Src |
Date (GMT) |
Titre |
Description |
Tags |
Stories |
Notes |
|
2024-08-02 18:07:20 |
GCP-2024-046 (lien direct) |
Publié: 2024-08-05 Description
Description
Gravité
notes
AMD a informé Google d'environ 3 vulnérabilités de firmware (2 risques moyens, 1 à haut risque) affectant SEV-SNP dans les processeurs AMD EPYC 3rd Generation (Milan) et 4e génération (GenoA). > Google a appliqué des correctifs aux actifs affectés, y compris Google Cloud, pour s'assurer que les clients sont protégés.À l'heure actuelle, aucune preuve d'exploitation n'a été trouvée ou signalée à Google. Que dois-je faire? Aucune action client n'est requise.Des correctifs ont déjà été appliqués à la flotte Google Server. Pour plus d'informations, voir AMD Security Advisory amd-sn-3011 .
moyen & # 8211; high
CVE-2023-31355 CVE-2024-21978 CVE-2024-21980
Published: 2024-08-05Description
Description
Severity
Notes
AMD has notified Google about 3 new (2 medium risk, 1 high risk) firmware vulnerabilities affecting SEV-SNP in AMD EPYC 3rd generation (Milan) and 4th generation (Genoa) CPUs. Google has applied fixes to the affected assets, including Google Cloud, to ensure customers are protected. At this time, no evidence of exploitation has been found or reported to Google. What should I do? No customer action is required. Fixes have already been applied to the Google server fleet. For more information, see AMD security advisory AMD-SN-3011.
Medium–High
CVE-2023-31355 CVE-2024-21978 CVE-2024-21980
|
Cloud
Vulnerability
|
|
|
|
2024-07-01 10:16:50 |
GCP-2024-040 (lien direct) |
Publié: 2024-07-01 Description
Description
Gravité
notes
Une vulnérabilité d'exécution du code distant, CVE-2024-6387 , a récemment été découvert dans OpenSSH.La vulnérabilité exploite une condition de course qui peut être utilisée pour obtenir l'accès à un shell distant, permettant aux attaquants d'obtenir un accès root.Au moment de la publication, l'exploitation est censée être difficile et prendre plusieurs heures par machine attaqué.Nous ne connaissons aucune tentative d'exploitation. Pour les instructions et plus de détails, consultez les bulletins suivants: Bulletin de sécurité du moteur de calcul
bulletin de sécurité GKE
logiciel GDC pour VMware Security Bulletin
gke sur le bulletin de sécurité AWS
gke sur le bulletin de sécurité azur
logiciel GDC pour le bulletin de sécurité en métal nu
bulletin de sécurité du moteur VMware Google Cloud
critique
CVE-2024-6387
Published: 2024-07-01Description
Description
Severity
Notes
A remote code execution vulnerability, CVE-2024-6387, was recently discovered in OpenSSH. The vulnerability exploits a race condition that can be used to obtain access to a remote shell, enabling attackers to gain root access. At the time of publication, exploitation is believed to be difficult and take several hours per machine being attacked. We are not aware of any exploitation attempts. For instructions and more details, see the following bulletins: Compute Engine security bulletin
GKE security bulletin
GDC software for VMware security bulletin
GKE on AWS security bulletin
GKE on Azure security bulletin
GDC software for bare metal security bulletin
Google Cloud VMware Engine security bulletin
Critical
CVE-2024-6387
|
Cloud
Vulnerability
|
|
|
|
2024-06-18 21:50:42 |
GCP-2024-037 (lien direct) |
Publié: 2024-06-18
Description
Gravité
Remarques
VMware a divulgué plusieurs vulnérabilités dans VMSA-2024-0012 qui ont un impact sur les composants vCenter déployés dans les environnements clients. Cloud Customer Care Impact La vulnérabilité peut être exploitée en accédant à des ports spécifiques dans le serveur vCenter.Google a déjà bloqué les ports vulnérables sur VCenter Server, ce qui empêche les exploits potentiels de cette vulnérabilité. En outre, Google garantit que tous les déploiements futurs de vCenter ne sont pas exposés à cette vulnérabilité. Que dois-je faire? Aucune autre action n'est requise pour le moment.
critique
CVE-2024-37079
CVE-2024-37080
CVE-2024-37081
Published: 2024-06-18
Description
Severity
Notes
VMware disclosed multiple vulnerabilities in VMSA-2024-0012 that impact vCenter components deployed in customer environments. Cloud Customer Care impact The vulnerability can be exploited by accessing specific ports in vCenter Server. Google has already blocked the vulnerable ports on vCenter server, which prevents any potential exploits of this vulnerability. In addition, Google ensures all future deployments of vCenter are not exposed to this vulnerability. What should I do? No further action is required at this time.
Critical
CVE-2024-37079
CVE-2024-37080
CVE-2024-37081
|
Vulnerability
|
|
|
|
2024-06-04 17:39:22 |
GCP-2024-032 (lien direct) |
Publié: 2024-06-04 Description
Description
Gravité
notes
Les CVE suivants exposent le maillage de service cloud aux vulnérabilités exploitables: CVE-2024-23326: Envoy accepte incorrectement la réponse HTTP 200 pour la saisie du mode de mise à niveau.
CVE-2024-32974: Crash in EnvoyquicserServerStream :: OninitialHeasterComplete ().
CVE-2024-32975: Crash in QuicheDataReader :: peekvarint62Length ().
CVE-2024-32976: boucle sans fin lors de la décompression des données de brotli avec une entrée supplémentaire.
CVE-2024-34362: Crash (use-après-libre) dans EnvoyquicserServerStream.
CVE-2024-34363: Crash en raison de l'exception de Nlohmann JSON non cambrée.
CVE-2024-34364: Vector Oom Envoy de HTTP Async Client avec tampon de réponse illimité pour la réponse miroir. Pour les instructions et plus de détails, consultez le Cloud Service Mesh Security Bulletin .
High
cve-2024-23326
CVE-2024-32974
CVE-2024-32975
CVE-2024-32976
CVE-2024-34362
CVE-2024-34363
CVE-2024-34364
Published: 2024-06-04Description
Description
Severity
Notes
The following CVEs expose Cloud Service Mesh to exploitable vulnerabilities: CVE-2024-23326: Envoy incorrectly accepts HTTP 200 response for entering upgrade mode.
CVE-2024-32974: Crash in EnvoyQuicServerStream::OnInitialHeadersComplete().
CVE-2024-32975: Crash in QuicheDataReader::PeekVarInt62Length().
CVE-2024-32976: Endless loop while decompressing Brotli data with extra input.
CVE-2024-34362: Crash (use-after-free) in EnvoyQuicServerStream.
CVE-2024-34363: Crash due to uncaught nlohmann JSON exception.
CVE-2024-34364: Envoy OOM vector from HTTP async client with unbounded response buffer for mirror response. For instructions and more details, see the Cloud Service Mesh security bulletin.
High
CVE-2024-23326
CVE-2024-32974
CVE-2024-32975
CVE-2024-32976
CVE-2024-34362
|
Cloud
Vulnerability
|
|
|
|
2024-05-24 20:49:53 |
GCP-2024-031 (lien direct) |
Publié: 2024-05-24 Description
Description
Gravité
notes
Une nouvelle vulnérabilité (CVE-2024-4323) a été découverte à couramment qui pourrait entraîner une exécution de code distante.Les versions de bit fluide 2.0.7 à 3.0.3 sont affectées. gke, gke sur vmware, gke sur AWS, gke sur azure et gke sur ne pas en métal nu \\ 't à utiliser une version vulnérable de CluentBit et sont non affectés . Pour les instructions et plus de détails, consultez les bulletins suivants: GKE Sécurité Bulletin
GKE sur le bulletin de sécurité VMware
gke sur le bulletin de sécurité AWS
gke sur le bulletin de sécurité azur
GKE sur le bulletin de sécurité Bare Metal
Aucun
CVE-2024-4323
Published: 2024-05-24Description
Description
Severity
Notes
A new vulnerability (CVE-2024-4323) has been discovered in Fluent Bit that could result in remote code execution. Fluent Bit versions 2.0.7 through 3.0.3 are affected. GKE, GKE on VMware, GKE on AWS, GKE on Azure, and GKE on Bare Metal don\'t use a vulnerable version of Fluent Bit and are unaffected. For instructions and more details, see the following bulletins: GKE security bulletin
GKE on VMware security bulletin
GKE on AWS security bulletin
GKE on Azure security bulletin
GKE on Bare Metal security bulletin
None
CVE-2024-4323
|
Cloud
Vulnerability
|
|
|
|
2024-04-24 21:21:38 |
GCP-2024-023 (lien direct) |
Publié: 2024-04-24 Description
Description
Gravité
notes
Les CVE suivants exposent le maillot de service Anthos aux vulnérabilités exploitables: CVE-2024-27919: HTTP / 2: épuisement de la mémoire due à l'inondation du cadre de continuation.
CVE-2024-30255: HTTP / 2: épuisement du processeur en raison de l'inondation du cadre de continuation
CVE-2024-32475: terminaison anormale lors de l'utilisation de \\ 'auto_sni \' avec \\ ': l'autorité \' en tête de plus de 255 caractères.
CVE-2023-45288: Les cadres de continuation HTTP / 2 peuvent être utilisés pour les attaques DOS. Pour les instructions et plus de détails, consultez le Anthos Service Mesh Security Bulletin .
High
cve-2024-27919
CVE-2024-30255
CVE-2024-32475
CVE-2023-45288
Published: 2024-04-24Description
Description
Severity
Notes
The following CVEs expose Anthos Service Mesh to exploitable vulnerabilities: CVE-2024-27919: HTTP/2: memory exhaustion due to CONTINUATION frame flood.
CVE-2024-30255: HTTP/2: CPU exhaustion due to CONTINUATION frame flood
CVE-2024-32475: Abnormal termination when using \'auto_sni\' with \':authority\' header longer than 255 characters.
CVE-2023-45288: HTTP/2 CONTINUATION frames can be utilized for DoS attacks. For instructions and more details, see the Anthos Service Mesh security bulletin.
High
CVE-2024-27919
CVE-2024-30255
CVE-2024-32475
CVE-2023-45288
|
Cloud
Vulnerability
|
|
|
|
2024-04-03 21:22:02 |
GCP-2024-022 (lien direct) |
Publié: 2024-04-03 Description
Description
Gravité
notes
Une vulnérabilité de déni de service (DOS) (CVE-2023-45288) a récemment été découverte dans plusieurs implémentations du protocole HTTP / 2, y compris le serveur HTTP Golang utilisé par Kubernetes.La vulnérabilité pourrait conduire à un DOS du plan de contrôle Google Kubernetes Engine (GKE). Pour les instructions et plus de détails, consultez les bulletins suivants: Bulletin de sécurité gke
GKE sur le bulletin de sécurité VMware
gke sur le bulletin de sécurité AWS
gke sur le bulletin de sécurité azur
GKE sur le bulletin de sécurité Bare Metal
High
CVE-2023-45288
Published: 2024-04-03Description
Description
Severity
Notes
A Denial-of-Service (DoS) vulnerability (CVE-2023-45288) was recently discovered in multiple implementations of the HTTP/2 protocol, including the golang HTTP server used by Kubernetes. The vulnerability could lead to a DoS of the Google Kubernetes Engine (GKE) control plane. For instructions and more details, see the following bulletins: GKE security bulletin
GKE on VMware security bulletin
GKE on AWS security bulletin
GKE on Azure security bulletin
GKE on Bare Metal security bulletin
High
CVE-2023-45288
|
Cloud
Vulnerability
|
|
|
|
2024-04-02 17:03:04 |
GCP-2024-020 (lien direct) |
Publié: 2024-04-02 Description
Description
Gravité
notes
Les chercheurs ont découvert une vulnérabilité ( CVE-2023-48022 ) dans |
Threat
Cloud
Vulnerability
|
|
|
|
2024-03-05 23:25:43 |
GCP-2024-016 (lien direct) |
Publié: 2024-03-05 |
Vulnerability
|
|
|
|
2024-02-13 17:28:33 |
GCP-2024-009 (lien direct) |
Publié: 2024-02-13 Description
Description
Gravité
notes
Le 13 février 2024, AMD a révélé deux vulnérabilités affectant SEV-SNP sur les processeurs EPYC sur la base des noyaux zen de la troisième génération "Milan" et de la quatrième génération "GenoA".Les vulnérabilités permettent aux attaquants privilégiés d'accéder aux données périmées des invités ou de provoquer une perte d'intégrité des clients. Google a appliqué des correctifs aux actifs affectés, y compris Google Cloud, pour s'assurer que les clients sont protégés.À l'heure actuelle, aucune preuve d'exploitation n'a été trouvée ou signalée à Google. Que dois-je faire? Aucune action client n'est requise.Les correctifs ont déjà été appliqués à la flotte Google Server pour Google Cloud, y compris le moteur de calcul. Pour plus d'informations, voir AMD Security Advisory AMD-SN-3007 .
modéré
CVE-2023-31346
CVE-2023-31347
Published: 2024-02-13Description
Description
Severity
Notes
On February 13, 2024, AMD disclosed two vulnerabilities affecting SEV-SNP on EPYC CPUs based on third generation "Milan" and fourth generation "Genoa" Zen cores. The vulnerabilities allow privileged attackers to access stale data from guests or cause a loss of guest integrity. Google has applied fixes to affected assets, including Google Cloud, to ensure customers are protected. At this time, no evidence of exploitation has been found or reported to Google. What should I do? No customer action is required. Fixes have already been applied to the Google server fleet for Google Cloud, including Compute Engine. For more information, see AMD security advisory AMD-SN-3007.
Moderate
CVE-2023-31346
CVE-2023-31347
|
Cloud
Vulnerability
|
|
|
|
2024-02-08 23:50:05 |
GCP-2024-007 (lien direct) |
Publié: 2024-02-08 Description
Description
Gravité
notes
Les CVE suivants exposent le maillage de service Anthos aux vulnérabilités exploitables: CVE-2024-23322: Envoyé se bloque lorsque le ralenti et les demandes par essai se produisent dans l'intervalle de retour.
CVE-2024-23323: utilisation excessive du processeur lorsque le matrice du modèle URI est configuré en utilisant Regex.
CVE-2024-23324: L'autorisation externe peut être contournée lorsque le filtre de protocole proxy définit les métadonnées UTF-8 non valides.
Envoyé se bloque lors de l'utilisation d'un type d'adresse qui n'est pas pris en charge par l'OS.
CVE-2024-23327: Crash en protocole proxy lorsque le type de commande est local . Pour les instructions et plus de détails, voir le Bulletin de service de service Anthos .
High
cve-2024-23322
CVE-2024-23323
CVE-2024-23324
CVE-2024-23325
CVE-2024-23327
Published: 2024-02-08Description
Description
Severity
Notes
The following CVEs expose Anthos Service Mesh to exploitable vulnerabilities: CVE-2024-23322: Envoy crashes when idle and requests per try timeout occur within the backoff interval.
CVE-2024-23323: Excessive CPU usage when URI template matcher is configured using regex.
CVE-2024-23324: External authorization can be bypassed when Proxy protocol filter sets invalid UTF-8 metadata.
Envoy crashes when using an address type that isn\'t supported by the OS.
CVE-2024-23327: Crash in proxy protocol when command type is LOCAL. For instructions and more details, see the Anthos Service Meshsecurity bulletin.
High
CVE-2024-23322
CVE-2024-23323
CVE-2024-23324
CVE-2024-23325
CVE-2024-23327
|
Cloud
Vulnerability
|
|
|
|
2024-01-31 20:08:14 |
GCP-2024-005 (lien direct) |
Publié: 2024-01-31 Description
Description
Gravité
notes
Une vulnérabilité de sécurité, CVE-2024-21626, a été découverte dans runc où un utilisateur avec la permission de créer des pods sur le système d'exploitation optimisé et les nœuds ubuntu à conteneur pourraitêtre en mesure d'accéder à un accès complet au système de fichiers de nœud. Pour les instructions et plus de détails, consultez les bulletins suivants: Bulletin de sécurité gke
gke sur le bulletin de sécurité VMware
gke sur le bulletin de sécurité AWS
gke sur le bulletin de sécurité azur
gke sur le bulletin de sécurité en métal nus
High
CVE-2024-21626
Published: 2024-01-31Description
Description
Severity
Notes
A security vulnerability, CVE-2024-21626, has been discovered in runc where a user with permission to create Pods on Container-Optimized OS and Ubuntu nodes might be able to gain full access to the node filesystem. For instructions and more details, see the following bulletins: GKE security bulletin
GKE on VMware security bulletin
GKE on AWS security bulletin
GKE on Azure security bulletin
GKE on Bare Metal security bulletin
High
CVE-2024-21626
|
Cloud
Vulnerability
|
|
|
|
2024-01-17 18:46:13 |
GCP-2024-001 (lien direct) |
Publié: Description |
Vulnerability
|
|
|
|
2023-12-20 18:06:55 |
GCP-2023-049 (lien direct) |
Publié: 2023-12-20 Description
Description
Gravité
notes
Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peut conduire à une escalade de privilège sur le système d'exploitation optimisé et les nœuds Ubuntu. CVE-2023-3090 Pour les instructions et plus de détails, consultez les bulletins suivants: Bulletin de sécurité GKE
GKE sur le bulletin de sécurité VMware
gke sur le bulletin de sécurité AWS
gke sur le bulletin de sécurité azur
gke sur le bulletin de sécurité nue
High
CVE-2023-3090
Published: 2023-12-20Description
Description
Severity
Notes
The following vulnerabilities were discovered in the Linux kernel that can lead to a privilege escalation on Container-Optimized OS and Ubuntu nodes.CVE-2023-3090 For instructions and more details, see the following bulletins: GKE security bulletin
GKE on VMware security bulletin
GKE on AWS security bulletin
GKE on Azure security bulletin
GKE on Bare Metal security bulletin
High
CVE-2023-3090
|
Cloud
Vulnerability
|
|
|
|
2023-12-15 13:31:44 |
GCP-2023-048 (lien direct) |
Publié: 2023-12-15 Description
Description
Gravité
notes
Les vulnérabilités suivantes ont été découvertes dans le noyau Linux qui peut conduire à une escalade de privilège sur le système d'exploitation optimisé par le conteneur et les nœuds Ubuntu. CVE-2023-3390 Pour les instructions et plus de détails, consultez les bulletins suivants: Bulletin de sécurité GKE
GKE sur le bulletin de sécurité VMware
gke sur le bulletin de sécurité AWS
gke sur le bulletin de sécurité azur
GKE sur le bulletin de sécurité Bare Metal
High
CVE-2023-3390
Published: 2023-12-15Description
Description
Severity
Notes
The following vulnerabilities were discovered in the Linux kernel that can lead to a privilege escalation on Container-Optimized OS and Ubuntu nodes.CVE-2023-3390 For instructions and more details, see the following bulletins: GKE security bulletin
GKE on VMware security bulletin
GKE on AWS security bulletin
GKE on Azure security bulletin
GKE on Bare Metal security bulletin
High
CVE-2023-3390
|
Cloud
Vulnerability
|
|
|
|
2023-11-15 19:19:05 |
GCP-2023-044 (lien direct) |
Publié: 2023-11-15 Description AMD-SN-3002:" AMD Server Vulnérabilités & # 8211; Novembre 2023 ".
modéré
cve.-2022-23820
cve-2021-46774
cve-2023-20533
cve-2023-20519
cve-2023-20592
cve-2023-20566
cve-2022-23830
cve-2023-20526
cve-2021-26345
Published: 2023-11-15Description
Description
Severity
Notes
On November 14, AMD disclosed multiple vulnerabilities that impact various AMD server CPUs. Specifically, the vulnerabilities impact EPYC Server CPUs leveraging Zen core generation 2 "Rome," gen 3 "Milan," and gen 4 "Genoa." Google has applied fixes to affected assets, including Google Cloud, to ensure customers are protected. At this time, no evidence of exploitation has been found or reported to Google. What should I do? No customer action is required. Fixes have already been applied to the Google server fleet for Google Cloud, including Google Compute Engine. What vulnerabilities are being addressed? The patch mitigated the following vulnerabilities: CVE-2022-23820
CVE-2021-46774
CVE-2023-20533
CVE |
Cloud
Vulnerability
|
|
|
|
2023-11-13 22:41:17 |
GCP-2023-043 (lien direct) |
Publié: 2023-11-14 Description |
Cloud
Vulnerability
|
|
|
|
2023-10-31 04:09:51 |
GCP-2023-036 (lien direct) |
Publié: 2023-10-30 Description |
Cloud
Vulnerability
|
|
|
|
2023-10-26 21:15:33 |
GCP-2023-035 (lien direct) |
Publié: 2023-10-26 Description |
Vulnerability
|
|
|
|
2023-10-25 16:51:37 |
GCP-2023-034 (lien direct) |
Publié: 2023-10-25 Description |
Vulnerability
|
|
|
|
2023-10-24 15:45:52 |
GCP-2023-033 (lien direct) |
Publié: 2023-10-24 Description |
Vulnerability
|
|
|
|
2023-10-13 18:59:51 |
GCP-2023-032 (lien direct) |
Publié: 2023-10-13 Description |
Vulnerability
|
|
|
|
2023-10-10 17:37:33 |
GCP-2023-030 (lien direct) |
Publié: 2023-10-10 Description |
Vulnerability
|
Uber
|
|
|
2023-10-04 22:04:01 |
GCP-2023-029 (lien direct) |
Publié: 2023-10-03 Description |
Vulnerability
|
|
|
|
2023-09-20 00:56:28 |
GCP-2023-028 (lien direct) |
Publié: 2023-09-19 Description |
Cloud
Vulnerability
|
|
|
|
2023-09-06 17:35:09 |
GCP-2023-026 (lien direct) |
Publié: 2023-09-06 Description
Description
Gravité
notes
Trois vulnérabilités (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) ont été découvertes à Kubernetes où un utilisateur qui peut créer des gods sur les nœuds Windows peutêtre en mesure de dégénérer pour les privilèges d'administration sur ces nœuds.Ces vulnérabilités affectent les versions Windows de Kubelet et le proxy Kubernetes CSI. Pour les instructions et plus de détails, consultez les bulletins suivants: Bulletin de sécurité gke
clusters anthos sur le bulletin de sécurité VMware
grappes anthos sur le bulletin de sécurité AWS
anthos sur le bulletin de sécurité azur
anthos sur le bulletin de sécurité en métal nu
High
CVE-2023-3676 , CVE-2023-3955 , cve-2023-3893
Published: 2023-09-06Description
Description
Severity
Notes
Three vulnerabilities (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) have been discovered in Kubernetes where a user that can create Pods on Windows nodes may be able to escalate to admin privileges on those nodes. These vulnerabilities affect the Windows versions of Kubelet and the Kubernetes CSI proxy. For instructions and more details, see the following bulletins: GKE security bulletin
Anthos clusters on VMware security bulletin
Anthos clusters on AWS security bulletin
Anthos on Azure security bulletin
Anthos on bare metal security bulletin
High
CVE-2023-3676, CVE-2023-3955, CVE-2023-3893
|
Vulnerability
|
Uber
|
★★
|
|
2023-08-08 16:41:49 |
GCP-2023-024 (lien direct) |
Publié: 2023-08-08 Description
Description
Gravité
notes
Intel a révélé une vulnérabilité dans certains processeurs (CVE-2022-40982).Google a pris des mesures pour atténuer sa flotte de serveurs, y compris Google Cloud, pour s'assurer que les clients sont protégés. Les détails de la vulnérabilité: CVE-2022-40982 (Intel IPU 2023.3, "Gds" aka "chute") que dois-je faire? Aucune action client n'estrequis. Tous les correctifs disponibles ont déjà été appliqués à la flotte Google Server pour Google Cloud, y compris le moteur Google Compute. Pour le moment, les produits suivants nécessitent des mises à jour supplémentaires de partenaires etvendeurs. Moteur Google Cloud VMware
Google distribué le cloud hébergé
Google distribué Cloud Edge
Solution de métal nus de Google Cloud
Core de paquet évolué Google remédiera à ces produits une fois que ces correctifs auront été mis à disposition, et ce bulletin sera mis à jour en conséquence. Google Chromebook et Chromeos FlexLes clients ont automatiquement reçu les atténuations fournies par Intel en stable (115), bêta (116) et LTC (114).Chromebook et Chromeos Flex que les clients épinglés à une version plus ancienne devraient envisager de permettre et de passer à des versions stables ou LTS pour s'assurer qu'ils reçoivent ce correctif et d'autres correctifs de vulnérabilité. Quelles vulnérabilités sont traitées? CVE-2022-40982 - Pour plus d'informations, voir Intel Security Advisory Intel-SA-00828 .
High
CVE-2022-40982
Published: 2023-08-08Description
Description
Severity
Notes
Intel disclosed a vulnerability in select processors (CVE-2022-40982). Google has taken steps to mitigate its server fleet, including Google Cloud, to ensure customers are protected. The vulnerability details: CVE-2022-40982 (Intel IPU 2023.3, "GDS" aka "Downfall") What should I do?No customer action is required. All available patches have already been applied to the Google server fleet for Google Cloud, including Google Compute Engine. At this time, the following products require additional updates from partners and vendors. Google Cloud VMware Engine
Google Distributed Cloud Hosted
Google Distributed Cloud Edge
Google Cloud Bare Metal Solution
Evolved Packet Core Google will remediate these products once these patches have been made available, and this bulletin will be updated accordingly. Google Chromebook and ChromeOS Flex customers automatically received the Intel provided mitigations in Stable (115), Beta (116), and LTC (114). Chromebook and ChromeOS Flex customers pinned to an older release should consider unpinning and moving to Stable or LTS releases to ensure they receive this and other vulnerability fixes. What vulnerabilities are being addressed? CVE-2022-40982 - For more information, see Intel Security Advisory INTEL-SA-00828.
High
CVE-2022-409 |
Cloud
Vulnerability
|
|
★
|
|
2023-08-08 16:02:27 |
GCP-2023-023 (lien direct) |
Publié: 2023-08-08 Description
Description
Gravité
notes
AMD a révélé une vulnérabilité dans certains processeurs (CVE-2023-20569).Google a pris des mesures pour atténuer sa flotte de serveurs, y compris Google Cloud, pour s'assurer que les clients sont protégés. Les détails de la vulnérabilité: CVE-2023-20569 (AMD SB-7005 aka "Inception") que dois-je faire? Les utilisateurs de machines virtuelles de calcul devraient considérerLe système d'exploitation a fourni des atténuations si vous utilisez l'exécution de code non fiable intra-instance.Nous recommandons aux clients de contacter leurs fournisseurs de système d'exploitation pour des conseils plus spécifiques. Les correctifs ont déjà été appliqués à la flotte de Google Server pour Google Cloud, y compris le moteur Google Compute. Les vulnérabilités sont traitées? CVE-2023-20569 - Pour plus d'informations, voir AMD SB-7005 .
modéré
CVE-2023-20569
Published: 2023-08-08Description
Description
Severity
Notes
AMD disclosed a vulnerability in select processors (CVE-2023-20569). Google has taken steps to mitigate its server fleet, including Google Cloud, to ensure customers are protected. The vulnerability details: CVE-2023-20569 (AMD SB-7005 aka "Inception") What should I do?Users of Compute Engine VMs should consider OS provided mitigations if using intra-instance untrusted code execution. We recommend customers to contact their OS vendors for more specific guidance. Fixes have already been applied to the Google server fleet for Google Cloud, including Google Compute Engine. What vulnerabilities are being addressed? CVE-2023-20569 - For more information, see AMD SB-7005.
Moderate
CVE-2023-20569
|
Vulnerability
|
|
★★
|
|
2023-08-03 17:39:00 |
GCP-2023-022 (lien direct) |
Publié: 2023-08-03 Description
Description
Gravité
notes
Google a identifié une vulnérabilité dans les implémentations GRPC C ++ avant la version 1.57.Il s'agissait d'une vulnérabilité de déni de service dans l'implémentation C ++ de GRPC \\.Ceux-ci ont été fixés dans les versions 1.53.2, 1,54,3, 1,55.2, 1,56.2 et 1.57. Que dois-je faire? Assurez-vous que vous utilisez les dernières versions des packages logiciels suivants: GRPC (C ++, Python, Ruby) Versions 1.53, 1.54, 1.55 et 1.56 Besoin de passer à la mise à niveau versLe correctif suivant verse:
1.53.2
1.54.3
1.55.2
1.56.2
GRPC (C ++, Python, Ruby) Versions 1.52 et antérieurement besoin de passer à l'une des versions de patch approuvées.Par exemple, 1.53.2, 1.54.3, 1.53.4, etc. Quelles vulnérabilités sont traitées? Ces correctifsImatignez les vulnérabilités suivantes: La vulnérabilité du déni de service dans les implémentations GRPC C ++: les demandes spécialement conçues peuvent provoquer une résiliation de la connexion entre un proxy et un backend. High
CVE-2023-33953
Published: 2023-08-03Description
Description
Severity
Notes
Google identified a vulnerability in gRPC C++ Implementations prior to the 1.57 release. This was a Denial-of-Service vulnerability within the gRPC\'s C++ implementation. These have been fixed in the 1.53.2, 1.54.3, 1.55.2, 1.56.2, and 1.57 releases. What should I do? Ensure that you\'re using the latest versions of the following software packages: gRPC (C++, Python, Ruby) versions 1.53, 1.54, 1.55, and 1.56 need to upgrade to the following patch releases:
1.53.2
1.54.3
1.55.2
1.56.2
gRPC (C++, Python, Ruby) versions 1.52 and earlier need to upgrade to one of the approved patch releases. For example, 1.53.2, 1.54.3, 1.53.4, etc. What vulnerabilities are being addressed? These patches mitigate the following vulnerabilities: Denial-Of-Service vulnerability in gRPC C++ implementations: Specially crafted requests can cause a termination of connection between a proxy and a backend.High
CVE-2023-33953
|
Vulnerability
|
|
★★
|
|
2023-07-26 16:11:06 |
GCP-2023-021 (lien direct) |
Mise à jour: 2023-07-26 Publié: 2023-07-25 Description |
Vulnerability
|
|
★
|
|
2023-07-24 20:14:21 |
GCP-2023-020 (lien direct) |
Publié: 2023-07-24 Description |
Cloud
Vulnerability
|
|
★★
|
|
2023-07-18 17:27:52 |
GCP-2023-019 (lien direct) |
Publié: 2023-07-18 Description |
Vulnerability
|
|
★★
|
|
2023-06-27 14:55:00 |
(Déjà vu) GCP-2023-018 (lien direct) |
Publié: 2023-06-27 Description |
Vulnerability
|
Uber
|
★★
|
|
2023-06-26 18:49:48 |
GCP-2023-017 (lien direct) |
Publié: 2023-06-26 Description |
Vulnerability
|
Uber
|
★★
|
|
2023-06-20 15:06:21 |
GCP-2023-009 (lien direct) |
Publié: 2023-06-06 Description
Description
Gravité
notes
Une nouvelle vulnérabilité (CVE-2023-2878) a été découverte dans le pilote secrets-store-CSI où un acteur ayant accès aux journaux de conducteur pourrait observer les jetons de compte de service. Pour les instructions et plus de détails, consultez les bulletins suivants: Bulletin de sécurité GKE
grappes anthos sur le bulletin de sécurité VMware
grappes anthos sur le bulletin de sécurité AWS
anthos sur le bulletin de sécurité azur
anthos sur le bulletin de sécurité nus
Aucun
CVE-2023-2878
Published: 2023-06-06Description
Description
Severity
Notes
A new vulnerability (CVE-2023-2878) has been discovered in the secrets-store-csi-driver where an actor with access to the driver logs could observe service account tokens. For instructions and more details, see the following bulletins: GKE security bulletin
Anthos clusters on VMware security bulletin
Anthos clusters on AWS security bulletin
Anthos on Azure security bulletin
Anthos on bare metal security bulletin
None
CVE-2023-2878
|
Vulnerability
|
|
★★
|
|
2023-06-07 21:21:27 |
GCP-2023-010 (lien direct) |
Publié: 2023-06-07 Description
Description
Gravité
notes
Google a identifié trois nouvelles vulnérabilités dans l'implémentation GRPC C ++.Ceux-ci seront publiés bientôt publiquement sous le nom de cve-2023-1428 , CVE-2023-32731 et CVE-2023-32732 . En avril, nous avons identifié deux vulnérabilités dans les versions de 1,53 et 1,54.L'un était une vulnérabilité du déni de service dans l'implémentation C ++ de GRPC \\ et l'autre était une vulnérabilité d'exfiltration de données distantes.Ceux-ci ont été fixés en 1,53.1, 1,54,2 et vers des versions ultérieures. Auparavant en mars, nos équipes internes ont découvert une vulnérabilité de déni de service dans la mise en œuvre du C ++ du GRPC \\ tout en effectuant une routine de routineactivités de fuzzing.Il a été trouvé dans la version GRPC 1.52, et a été fixé dans les versions 1.52.2 et 1,53. Que dois-je faire? Assurez-vous que vous utilisez les dernières versions des packages logiciels suivants: GRPC (C ++, Python, Ruby) version 1.52, 1.53 et 1.54 doivent passer à la mise à niveau suivanterejets de correctif;
1.52.2 1.53.1 1.54.2
GRPC (C ++, Python, Ruby) version 1.51 et antérieurs ne sont pas affectés, les utilisateurs avec ces versions ne peuvent donc prendre aucune action Quelles vulnérabilités sont traitées par ces correctifs? Ces correctifs atténuent les vulnérabilités suivantes: 1.53.1, 1.54.2 et les versions ultérieures s'adressent aux abordements.Suivant: La vulnérabilité du déni de service dans l'implémentation GRPC C ++.Des demandes spécialement conçues peuvent entraîner une résiliation de la connexion entre un proxy et un backend.Vulnérabilité d'exfiltration des données à distance: La désynchronisation dans le tableau HPACK en raison des limitations de la taille de l'en-tête peut entraîner des backends proxy qui fuient les données d'en-tête d'autres clients connectés à un proxy. 1.52.2, 1,53, et les versions ultérieures adressées à la question suivante.: Vulnérabilité du déni de service dans l'implémentation C ++ de GRPC \\.L'analyse de certaines demandes spécifiquement formées peut entraîner un accident impactant un serveur. Nous vous recommandons de passer aux dernières versions des packages logiciels suivants comme indiqué ci-dessus.
HIGH (CVE-2023-1428, CVE-2023-32731).Moyen (CVE-2023-32732)
CVE-2023-1428, CVE-2023-32731, cve-023-32732
Published: 2023-06-07Description
Description
Severity
Notes
Google identified three new vulnerabilities in the gRPC C ++ implementation. These will be published soon publicly as CVE-2023-1428, CVE-2023-32731 and |
Vulnerability
|
|
★★
|
|
2023-06-05 19:44:44 |
GCP-2023-008 (lien direct) |
Publié: 2023-06-05 Description
Description
Gravité
notes
Une nouvelle vulnérabilité (CVE-2023-1872) a été découverte dans le noyau Linux qui peut conduire à une escalade de privilège pour rooter sur le nœud. pour les instructions et plus de détails, voirLes bulletins suivants: Gke SecurityBulletin
grappes anthos sur VMware Security Bulletin
grappes anthos sur le bulletin de sécurité AWS
anthos sur le bulletin de sécurité azur
anthos sur le bulletin de sécurité nus
High
CVE-2023-1872
Published: 2023-06-05Description
Description
Severity
Notes
A new vulnerability (CVE-2023-1872) has been discovered in the Linux kernel that can lead to a privilege escalation to root on the node. For instructions and more details, see the following bulletins: GKE security bulletin
Anthos clusters on VMware security bulletin
Anthos clusters on AWS security bulletin
Anthos on Azure security bulletin
Anthos on bare metal security bulletin
High
CVE-2023-1872
|
Vulnerability
|
|
★★
|
|
2023-06-02 20:21:30 |
GCP-2023-007 (lien direct) |
Publié: 2023-06-02 Description |
Cloud
Patching
Vulnerability
|
|
★★★
|
|
2023-04-26 22:23:09 |
GCP-2023-004 (lien direct) |
Publié: 2023-04-26 Description |
Vulnerability
|
|
★★
|
|
2023-04-04 20:19:30 |
GCP-2023-002 (lien direct) |
Description |
Vulnerability
|
|
★★
|
|
2023-03-01 20:25:32 |
(Déjà vu) GCP-2023-001 (lien direct) |
Published: 2023-03-01Description
Description
Severity
Notes
A new vulnerability (CVE-2022-4696) has been discovered in the Linux kernel that can lead to a privilege escalation on the node. For instructions and more details, see the following bulletins: GKE security bulletin
Anthos clusters on VMware security bulletin
Anthos clusters on AWS security bulletin
Anthos on Azure security bulletin
Anthos on bare metal security bulletin
High
CVE-2022-4696
|
Guideline
Vulnerability
|
|
★★★
|
|
2022-12-21 17:12:56 |
GCP-2022-013 (lien direct) |
Published: 2022-04-11 Updated: 2022-04-22Description
Description
Severity
Notes
A security vulnerability, CVE-2022-23648, has been discovered in containerd's handling of path traversal in the OCI image volume specification. Containers launched through containerd's CRI implementation with a specially-crafted image configuration could gain full read access to arbitrary files and directories on the host. This vulnerability may bypass any policy-based enforcement on container setup (including a Kubernetes Pod Security Policy). For instructions and more details, see the following security bulletins: GKE security bulletin
Anthos clusters on VMware security bulletin
Anthos clusters on AWS security bulletin
Anthos on Azure security bulletin
Anthos on bare metal security bulletin
Medium
CVE-2022-23648
|
Vulnerability
|
Uber
|
★★★
|
|
2022-12-21 17:12:56 |
GCP-2021-020 (lien direct) |
Published:Description
Description
Severity
Notes
Certain Google Cloud load balancers routing to an Identity-Aware Proxy (IAP) enabled Backend Service could have been vulnerable to an untrusted party under limited conditions. This addresses an issue reported through our Vulnerability Reward Program. The conditions were that the servers:Were HTTP(S) load balancers andUsed a default backend or a backend that had a wildcard host mapping rule (that is, host="*") In addition, a user in your organization must have clicked a specifically-crafted link sent by an untrusted party.This issue has now been resolved. IAP has been updated to issue cookies only to authorized hosts as of September 17, 2021. A host is considered authorized if it matches at least one Subject Alternative Name (SAN) in one of the certificates installed on your load balancers.What to do Some of your users may experience an HTTP 401 Unauthorized response with an IAP error code 52 while trying to access apps or services. This error code means that the client sent a Host header which does not match any Subject Alternative Names associated with the load balancer's SSL certificate(s). The load balancer administrator needs to update the SSL certificate to ensure that the Subject Alternative Name (SAN) list contains all the hostnames through which users are accessing the IAP-protected apps or services. Learn more about IAP error codes.
High
|
Vulnerability
|
|
★★★
|
|
2022-12-21 17:12:56 |
GCP-2021-022 (lien direct) |
Published:Description
Description
Severity
Notes
A vulnerability has been discovered in the Anthos Identity Service (AIS) LDAP module of Anthos clusters on VMware versions 1.8 and 1.8.1 where a seed key used in generating keys is predictable. With this vulnerability, an authenticated user could add arbitrary claims and escalate privileges indefinitely. For instructions and more details, see the Anthos clusters on VMware security bulletin.
High
|
Vulnerability
|
|
★★★
|
|
2022-12-21 17:12:56 |
GCP-2022-006 (lien direct) |
Published:Updated: Description
Description
Severity
Notes
2022-05-16 Update: Added GKE version 1.19.16-gke.7800 or later to the list of versions that have code to fix this vulnerability. For details, see the GKE security bulletin. 2022-05-12 Update: The GKE, Anthos clusters on VMware, Anthos clusters on AWS, and Anthos on Azure versions have been updated. For instructions and more details, see the:GKE security bulletin
Anthos clusters on VMware security bulletin
Anthos clusters on AWS security bulletin
Anthos on Azure security bulletin A security vulnerability, CVE-2022-0492, has been discovered in the Linux kernel's cgroup_release_agent_write function. The attack uses unprivileged user namespaces and under certain circumstances this vulnerability can be exploitable for container breakout.
Low
For instructions and more details, see the: GKE security bulletin
Anthos clusters on VMware security bulletin
Anthos clusters on AWS security bulletin
Anthos on Azure security bulletin
|
Vulnerability
|
|
★★★
|
|
2022-12-21 17:12:56 |
GCP-2022-019 (lien direct) |
Published: 2022-09-22Description
Description
Severity
Notes
A message parsing and memory management vulnerability in ProtocolBuffer's C++ and Python implementations can trigger an out of memory (OOM) failure when processing a specially crafted message. This could lead to a denial of service (DoS) on services using the libraries. What should I do? Ensure that you're using the latest versions of the following software packages: protobuf-cpp (3.18.3, 3.19.5, 3.20.2, 3.21.6)
protobuf-python (3.18.3, 3.19.5, 3.20.2, 4.21.6) What vulnerabilities are addressed by this patch? The patch mitigates the following vulnerability: A specially constructed small message that causes the running service to allocate large amounts of RAM. The small size of the request means that it is easy to take advantage of the vulnerability and exhaust resources. C++ and Python systems that consume untrusted protobufs would be vulnerable to DoS attacks if they contain a MessageSet object in their RPC request.
Medium
CVE-2022-1941
|
Guideline
Vulnerability
|
|
★★★
|
|
2022-12-21 17:12:56 |
(Déjà vu) GCP-2022-012 (lien direct) |
Published: 2022-04-07 Updated: 2022-11-22Description
Description
Severity
Notes
2022-11-22 Update: For GKE clusters in both modes, Standard and Autopilot, workloads using GKE Sandbox are unaffected. A security vulnerability, CVE-2022-0847, has been discovered in the Linux kernel version 5.8 and later that can potentially escalate container privileges to root. This vulnerability affects the following products: GKE node pool versions 1.22 and later that use Container-Optimized OS images (Container-Optimized OS 93 and later)
Anthos clusters on VMware v1.10 for Container-Optimized OS images
Anthos clusters on AWS v1.21 and Anthos clusters on AWS (previous generation) v1.19, v1.20, v1.21, which use Ubuntu
Managed clusters of Anthos on Azure v1.21 which use Ubuntu For instructions and more details, see the following security bulletins: GKE security bulletin
Anthos clusters on VMware security bulletin
Anthos clusters on AWS security bulletin
Anthos on Azure security bulletin
Anthos on bare metal security bulletin
High
CVE-2022-0847
|
Vulnerability
|
Uber
|
★★★
|
|
2022-12-21 17:12:56 |
(Déjà vu) GCP-2022-018 (lien direct) |
Published: 2022-08-01Updated: 2022-09-14Description
Description
Severity
Notes
2022-09-14 Update: Added patch versions for Anthos clusters on VMware, Anthos clusters on AWS, and Anthos on Azure. A new vulnerability (CVE-2022-2327) has been discovered in the Linux kernel that can lead to local privilege escalation. This vulnerability allows an unprivileged user to achieve a full container breakout to root on the node. For instructions and more details, see the following bulletins: GKE security bulletin
Anthos clusters on VMware security bulletin
Anthos clusters on AWS security bulletin
Anthos on Azure security bulletin
Anthos on bare metal security bulletinHigh
CVE-2022-2327
|
Guideline
Vulnerability
|
|
★★★
|
|
2022-12-21 17:12:56 |
(Déjà vu) GCP-2022-025 (lien direct) |
Published: 2022-12-21Description
Description
Severity
Notes
A new vulnerability (CVE-2022-2602) has been discovered in the io_uring subsystem in the Linux kernel that can allow an attacker to potentially execute arbitrary code. For instructions and more details, see the following bulletins: GKE security bulletin
Anthos clusters on VMware security bulletin
Anthos clusters on AWS security bulletin
Anthos on Azure security bulletin
Anthos on bare metal security bulletin
High
CVE-2022-2602
|
Vulnerability
|
|
★★★
|
|
2022-12-21 17:12:56 |
(Déjà vu) GCP-2022-017 (lien direct) |
Published: 2022-06-29 Updated: 2022-11-22Description
Description
Severity
Notes
2022-11-22 Update: Workloads using GKE Sandbox are not affected by these vulnerabilities. 2022-07-21 Update: additional information on Anthos clusters on VMware. A new vulnerability (CVE-2022-1786) has been discovered in the Linux kernel versions 5.10 and 5.11. This vulnerability allows an unprivileged user with local access to the cluster to achieve a full container breakout to root on the node. Only clusters that run Container-Optimized OS are affected. GKE Ubuntu versions use either version 5.4 or 5.15 of the kernel and are not affected. For instructions and more details, see the: GKE security bulletin
Anthos clusters on VMware security bulletin
Anthos clusters on AWS security bulletin
Anthos on Azure security bulletin
Anthos on bare metal security bulletin
High
CVE-2022-1786
|
Vulnerability
|
Uber
|
★★★
|