21/12/2023: Se aclaró que los clústeres de Autopilot de GKE con la configuración predeterminada no se ven afectados.

Actualización del 05/12/2023: Se agregaron versiones adicionales de GKE para los grupos de nodos de Container-Optimized OS.

Actualización del 21/11/2023: Se aclaró que solo las versiones secundarias enumeradas deben actualizarse a una versión con parche correspondiente para GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4004

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-4004

GCP-2023-040

Publicado: 6 de noviembre de 2023

Última actualización: 21-11-2023, 21-12-2023

Descripción

Descripción Gravedad Notas

Actualización del 21/12/2023: Se aclaró que los clústeres de Autopilot de GKE con la configuración predeterminada no se ven afectados.

Actualización del 21/11/2023: Se aclaró que solo las versiones secundarias enumeradas deben actualizarse a una versión con parche correspondiente para GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4921

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-4921

GCP-2023-039

Publicado: 2023-11-06

Última actualización: 21-11-2023, 16-11-2023

Descripción

Descripción Gravedad Notas

Actualización del 21/11/2023: Se aclaró que solo las versiones secundarias enumeradas deben actualizarse a una versión con parche correspondiente para GKE.

Actualización del 16/11/2023: La vulnerabilidad asociada a este boletín de seguridad es CVE-2023-4622. En una versión anterior del boletín de seguridad, se indicó incorrectamente que CVE-2023-4623 era la vulnerabilidad.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4623

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-4622

GCP-2023-038

Publicado: 6 de noviembre de 2023

Última actualización: 21-11-2023, 21-12-2023

Descripción

Descripción Gravedad Notas

Actualización del 21/12/2023: Se aclaró que los clústeres de Autopilot de GKE con la configuración predeterminada no se ven afectados.

Actualización del 21/11/2023: Se aclaró que solo las versiones secundarias enumeradas deben actualizarse a una versión con parche correspondiente para GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4623

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-4623

GCP-2023-037

Publicado: 2023-11-06

Última actualización: 21-11-2023, 21-12-2023

Descripción

Descripción Gravedad Notas

Actualización del 21/12/2023: Se aclaró que los clústeres de Autopilot de GKE con la configuración predeterminada no se ven afectados.

Actualización del 21/11/2023: Se aclaró que solo las versiones secundarias enumeradas deben actualizarse a una versión con parche correspondiente para GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4015

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-4015

GCP-2023-036

Publicado: 2023-10-30

Descripción

Descripción Gravedad Notas

Deep Learning VM Images es un conjunto de imágenes de máquina virtual ya preparadas con un framework de aprendizaje profundo que están listos para ejecutarse. Recientemente, se descubrió una vulnerabilidad de escritura fuera de los límites en la función “ReadHuffmanCodes()”, de la biblioteca “libwebp”. Esto puede afectar las imágenes que usan esta biblioteca.

Google Cloud analiza continuamente sus imágenes publicadas de forma pública y actualiza los paquetes para garantizar que se incluyan las distribuciones de parche en las versiones más recientes disponibles para la adopción de los clientes. Se actualizaron las Deep Learning VM Images para garantizar que las imágenes de VM más recientes incluyan las distribuciones con parches. Los clientes que adoptan las imágenes de VM más recientes no están expuestos a esta vulnerabilidad.

¿Qué debo hacer?

Los clientes deGoogle Cloud que usen imágenes de VM publicadas deben asegurarse de adoptar las imágenes más recientes y que sus entornos estén actualizados, según el modelo de responsabilidad compartida.

Un atacante podría aprovechar CVE-2023-4863 para ejecutar código arbitrario. Esta vulnerabilidad se identificó en Google Chrome antes de la 116.0.5845.187 y en "libwebp" antes de la 1.3.2, y se incluye en CVE-2023-4863.

 Alta CVE-2023-4863

GCP-2023-035

Publicado: 2023-10-26

Última actualización: 21-11-2023, 21-12-2023

Descripción

Descripción Gravedad Notas

Actualización del 21/12/2023: Se aclaró que los clústeres de Autopilot de GKE con la configuración predeterminada no se ven afectados.

Actualización del 21/11/2023: Se aclaró que solo las versiones secundarias enumeradas deben actualizarse a una versión con parche correspondiente para GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-4206CVE-2023-4207, CVE-2023-4208, CVE-2023-4128

GCP-2023-034

Publicado: 2023-10-25

Actualizada: 2023-10-27

Descripción

Descripción Gravedad Notas

VMware divulgó varias vulnerabilidades en VMSA-2023-0023 que afectan a los componentes de vCenter implementados en los entornos de los clientes.

Impacto de la Atención al cliente de Cloud

  • La vulnerabilidad se puede aprovechar si se accede a puertos específicos en vCenter Server. Estos puertos no están expuestos a la Internet pública.
  • Si los sistemas no confiables no pueden acceder a los puertos 2012/tcp, 2014/tcp y 2020/tcp de vCenter, no estás expuesto a esta vulnerabilidad.
  • Google ya bloqueó los puertos vulnerables en el servidor de vCenter, lo que evita cualquier posible aprovechamiento de esta vulnerabilidad.
  • Además, Google se asegurará de que todas las implementaciones futuras del servidor de vCenter no estén expuestas a esta vulnerabilidad.
  • En el momento de la publicación del boletín, VMware no tiene conocimiento de ninguna explotación "en la naturaleza". Para obtener más detalles, consulta la documentación de VMware.

¿Qué debo hacer?

Por el momento, no es necesario que realices ninguna otra acción.

 Crítico CVE-2023-34048,CVE-2023-34056

GCP-2023-033

Publicado: 2023-10-24

Última actualización: 21-11-2023, 21-12-2023

Descripción

Descripción Gravedad Notas

Actualización del 21/12/2023: Se aclaró que los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados y que las cargas de trabajo de GKE Sandbox tampoco se ven afectadas.

Actualización del 21/11/2023: Se aclaró que solo las versiones secundarias enumeradas deben actualizarse a una versión con parche correspondiente para GKE.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

  • CVE-2023-3777

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-3777

GCP-2023-032

Publicado 13 de octubre 2023

Última actualización: 3 de noviembre de 2023

Descripción

Descripción Gravedad Notas

Actualización del 3 de noviembre de 2023: Se agregó un problema conocido de Apigee Edge para la nube privada.

Hace poco tiempo, se descubrió una vulnerabilidad de denegación del servicio (DoS) en varias implementaciones del protocolo HTTP/2 (CVE-2023-44487), incluido el servicio de Ingress de Apigee (Cloud Service Mesh) que usó Apigee X y Apigee Hybrid. La vulnerabilidad podría provocar un DoS de la funcionalidad de administración de la API de Apigee.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Apigee.

Alta CVE-2023-44487

GCP-2023-031

Publicado: 2023-10-10

Descripción

Descripción Gravedad Notas

Un ataque de denegación de servicio puede afectar el plano de datos cuando se usa el protocolo HTTP/2. Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Cloud Service Mesh.

Alta CVE-2023-44487

GCP-2023-030

Publicado: 2023-10-10

Actualizada: 2024-03-20

Descripción

Descripción Gravedad Notas

Actualización del 20/03/2024: Se agregaron versiones de parche para GKE en AWS y GKE en Azure con los parches más recientes para CVE-2023-44487.

Actualización del 14/02/2024: Se agregaron versiones de parche para GKE en VMware.

Actualización del 9 de noviembre de 2023: Se agregó CVE-2023-39325. Se actualizaron las versiones de GKE con los parches más recientes para CVE-2023-44487 y CVE-2023-39325.

Hace poco tiempo, se descubrió una vulnerabilidad de denegación del servicio (DoS) en varias implementaciones del protocolo HTTP/2 (CVE-2023-44487), incluido el servidor HTTP de Golang que usa Kubernetes. La vulnerabilidad podría provocar un DoS del plano de control de Google Kubernetes Engine (GKE). Los clústeres de GKE con redes autorizadas configuradas están protegidos a través de la limitación del acceso a la red, pero todos los demás clústeres se ven afectados.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-44487, CVE-2023-39325

GCP-2023-029

Publicado 3 de octubre de 2023

Descripción

Descripción Gravedad Notas

TorchServe se usa para alojar modelos de aprendizaje automático de PyTorch para la predicción en línea. Vertex AI proporciona contenedores de entrega de modelos de PyTorch precompilados que dependen de TorchServe. Recientemente, se descubrieron vulnerabilidades en TorchServe que permitirían a un atacante tomar el control de una implementación de TorchServe si su API de administración de modelos está expuesta. Los clientes que tienen modelos de PyTorch implementados en la predicción en línea de Vertex AI no se ven afectados por estas vulnerabilidades, ya que Vertex AI no expone la API de administración de modelos de TorchServe. Los clientes que usan TorchServe fuera de Vertex AI deben tomar precauciones para garantizar que sus implementaciones se configuren de forma segura.

¿Qué debo hacer?

Los clientes de Vertex AI con modelos implementados que usan los contenedores de entrega de PyTorch compilados con anterioridad de Vertex AI no necesitan realizar ninguna acción para abordar las vulnerabilidades, ya que las implementaciones de Vertex AI no exponen el servidor de administración de TorchServe a Internet.

Los clientes que usan los contenedores de PyTorch compilados con anterioridad en otros contextos o que usan una distribución de TorchServe personalizada o de terceros deben hacer lo siguiente:

  • Asegurarse de que la API de administración de modelos de TorchServe no esté expuesta a Internet. La API de administración de modelos se puede restringir al acceso local solo si te aseguras de que management_address esté vinculado a 127.0.0.1.
  • Usa la configuración allowed_urls para asegurarte de que los modelos se puedan cargar desde las fuentes previstas solamente.
  • Actualiza lo antes posible TorchServe a la versión 0.8.2, que incluye mitigaciones para este problema. Como medida preventiva, el 13 de octubre de 2023, Vertex AI lanzará contenedores fijos compilados previamente.

¿Qué vulnerabilidades se abordan?

La API de administración de TorchServe está vinculada a 0.0.0.0 de forma predeterminada en la mayoría de las imágenes de Docker de TorchServe, incluidas las que lanzó Vertex AI, por lo que es accesible para solicitudes externas. La dirección IP predeterminada de la API de administración se cambia a 127.0.0.1 en TorchServe 0.8.2, lo que mitiga este problema.

CVE-2023-43654 y CVE-2022-1471 permiten que un usuario con acceso a la API de administración cargue modelos desde fuentes arbitrarias y ejecute código de forma remota. Las mitigaciones para ambos problemas se incluyen en TorchServe 0.8.2: se quita la ruta de ejecución de código remota y se emite una advertencia si se usa el valor predeterminado de allowed_urls.

 Alta CVE-2023-43654, CVE-2022-1471

GCP-2023-028

Publicado: 2023-09-19

Actualizada: 2024-05-29

Descripción

Descripción Gravedad Notas
Actualización del 29 de mayo de 2024: Los nuevos feeds ya no usan la cuenta de servicio compartida, pero esta permanece activa para los feeds existentes y evitar interrupciones del servicio. Los cambios en la fuente de los feeds más antiguos se bloquean para evitar el uso inadecuado de la cuenta de servicio compartida. Los clientes pueden seguir usando sus feeds anteriores con normalidad, siempre y cuando no cambien la fuente.

Los clientes pueden configurar Google Security Operations para transferir datos desde buckets de Cloud Storage propiedad del cliente a través de un feed de transferencia. Hasta hace poco, Google Security Operations proporcionaba una cuenta de servicio compartida que los clientes usaban para otorgar permiso al bucket. Existía una oportunidad para que la instancia de Operaciones de seguridad de Google de un cliente se pudiera configurar para transferir datos desde el bucket de Cloud Storage de otro cliente. Después de realizar un análisis de impacto, no encontramos ninguna explotación actual o anterior de esta vulnerabilidad. La vulnerabilidad estaba presente en todas las versiones de Google Security Operations anteriores al 19 de septiembre de 2023.

¿Qué debo hacer?

Desde el 19 de septiembre de 2023, Google Security Operations se actualizó para abordar esta vulnerabilidad. No se requiere que el cliente realice ninguna acción.

¿Qué vulnerabilidades se abordan?

Anteriormente, Google Security Operations proporcionaba una cuenta de servicio compartida que los clientes usaban para otorgar permiso a un bucket. Debido a que diferentes clientes otorgaron el mismo permiso de cuenta de servicio de Google Security Operations a sus buckets, existía un vector de explotación que permitía que el feed de un cliente accediera al bucket de otro cliente cuando se creaba o modificaba un feed. Este vector de explotación requería conocimiento del URI del bucket. Ahora, durante la creación o modificación de feeds, Google Security Operations usa cuentas de servicio únicas para cada cliente.

 Alta

GCP-2023-027

Publicado: 11 de septiembre de 2023
Descripción Gravedad Notas

Las actualizaciones de VMware vCenter Server abordan varias vulnerabilidades de corrupción de memoria (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896)

Impacto en la Atención al cliente

VMware vCenter Server (vCenter Server) y VMware Cloud Foundation (Cloud Foundation).

¿Qué debo hacer?

Los clientes no se ven afectados y no es necesario que realicen ninguna acción.

 Media

GCP-2023-026

Fecha de publicación: 6 de septiembre de 2023

Descripción

Descripción Gravedad Notas

Se descubrieron tres vulnerabilidades (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) en Kubernetes en las que un usuario que puede crear Pods en nodos de Windows podría escalar a privilegios de administrador en esos nodos. Estas vulnerabilidades afectan a las versiones de Windows de Kubelet y del proxy de CSI de Kubernetes.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-3676, CVE-2023-3955, CVE-2023-3893

GCP-2023-025

Publicado: 2023-08-08
Descripción Gravedad Notas

Recientemente, Intel anunció el Aviso de seguridad de Intel INTEL-SA-00828 que afecta a algunas de sus familias de procesadores. Te recomendamos que evalúes tus riesgos en función de la asesoría.

Impacto de Google Cloud VMware Engine

Nuestra flota utiliza las familias de procesadores afectadas. En nuestra implementación, todo el servidor está dedicado a un solo cliente. Por lo tanto, nuestro modelo de implementación no agrega ningún riesgo adicional a tu evaluación de esta vulnerabilidad.

Estamos trabajando con nuestros socios para obtener los parches necesarios y los implementaremos de forma prioritaria en toda la flota con el proceso de actualización estándar en las próximas semanas.

¿Qué debo hacer?

No es necesario que realices ninguna acción. Estamos trabajando para actualizar todos los sistemas afectados.

 Alta

GCP-2023-024

Publicado: 2023-08-08

Actualizada: 2023-08-10, 2024-06-04

Descripción

Descripción Gravedad Notas

Actualización del 4 de junio de 2024: Los siguientes productos faltantes ya se actualizaron para corregir esta vulnerabilidad:

  • Google Distributed Cloud Hosted
  • Google Distributed Cloud Edge

Actualización del 10/8/2023: Se agregó el número de versión de LTS de ChromeOS.

Intel divulgó una vulnerabilidad en algunos procesadores (CVE-2022-40982). Google tomó medidas para mitigar su flota de servidores, incluido Google Cloud, y garantizar la protección de los clientes.

Los detalles de la vulnerabilidad son los siguientes:

  • CVE-2022-40982 (IPU de Intel 2023.3, "GDS" también conocido como "Downfall")

¿Qué debo hacer?

No se requiere que el cliente realice ninguna acción.

Todos los parches disponibles ya se aplicaron a la flota de servidores de Google para Google Cloud, incluido Google Compute Engine.

En este momento, los siguientes productos requieren actualizaciones adicionales de los socios y proveedores.

  • Google Cloud VMware Engine
  • Google Distributed Cloud Hosted
  • Google Distributed Cloud Edge
  • Solución Bare Metal de Google Cloud
  • Evolved Packet Core

Google corregirá estos productos una vez que los parches estén disponibles, y este boletín se actualizará según corresponda.

Los clientes de Chromebooks de Google y ChromeOS Flex recibieron automáticamente las mitigaciones proporcionadas por Intel en las versiones estable (115), LTS (108), beta (116) y LTC (114). Los clientes de Chromebook y ChromeOS Flex que tengan fijada una versión anterior deben considerar quitar la fijación y cambiar a las versiones estables o de LTS para asegurarse de recibir esta y otras correcciones de vulnerabilidades.

¿Qué vulnerabilidades se abordan?

CVE-2022-40982: Para obtener más información, consulta el Aviso de seguridad de Intel INTEL-SA-00828.

Alta CVE-2022-40982

GCP-2023-023

Publicado: 2023-08-08

Descripción

Descripción Gravedad Notas

AMD divulgó una vulnerabilidad en algunos procesadores (CVE-2023-20569). Google tomó medidas para mitigar su flota de servidores, incluido Google Cloud, y garantizar la protección de los clientes.

Los detalles de la vulnerabilidad son los siguientes:

  • CVE-2023-20569 (AMD SB-7005, también conocido como "Inception")

¿Qué debo hacer?

Los usuarios de las VMs de Compute Engine deben considerar las mitigaciones proporcionadas por el SO si usan la ejecución de código no confiable dentro de la instancia. Recomendamos a los clientes que se comuniquen con los proveedores de sus SO para obtener orientación más específica.

Ya se aplicaron correcciones a la flota de servidores de Google para Google Cloud, incluido Google Compute Engine.

¿Qué vulnerabilidades se abordan?

CVE-2023-20569: Para obtener más información, consulta AMD SB-7005.

Moderado CVE-2023-20569

GCP-2023-022

Publicado: 3 de agosto de 2023

Descripción

Descripción Gravedad Notas

Google identificó una vulnerabilidad en las implementaciones de C++ de gRPC anteriores a la versión 1.57. Se trataba de una vulnerabilidad de denegación del servicio en la implementación de C++ de gRPC. Estas vulnerabilidades se corrigieron en las versiones 1.53.2, 1.54.3, 1.55.2, 1.56.2 y 1.57.

¿Qué debo hacer?

Asegúrate de usar las versiones más recientes de los siguientes paquetes de software:

  • Las versiones de gRPC (C++, Python y Ruby) 1.53, 1.54, 1.55 y 1.56 se deben actualizar a las siguientes versiones de parche:
    • 1.53.2
    • 1.54.3
    • 1.55.2
    • 1.56.2
  • Las versiones de gRPC (C++, Python y Ruby) 1.52 y anteriores se deben actualizar a una de las versiones de parche aprobadas. Por ejemplo, 1.53.2, 1.54.3, 1.53.4, etcétera.

¿Qué vulnerabilidades se abordan?

Con estos parches, se mitigan las siguientes vulnerabilidades:

  • Vulnerabilidad de denegación del servicio en las implementaciones de C++ de gRPC: Las solicitudes creadas especialmente pueden provocar el término de la conexión entre un proxy y un backend.
Alta CVE-2023-33953

GCP-2023-021

Updated:2023-07-26

Published:2023-07-25

Descripción

Descripción Gravedad Notas

Los siguientes CVE exponen Cloud Service Mesh a vulnerabilidades explotables:

  • CVE-2023-35941: En algunos casos específicos, un cliente malicioso puede crear credenciales con validez permanente. Por ejemplo, la combinación del host y la hora de vencimiento en la carga útil del HMAC siempre puede ser válida en la verificación del HMAC del filtro de OAuth2.
  • CVE-2023-35942: Los registradores de acceso de gRPC que usan el alcance global del objeto de escucha pueden provocar una falla de uso después de la liberación cuando se agota el objeto de escucha. Esto se puede activar con una actualización de LDS con la misma configuración del registro de acceso de gRPC.
  • CVE-2023-35943: Si el encabezado origin está configurado para quitarse con request_headers_to_remove: origin, el filtro de CORS segfault y fallará Envoy.
  • CVE-2023-35944: Los atacantes pueden enviar solicitudes de esquemas mixtos para omitir las verificaciones de esquemas en Envoy. Por ejemplo, si se envía una solicitud con un esquema mixto HTTP al filtro de OAuth2, fallarán las verificaciones de coincidencia exacta para HTTP y se informará al extremo remoto que el esquema es HTTPS, lo que podría omitir las verificaciones de OAuth2 específicas para las solicitudes HTTP.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Cloud Service Mesh.

Alta

GCP-2023-020

Updated:2023-07-26

Publicado: 2023-07-24

Descripción

Descripción Gravedad Notas

AMD lanzó una actualización de microcódigo que aborda una vulnerabilidad de seguridad de hardware (CVE-2023-20593). Google aplicó las correcciones necesarias para esta vulnerabilidad a su flota de servidores, incluidos los servidores de Google Cloud Platform. Las pruebas indican que no hay impacto en el rendimiento de los sistemas.

¿Qué debo hacer?

No es necesario que el cliente realice ninguna acción, ya que las correcciones ya se aplicaron a la flota de servidores de Google para Google Cloud Platform.

¿Qué vulnerabilidades se abordan?

CVE-2023-20593 aborda una vulnerabilidad en algunas CPU de AMD. Obtén más información aquí.

Alta CVE-2023-20593

GCP-2023-019

Published:2023-07-18

Descripción

Descripción Gravedad Notas

Se descubrió una nueva vulnerabilidad (CVE-2023-35945) en Envoy, en la que una respuesta específicamente diseñada de un servicio upstream no confiable puede causar una denegación de servicio por agotamiento de la memoria. Esto se debe al códec HTTP/2 de Envoy, que puede filtrar un mapa de encabezado y estructuras de registro al recibir RST_STREAM inmediatamente seguido de los marcos GOAWAY de un servidor upstream.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Cloud Service Mesh.

Alta CVE-2023-35945

GCP-2023-018

Publicado: 2023-06-27

Descripción

Descripción Gravedad Notas

Se descubrió una vulnerabilidad nueva (CVE-2023-2235) en el kernel de Linux que puede provocar una elevación de privilegios en el nodo. Los clústeres de Autopilot de GKE se ven afectados porque los nodos de Autopilot de GKE siempre usan imágenes de nodo de Container-Optimized OS. Los clústeres de GKE Standard con versiones 1.25 o posteriores que ejecutan imágenes de nodo de Container-Optimized OS se ven afectados.

Los clústeres de GKE no se ven afectados si solo ejecutan imágenes de nodos de Ubuntu, ejecutan versiones anteriores a la 1.25 o usan GKE Sandbox.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-2235

GCP-2023-017

Publicado: 2023-06-26

Última actualización: 11-07-2023

Descripción

Descripción Gravedad Notas

Actualización del 11/07/2023: Se actualizaron las nuevas versiones de GKE para incluir las versiones más recientes de Ubuntu que aplican parches a CVE-2023-31436.

Se descubrió una vulnerabilidad nueva (CVE-2023-31436) en el kernel de Linux que puede provocar una elevación de privilegios en el nodo. Los clústeres de GKE, incluidos los de Autopilot, se ven afectados. Los clústeres de GKE que usan GKE Sandbox no se ven afectados.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-31436

GCP-2023-016

Publicado: 2023-06-26

Descripción

Descripción Gravedad Notas

Se descubrieron varias vulnerabilidades en Envoy, que se usa en Cloud Service Mesh, que permiten que un atacante malicioso cause una denegación de servicio o falle Envoy. Estos se informaron por separado como GCP-2023-002.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487

GCP-2023-015

Publicado: 2023-06-20

Descripción

Descripción Gravedad Notas

Se descubrió una nueva vulnerabilidad, CVE-2023-0468, en el kernel de Linux que podría permitir que un usuario sin privilegios aumente sus privilegios a raíz cuando io_poll_get_ownership siga aumentando req->poll_refs en cada io_poll_wake y, luego, desborde a 0, lo que hará que fput req->file dos veces y provoque un problema de recuento de referencias de struct file. Los clústeres de GKE, incluidos los de Autopilot, con Container-Optimized OS que usan la versión 5.15 del kernel de Linux se ven afectados. Los clústeres de GKE que usan imágenes de Ubuntu o GKE Sandbox no se ven afectados.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Media CVE-CVE-2023-0468

GCP-2023-014

Actualizado: 11/08/2023
Fecha de publicación: 15/06/2023

Descripción

Descripción Gravedad Notas

Actualización del 11/08/2023: Se agregaron versiones de parche para GKE en VMware, GKE en AWS, GKE en Azure y Google Distributed Cloud Virtual para Bare Metal.

Se descubrieron dos problemas de seguridad nuevos en Kubernetes en los que los usuarios podrían iniciar contenedores que omiten las restricciones de políticas cuando usan contenedores efímeros y ImagePolicyWebhook (CVE-2023-2727) o el complemento de admisión ServiceAccount (CVE-2023-2728).

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Media CVE-2023-2727, CVE-2023-2728

GCP-2023-013

Fecha de publicación: 2023-06-08

Descripción

Descripción Gravedad Notas

Cuando habilitas la API de Cloud Build en un proyecto, Cloud Build crea automáticamente una cuenta de servicio predeterminada para ejecutar compilaciones en tu nombre. Anteriormente, esta cuenta de servicio de Cloud Build tenía el permiso de IAM logging.privateLogEntries.list, que permitía que las compilaciones tuvieran acceso a la lista de registros privados de forma predeterminada. Este permiso ahora se revocó de la cuenta de servicio de Cloud Build para cumplir con el principio de seguridad de privilegio mínimo.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Cloud Build.

 Baja

GCP-2023-010

Publicado: 2023-06-07

Descripción

Descripción Gravedad Notas

Google identificó tres vulnerabilidades nuevas en la implementación de C++ de gRPC. Pronto se publicarán de forma pública como CVE-2023-1428, CVE-2023-32731 y CVE-2023-32732.

En abril, identificamos dos vulnerabilidades en las versiones 1.53 y 1.54. Una era una vulnerabilidad de denegación del servicio en la implementación de C++ de gRPC y la otra era una vulnerabilidad de robo de datos remoto. Estas vulnerabilidades se corrigieron en las versiones 1.53.1, 1.54.2 y posteriores.

En marzo, nuestros equipos internos descubrieron una vulnerabilidad de denegación del servicio en la implementación de C++ de gRPC mientras se realizaban actividades de fuzzing de rutina. Se descubrió en la versión 1.52 de gRPC y se corrigió en las versiones 1.52.2 y 1.53.

¿Qué debo hacer?

Asegúrate de usar las versiones más recientes de los siguientes paquetes de software:

  • Las versiones 1.52, 1.53 y 1.54 de gRPC (C++, Python y Ruby) se deben actualizar a las siguientes versiones de parche:
    • 1.52.2
    • 1.53.1
    • 1.54.2
  • Las versiones de gRPC (C++, Python y Ruby) 1.51 y anteriores no se ven afectadas, por lo que los usuarios con estas versiones no deben realizar ninguna acción.

¿Qué vulnerabilidades tratan estos parches?

Con estos parches, se mitigan las siguientes vulnerabilidades:

  • Las versiones 1.53.1, 1.54.2 y posteriores abordan la siguiente vulnerabilidad: Vulnerabilidad de denegación del servicio en la implementación de C++ de gRPC. Las solicitudes creadas especialmente pueden provocar el término de la conexión entre un proxy y un backend. Vulnerabilidad de robo de datos remoto: La desincronización en la tabla HPACK debido a los límites del tamaño del encabezado pueden provocar que los backends del proxy filtren datos del encabezado desde otros clientes conectados a un proxy.
  • Las versiones 1.52.2, 1.53 y posteriores abordan la siguiente vulnerabilidad de denegación del servicio en la implementación de C++ de gRPC. Analizar algunas solicitudes formuladas de forma específica puede provocar que una falla afecte a un servidor.

Te recomendamos que actualices a las versiones más recientes de los siguientes paquetes de software, como se indicó anteriormente.

 Alta (CVE-2023-1428, CVE-2023-32731). Medio (CVE-2023-32732) CVE-2023-1428, CVE-2023-32731, CVE-023-32732

GCP-2023-009

Fecha de publicación: 2023-06-06

Descripción

Descripción Gravedad Notas

Se descubrió una vulnerabilidad nueva (CVE-2023-2878) en secrets-store-csi-driver en la que un actor con acceso a los registros del controlador podría observar tokens de cuentas de servicio.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Ninguno CVE-2023-2878

GCP-2023-008

Publicado: 2023-06-05

Descripción

Descripción Gravedad Notas

Se descubrió una vulnerabilidad nueva (CVE-2023-1872) en el kernel de Linux que puede provocar una elevación de privilegios a raíz en el nodo.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-1872

GCP-2023-007

Fecha de publicación: 2 de junio de 2023

Descripción

Descripción Gravedad Notas

Recientemente, se descubrió una vulnerabilidad en Cloud SQL para SQL Server que permitía que las cuentas de administrador del cliente crearan activadores en la base de datos tempdb y los usaran para obtener privilegios sysadmin en la instancia. Los privilegios sysadmin otorgarían al atacante acceso a las bases de datos del sistema y acceso parcial a la máquina que ejecuta esa instancia de SQL Server.

Google Cloud resolvió el problema aplicando el parche de vulnerabilidad de seguridad para el 1 de marzo de 2023. Google Cloud no encontró ninguna instancia cliente comprometida.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Cloud SQL.

 Alta

GCP-2023-005

Publicado: 18 de mayo de 2023

Actualizada: 2023-06-06

Descripción

Descripción Gravedad Notas

Actualización del 06/06/2023: Se actualizaron las nuevas versiones de GKE para incluir las versiones más recientes de Ubuntu que aplican parches a CVE-2023-1281 y CVE-2023-1829.

Se descubrieron dos vulnerabilidades nuevas (CVE-2023-1281 y CVE-2023-1829) en el kernel de Linux que pueden provocar una elevación de privilegios a raíz en el nodo.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-1281 CVE-2023-1829

GCP-2023-004

Publicado: 26 de abril de 2023

Descripción

Descripción Gravedad Notas

Se descubrieron dos vulnerabilidades (CVE-2023-1017 y CVE-2023-1018) en el Módulo de plataforma segura (TPM) 2.0.

Las vulnerabilidades podrían haber permitido que un atacante sofisticado explotara una lectura o escritura fuera de límites de 2 bytes en ciertas VMs de Compute Engine.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Compute Engine.

 Media

GCP-2023-003

Publicado: 11 de abril de 2023

Última actualización: 21-12-2023

Descripción

Descripción Gravedad Notas

Actualización del 21/12/2023: Se aclaró que los clústeres de Autopilot de GKE con la configuración predeterminada no se ven afectados.

Se descubrieron dos vulnerabilidades nuevas, CVE-2023-0240 y CVE-2023-23586, en el kernel de Linux que podrían permitir que un usuario sin privilegios eleve sus privilegios.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2023-0240, CVE-2023-23586

GCP-2023-002

Descripción

Descripción Gravedad Notas

Los siguientes CVE exponen Cloud Service Mesh a vulnerabilidades explotables:

  • CVE-2023-27496: Si Envoy se ejecuta con el filtro de OAuth habilitado y expuesto, un agente malicioso podría crear una solicitud que causaría una denegación del servicio haciendo que Envoy falle.
  • CVE-2023-27488: El atacante puede usar esta vulnerabilidad para omitir las verificaciones de autorización cuando se usa ext_authz.
  • CVE-2023-27493: La configuración de Envoy también debe incluir una opción para agregar encabezados de la solicitud que se generaron con entradas de la solicitud, como la SAN del certificado del par.
  • CVE-2023-27492: Los atacantes pueden enviar cuerpos de solicitud grandes para rutas que tienen habilitado el filtro de Lua y activar fallas.
  • CVE-2023-27491: Los atacantes pueden enviar solicitudes HTTP/2 o HTTP/3 diseñadas específicamente para activar errores de análisis en el servicio upstream de HTTP/1.
  • CVE-2023-27487: El encabezado "x-envoy-original-path" debería ser un encabezado interno, pero Envoy no lo quita de la solicitud al comienzo del procesamiento de la solicitud cuando se envía desde un cliente no confiable.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Cloud Service Mesh:

Alta

GCP-2023-001

Publicado: 1-3-2023, 21-12-2023

Descripción

Descripción Gravedad Notas

Actualización del 21/12/2023: Se aclaró que los clústeres de Autopilot de GKE con la configuración predeterminada no se ven afectados.

Se descubrió una vulnerabilidad nueva (CVE-2022-4696) en el kernel de Linux que puede generar una elevación de privilegios en el nodo.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta CVE-2022-4696

GCP-2022-026

Publicado: 2023-01-11

Descripción

Descripción Gravedad Notas

Se descubrieron dos vulnerabilidades nuevas (CVE-2022-3786 y CVE-2022-3602) en OpenSSL v3.0.6 que pueden provocar una falla.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Media

GCP-2022-025

Fecha de publicación: 21-12-2022
Última actualización: 19-01-2023, 21-12-2023

Descripción

Descripción Gravedad Notas

Actualización del 21/12/2023: Se aclaró que los clústeres de Autopilot de GKE con la configuración predeterminada no se ven afectados.

Actualización del 19/01/2023: Se agregó información sobre la disponibilidad de la versión 1.21.14-gke.14100 de GKE.

Se descubrieron dos vulnerabilidades nuevas (CVE-2022-3786 y CVE-2022-3602) en OpenSSL v3.0.6 que pueden provocar una falla.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Media

GCP-2022-024

Publicado: 09-11-2022

Última actualización: 19/01/2023

Descripción

Descripción Gravedad Notas

Actualización del 19/01/2023: Se agregó información sobre la disponibilidad de la versión 1.21.14-gke.14100 de GKE.

Actualización del 16/12/2022: Se agregaron versiones de parche para GKE y GKE en VMware.

Se descubrieron dos vulnerabilidades nuevas (CVE-2022-2585 y CVE-2022-2588) en el kernel de Linux que pueden provocar una fuga completa del contenedor al administrador en el nodo.

Para obtener instrucciones y más detalles, consulta los siguientes documentos:

 Alta

GCP-2022-023

Publicado: 2022-11-04

Descripción

Descripción Gravedad Notas

Se detectó una vulnerabilidad de seguridad, CVE-2022-39278, en Istio, que se usa en Cloud Service Mesh, que permite que un atacante malicioso falle el plano de control.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

Alta CVE-2022-39278

GCP-2022-022

Publicado: 28 de octubre de 2022

Última actualización: 14-12-2022

Descripción

Descripción Gravedad Notas

Actualización del 14/12/2022: Se agregaron versiones de parche para GKE y GKE en VMware.

Se descubrió una nueva vulnerabilidad, CVE-2022-20409, en el kernel de Linux que podría permitir que un usuario sin privilegios escale a privilegios de ejecución del sistema.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

Alta CVE-2022-20409

GCP-2022-021

Publicado: 27 de octubre de 2022

Última actualización: 19-01-2023, 21-12-2023

Descripción

Descripción Gravedad Notas

Actualización del 21/12/2023: Se aclaró que los clústeres de Autopilot de GKE con la configuración predeterminada no se ven afectados.

Actualización del 19/01/2023: Se agregó información sobre la disponibilidad de la versión 1.21.14-gke.14100 de GKE.

Actualización del 15/12/2022: Se actualizó la información para indicar que la versión 1.21.14-gke.9400 de Google Kubernetes Engine está pendiente de lanzamiento y puede sustituirse por un número de versión posterior.

Actualización del 22/11/2022: Se agregaron versiones de parche para GKE en VMware, GKE en AWS y GKE en Azure.

Se descubrió una vulnerabilidad nueva, CVE-2022-3176, en el kernel de Linux que puede generar una elevación de privilegios local. Esta vulnerabilidad permite que un usuario sin privilegios logre un escape completo de los contenedores hasta la raíz en el nodo.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

Alta CVE-2022-3176

GCP-2022-020

Publicado: 2022-10-05

Actualización: 12-10-2022

Descripción

Descripción Gravedad Notas

El plano de control de Istio istiod es vulnerable a un error de procesamiento de solicitudes, lo que permite que un atacante malicioso envíe un mensaje creado especialmente a fin de que el plano de control falle cuando el webhook de validación para un clúster se expone públicamente. Este extremo se entrega a través del puerto TLS 15017, pero no requiere ninguna autenticación del atacante.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Cloud Service Mesh.

 Alta CVE-2022-39278

GCP-2022-019

Publicado: 22-09-2022

Descripción

Descripción Gravedad Notas

Una vulnerabilidad de análisis de mensajes y administración de memoria en las implementaciones de C++ y Python de ProtocolBuffer puede activar una falla por falta de memoria (OOM) cuando se procesa un mensaje creado especialmente. Esto podría provocar una denegación de servicio (DoS) en los servicios que usan las bibliotecas.

¿Qué debo hacer?

Asegúrate de usar las versiones más recientes de los siguientes paquetes de software:

  • protobuf-cpp (3.18.3, 3.19.5, 3.20.2, 3.21.6)
  • protobuf-python (3.18.3, 3.19.5, 3.20.2, 4.21.6)

¿Qué vulnerabilidades trata este parche?

Este parche mitiga la siguiente vulnerabilidad:

Un mensaje pequeño especialmente construido que hace que el servicio en ejecución asigne grandes cantidades de RAM. El tamaño pequeño de la solicitud significa que es fácil aprovechar la vulnerabilidad y agotar los recursos. Los sistemas de C++ y Python que consumen archivos .proto no confiables serían vulnerables a ataques DoS si contienen un objeto MessageSet en su solicitud de RPC.

Media CVE-2022-1941

GCP-2022-018

Publicado: 2022-08-01

Última actualización: 14-09-2022, 21-12-2023

Descripción

Descripción Gravedad Notas

Actualización del 21/12/2023: Se aclaró que los clústeres de Autopilot de GKE con la configuración predeterminada no se ven afectados.

Actualización del 14/09/2022: Se agregaron versiones de parche para GKE en VMware, GKE en AWS y GKE en Azure.

Se descubrió una vulnerabilidad nueva (CVE-2022-2327) en el kernel de Linux que puede provocar una elevación de privilegios local. Esta vulnerabilidad permite que un usuario sin privilegios logre un escape completo de los contenedores hasta la raíz en el nodo.

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

Alta CVE-2022-2327

GCP-2022-017

Fecha de publicación: 29-06-2022
Última actualización: 22-11-2022

Descripción

Descripción Gravedad Notas

Actualización del 22/11/2022: Las cargas de trabajo que usan GKE Sandbox no se ven afectadas por estas vulnerabilidades.

Actualización del 21/07/2022: Se agregó información adicional sobre GKE en VMware.

Se descubrió una vulnerabilidad nueva (CVE-2022-1786) en las versiones 5.10 y 5.11 del kernel de Linux. Esta vulnerabilidad permite que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo. Solo los clústeres que ejecutan Container-Optimized OS se ven afectados. Las versiones de GKE Ubuntu usan la versión 5.4 o 5.15 del kernel y no se ven afectadas.

Para obtener instrucciones y más detalles, consulta los siguientes documentos:

 Alta CVE-2022-1786

GCP-2022-016

Fecha de publicación: 23/06/2022
Última actualización: 22/11/2022

Descripción

Descripción Gravedad Notas

Actualización del 22-11-2022: Los clústeres de Autopilot no se ven afectados por CVE-2022-29581, pero son vulnerables a CVE-2022-29582 y CVE-2022-1116.

Se descubrieron tres vulnerabilidades nuevas de corrupción de memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) en el kernel de Linux. Estas vulnerabilidades permiten que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo. Afecta a todos los clústeres de Linux (Container-Optimized OS y Ubuntu).

Para obtener instrucciones y más detalles, consulta los siguientes boletines:

 Alta

GCP-2022-015

Fecha de publicación: 09/06/2022
Última actualización: 10/06/2022

Descripción

Descripción Gravedad Notas

Actualización del 10/06/2022: Se actualizaron las versiones de Cloud Service Mesh. Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Cloud Service Mesh.

Los siguientes CVE de Envoy e Istio exponen Cloud Service Mesh e Istio en GKE a vulnerabilidades explotables de forma remota:

  • CVE-2022-31045: El plano de datos de Istio puede acceder a la memoria de forma insegura cuando se habilitan las extensiones de estadísticas e intercambio de metadatos.
  • CVE-2022-29225: Los datos pueden exceder los límites de búfer intermedios si un atacante malicioso pasa una carga útil pequeña altamente comprimida (ataque de bomba zip).
  • CVE-2021-29224: Posible desreferencia del puntero nulo en GrpcHealthCheckerImpl.
  • CVE-2021-29226: El filtro OAuth permite la omisión trivial.
  • CVE-2022-29228: El filtro OAuth puede dañar la memoria (versiones anteriores) o activar un ASSERT() (versiones posteriores).
  • CVE-2022-29227: Los redireccionamientos internos fallan para las solicitudes con cuerpo o trailers.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Cloud Service Mesh.

Crítico

GCP-2022-014

Fecha de publicación: 26/04/2022
Última actualización: 22/11/2022

Descripción

Descripción Gravedad Notas

Actualización del 22-11-2022: Los clústeres de GKE Autopilot y las cargas de trabajo que se ejecutan en GKE Sandbox no se ven afectados.

Actualización del 12/05/2022: Se actualizaron las versiones de GKE en AWS y GKE en Azure. Para obtener instrucciones y más detalles, consulta los siguientes documentos:

Dos vulnerabilidades de seguridad: CVE-2022-1055 y CVE-2022-27666 se descubrieron en el kernel de Linux. Cada uno puede provocar que un atacante local pueda realizar un desglose de contenedores, elevación de privilegios en el host o ambos. Estas vulnerabilidades afectan a todos los sistemas operativos de los nodos de GKE (Container-Optimized OS y Ubuntu). Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Alta CVE-2022-1055
CVE-2022-27666

GCP-2022-013

Fecha de publicación: 2022-04-11
Última actualización: 2022-04-22

Descripción

Descripción Gravedad Notas

Se descubrió una vulnerabilidad de seguridad, CVE-2022-23648, en el control de containerd del recorrido de ruta en la especificación del volumen de imágenes de OCI. Los contenedores que se lanzan mediante la implementación de CRI de containerd con una configuración de imagen creada especialmente podrían obtener acceso completo de lectura a directorios y archivos arbitrarios en el host. Esta vulnerabilidad puede omitir cualquier aplicación basada en políticas en la configuración de contenedores (incluida una política de seguridad de Pods de Kubernetes).

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Media CVE-2022-23648

GCP-2022-012

Fecha de publicación: 7/04/2022
Última actualización: 22/11/2022

Descripción

Descripción Gravedad Notas

Actualización del 22/11/2022: En el caso de los clústeres de GKE en ambos modos, Standard y Autopilot, las cargas de trabajo que usan GKE Sandbox no se ven afectadas.

Se descubrió una vulnerabilidad de seguridad, CVE-2022-0847, en la versión de kernel 5.8 de Linux y versiones posteriores que pueden aumentar los privilegios del contenedor a raíz. Esta vulnerabilidad afecta a los siguientes productos:

  • Versiones del grupo de nodos de GKE 1.22 y posteriores que usan imágenes de Container-Optimized OS (Container-Optimized OS 93 y versiones posteriores)
  • GKE en VMware v1.10 para imágenes de Container-Optimized OS
  • GKE en AWS v1.21 y GKE en AWS (generación anterior) v1.19, v1.20 y v1.21, que usan Ubuntu
  • Clústeres administrados de GKE en Azure v1.21 que usan Ubuntu

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Alta CVE-2022-0847

GCP-2022-011

Publicado: 22-03-2022
Actualizado: 11-08-2022

Descripción

Descripción Gravedad

Actualización del 11/8/2022: Se agregó más información sobre la configuración de subprocesos múltiples simultáneos (SMT). Se suponía que los SMT debían estar inhabilitados, pero se habilitaron en las versiones que se indican.

Si habilitaste los SMT para un grupo de nodos en zona de pruebas de forma manual, los SMT permanecerán habilitados de forma manual a pesar de este problema.

Hay una configuración incorrecta con los multisubprocesos simultáneos (SMT) simultáneos, también conocido como hipersubprocesos, en imágenes de GKE Sandbox. La configuración incorrecta deja a los nodos potencialmente expuestos a ataques de canal lateral, como el muestreo de datos de microarquitectura (MDS) (para obtener más contexto, consulta la documentación de GKE Sandbox). No recomendamos usar las siguientes versiones afectadas:

  • 1.22.4-gke.1501
  • 1.22.6-gke.300
  • 1.23.2-gke.300
  • 1.23.3-gke.600

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de GKE.

 Media

GCP-2022-010

Descripción

Descripción Gravedad Notas

El siguiente CVE de Istio expone Cloud Service Mesh a una vulnerabilidad explotable de forma remota:

  • CVE-2022-24726: El plano de control de Istio, "istiod", es vulnerable a un error de procesamiento de solicitudes, lo que permite que un atacante malicioso envíe un mensaje creado especialmente a fin de que el plano de control falle cuando el webhook de validación para un clúster se expone públicamente. Este extremo se entrega a través del puerto TLS 15017, pero no requiere ninguna autenticación del atacante.

Para obtener instrucciones y más detalles, consulta el siguiente boletín de seguridad:

Alta

GCP-2022-009

Publicado: 2022-03-01

Descripción

Descripción Gravedad

Algunas rutas inesperadas para acceder a la VM del nodo en los clústeres de GKE Autopilot podrían haberse usado a fin de escalar privilegios en el clúster. Estos problemas se solucionaron y no se requiere ninguna otra acción. Las correcciones abordan problemas informados a través de nuestro Programa de recompensas por detección de vulnerabilidades.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de GKE.

 Baja

GCP-2022-008

Fecha de publicación: 23/02/2022
Última actualización: 28/04/2022

Descripción

Descripción Gravedad Notas

Actualización del 28/04/2022: Se agregaron versiones de GKE en VMware que corrigen estas vulnerabilidades. Para obtener más detalles, consulta el boletín de seguridad de GKE en VMware.

Recientemente, el proyecto de Envoy descubrió un conjunto de vulnerabilidades. Todos los problemas que se mencionan a continuación se corrigen en la versión 1.21.1 de Envoy.
  • CVE-2022-23606: Cuando se borra un clúster a través del servicio de descubrimiento de clústeres (CDS), se desconectan todas las conexiones inactivas establecidas con los extremos de ese clúster. En la versión 1.19 de Envoy, se introdujo erróneamente una recursión en el procedimiento de desconexión de conexiones inactivas que puede provocar el agotamiento de la pila y la finalización anormal del proceso cuando un clúster tiene una gran cantidad de conexiones inactivas.
  • CVE-2022-21655: El código de redireccionamiento interno de Envoy supone que existe una entrada de ruta. Cuando se realiza un redireccionamiento interno a una ruta que tiene una entrada de respuesta directa y ninguna entrada de ruta, se anula la referencia de un puntero nulo y se produce una falla.
  • CVE-2021-43826: Cuando Envoy se configura para usar tcp_proxy, que usa la tunelización ascendente (a través de HTTP) y la finalización de TLS descendente, Envoy fallará si el cliente descendente se desconecta durante el protocolo de enlace TLS mientras el flujo HTTP ascendente aún se está estableciendo. La desconexión de transmisión descendente puede ser iniciada por el cliente o el servidor. El cliente puede desconectarse por cualquier motivo. El servidor puede desconectarse si, por ejemplo, no tiene algoritmos de cifrado TLS o versiones del protocolo TLS compatibles con el cliente. Es posible que también se pueda activar esta falla en otras configuraciones de nivel inferior.
  • CVE-2021-43825: El envío de una respuesta generada de forma local debe detener el procesamiento adicional de los datos de la solicitud o la respuesta. Envoy hace un seguimiento de la cantidad de datos de solicitud y respuesta almacenados en búfer, y anula la solicitud si la cantidad de datos almacenados en búfer supera el límite. Para ello, envía respuestas 413 o 500. Sin embargo, cuando se envía una respuesta generada de forma local debido a desbordamientos internos del búfer mientras la cadena de filtros procesa la respuesta, es posible que la operación no se anule correctamente y se acceda a un bloque de memoria liberado.
  • CVE-2021-43824: Envoy falla cuando se usa el filtro de JWT con una regla de coincidencia "safe_regex" y una solicitud creada especialmente, como "CONNECT host:port HTTP/1.1". Cuando se alcanza el filtro de JWT, una regla "safe_regex" debería evaluar la ruta de URL, pero no hay ninguna aquí, y Envoy falla con errores de segmentación.
  • CVE-2022-21654: Envoy permitiría incorrectamente la reanudación de la sesión de TLS después de que se reconfigurara la configuración de validación de mTLS. Si se permitía un certificado de cliente con la configuración anterior, pero no con la nueva, el cliente podría reanudar la sesión de TLS anterior, aunque la configuración actual debería prohibirlo. Se verán afectados los cambios en los siguientes parámetros de configuración:
    • match_subject_alt_names
    • Cambios en la CRL
    • allow_expired_certificate
    • Trust_chain_verification
    • only_verify_leaf_cert_crl
  • CVE-2022-21657: Envoy no restringe el conjunto de certificados que acepta del par, ya sea como cliente o servidor TLS, solo a aquellos certificados que contienen el extendedKeyUsage necesario (id-kp-serverAuth y id-kp-clientAuth, respectivamente). Esto significa que un par puede presentar un certificado de correo electrónico (p.ej., id-kp-emailProtection), ya sea como certificado de hoja o como CA en la cadena, y se aceptará para TLS. Esto es particularmente grave cuando se combina con CVE-2022-21656, ya que permite que una AC de PKI web que solo se destina a usarse con S/MIME y, por lo tanto, está exenta de auditoría o supervisión, emita certificados TLS que Envoy aceptará.
  • CVE-2022-21656: La implementación del validador que se usa para implementar las rutinas de validación de certificados predeterminadas tiene un error de "confusión de tipos" cuando procesa subjectAltNames. Este procesamiento permite, por ejemplo, que se autentique un rfc822Name o un uniformResourceIndicator como nombre de dominio. Esta confusión permite omitir las restricciones de nombres, ya que la implementación subyacente de OpenSSL/BoringSSL las procesa, lo que expone la posibilidad de suplantación de servidores arbitrarios.
Para obtener instrucciones detalladas sobre productos específicos, consulta los siguientes boletines de seguridad:
¿Qué debo hacer?
Los usuarios de Envoy que administran sus propios Envoys deben asegurarse de usar la versión 1.21.1 de Envoy. Los usuarios de Envoy que administran sus propios Envoys compilan los objetos binarios desde una fuente como GitHub y los implementan.

No deben realizar ninguna acción los usuarios que ejecutan Envoys administrados (Google Cloud proporciona los objetos binarios de Envoy), para los que los productos de Google Cloud cambiarán a la versión 1.21.1. 		Alta CVE-2022-23606
CVE-2022-21655
CVE-2021-43826
CVE-2021-43825
CVE-2021-43824
CVE-2022-21654
CVE-2022-21657
CVE-2022-21656

GCP-2022-007

Publicado: 22 de febrero de 2022

Descripción

Descripción Gravedad Notas

Los siguientes CVE de Envoy e Istio exponen Cloud Service Mesh y Istio en GKE a vulnerabilidades explotables de forma remota:

  • CVE-2022-23635: Istiod falla cuando recibe solicitudes con un encabezado authorization creado especialmente.
  • CVE-2021-43824: Posible eliminación de referencia de puntero nulo cuando se usa la coincidencia del filtro safe_regex de JWT
  • CVE-2021-43825: Uso después de la liberación cuando los filtros de respuesta aumentan los datos de respuesta y el aumento de los datos supera los límites de búfer descendente.
  • CVE-2021-43826: Uso después de la liberación cuando se canaliza TCP a través de HTTP, si hay desconexión descendente durante el establecimiento de la conexión ascendente.
  • CVE-2022-21654: El control de configuración incorrecto permite la reutilización de la sesión de mTLS sin revalidación después de que haya cambiado la configuración de validación.
  • CVE-2022-21655: Control incorrecto de redireccionamientos internos a rutas con una entrada de respuesta directa.
  • CVE-2022-23606: Agotamiento de la pila cuando se borra un clúster a través del servicio de descubrimiento de clústeres.

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Alta

GCP-2022-006

Fecha de publicación: 14/02/2022
Última actualización: 16/05/2022

Descripción

Descripción Gravedad Notas

Actualización del 16/05/2022: Se agregó la versión 1.19.16-gke.7800 o posterior de GKE a la lista de versiones que tienen código para corregir esta vulnerabilidad. Para obtener más detalles, consulta el boletín de seguridad de GKE.

Actualización del 12/05/2022: Se actualizaron las versiones de GKE, GKE en VMware, GKE en AWS y GKE en Azure. Para obtener instrucciones y más detalles, consulta los siguientes documentos:

Se detectó una vulnerabilidad de seguridad, CVE-2022-0492, en la función cgroup_release_agent_write del kernel de Linux. El ataque usa espacios de nombres de usuarios sin privilegios y, en determinadas circunstancias, se puede aprovechar esta vulnerabilidad para la interrupción del contenedor.

 Baja

Para obtener instrucciones y más detalles, consulta los siguientes documentos:

GCP-2022-005

Fecha de publicación: 11/02/2022
Última actualización: 15/02/2022

Descripción

Descripción Gravedad Notas

Se detectó una vulnerabilidad de seguridad, CVE-2021-43527, en cualquier objeto binario que se vincula con las versiones vulnerables de libnss3 que se encuentran en las versiones de NSS (Servicios de Seguridad de Red) anteriores a la versión 3.73 o 3.68.1. Las aplicaciones que usan NSS para validación de certificados u otra función de CRL, OCSP TLS o X.509 pueden verse afectadas, según cómo se use o configure NSS.

Para obtener instrucciones y más detalles, consulta los siguientes documentos:

 Media CVE-2021-43527

GCP-2022-004

Publicado: 2022-02-04

Descripción

Descripción Gravedad Notas

Se detectó una vulnerabilidad de seguridad, CVE-2021-4034, en pkexec, un componente del paquete del kit de políticas de Linux (polkit) que permite que un usuario autenticado realice un ataque de elevación de privilegios. Por lo general, PolicyKit solo se usa en sistemas de escritorio Linux para permitir que los usuarios no raíz realicen acciones, como reiniciar el sistema, instalar paquetes, reiniciar servicios, etc., según lo que estipule una política.

Para obtener instrucciones y más detalles, consulta los siguientes documentos:

 Ninguno CVE-2021-4034

GCP-2022-002

Fecha de publicación: 01/02/2022
Última actualización: 25/02/2022

Descripción

Descripción Gravedad Notas

Actualización del 25/02/2022: Se actualizaron las versiones de GKE. Para obtener instrucciones y más detalles, consulta los siguientes documentos:

Actualización del 23/2/2022: Se actualizaron las versiones de GKE y GKE en VMware. Para obtener instrucciones y más detalles, consulta los siguientes documentos:

Actualización del 04-02-2022: La fecha de inicio del lanzamiento de las versiones de parche de GKE fue el 2 de febrero.

Tres vulnerabilidades de seguridad, CVE-2021-4154, CVE-2021-22600 y CVE-2022-0185, se descubrieron en el kernel de Linux, cada una de las cuales puede generar una fuga del contenedor, la elevación de privilegios en el host o ambas. Estas vulnerabilidades afectan a todos los sistemas operativos de los nodos (COS y Ubuntu) en GKE, GKE en VMware, GKE en AWS (generación actual y anterior) y GKE en Azure. Los Pods que usan GKE Sandbox no son vulnerables a estas vulnerabilidades. Consulta las notas de la versión de COS para obtener más información.

Para obtener instrucciones y más detalles, consulta los siguientes documentos:

 Alta

GCP-2022-001

Publicado: 2022-01-06

Descripción

Descripción Gravedad Notas

Se descubrió un posible problema de denegación de servicio en protobuf-java durante el procedimiento de análisis de datos binarios.

¿Qué debo hacer?

Asegúrate de usar las versiones más recientes de los siguientes paquetes de software:

  • protobuf-java (3.16.1, 3.18.2, 3.19.2)
  • protobuf-kotlin (3.18.2, 3.19.2)
  • google-protobuf [Gema de JRuby] (3.19.2)

Los usuarios de "javalite" de Protobuf (por lo general, Android) no se ven afectados.

¿Qué vulnerabilidades corrige este parche?

Este parche mitiga la siguiente vulnerabilidad:

Es una debilidad de implementación en la forma en que se analizan los campos desconocidos en Java. Una carga útil maliciosa pequeña (alrededor de 800 KB) puede ocupar el analizador durante varios minutos creando una gran cantidad de objetos de corta duración que causan pausas frecuentes y repetidas en la recolección de elementos no utilizados.

 Alta CVE-2021-22569

GCP-2021-024

Publicada: 21-10-2021

Descripción

Descripción Gravedad Notas

Se detectó un problema de seguridad en el controlador ingress-nginx de Kubernetes, CVE-2021-25742. Los fragmentos personalizados de Ingress-nginx permiten la recuperación de tokens y secretos de cuentas de servicio de ingress-nginx en todos los espacios de nombres.

Para obtener instrucciones y más detalles, consulta los siguientes documentos:

Ninguno CVE-2021-25742

GCP-2021-019

Publicada: 29-09-2021

Descripción

Descripción Gravedad Notas

Existe un problema conocido en el que la actualización de un recurso BackendConfig con la API de v1beta1 quita una política de seguridad activa de Google Cloud Armor de su servicio.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de GKE.

 Baja

GCP-2021-022

Publicada: 22-09-2021

Descripción

Descripción Gravedad Notas

Se descubrió una vulnerabilidad en el módulo LDAP de Anthos Identity Service (AIS) de GKE Enterprise en GKE en VMware 1.8 y 1.8.1, donde una clave semilla para generar claves es predecible. Con esta vulnerabilidad, un usuario autenticado podría agregar reclamaciones arbitrarias y escalar privilegios de forma indefinida.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de GKE en VMware.

 Alta

GCP-2021-021

Publicada: 22-09-2021

Descripción

Descripción Gravedad Notas

Se detectó una vulnerabilidad de seguridad, CVE-2020-8561, en Kubernetes, en la que se pueden realizar determinados webhooks para redireccionar las solicitudes kube-apisever a las redes privadas de ese servidor de la API.

Para obtener instrucciones y más detalles, consulta los siguientes documentos:

 Media CVE-2020-8561

GCP-2021-023

Fecha de publicación: 21 de septiembre de 2021

Descripción

Descripción Gravedad Notas

De acuerdo con el aviso de seguridad de VMware VMSA-2021-0020, VMware recibió informes de varias vulnerabilidades en vCenter. VMware hizo actualizaciones disponibles para corregir estas vulnerabilidades en los productos afectados de VMware.

Ya aplicamos los parches que proporciona VMware para la pila de vSphere a Google Cloud VMware Engine según el aviso de seguridad de VMware. Esta actualización aborda las vulnerabilidades de seguridad descritas en CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 y CVE-2021-22010. Se abordarán otros problemas de seguridad no críticos en la próxima actualización de la pila de VMware (según la notificación previa que se envió en julio, se proporcionarán más detalles pronto en el cronograma específico de la actualización).

El impacto de VMware Engine

Según nuestras investigaciones, no se descubrió que los clientes se vieran afectados.

¿Qué debo hacer?

Debido a que los clústeres de VMware Engine no se ven afectados por esta vulnerabilidad, no es necesario que realices ninguna otra acción.

 Crítico

GCP-2021-020

Publicada: 17-09-2021

Descripción

Descripción Gravedad Notas

En condiciones limitadas, ciertos balanceadores de cargas de Google Cloud que enrutan a un servicio de backend habilitado para Identity-Aware Proxy (IAP) podrían haber sido vulnerables a un tercero no confiable. Esta actualización aborda un problema informado a través de nuestro Programa de recompensas por detección de vulnerabilidades.

Las condiciones eran que los servidores debían cumplir con lo siguiente:
  • Balanceadores de cargas HTTP(S) y
  • Se usó un backend predeterminado o un backend que tenía una regla de asignación de host comodín (es decir, host="*").

Además, un usuario de tu organización debe haber hecho clic en un vínculo creado específicamente y enviado por un tercero no confiable.

Este problema ya se resolvió. A partir del 17 de septiembre de 2021, IAP se actualizó para emitir cookies solo a hosts autorizados. Se considera que un host está autorizado si coincide con al menos un nombre alternativo de sujeto (SAN) en uno de los certificados instalados en tus balanceadores de cargas.

Qué hacer

Es posible que algunos de tus usuarios experimenten una respuesta HTTP 401 Unauthorized con un código de error de IAP 52 cuando intenten acceder a apps o servicios. Este código de error significa que el cliente envió un encabezado Host que no coincide con ningún nombre alternativo del sujeto asociado con los certificados SSL del balanceador de cargas. El administrador del balanceador de cargas debe actualizar el certificado SSL para garantizar que la lista de nombres alternativos del sujeto (SAN) contenga todos los nombres de host a través de los cuales los usuarios acceden a las apps o los servicios protegidos por IAP. Obtén más información sobre los códigos de error de IAP.

Alto

GCP-2021-018

Fecha de publicación: 15/09/2021
Última actualización: 20/09/2021

Descripción

Descripción Gravedad Notas

Se descubrió un problema de seguridad en Kubernetes, CVE-2021-25741, en el que el usuario puede crear un contenedor con activaciones de volumen de ruta secundaria para acceder a archivos y directorios fuera del volumen, incluido en el sistema de archivos del host.

Para obtener instrucciones y más detalles, consulta los siguientes documentos:

 Alta CVE-2021-25741

GCP-2021-017

Fecha de publicación: 01/09/2021
Última actualización: 23/09/2023

Descripción

Descripción Gravedad Notas

Actualización del 23/09/2021: Los contenedores que se ejecutan dentro de GKE Sandbox no se ven afectados por esta vulnerabilidad para los ataques que se originan en el contenedor.

Se descubrieron dos vulnerabilidades de seguridad, CVE-2021-33909 y CVE-2021-33910, en el kernel de Linux que pueden provocar una falla del SO o una elevación de un usuario sin privilegios a permisos de administrador. Esta vulnerabilidad afecta a todos los sistemas operativos de los nodos de GKE (COS y Ubuntu).

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Alta CVE-2021-33909, CVE-2021-33910

GCP-2021-016

Publicada: 24/08/2021

Descripción

Descripción Gravedad Notas

Los siguientes CVE de Envoy e Istio exponen Cloud Service Mesh e Istio en GKE a vulnerabilidades explotables de forma remota:

  • CVE-2021-39156: Las solicitudes HTTP con un fragmento (una sección al final de un URI que comienza con un carácter #) en la ruta de URI podrían omitir las políticas de autorización basadas en la ruta de URI de Istio.
  • CVE-2021-39155: Las solicitudes HTTP podrían omitir una política de autorización de Istio cuando se usan reglas basadas en hosts o notHosts.
  • CVE-2021-32781: Afecta a las extensiones decompressor, json-transcoder o grpc-web de Envoy, o a las extensiones propietarias que modifican y aumentan el tamaño de los cuerpos de las solicitudes o respuestas. Modifica y aumenta el tamaño del cuerpo en la extensión de Envoy más allá del tamaño del búfer interno podría provocar que Envoy acceda a la memoria desasignada y finalice de forma anormal.
  • CVE-2021-32780: Un servicio upstream no confiable podría provocar que Envoy finalice de forma anormal enviando el marco GOAWAY seguido del marco SETTINGS con el parámetro SETTINGS_MAX_CONCURRENT_STREAMS establecido en 0. (No se aplica a Istio on GKE)
  • CVE-2021-32778: Un cliente de Envoy que abre y, luego, restablece una gran cantidad de solicitudes HTTP/2 puede generar un consumo excesivo de CPU. (No se aplica a Istio on GKE)
  • CVE-2021-32777: Las solicitudes HTTP con varios encabezados de valor podrían realizar una verificación de política de autorización incompleta cuando se usa la extensión ext_authz.

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Alto

GCP-2021-015

Fecha de publicación: 13/07/2021
Última actualización: 15/07/2021

Descripción

Descripción Gravedad Notas

Se descubrió una vulnerabilidad de seguridad nueva, CVE-2021-22555, en la que un actor malicioso con privilegios de CAP_NET_ADMIN puede causar una interrupción del contenedor en la raíz del host. Esta vulnerabilidad afecta a todos los clústeres de GKE y a GKE en VMware que ejecutan la versión 2.6.19 o una posterior de Linux.

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Alta CVE-2021-22555

GCP-2021-014

Publicada: 05/07/2021

Descripción

Descripción Gravedad Notas

Microsoft publicó un boletín de seguridad sobre una vulnerabilidad de ejecución de código remoto (RCE), CVE-2021-34527, que afecta la cola de impresión en los servidores de Windows. El CERT Coordination Center (CERT/CC) publicó una nota de actualización sobre una vulnerabilidad relacionada, denominada "PrintNightmare", que también afecta las colas de impresión de Windows: PrintNightmare, Critical Windows Print Spooler Vulnerability.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de GKE.

Alto CVE-2021-34527

GCP-2021-012

Fecha de publicación: 24/06/2021
Última actualización: 09/07/2021

Descripción

Descripción Gravedad Notas

El proyecto de Istio anunció recientemente una vulnerabilidad de seguridad en la que se puede acceder a las credenciales especificadas en el campo credentialName de Gateway y DestinationRule desde diferentes espacios de nombres.

Para obtener instrucciones específicas del producto y más detalles, consulta los siguientes recursos:

 Alta CVE-2021-34824

GCP-2021-011

Fecha de publicación: 04/06/2021
Última actualización: 19/10/2021

Descripción

Descripción Gravedad Notas

Actualización de 19/10/2021:

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Hace poco, la comunidad de seguridad divulgó una nueva vulnerabilidad de seguridad (CVE-2021-30465) que se encontró en runc y que tiene el potencial de permitir el acceso completo al sistema de archivos de un nodo.

En el caso de GKE, debido a que aprovechar esta vulnerabilidad requiere la capacidad de crear pods, calificamos la gravedad como MEDIA.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de GKE.

Medio CVE-2021-30465

GCP-2021-010

Fecha de publicación: 25 de mayo de 2021

Descripción

Descripción Gravedad Notas

Según el aviso de seguridad de VMware VMSA-2021-0010, la ejecución remota de código y las vulnerabilidades de omisión de autenticación en el cliente de vSphere (HTML5) se informaron de forma privada a VMware. VMware hizo actualizaciones disponibles para corregir estas vulnerabilidades en los productos afectados de VMware.

Aplicamos los parches proporcionados por VMware para la pila de vSphere según el aviso de seguridad de VMware. Esta actualización aborda las vulnerabilidades de seguridad descritas en CVE-2021-21985 y CVE-2021-21986. Las versiones de imágenes que se ejecutan en tu nube privada de VMware Engine no reflejan ningún cambio en este momento para indicar los parches aplicados. Ten la certeza de que se instalaron los parches adecuados y tu entorno está protegido contra estas vulnerabilidades.

El impacto de VMware Engine

Según nuestras investigaciones, no se descubrió que los clientes se vieran afectados.

¿Qué debo hacer?

Debido a que los clústeres de VMware Engine no se ven afectados por esta vulnerabilidad, no es necesario que realices ninguna otra acción.

 Crítico

GCP-2021-008

Publicada: 17/05/2021

Descripción

Descripción Gravedad Notas

Istio contiene una vulnerabilidad que se puede aprovechar de forma remota, en la que un cliente externo puede acceder a servicios inesperados en el clúster y, así, omitir las verificaciones de autorización cuando una puerta de enlace se configura con la configuración de enrutamiento AUTO_PASSTHROUGH.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Cloud Service Mesh.

Alta

 CVE-2021-31921

GCP-2021-007

Publicada: 17/05/2021

Descripción

Descripción Gravedad Notas

Istio contiene una vulnerabilidad con capacidad de accesibilidad remota en la que una ruta de acceso de HTTP con múltiples barras o caracteres de barra con escape (%2F o %5C) podría omitir una política de autorización de Istio cuando se usan reglas de autorización basadas en la ruta.

Para obtener instrucciones y más detalles, consulta el boletín de seguridad de Cloud Service Mesh.

Alta

 CVE-2021-31920

GCP-2021-006

Publicada: 11/05/2021

Descripción

Descripción Gravedad Notas

Hace poco, el proyecto Istio divulgó una vulnerabilidad de seguridad nueva (CVE-2021-31920) que afecta a Istio.

Istio contiene una vulnerabilidad que se puede exponer de forma remota, en la que una solicitud HTTP con varias barras o caracteres de barra de escape puede omitir la política de autorización de Istio cuando se usan reglas de autorización basadas en rutas.

Para obtener instrucciones y más detalles, consulta los siguientes documentos:

Alto

 CVE-2021-31920

GCP-2021-005

Publicada: 11/05/2021

Descripción

Descripción Gravedad Notas

Una vulnerabilidad informada demostró que Envoy no decodifica las secuencias de barra invertida con escape %2F y %5C en las rutas de URL HTTP en las versiones 1.18.2 y anteriores de Envoy. Además, algunos productos basados en Envoy no habilitan los controles de normalización de rutas. Un atacante remoto puede crear una ruta con barras invertidas escapadas (por ejemplo, /something%2F..%2Fadmin,) para eludir el control de acceso (por ejemplo, un bloqueo en /admin). Luego, un servidor de backend podría decodificar secuencias de barras invertidas y normalizar la ruta para proporcionar al atacante acceso más allá del alcance que proporciona la política de control de acceso.

¿Qué debo hacer?

Si los servidores de backend tratan/ y %2F o \ y %5C de forma indistinta y se configura una coincidencia de ruta de URL, recomendamos que vuelvas a configurar el servidor de backend para tratar a \y %2F o \ y%5C indistintamente, si es posible.

¿Qué cambios de comportamiento se introdujeron?

Se habilitaron las opciones normalize_path y merge adjacent slashes de Envoy para abordar otras vulnerabilidades comunes de confusión de rutas en productos basados en Envoy.

Alto

 CVE-2021-29492

GCP-2021-004

Fecha de publicación: 6 de mayo de 2021

Descripción

Descripción Gravedad Notas

Recientemente, los proyectos de Istio y Envoy anunciaron varias vulnerabilidades nuevas de seguridad (CVE-2021-28683, CVE-2021-28682 y CVE-2021-29258), que podrían permitir a un atacante bloquear Envoy.

Los clústeres de Google Kubernetes Engine no ejecutan Istio de forma predeterminada y no son vulnerables. Si Istio se instaló en un clúster y se configuró para exponer servicios a Internet, esos servicios pueden ser vulnerables a la denegación del servicio.

Google Distributed Cloud Virtual para Bare Metal y GKE en VMware usan Envoy de forma predeterminada para Ingress, por lo que los servicios de Ingress pueden ser vulnerables a la denegación del servicio.

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Media

GCP-2021-003

Publicada: 19/04/2021

Descripción

Descripción Gravedad Notas

El proyecto de Kubernetes anunció recientemente una nueva vulnerabilidad de seguridad, CVE-2021-25735, que podría permitir que las actualizaciones del nodo omitan un webhook de admisión y validación.

En una situación en la que un atacante tiene privilegios suficientes y en la que se implementa un webhook de admisión y validación que usa propiedades del objeto Node antiguas (por ejemplo, campos en Node.NodeSpec), el atacante podría actualizar las propiedades de un nodo que podría provocar el compromiso del clúster. Ninguna de las políticas que aplican los controladores de admisión integrados de GKE y Kubernetes se ve afectada, pero recomendamos que los clientes verifiquen cualquier webhook de admisión adicional que hayan instalado.

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Media

CVE-2021-25735

GCP-2021-002

Publicada: 05-03-2021

Descripción

Descripción Gravedad Notas

Según el aviso de seguridad VMSA-2021-0002, VMware recibió informes de varias vulnerabilidades en VMware ESXi y el cliente de vSphere (HTML5). VMware hizo actualizaciones disponibles para corregir estas vulnerabilidades en los productos afectados de VMware.

Aplicamos las soluciones alternativas que se documentan de forma oficial para la pila de vSphere según el aviso de seguridad de VMware. Esta actualización aborda las vulnerabilidades de seguridad que se describen en CVE-2021-21972, CVE-2021-21973 y CVE-2021-21974.

El impacto de VMware Engine

Según nuestras investigaciones, no se descubrió que los clientes se vieran afectados.

¿Qué debo hacer?

Debido a que los clústeres de VMware Engine no se ven afectados por esta vulnerabilidad, no es necesario que realices ninguna otra acción.

 Crítico

GCP-2021-001

Publicada: 28/01/2021

Descripción

Descripción Gravedad Notas

Recientemente, se descubrió una vulnerabilidad en la utilidad sudo de Linux, descrita en CVE-2021-3156, que puede permitir a un atacante con acceso de shell local sin privilegios en un sistema con sudo instalado escalar sus privilegios a la raíz del sistema.

Esta vulnerabilidad no afecta la infraestructura subyacente que ejecuta Compute Engine.

Todos los clústeres de Google Kubernetes Engine (GKE), GKE en VMware, GKE en AWS y Google Distributed Cloud Virtual para Bare Metal no se ven afectados por esta vulnerabilidad.

Para obtener instrucciones y más detalles, consulta los siguientes boletines de seguridad:

Ninguna CVE-2021-3156

GCP-2020-015

Fecha de publicación: 2020-12-07
Fecha de actualización: 2020-12-22

Descripción

Descripción Gravedad Notas

Actualizado: 22-12-2021 El comando de GKE en la siguiente sección debe usar gcloud beta en lugar del comando gcloud. 

gcloud container clusters update –no-enable-service-externalips
Actualizado: 15-12-2021 Para GKE, ahora está disponible la siguiente mitigación:
  1. A partir de la versión 1.21 de GKE, un controlador de admisión DenyServiceExternalIPs que se habilita de forma predeterminada para clústeres nuevos bloquea los servicios con ExternalIP.
  2. Los clientes que actualizan a la versión 1.21 de GKE pueden bloquear servicios con ExternalIPs con el siguiente comando: 
    gcloud container clusters update –no-enable-service-externalips

Para obtener más información, consulta Endurece la seguridad del clúster.

El proyecto de Kubernetes descubrió recientemente una nueva vulnerabilidad de seguridad, CVE-2020-8554, que puede permitir que un atacante que haya obtenido permisos cree un servicio de Kubernetes de tipo LoadBalancer o ClusterIP para interceptar el tráfico de red que se origina desde otros Pods del clúster. Esta vulnerabilidad por sí sola no otorga permisos a un atacante para crear un servicio de Kubernetes.

Todos los clústeres de Google Kubernetes Engine (GKE), GKE en VMware y GKE en AWS se ven afectados por esta vulnerabilidad.

¿Qué debo hacer?

Para obtener instrucciones y más detalles, consulta los siguientes documentos:

Media

 CVE-2020-8554

GCP-2020-014

Fecha de publicación: 20/10/2020
Última actualización: 20/10/2020

Descripción

Descripción Gravedad Notas

Hace poco, el proyecto de Kubernetes descubrió varios problemas que permiten la exposición de datos secretos cuando las opciones de registro detallado están habilitadas. Estos son los problemas:

  • CVE-2020-8563: Hay pérdidas de secretos en registros de kube-controller-manager del proveedor de vSphere.
  • CVE-2020-8564: Los secretos de archivos de configuración de Docker se filtran cuando el archivo es incorrecto y el nivel de registro >= 4.
  • CVE-2020-8565: Una corrección incompleta para CVE-2019-11250 en Kubernetes permite la pérdida de tokens en registros cuando logLevel >= 9. A este error lo encontró la seguridad de GKE.
  • CVE-2020-8566: Los adminSecrets de Ceph RBD se exponen en registros cuando loglevel >= 4.

¿Qué debo hacer?

No es necesario que realices ninguna otra acción debido a los niveles de registro detallado predeterminados de GKE.

Ninguna

Google Cloud impacto

Aquí encontrarás información detallada sobre cada producto.

Producto

Impacto

Google Kubernetes Engine (GKE)

Google Kubernetes Engine (GKE) no se ve afectado.

GKE On-Prem

GKE On-Prem no se ve afectado.

GKE en AWS

GKE en AWS no se ve afectado.

GCP-2020-013

Publicada: 29/09/2020

Descripción

Microsoft divulgó la siguiente vulnerabilidad:

Vulnerabilidad

Gravedad

CVE

CVE-2020-1472 — Una vulnerabilidad en Windows Server permite a los atacantes usar el protocolo remoto de Netlogon para ejecutar una aplicación creada especialmente en un dispositivo en la red.

Puntuación base de la NVD: 10 (crítica)

CVE-2020-1472

Para obtener más detalles, consulta la divulgación de Microsoft.

Google Cloud impacto

Esta vulnerabilidad no afecta a la infraestructura en la que se alojan los productos de Google Cloud y de Google. Aquí encontrarás detalles adicionales sobre cada producto.

Producto

Impacto

Compute Engine

CVE-2020-1472

La mayoría de los clientes no debe realizar ninguna acción adicional.

Los clientes que usan máquinas virtuales de Compute Engine con Windows Server deben asegurarse de que sus instancias se hayan actualizado con el parche más reciente de Windows o usen imágenes de Windows Server publicadas después del 17 de agosto de 2020 (v20200813 o versiones posteriores).

Google Kubernetes Engine

CVE-2020-1472

La mayoría de los clientes no debe realizar ninguna acción adicional.

Cualquier cliente que aloje controladores de dominio en los nodos del Windows Server de GKE debe asegurarse de que los nodos y las cargas de trabajo en contenedores que se ejecutan en esos nodos tengan la imagen de nodo más reciente de Windows cuando esté disponible. En octubre se anunciará una versión nueva de imagen de nodo en las notas de la versión de GKE.

Servicio administrado para Microsoft Active Directory

CVE-2020-1472

La mayoría de los clientes no debe realizar ninguna acción adicional.

El parche de agosto que lanzó Microsoft y que incluye correcciones en el protocolo de NetLogon se aplicó a todos los controladores de dominio de Microsoft AD administrado. Este parche brinda funcionalidad para la protección contra posibles explotaciones. La aplicación de los parches en el momento oportuno es una de las principales ventajas de usar el servicio administrado para Microsoft Active Directory. Todos los clientes que ejecuten Microsoft Active Directory de forma manual (y no usen el servicio administrado de Google Cloud) deben asegurarse de que sus instancias tengan el parche más reciente de Windows o usen las imágenes de Windows Server.

Google Workspace

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Entorno estándar de App Engine

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Entorno flexible de App Engine

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Run

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Run Functions

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Composer

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Dataflow

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Dataproc

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud SQL

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

GCP-2020-012

Fecha de publicación: 14/09/2020
Última actualización: 17/09/2020

Descripción

Descripción Gravedad Notas

Hace poco, se descubrió una vulnerabilidad en el kernel de Linux, descrita en CVE-2020-14386, que puede permitir obtener privilegios raíz en el nodo host mediante el escape del contenedor.

Afecta a todos los nodos de GKE. Los Pods que se ejecutan en GKE Sandbox no pueden aprovechar esta vulnerabilidad.

Para obtener instrucciones y más detalles, consulta los siguientes documentos:


¿Qué vulnerabilidad corrige este parche?

Con este parche, se mitiga la siguiente vulnerabilidad:

La vulnerabilidad CVE-2020-14386, que permite contenedores con CAP_NET_RAW
para escribir de 1 a 10 bytes de memoria de kernel y, también, escapar del contenedor y obtener privilegios raíz en el nodo host. Esta vulnerabilidad de seguridad tiene una calificación de gravedad alta.

Alto

CVE-2020-14386

GCP-2020-011

Publicada: 24/07/2020

Descripción

Descripción Gravedad Notas

Se detectó hace poco una vulnerabilidad en las herramientas de redes, CVE-2020-8558, en Kubernetes. A veces, los servicios se comunican con otras aplicaciones que se ejecutan dentro del mismo Pod mediante la interfaz de bucle invertido local (127.0.0.1). Esta vulnerabilidad permite que un atacante con acceso a la red del clúster envíe tráfico a la interfaz de bucle invertido de Pods y nodos adyacentes. Podrían aprovecharse los servicios que dependen de que no se pueda acceder a la interfaz de bucle invertido fuera del Pod.

Para obtener instrucciones y más detalles, consulta los siguientes documentos:

Baja (GKE y GKE en AWS),
Media (GKE en VMware)

CVE-2020-8558

GCP-2020-010

Publicada: 27/07/2020

Descripción

Microsoft divulgó la siguiente vulnerabilidad:

Vulnerabilidad

Gravedad

CVE

CVE-2020-1350: Los servidores de Windows que entregan en una capacidad de servidor DNS se pueden aprovechar para ejecutar un código no confiable mediante la cuenta del sistema local.

Puntuación base de la NVD: 10.0 (crítica)

CVE-2020-1350

Para obtener más detalles, consulta la divulgación de Microsoft.

Google Cloud impacto

Esta vulnerabilidad no afecta a la infraestructura en la que se alojan Google Cloud y los productos de Google. Aquí encontrarás detalles adicionales sobre cada producto.

Producto

Impacto

Compute Engine

CVE-2020-1350

La mayoría de los clientes no debe realizar ninguna acción adicional.

Los clientes que usan máquinas virtuales de Compute Engine que ejecutan los servidores de Windows en una capacidad de servidor DNS deben asegurarse de que sus instancias tengan el último parche de Windows o usen imágenes de Windows Server proporcionadas desde el 14/7/2020.

Google Kubernetes Engine

CVE-2020-1350

La mayoría de los clientes no debe realizar ninguna acción adicional.

Los clientes que usan GKE con un nodo de Windows Server en una capacidad de servidor DNS deben actualizar de forma manual los nodos y las cargas de trabajo que se ejecutan en esos nodos a una versión de Windows Server que contenga la corrección.

Servicio administrado para Microsoft Active Directory

CVE-2020-1350

La mayoría de los clientes no debe realizar ninguna acción adicional.

Todos los dominios de Microsoft AD administrado se actualizaron automáticamente mediante la imagen con parches. Todos los clientes que ejecuten de forma manual Microsoft Active Directory (y no usen Microsoft AD administrado) deben asegurarse de que sus instancias tengan el parche más reciente de Windows o usar las imágenes de Windows Server que se proporcionan desde el 14 de julio de 2020.

Google Workspace

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Entorno estándar de App Engine

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Entorno flexible de App Engine

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Run

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Run Functions

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Composer

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Dataflow

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Dataproc

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud SQL

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

GCP-2020-009

Fecha de publicación: 15/07/2020

Descripción

Descripción Gravedad Notas

En la actualidad, se descubrió una vulnerabilidad de elevación de privilegios, CVE-2020-8559, en Kubernetes. Esta vulnerabilidad permite que un atacante que ya haya comprometido un nodo pueda ejecutar un comando en cualquier Pod del clúster. Por lo tanto, existe la posibilidad de que el atacante use el nodo ya comprometido para comprometer otros nodos y poder leer información o causar acciones destructivas.

Ten en cuenta que, para que un atacante pueda aprovechar esta vulnerabilidad, un nodo del clúster ya debe estar comprometido. Esta vulnerabilidad, por sí sola, no comprometerá ningún nodo del clúster.

Para obtener instrucciones y más detalles, consulta los siguientes documentos:

Media

CVE-2020-8559

GCP-2020-008

Publicada: 19/06/2020

Descripción

Descripción Gravedad Notas

Descripción

Las VM que tienen el Acceso al SO habilitado pueden ser susceptibles a vulnerabilidades de elevación de privilegios. Estas vulnerabilidades le ofrece a los usuarios a los que se les otorgan permisos de Acceso al SO (pero no a acceso de administrador) la capacidad de escalar el acceso raíz en la VM.

Para obtener instrucciones y más detalles, consulta el Boletín de seguridad de Compute Engine.

 Alto

GCP-2020-007

Publicada: 01/06/2020

Descripción

Descripción Gravedad Notas

Hace poco tiempo, se descubrió en Kubernetes una vulnerabilidad de falsificación de solicitudes del servidor (SSRF), CVE-2020-8555, que permitía a ciertos usuarios autorizados filtrar hasta 500 bytes de información sensible desde la red de host del plano de control. El plano de control de Google Kubernetes Engine (GKE) usa controladores de Kubernetes y, por lo tanto, se ve afectado por esta vulnerabilidad. Te recomendamos actualizar el plano de control a la versión más reciente del parche. No requiere actualizar los nodos.

Para obtener instrucciones y más detalles, consulta los siguientes documentos:

Media

CVE-2020-8555

GCP-2020-006

Publicada: 01/06/2020

Descripción

Descripción Gravedad Notas

Kubernetes divulgó una vulnerabilidad que permite que un contenedor con privilegios redireccione el tráfico de nodos a otro contenedor. Debido a este ataque, no se puede leer ni modificar el tráfico de TLS/SSH mutuo, como el que se establece entre el servidor de Kubelet y la API, o el tráfico de aplicaciones que usan mTLS. Todos los nodos de Google Kubernetes Engine (GKE) se ven afectados por esta vulnerabilidad. Te recomendamos que actualices a la última versión del parche.

Para obtener instrucciones y más detalles, consulta los siguientes documentos:

Media

Problema 91507 de Kubernetes

GCP‑2020‑005

Publicada: 07/05/2020

Descripción

Vulnerabilidad

Gravedad

CVE

Hace poco, se descubrió una vulnerabilidad en el kernel de Linux, descrita en CVE-2020-8835, que permite obtener privilegios de administrador en el nodo host mediante un escape de contenedor.

Esta vulnerabilidad afecta a los nodos de Ubuntu de Google Kubernetes Engine (GKE) que ejecutan GKE 1.16 o 1.17, y te recomendamos que actualices a la última versión del parche lo antes posible.

Consulta el boletín de seguridad de GKE para obtener instrucciones y más detalles.

Alto

CVE-2020-8835

GCP-2020-004

Fecha de publicación:31/03/2020
Última actualización:31/03/2020

Descripción

Kubernetes divulgó las siguientes vulnerabilidades:

Vulnerabilidad

Gravedad

CVE

CVE-2019-11254: Esta es una vulnerabilidad de denegación del servicio (DoS) que afecta al servidor de API.

Medio

CVE-2019-11254

Consulta el boletín de seguridad de GKE en VMware para obtener instrucciones y más detalles.

GCP‑2020‑003

Fecha de publicación:31/03/2020
Última actualización:31/03/2020

Descripción

Kubernetes divulgó las siguientes vulnerabilidades:

Vulnerabilidad

Gravedad

CVE

CVE-2019-11254: Esta es una vulnerabilidad de denegación del servicio (DoS) que afecta al servidor de API.

Medio

CVE-2019-11254

Consulta el boletín de seguridad de GKE para obtener instrucciones y más detalles.

GCP‑2020‑002

Fecha de publicación:23/03/2020
Fecha de actualización:23/03/2020

Descripción

Kubernetes divulgó las siguientes vulnerabilidades:

Vulnerabilidad

Gravedad

CVE

CVE-2020-8551: Esta es una vulnerabilidad de denegación del servicio (DoS) que afecta a kubelet.

Medio

CVE-2020-8551

CVE-2020-8552: Esta es una vulnerabilidad de denegación del servicio (DoS) que afecta al servidor de API.

Medio

CVE-2020-8552

Consulta el boletín de seguridad de GKE para obtener instrucciones y más detalles.

GCP-2020-001

Fecha de publicación:21/01/2020
Última actualización:21/01/2020

Descripción

Microsoft divulgó la siguiente vulnerabilidad:

Vulnerabilidad

Gravedad

CVE

CVE‑2020‑0601: Esta vulnerabilidad también se conoce como la vulnerabilidad de falsificación de identidad de la CryptoAPI de Windows. Se puede aprovechar para que archivos ejecutables maliciosos parezcan confiables o para permitir que el atacante realice ataques de intermediario y desencripte información confidencial sobre las conexiones de usuarios al software afectado.

Puntuación base de la NVD: 8.1 (alta)

CVE‑2020‑0601

Para obtener más detalles, consulta la divulgación de Microsoft.

Google Cloud impacto

Esta vulnerabilidad no afecta a la infraestructura en la que se alojan los productos de Google Cloud y de Google. Aquí encontrarás detalles adicionales sobre cada producto.

Producto

Impacto

Compute Engine

CVE‑2020‑0601

La mayoría de los clientes no debe realizar ninguna acción adicional.

Los clientes que usan máquinas virtuales de Compute Engine con Windows Server deben asegurarse de que sus instancias tengan el parche más reciente de Windows o usar las imágenes de Windows Server que se proporcionan desde el 15 de enero de 2020. Consulta el boletín de seguridad de Compute Engine para obtener más detalles.

Google Kubernetes Engine

CVE‑2020‑0601

La mayoría de los clientes no debe realizar ninguna acción adicional.

A fin de mitigar esta vulnerabilidad, los clientes que usan GKE con nodos de Windows Server deben actualizar los nodos y las cargas de trabajo en contenedores que se ejecutan en esos nodos a las versiones con parches. Consulta el boletín de seguridad de GKE para obtener instrucciones y más detalles.

Servicio administrado para Microsoft Active Directory

CVE‑2020‑0601

La mayoría de los clientes no debe realizar ninguna acción adicional.

Todos los dominios de Microsoft AD administrado se actualizaron automáticamente mediante la imagen con parches. Todos los clientes que ejecuten de forma manual Microsoft Active Directory (y no usen Microsoft AD administrado) deben asegurarse de que sus instancias tengan el parche más reciente de Windows o usar las imágenes de Windows Server que se proporcionan desde el 15 de enero de 2020.

Google Workspace

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Entorno estándar de App Engine

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Entorno flexible de App Engine

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Run

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Run Functions

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Composer

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Dataflow

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Dataproc

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud SQL

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

GCP-2019-001

Fecha de publicación: 12/11/2019
Última actualización:12/11/2019

Descripción

Intel divulgó las siguientes vulnerabilidades:

Vulnerabilidad

Gravedad

CVE

CVE‑2019‑11135: Esta vulnerabilidad, conocida como anulación asíncrona de TSX (TAA), se puede usar para explotar la ejecución especulativa en una transacción TSX. Esta vulnerabilidad permite que se puedan exponer los datos mediante las mismas estructuras de datos de microarquitectura que presenta el muestreo de datos de microarquitectura (MDS).

Medio

CVE‑2019‑11135

CVE‑2018‑12207: Es una vulnerabilidad de denegación del servicio (DoS) que afecta a los hosts de máquinas virtuales (no a las máquinas huésped). Este problema se conoce como “error de verificación de la máquina en el cambio de tamaño de la página”.

Medio

CVE‑2018‑12207

Para obtener más información, consulta las siguientes divulgaciones de Intel:

Google Cloud impacto

La infraestructura en la que se alojan los productos de Google Cloud y Google está protegida contra estas vulnerabilidades. Aquí encontrarás detalles adicionales sobre cada producto.

Producto

Impacto

Compute Engine

CVE‑2019‑11135

La mayoría de los clientes no debe realizar ninguna acción adicional.

Los clientes de N2, C2 o M2 que ejecuten código no confiable en sus servicios multiusuarios alojados en máquinas virtuales de Compute Engine deben detener y, luego, iniciar sus VM para asegurarse de tener las mitigaciones de seguridad más recientes.

CVE‑2018‑12207

Los clientes no deben realizar ninguna acción adicional.

Google Kubernetes Engine

CVE‑2019‑11135

La mayoría de los clientes no debe realizar ninguna acción adicional.

Si usas grupos de nodos con nodos N2, M2 o C2 que ejecutan un código no confiable en sus clústeres de múltiples instancias de GKE, debes reiniciar los nodos. Si quieres reiniciar todos los nodos en un grupo, actualiza el grupo de nodos afectado.

CVE‑2018‑12207

Los clientes no deben realizar ninguna acción adicional.

Entorno estándar de App Engine

No se debe realizar ninguna acción adicional.

Entorno flexible de App Engine

CVE‑2019‑11135

No se debe realizar ninguna acción adicional.

Los clientes deben revisar las prácticas recomendadas de Intel, que se relacionan con el uso compartido a nivel de la aplicación que podría ocurrir entre subprocesos de Hyper‑Threading con una VM de Flex.

CVE‑2018‑12207

No se debe realizar ninguna acción adicional.

Cloud Run

No se debe realizar ninguna acción adicional.

Cloud Run Functions

No se debe realizar ninguna acción adicional.

Cloud Composer

No se debe realizar ninguna acción adicional.

Dataflow

CVE‑2019‑11135

La mayoría de los clientes no debe realizar ninguna acción adicional.

Los clientes de Dataflow que ejecutan varias cargas de trabajo no confiables en las VM N2, C2 o M2 de Compute Engine mediante Dataflow y teman recibir ataques en las máquinas huésped deberían considerar reiniciar cualquier canalización de transmisión que se ejecute actualmente. De forma opcional, las canalizaciones se pueden cancelar y volver a ejecutar por lotes. No requiere ninguna acción para las canalizaciones que se lancen después de hoy.

CVE‑2018‑12207

Los clientes no deben realizar ninguna acción adicional.

Dataproc

CVE‑2019‑11135

La mayoría de los clientes no debe realizar ninguna acción adicional.

Los clientes de Cloud Dataproc que ejecutan varias cargas de trabajo no confiables en el mismo clúster de Cloud Dataproc que se ejecuta en las VM N2, C2 o M2 de Compute Engine y teman recibir ataques en las máquinas huésped deberían volver a implementar sus clústeres.

CVE‑2018‑12207

Los clientes no deben realizar ninguna acción adicional.

Cloud SQL

No se debe realizar ninguna acción adicional.