עדכוני אבטחה דחופים

מעת לעת, אנחנו מפרסמים עדכוני אבטחה דחופים שקשורים ל-Compute Engine. כל עדכוני האבטחה הדחופים של Compute Engine מפורטים כאן.

רוצים לקבל עדכוני אבטחה דחופים של Compute Engine? תוכלו להירשם לפיד ה-XML הזה. הרשמה

GCP-2026-036

תאריך פרסום: 9 ביוני 2026

תיאור

תיאור רמת סיכון הערות

חברת ARM הודיעה על CVE-2025-10263, בעיה ארכיטקטונית שמשפיעה על חלק מליבות Arm ומאפשרת לתוקף לעקוף שלבי תרגום או הגנות GPT בתנאים מסוימים. הפגיעות הזו מאפשרת לתוקף ברמת חריגה נמוכה יותר לכתוב לזיכרון שנמצא בבעלות של רמת חריגה גבוהה יותר, וכך להגדיל את ההרשאות. הבעיה הזו לא משפיעה על קריאות זיכרון.

‫Google הגנה על התשתית מפני מתקפות ממכונה וירטואלית למכונה וירטואלית וממכונה וירטואלית להיפר-ויז'ור, אבל אתם צריכים לקבל תיקונים ברמת מערכת ההפעלה האורחת מספקי מערכת ההפעלה שלכם. העדכונים האלה חיוניים להגנה מפני איומים בסביבת האורח, כמו התקפות מתהליך לתהליך או מתהליך לליבת המערכת.

אנחנו עובדים על פתרונות לאורחים ב-מערכת הפעלה שמותאמת לקונטיינרים, ונוסיף אותם להערות לגבי הגרסה של COS כשהם יהיו מוכנים.

מה לעשות?

הפגיעות הזו משפיעה על כמה משפחות של ליבות Arm שנעשה בהן שימוש ב- Google Cloud, כולל Neoverse V1,‏ V2 ו-N1, ומשפיעה על C4A,‏ T2A,‏ A4X ו-A4X Max. אם אתם מריצים עומסי עבודה במופעים מבוססי-Arm שמושפעים מהפגיעות, אתם צריכים לשדרג את תמונות מערכת ההפעלה של האורח לגרסאות הבטוחות כשהן יהיו זמינות.

צריך לפנות לספקי ההפצה כדי לתקן את מערכת ההפעלה של האורח בנוגע ל-CVE-2025-10263.

 גבוהה CVE-2025-10263

GCP-2026-032

תאריך פרסום: 12 במאי 2026

תיאור

תיאור רמת סיכון הערות

חברת AMD זיהתה פגיעות ברמת החומרה במעבדים של מיקרו-ארכיטקטורת Zen 2 (כולל סדרות EPYC ו-Ryzen) שעלולה לגרום להשחתה במטמון המיקרו-פעולות (OP). בתנאים מסוימים, הבעיה הזו (AMD-SN-7052 / CVE-2025-54518) עלולה להוביל לעקיפה של גבולות האבטחה או לגישה לא מורשית לנתונים.
פרסנו תיקונים בתשתית של Google כדי לצמצם את הבעיות האלה.

 גבוהה CVE-2025-54518

GCP-2026-031

תאריך פרסום: 12 במאי 2026

תיאור

תיאור רמת סיכון הערות

חוקרים גילו נקודת חולשה בקושחה של AMD, שבעקבות חוסר הגנה עליה, עלולה לאפשר להיפר-ויז'ר זדוני להריץ קוד שרירותי במעבד המאובטח של AMD ‏ (ASP). ההרשאה הזו מאפשרת להרחיב את הרשאות הקריאה והכתיבה של Memory Mapped I/O ‏ (MMIO), מה שפוגע בסודיות ובשלמות של אורחי SEV-SNP. ‫Google יישמה אמצעי למניעת הבעיות האלה.

מה לעשות?

לא נדרשת פעולה מצד הלקוחות. הפתרונות כבר הוחלו על מקרים של מכונות וירטואליות חסויות עם AMD SEV-SNP.

אילו נקודות חולשה טופלו?

מידע נוסף זמין בהודעה של AMD בנושא AMD-SB-3030.

 בינוני

GCP-2026-021

תאריך פרסום: 14 באפריל 2026

תיאור

תיאור רמת סיכון הערות

חברת AMD דיווחה על פרצת אבטחה בקושחה שלה, שיכולה הייתה לאפשר ל-hypervisor זדוני להנחות את IOMMU לכתוב בזיכרון האורח של מופעים עם הפעלת AMD SEV-SNP, ובכך לפגוע בשלמות נתוני האורח. ‫Google פרסה אמצעי להפחתת הסיכון במכונות וירטואליות סודיות (CVM) פגיעות עם AMD SEV-SNP מופעל.

מה לעשות?

לא נדרשת פעולה מצד הלקוחות. הפתרון כבר הוחל על מקרים של מכונות וירטואליות מסוג Confidential VM עם AMD SEV-SNP מופעל.

מידע נוסף זמין בהודעה של AMD‏ AMD-SB-3016.

בינוני

CVE-2023-20585

GCP-2026-019

תאריך פרסום: 14 באפריל 2026

תיאור

תיאור רמת סיכון הערות

חוקרים גילו פגיעות בקושחה של AMD, שיכולה לאפשר להיפר-ויז'ור זדוני לשנות את הגדרות ה-BIOS ואת תצורות הניתוב של Memory Mapped I/O ‏ (MMIO), ובכך לפגוע בסודיות ובתקינות של Confidential VMs עם אורחים של AMD SEV-SNP.

‫Google יישמה את הפתרון שמונע את הבעיה הזו.

מה לעשות?

לא נדרשת פעולה מצד הלקוחות. הפתרונות כבר הוחלו על מקרים של מכונות וירטואליות חסויות עם AMD SEV-SNP.

אילו נקודות חולשה טופלו?

מידע נוסף זמין בהודעה של AMD‏ AMD-SB-3034.

 בינוני CVE-2025-54510

GCP-2026-015

תאריך פרסום: 27 במרץ 2026

תיאור

תיאור רמת סיכון הערות

התגלתה נקודת חולשה בליבה של Linux, שעלולה להוביל להסלמת הרשאות (privilege escalation) בצמתים של מערכת הפעלה שמותאמת לקונטיינרים.

מה לעשות?

מומלץ לשדרג את הצומת של Container-Optimized OS‏ (COS) לגרסה cos-125-19216-220-57, שכוללת תיקון לפגיעות הזו. הוראות לשדרוג זמינות במאמרים הבאים:

  • אם אתם מנהלים מכונות וירטואליות עם מערכת הפעלה שמותאמת לקונטיינרים באופן ישיר, אתם צריכים ליצור מחדש את המכונות הווירטואליות באמצעות התמונות המעודכנות. מידע נוסף זמין במאמר יצירת מכונה וירטואלית מתמונה ציבורית.
  • אם אתם משתמשים ב-מערכת הפעלה שמותאמת לקונטיינרים דרך שירות מנוהל (כמו GKE‏, Dataflow או Cloud SQL), כדאי לעיין בהוראות השדרוג הספציפיות של השירות הזה.

הערה: אנחנו עובדים על תיקונים לאבני הדרך 117 ו-121 של מערכת הפעלה שמותאמת לקונטיינרים.

אילו נקודות חולשה טופלו?

נקודת החולשה CrackArmor ב-AppArmor,‏ CVE-2026-23268, מאפשרת למשתמשים לא מורשים לעקוף את אמצעי ההגנה של הליבה, להסלים הרשאות ל-root ולפרוץ את הבידוד של קונטיינרים מקומיים.

 גבוהה CVE-2026-23268

GCP-2026-004

תאריך פרסום: 14 בינואר 2026

תיאור

תיאור רמת סיכון הערות

הוראת ה-CPP RCTX במעבדי Arm נבחרים יכולה לשמש תוקף עם גישת הרשאה לליבת האורח כדי למנוע את ההשפעה של ביטולי TLB. כך התוקף יכול לקרוא נתונים רגישים שאין לו הרשאה לגשת אליהם.

נקודת החולשה משפיעה על מכונות וירטואליות מסוג Arm של Compute Engine: ‏ C4A, ‏ A4X.

מה לעשות?

לא נדרשת פעולה מצד הלקוחות. הפתרונות כבר הוחלו על Fleet השרתים של Google Cloud Arm.

אילו נקודות חולשה טופלו?

מידע נוסף זמין ב-CVE-2025-0647.

 בינוני CVE-2025-0647

GCP-2025-058

תאריך פרסום: 20 באוקטובר 2025

תיאור

תיאור רמת סיכון הערות

התגלתה פגיעות בהוראה RDSEED במעבדי AMD Zen 5 (Turin). ההוראה הזו משמשת ליצירת מספרים אקראיים קריפטוגרפיים. בתנאים מסוימים של עומס המערכת, גרסאות 16 ו-32 ביט של RDSEED עלולות להיכשל בשקט, מה שעלול לפגוע באפליקציות שמסתמכות על יצירת מספרים אקראיים. השינוי לא משפיע על לקוחות שמשתמשים בגרסת 64 ביט של RDSEED.

מה לעשות?

חברת AMD בודקת את פרצת האבטחה.

חשוב לציין שליבת Linux‏ 64-bit משתמשת בגרסה הבטוחה של 64-bit של ההוראה RDSEED, והיא מספקת את המספרים האקראיים שהתקבלו מ-/dev/[u]random. נקודת החולשה הזו לא משפיעה על המספרים האקראיים האלה.

אם יש לכם קוד אפליקציה שמבצע סינתזה של מספרים אקראיים בעצמו באמצעות ההוראה RDSEED, חשוב לדעת שהגרסאות של ההוראה עם 16 ביט ו-32 ביט לא מאובטחות. גרסת 64 ביט של ההוראה בטוחה.

אילו נקודות חולשה טופלו?

נקודת החולשה הזו מאפשרת לתוקף לגרום ל-RDSEED להיכשל בשקט, מה שעלול לפגוע ביצירת מספרים אקראיים באפליקציות.

גבוהה CVE-2025-62626

GCP-2025-044

תאריך פרסום: 12 באוגוסט 2025

תיאור

תיאור רמת סיכון הערות

‫Intel הודיעה ל-Google על שתי נקודות חולשה חדשות באבטחה.

‫CVE-2025-21090: נקודת החולשה הזו משפיעה על המעבדים הבאים של Intel:

  • ‫Sapphire Rapids: משפחות מכונות וירטואליות C3, ‏ Z3, ‏ H3, ‏ A3, ‏ v5p
  • Emerald Rapids: משפחות מכונות וירטואליות N4,‏ C4,‏ M4,‏ A3 Ultra ו-A4
  • ‫Granite Rapids: משפחת מכונות וירטואליות N4, ‏ C4

‫CVE-2025-22840: נקודת החולשה הזו משפיעה על מעבד Intel הבא:

  • ‫Granite Rapids: משפחת מכונות וירטואליות N4, ‏ C4

מה לעשות?

לא נדרשת פעולה מצד הלקוחות לגבי אף אחת מנקודות החולשה. ‫Google תעדכן את המערכות שלכם באופן יזום במהלך חלונות הזמנים הסטנדרטיים והמתוכננים לתחזוקה. בשלב הזה, לא נמצאו ראיות לניצול נקודת החולשה, ולא דווח על כך ל-Google.

אילו נקודות חולשה טופלו?

נקודת החולשה, CVE-2025-21090, מאפשרת לגורם לא מורשה שמשתמש בהוראת AMX CPU, בשילוב עם הוראת AVX CPU, להשבית את המכונה המארחת.

נקודת התורפה, CVE-2025-22840, מאפשרת לגורם לא מורשה להשתמש בהוראת המעבד prefetchit כדי לטעון תוכן זיכרון שאחרת לא הייתה לו גישה אליו, מה שעלול להוביל לביצוע קוד מרחוק.

 בינוני

GCP-2025-042

תאריך פרסום: 11 באוגוסט 2025

תיאור

תיאור רמת סיכון הערות

חוקרים גילו פגיעות אבטחה במעבדים ספציפיים של Intel, כולל מעבדים שמבוססים על מיקרו-ארכיטקטורות של Skylake,‏ Broadwell ו-Haswell. נקודת החולשה הזו מאפשרת לתוקף לקרוא נתונים רגישים ישירות ממטמון L1 של המעבד, שאין לו הרשאה לגשת אליו.

נקודת החולשה הזו נחשפה לראשונה ב-CVE-2018-3646 בשנת 2018. כשגילינו את נקודת החולשה הזו, Google הטמיעה מיד אמצעי הגנה שטיפלו בסיכונים הידועים. באותו זמן פורסמו הודעות לגבי נקודת החולשה והתיקונים הראשוניים. מאז אנחנו חוקרים את הסיכון שנותר ועובדים עם קהילת Linux כדי לטפל בסיכון הזה.

לאחרונה עבדנו עם חוקרי אבטחה מאקדמיה כדי להעריך את מצב האמצעים המתקדמים למיתון סיכוני אבטחה במעבדים, וטכניקות תקיפה פוטנציאליות שלא נלקחו בחשבון בשנת 2018.

‫Google החילה תיקונים על הנכסים המושפעים, כולל Google Cloud, כדי לצמצם את הבעיה.

מה לעשות?

לא נדרשת פעולה מצד הלקוחות. הפתרונות כבר הוחלו על Fleet השרתים של Google.

אילו נקודות חולשה טופלו?

מידע נוסף זמין בייעוץ של Intel בנושא INTEL-SA-00161 וב-CVE-2018-3646.

 גבוהה CVE-2018-3646

GCP-2025-031

תאריך פרסום: 10 ביוני 2025

תיאור

תיאור רמת סיכון הערות

Trusted Computing Group (TCG) דיווחה על נקודת חולשה בתוכנה של מודול פלטפורמה מהימנה (TPM), שמשפיעה על מכונות וירטואליות מוגנות שמשתמשות ב-TPM וירטואלי (vTPM). פרצת האבטחה הזו מאפשרת לתוקף מקומי מאומת לקרוא נתוני vTPM רגישים או להשפיע על הזמינות של vTPM.

הגישה ל-vTPM היא בדרך כלל גישה מיוחדת. עם זאת, יכול להיות שחלק מההגדרות יאפשרו גישה רחבה יותר ל-vTPM.

מה לעשות?

לא נדרשת פעולה מצד הלקוחות. ‫Google תעדכן את המערכות שלכם באופן יזום במהלך חלונות הזמנים הסטנדרטיים והמתוכננים לתחזוקה. עם זאת, אפשר להגביל את הגישה ל-vTPM למשתמשים עם הרשאות אדמין (root). הפעולה הזו עוזרת להפחית את הסיכון למכונות וירטואליות מוגנות.

אילו נקודות חולשה טופלו?

נקודת החולשה CVE-2025-2884 מאפשרת לתוקף מקומי עם גישה לממשק vTPM לשלוח פקודות זדוניות. הפקודות האלה מנצלות חוסר התאמה, שקורא זיכרון vTPM מחוץ לתחום (OOB). הפעולה הזו עלולה לחשוף מידע אישי רגיש.

גבוהה CVE-2025-2884

GCP-2025-025

תאריך פרסום: 13 במאי 2025

תיאור

תיאור רמת סיכון הערות

‫Intel הודיעה ל-Google על נקודת חולשה חדשה בערוץ צדדי שמשפיעה על המעבדים הבאים של Intel: ‏ CascadeLake, ‏ Ice Lake XeonSP,‏ Ice Lake XeonD, ‏ Sapphire Rapids ו-Emerald Rapids.

‫Google יישמה תיקונים בנכסים המושפעים, כולל Google Cloud, כדי להבטיח שהלקוחות מוגנים. בשלב הזה, לא נמצאו ראיות לניצול נקודת החולשה, ולא דווח על כך ל-Google.

מה לעשות?

לא נדרשת פעולה מצד הלקוחות. התיקונים כבר הוחלו על Fleet השרתים של Google כדי להגן על הלקוחות.

אילו נקודות חולשה טופלו?

CVE-2024-45332. מידע נוסף זמין במאמר Intel advisory INTEL-SA-01247.

אנחנו פה לשירותך

בכל שאלה או בקשת עזרה, אפשר לפנות אל Cloud Customer Care ולציין את מספר הבעיה 417536835.

 גבוהה CVE-2024-45332

GCP-2025-024

תאריך פרסום: 12 במאי 2025

תאריך עדכון: 13 במאי 2025

תיאור

תיאור רמת סיכון הערות

עדכון מ-13 במאי 2025: בכל שאלה או בקשת עזרה, אפשר לפנות אל Cloud Customer Care ולציין את מספר הבעיה 417458390.

חברת Intel הודיעה ל-Google על נקודת חולשה חדשה בביצוע ספקולטיבי שמשפיעה על מעבדי Intel Cascade Lake ומעבדי Intel Ice Lake.

‫Google יישמה תיקונים בנכסים המושפעים, כולל Google Cloud, כדי להבטיח שהלקוחות מוגנים. בשלב הזה, לא נמצאו ראיות לניצול נקודת החולשה, ולא דווח על כך ל-Google.

מה לעשות?

לא נדרשת פעולה מצד הלקוחות. הפתרונות כבר הוחלו על Fleet השרתים של Google.

אמצעי הגנה נוספים של יצרני ציוד מקורי (OEM) של Intel ושותפים אחרים של מערכות הפעלה יופעלו ברגע שהם יהיו זמינים כדי לצמצם את הפגיעות של בחירת יעד עקיפה (ITS) באותו מצב.

אחרי החלת אמצעי ההגנה במערכת ההפעלה, יכול להיות שלקוחות עם מכונות וירטואליות (VM) מהדור השלישי או מגרסאות מתקדמות יותר שפועלות לאורך זמן יחוו ירידה לא מכוונת בביצועים.

אילו נקודות חולשה טופלו?

CVE-2024-28956. מידע נוסף זמין בהמלצת האבטחה של Intel‏ INTEL-SA-01153.

 גבוהה CVE-2024-28956

GCP-2024-040

תאריך פרסום: 1 ביולי 2024
תאריך עדכון: 20 באוגוסט 2024
תיאור רמת סיכון הערות
תאריך עדכון: 20 באוגוסט 2024 קריטי CVE-2024-6387

2024-08-20: הוספנו תיקונים למעבדי TPU. התקנת עדכונים מהפצות Linux כשהם זמינים. מומלץ לעיין בהנחיות של הפצות Linux. אם אתם משתמשים ב-TPU, עליכם לעדכן לאחת מהגרסאות הבאות שכוללות תיקון:

  • tpu-ubuntu2204-base
  • v2-alpha-tpuv5
  • v2-alpha-tpuv5-lite

התגלתה נקודת חולשה (CVE-2024-6387) ב-OpenSSH. ניצול מוצלח של נקודת החולשה הזו מאפשר לתוקף מרוחק לא מאומת להריץ קוד שרירותי כ-root במכונת היעד.

מומלץ לנתח את כל המכונות הווירטואליות ב-Compute Engine שמשתמשות בהפצת Linux מבוססת glibc וש-OpenSSH חשוף בהן, כדי לבדוק אם הן פגיעות.

מה לעשות?

  1. התקנת עדכונים מהפצות Linux כשהם זמינים. מומלץ לעיין בהנחיות של הפצות Linux. במקרה של מערכת ההפעלה שמותאמת לקונטיינרים של Google, צריך לעדכן לאחת מהגרסאות הבאות עם תיקון:
    • cos-113-18244-85-49
    • cos-109-17800-218-69
    • cos-105-17412-370-67
    • cos-101-17162-463-55
    אם אתם משתמשים ב-מערכת הפעלה שמותאמת לקונטיינרים דרך שירות מנוהל של Google (למשל GKE), כדאי לעיין ב-עדכון אבטחה דחוף של השירות כדי לראות אם יש תיקון זמין.
  2. אם אי אפשר לעדכן, כדאי להשבית את OpenSSH עד שיהיה אפשר לתקן אותו. רשת ברירת המחדל מאוכלסת מראש בכלל חומת אש default-allow-ssh שמאפשר גישת SSH מהאינטרנט הציבורי. כדי להסיר את הגישה הזו, הלקוחות יכולים:
    1. אפשר גם ליצור כללים כדי לאפשר גישת SSH שנדרשת מרשתות מהימנות לצמתים של GKE או למכונות וירטואליות אחרות של Compute Engine בפרויקט.
    2. משביתים את כלל ברירת המחדל של חומת האש באמצעות הפקודה הבאה: 
      gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT
    אם יצרתם כללי חומת אש אחרים שעשויים לאפשר SSH דרך TCP ביציאה 22, צריך להשבית אותם או להגביל את כתובות ה-IP של המקור לרשתות מהימנות.

    בודקים שאי אפשר יותר להתחבר ל-VM באמצעות SSH מהאינטרנט. הגדרת חומת האש הזו מצמצמת את נקודת החולשה.
  3. אם צריך להשאיר את OpenSSH פעיל, אפשר גם להריץ עדכון הגדרות שמבטל את תנאי המירוץ של ניצול הפרצה. זהו אמצעי להפחתת הסיכון בזמן ריצה. כדי להחיל את השינויים בהגדרות של sshd, הסקריפט הזה יפעיל מחדש את שירות sshd. 
    #!/bin/bash
set -e

SSHD_CONFIG_FILE=/etc/ssh/sshd_config
# -c: count the matches
# -q: don't print to console
# -i: sshd_config keywords are case insensitive.
if [[ "$(grep -ci '^LoginGraceTime' $SSHD_CONFIG_FILE)" -eq 0 ]]; then
    echo "LoginGraceTime 0" >> "$SSHD_CONFIG_FILE"
    echo "Set the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
else
    sed -i 's/^LoginGraceTime.*$/LoginGraceTime 0/' /etc/ssh/sshd_config
    echo "Changed the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
fi
# Restart the sshd service to apply the new config.
systemctl restart sshd
  4. לבסוף, חשוב לעקוב אחרי פעילות חריגה ברשת שקשורה לשרתי SSH.
קריטית CVE-2024-6387

GCP-2024-021

תאריך פרסום: 3 באפריל 2024
תיאור רמת סיכון הערות

אין השפעה על Compute Engine מ-CVE-2024-3094, שמשפיע על גרסאות 5.6.0 ו-5.6.1 של חבילת xz-utils בספריית liblzma, ועלול להוביל לפגיעה בכלי OpenSSH.

מה לעשות?

תמונות ציבוריות שנתמכות ומוצעות על ידי Compute Engine לא מושפעות מ-CVE הזה. אם אתם משתמשים בתמונות ציבוריות של Compute Engine למכונות הווירטואליות שלכם, אתם לא צריכים לעשות שום דבר.

אתם עלולים להיות בסיכון אם יצרתם תמונה בהתאמה אישית שהשתמשתם בה בגרסאות 5.6.0 ו-5.6.1 של חבילת xz-utils, כמו מערכות ההפעלה הבאות:

כדי לצמצם את הסיכון הזה, צריך להפסיק את כל מכונות ה-VM שמשתמשות במערכות ההפעלה האלה או במערכות הפעלה אחרות שיכלו להשתמש במערכות הפעלה מושפעות. אם יש לכם מכונות וירטואליות שנבנו מתמונות בהתאמה אישית של מערכות הפעלה אחרות, כדאי לבדוק עם ספק מערכת ההפעלה אם המכונות הווירטואליות שלכם מושפעות.

אילו נקודות חולשה טופלו?

CVE-2024-3094

 בינוני CVE-2024-3094

GCP-2024-001

תאריך פרסום: 9 בינואר 2024
תיאור רמת סיכון הערות

התגלו כמה נקודות חולשה בקושחת TianoCore EDK II UEFI. הקושחה הזו משמשת במכונות וירטואליות של Google Compute Engine. אם הפרצות האלה ינוצלו, הן עלולות לאפשר עקיפה של ההפעלה המאובטחת, מה שיספק מדידות שגויות בתהליך ההפעלה המאובטחת, כולל כשמשתמשים בהן במכונות וירטואליות מוגנות.

מה לעשות?

לא נדרשת שום פעולה. ‫Google תיקנה את נקודת החולשה הזו ב-Compute Engine, וכל המכונות הווירטואליות מוגנות מפני נקודת החולשה הזו.

אילו נקודות חולשה טופלו במסגרת התיקון הזה?

התיקון טיפל בנקודות החולשה הבאות:

  • CVE-2022-36763
  • CVE-2022-36764
  • CVE-2022-36765
 בינוני

GCP-2023-44

תאריך פרסום: 15 בנובמבר 2023
תיאור רמת סיכון הערות

ב-14 בנובמבר, AMD חשפה כמה נקודות חולשה שמשפיעות על מעבדי שרתים שונים של AMD. באופן ספציפי, פרצות האבטחה משפיעות על מעבדי EPYC Server שמבוססים על ליבת Zen דור 2 ‏Rome, דור 3 ‏Milan ודור 4 ‏Genoa.

‫Google יישמה תיקונים בנכסים שהושפעו, כולל Google Cloud, כדי להבטיח שהלקוחות מוגנים. בשלב הזה, לא נמצאו ראיות לניצול נקודת החולשה ולא דווח על כך ל-Google.

מה לעשות?

לא נדרשת פעולה מצד הלקוחות.

התיקונים כבר הוחלו על Fleet השרתים של Google ב- Google Cloud, כולל Google Compute Engine.

אילו נקודות חולשה טופלו במסגרת התיקון הזה?

התיקון טיפל בנקודות החולשה הבאות:

  • CVE-2022-23820
  • CVE-2021-46774
  • CVE-2023-20533
  • CVE-2023-20519
  • CVE-2023-20592
  • CVE-2023-20566
  • CVE-2023-20521
  • CVE-2021-46766
  • CVE-2022-23830
  • CVE-2023-20526
  • CVE-2021-26345

מידע נוסף זמין בהודעת האבטחה של AMD‏ AMD-SN-3005: "AMD INVD Instruction Security Notice", שפורסמה גם כ-CacheWarp, ובהודעת האבטחה AMD-SN-3002: "AMD Server Vulnerabilities – November 2023".

 בינוני

GCP-2023-004

תאריך פרסום: 26 באפריל 2023
תיאור רמת סיכון הערות

שתי נקודות חולשה (CVE-2023-1017 ו-CVE-2023-1018) התגלו במודול פלטפורמה מהימן (TPM) 2.0.

נקודות החולשה יכלו לאפשר לתוקף מתוחכם לנצל קריאה/כתיבה של 2 בייטים מחוץ לטווח במכונות וירטואליות מסוימות של Compute Engine.

מה לעשות?

תיקון הוחל אוטומטית על כל המכונות הווירטואליות הפגיעות. לא נדרשת פעולה מצד הלקוחות.

אילו נקודות חולשה טופלו במסגרת התיקון הזה?

התיקון טיפל בנקודות החולשה הבאות:

CVE-2023-1017

ב-CVE-2023-2017, חריגה מגבולות מאגר עלולה להיות מופעלת בשגרת הפענוח של הפרמטר vTPM. תוקף מקומי שפועל במכונה וירטואלית פגיעה יכול להשתמש בזה כדי להפעיל מניעת שירות או אולי להריץ קוד שרירותי בהקשר של vTPM.

CVE-2023-1018

ב-CVE-2023-2018, קריאה מחוץ לגבולות הייתה קיימת בשגרת הפענוח של הפרמטר vTPM. תוקף מקומי שפועל במכונה וירטואלית פגיעה יכול להשתמש בזה כדי להדליף באופן עקיף נתונים מוגבלים מההקשר של vTPM.

 בינוני

GCP-2021-026

תאריך פרסום: 14 בדצמבר 2021
תיאור רמת סיכון הערות

הכלי Apache Log4j לתחזוקת המחשב הוא רכיב נפוץ לרישום בקשות. ב-9 בדצמבר 2021 דווח על נקודת חולשה שיכולה לאפשר פריצה למערכת שבה פועל Apache Log4j מגרסה 2.14.1 ומטה, ולאפשר לתוקף להפעיל קוד שרירותי.

ב-10 בדצמבר 2021, NIST פרסם התראה על נקודות חולשה וחשיפה נפוצות (CVE) ברמת חומרה קריטית, CVE-2021-44228. באופן ספציפי יותר, תכונות של Java Naming Directory Interface‏ (JNDI) שמשמשות בהגדרה, בהודעות יומן ובפרמטרים לא מספקות הגנה מפני LDAP ונקודות קצה אחרות שקשורות ל-JNDI שנשלטות על ידי תוקף. אם לתוקף יש שליטה בהודעות יומן או בפרמטרים של הודעות יומן, הוא יכול להריץ קוד שרירותי שנטען משרתים מרוחקים כשהחלפת חיפוש הודעות מופעלת.

מה לעשות?

  • M4CE v4.x: צוות Migrate for Compute Engine ‏ (M4CE) סיפק גרסה חדשה ב-13 בדצמבר 2021. מנהלי פרויקטים נדרשים להחליף את הפריסה הקיימת בגרסה החדשה, כולל M4CE Manager בענן ו-M4CE בקצה העורפי 'במקום'. פרטים נוספים על פריסת גרסה 4.11 זמינים במדריך ההוראות.
  • M2VMs v5.x: הבעיה ב-M2VMs v5.0 ואילך תוקנה ולא נדרשת פעולה.
 קריטית

GCP-2021-001

תאריך פרסום: 28 בינואר 2021
תיאור רמת סיכון הערות

לאחרונה התגלתה נקודת חולשה בכלי sudo של Linux, כפי שמפורט ב-CVE-2021-3156,‏ שעלולה לאפשר לתוקף עם גישה לא מורשית למעטפת מקומית במערכת שבה מותקן sudo להסלים את ההרשאות שלו (privilege escalation) להרשאות root.

ההשפעה על Compute Engine

התשתית שעליה מריצים את Compute Engine לא מושפעת מנקודת החולשה הזו. למכונות וירטואליות של Compute Engine שמריצות Linux, כדאי לשקול לעדכן את מערכת ההפעלה האורחת. לדוגמה, אם אתם משתמשים ב-מערכת הפעלה שמותאמת לקונטיינרים, מומלץ לעדכן לאחד מהקובצי האימג' הבאים: cos-85-13310-1209-7,‏ cos-81-12871-1245-6,‏ cos-dev-89-16091-0-0 או לגרסה מאוחרת יותר.

 ללא

תאריך הפרסום: 27 באוגוסט 2020

תיאור רמת סיכון הערות

חברת Eclypsium חשפה את ה-CVE הבא: CVE-2020-10713.

נקודות חולשה

בתגובה לדוח הראשוני על הפגיעות, בוצעה בדיקה נוספת של קוד GRUB2, ו-Canonical גילתה את הפגיעויות הנוספות הבאות:

נקודות החולשה האלה, שנקראות ביחד BootHole, מאפשרות לתוקפים עם הרשאות אדמין לטעון קבצים בינאריים לא חתומים, וכך להשבית את האכיפה של אתחול מאובטח.

ההשפעה על Compute Engine

תשתית המארח שמריצה את Compute Engine מוגנת מפני התקפות מוכרות.

לקוחות Compute Engine שמשתמשים באתחול מאובטח מוזמנים לעדכן את מערכות ההפעלה של האורחים במופעים שלהם כדי למנוע ניצול לרעה בסביבות האורחים. לפרטים נוספים, אפשר לעיין בהמלצות של ספק מערכת ההפעלה לאורח בנוגע לדרכים לצמצום הסיכון.

תמונות עם תיקוני אבטחה ומשאבים של ספקים

כאן נפרסם קישורים למידע על תיקוני אבטחה מכל ספק של מערכת הפעלה, כשהם יהיו זמינים. גרסאות קודמות של התמונות הציבוריות האלה לא מכילות את התיקונים האלה ולא מפחיתות את הסיכון להתקפות פוטנציאליות:

  • פרויקט centos-cloud: CentOS patch information
    • centos-7-v20200811
    • centos-8-v20200811
  • פרויקט cos-cloud:
    • cos-77-12371-1072-0
    • cos-81-12871-1185-0
    • cos-rc-85-13310-1028-0
    • cos-dev-86-15103-0-0

    אם אתם משתמשים ב-COS דרך שירות מנוהל (למשל GKE), צריך לפעול לפי ההנחיות של השירות הזה כדי להחיל עדכונים.

  • פרויקט debian-cloud: DSA-4753
    • debian-10-buster-v20200805
  • פרויקט coreos-cloud:
    • coreos-alpha-2163-2-1-v20190617
    • coreos-beta-2135-3-1-v20190617
    • coreos-stable-2079-6-0-v20190617
  • פרויקט rhel-cloud/rhel-sap-cloud: Red Hat Vulnerability Response
    • rhel-7-v20200811
    • rhel-7-4-sap-v20200811
    • rhel-7-6-sap-v20200811
    • rhel-7-7-sap-v20200811
    • rhel-8-v20200811
  • פרויקט suse-cloud/suse-sap-cloud:: SUSE KB
    • sles-12-sp5-v20200813
    • sles-15-sp2-v20200804
    • sles-12-sp4-sap-v20200804
    • sles-12-sp5-sap-v20200813
    • sles-15-sap-v20200803
    • sles-15-sp1-sap-v20200803
    • Sles-15-sp2-sap-v20200804
  • פרויקט ubuntu-os-cloud: Ubuntu Wiki
    • ubuntu-1604-xenial-v20200729
    • ubuntu-1804-bionic-v20200729
    • ubuntu-2004-focal-v20200729
 גבוהה

תאריך הפרסום: 2020-06-19

תיאור רמת סיכון הערות

מכונות וירטואליות שמופעל בהן OS Login עלולות להיות חשופות לנקודות חולשה של הסלמת הרשאות (privilege escalation). נקודות החולשה האלה מאפשרות למשתמשים שהוענקו להם הרשאות OS Login‏ (אבל לא הוענקה להם הרשאת אדמין) להסלים הרשאות (privilege escalation) להרשאות root במכונה הווירטואלית.

נקודות חולשה

זוהו שלוש נקודות החולשה הבאות בתמונות של Compute Engine, שנובעות מהרשאות רחבות מדי שמוגדרות כברירת מחדל לחברויות בקבוצות:

  • CVE-2020-8903: באמצעות המשתמש adm, אפשר לנצל את ה-XID של DHCP כדי לקבל הרשאות אדמין.
  • CVE-2020-8907: באמצעות המשתמש docker, אפשר לטעון ולשנות את מערכת הקבצים של מערכת ההפעלה המארחת כדי לקבל הרשאות אדמין.
  • CVE-2020-8933: באמצעות המשתמש lxd, אפשר לצרף מערכות קבצים של מערכת ההפעלה של המארח ולקבל הרשאות אדמין.

תיקונים ותמונות שעברו תיקון

כל התמונות הציבוריות של Compute Engine שנוצרו אחרי v20200506 עברו תיקון.

אם אתם צריכים לפתור את הבעיה בלי לעדכן לגרסה מאוחרת יותר של התמונה, אתם יכולים לערוך את הקובץ /etc/security/group.conf ולהסיר את המשתמשים adm, lxd ו-docker מהערך של OS Login שמוגדר כברירת מחדל.

גבוהה

תאריך פרסום: 21 בינואר 2020

תיאור רמת סיכון הערות

‫Microsoft חשפה את נקודת החולשה הבאה:

  • CVE-2020-0601: נקודת החולשה הזו נקראת גם Windows Crypto API Spoofing Vulnerability. אפשר לנצל אותה כדי לגרום לקובצי הפעלה זדוניים להיראות מהימנים או לאפשר לתוקף לערוך התקפות אדם בתווך ולפענח מידע סודי לגבי חיבורי משתמשים לתוכנה המושפעת.

ההשפעה על Compute Engine

התשתית שעליה מריצים את Compute Engine לא מושפעת מנקודת החולשה הזו. אם אתם לא מריצים Windows Server במכונה הווירטואלית של Compute Engine, לא נדרשת פעולה נוספת. לקוחות שמשתמשים במכונות וירטואליות של Compute Engine שמריצות שרת Windows צריכים לוודא שהמכונות שלהם כוללות את התיקון האחרון של Windows.

תמונות עם תיקוני אבטחה ומשאבים של ספקים

גרסאות קודמות של תמונות Windows ציבוריות לא מכילות את התיקונים הבאים ולא מצמצמות את הסיכון למתקפות פוטנציאליות:

  • פרויקטים windows-cloud ו-windows-sql-cloud
    • כל קובצי האימג' הציבוריים של Windows Server ו-SQL Server החל מגרסה v20200114
 בינוני

תאריך פרסום: 12 בנובמבר 2019

תיאור רמת סיכון הערות

‫Intel דיווחה על עדכוני ה-CVE הבאים:

  • CVE-2019-11135: נקודת החולשה הזו נקראת גם TSX Async Abort (‏TAA). ‫TAA מספקת דרך נוספת להעברת נתונים לא מורשית באמצעות אותם מבני נתונים במיקרו-ארכיטקטורה שנוצלו על ידי דגימת נתונים של מיקרו-ארכיטקטורה (MDS).
  • CVE-2018-12207 – נקודת החולשה הזו ידועה גם בשם Machine Check Error on Page Size Change. זוהי נקודת חולשה של התקפת מניעת שירות (DoS) שמשפיעה על מארחים של מכונות וירטואליות, ומאפשרת לאורח זדוני להפיל מארח לא מוגן.

ההשפעה על Compute Engine

CVE-2019-11135

תשתית המארח שמריצה את Compute Engine מבודדת את עומסי העבודה של הלקוחות. אם אתם לא מריצים קודים לא מהימנים בתוך מכונות וירטואליות מסוג N2,‏ C2 או M2, לא נדרשת פעולה נוספת.

לקוחות N2, ‏ C2 ו-M2 שמריצים קודים לא מהימנים בשירותים מרובי-הדיירים שלהם בתוך מכונות וירטואליות של Compute Engine, צריכים להפסיק ולהפעיל מחדש את המכונות הווירטואליות כדי לוודא שהן מעודכנות עם תיקוני האבטחה האחרונים. A הפעלה מחדש, ללא עצירה או הפעלה, לא מספיקה. ההנחיות האלה מניחות שכבר החלתם עדכונים שפורסמו בעבר ונותנים מענה לפגיעות MDS. אם לא, צריך לפעול לפי ההוראות כדי להתקין את העדכונים המתאימים.

לקוחות שמריצים סוגי מכונות N1 לא צריכים לבצע פעולות, כי נקודת החולשה הזו לא מייצגת חשיפה חדשה מעבר לנקודות החולשה של MDS שנחשפו בעבר.

CVE-2018-12207

התשתית המארחת שעליה מריצים את Compute Engine מוגנת מפני נקודת החולשה הזו. לא נדרשת פעולה נוספת.

 בינוני

תאריך הפרסום: 2019-06-18

עדכון אחרון: 25 ביוני 2019 בשעה 6:30 לפי שעון החוף המערבי

תיאור רמת סיכון הערות

לאחרונה, Netflix חשפה שלוש נקודות חולשה ב-TCP בליבות של Linux:

הפגיעויות האלה מסומנות יחד כ-NFLX-2019-001.

ההשפעה על Compute Engine

התשתית שמארחת את Compute Engine מוגנת מפני נקודת החולשה הזו.

מכונות וירטואליות ב-Compute Engine שמריצות מערכות הפעלה של Linux שלא עודכנו בתיקון, וששולחות או מקבלות תעבורת נתונים לא מהימנה ברשת, חשופות למתקפת DoS. מומלץ לעדכן את המכונות הווירטואליות האלה ברגע שתיקוני האבטחה יהיו זמינים למערכות ההפעלה שלהן.

בוצע תיקון של איזוני עומסים שסוגרים חיבורי TCP כדי למנוע את ניצול נקודת החולשה הזו. מכונות של Compute Engine שמקבלות רק תנועה לא מהימנה דרך מאזני העומסים האלה לא פגיעות. זה כולל מאזני עומסים של HTTP, מאזני עומסים של שרתי proxy ל-SSL ומאזני עומסים של שרתי proxy ל-TCP.

מאזני עומסי רשת ומאזני עומסים פנימיים לא סוגרים חיבורי TCP. מכונות של Compute Engine שלא עודכנו ושהן פגיעות, מקבלות תנועה לא מהימנה דרך מאזני העומסים האלה.

תמונות עם תיקוני אבטחה ומשאבים של ספקים

כאן נספק קישורים למידע על תיקוני אבטחה מכל ספק של מערכת הפעלה, כשהמידע יהיה זמין, כולל הסטטוס של כל CVE. גרסאות קודמות של התמונות הציבוריות האלה לא מכילות את התיקונים האלה ולא מצליחות למנוע מתקפות פוטנציאליות:

  • פרויקט debian-cloud:
    • debian-9-stretch-v20190618
  • פרויקט centos-cloud:
    • centos-6-v20190619
    • centos-7-v20190619
  • פרויקט cos-cloud:
    • cos-dev-77-12293-0-0
    • cos-beta-76-12239-21-0
    • cos-stable-75-12105-77-0
    • cos-73-11647-217-0
    • cos-69-10895-277-0
  • פרויקט coreos-cloud:
    • coreos-alpha-2163-2-1-v20190617
    • coreos-beta-2135-3-1-v20190617
    • coreos-stable-2079-6-0-v20190617
  • פרויקט rhel-cloud:
    • rhel-6-v20190618
    • rhel-7-v20190618
    • rhel-8-v20190618
  • פרויקט rhel-sap-cloud:
    • rhel-7-4-sap-v20190618
    • rhel-7-6-sap-v20190618
  • פרויקט suse-cloud:
    • sles-12-sp4-v20190617
    • sles-15-v20190617
  • פרויקט suse-sap-cloud:
    • sles-12-sp1-sap-v20190617
    • sles-12-sp2-sap-v20190617
    • sles-12-sp3-sap-v20190617
    • sles-12-sp4-sap-v20190617
    • sles-15-sap-v20190617
  • פרויקט ubuntu-cloud:
    • ubuntu-1604-xenial-v20190617
    • ubuntu-1804-bionic-v20190617
    • ubuntu-1810-cosmic-v20190618
    • ubuntu-1904-disco-v20190619
    • ubuntu-minimal-1604-xenial-v20190618
    • ubuntu-minimal-1804-bionic-v20190617
    • ubuntu-minimal-1810-cosmic-v20190618
    • ubuntu-minimal-1904-disco-v20190618
 בינוני

תאריך הפרסום: 14 במאי 2019

העדכון האחרון: 2019-05-20 T 17:00 PST

תיאור רמת סיכון הערות

‫Intel דיווחה על עדכוני ה-CVE הבאים:

נקודות החולשה האלה נקראות יחד 'דגימת נתונים של מיקרו-ארכיטקטורה' (MDS). פרצות האבטחה האלה עלולות לאפשר חשיפה של נתונים באמצעות האינטראקציה של ביצוע ספקולטיבי עם מצב המיקרו-ארכיטקטורה.

ההשפעה על Compute Engine

תשתית המארח שמריצה את Compute Engine מבודדת בין עומסי העבודה של הלקוחות. אלא אם אתם מריצים קוד לא מהימן במכונות הווירטואליות, לא נדרשת פעולה נוספת.

לקוחות שמריצים קודים לא מהימנים בשירותים מרובי-הדיירים שלהם בתוך מכונות וירטואליות של Compute Engine, צריכים לעיין בהמלצות המיטיגציה של ספק מערכת ההפעלה האורחת, שעשויות לכלול שימוש בתכונות המיטיגציה של המיקרוקוד של Intel. הטמענו גישה דרך כרטיס אורח לפונקציונליות החדשה של ניקוי הנתונים. בהמשך מופיע סיכום של שלבי המיתון שזמינים לתמונות נפוצות של אורחים.

תמונות עם תיקוני אבטחה ומשאבים של ספקים

כאן נספק קישורים למידע על תיקוני אבטחה מכל ספק של מערכת הפעלה, כשהמידע יהיה זמין, כולל סטטוס של כל CVE. אפשר להשתמש בתמונות האלה כדי ליצור מחדש מכונות וירטואליות. גרסאות קודמות של התמונות הציבוריות האלה לא מכילות את התיקונים האלה ולא מפחיתות את הסיכון להתקפות פוטנציאליות:

  • פרויקט centos-cloud: CESA-2019:1169, ‏ CESA-2019:1168
    • centos-6-v20190515
    • centos-7-v20190515
  • פרויקט coreos-cloud: אמצעי הגנה מפני MDS ב-CoreOS Container Linux
    • coreos-stable-2079-4-0-v20190515
    • coreos-beta-2107-3-0-v20190515
    • coreos-alpha-2135-1-0-v20190515
  • פרויקט cos-cloud
    • cos-69-10895-242-0
    • cos-73-11647-182-0
  • פרויקט debian-cloud: DSA-4444
    • debian-9-stretch-v20190514
  • פרויקט rhel-cloud: Red Hat MDS Knowledge Article
    • rhel-6-v20190515
    • rhel-7-v20190517
    • rhel-8-v20190515
  • פרויקט rhel-sap-cloud: Red Hat MDS Knowledge Article
    • rhel-7-4-sap-v20190515
    • rhel-7-6-sap-v20190517
  • פרויקט suse-cloud: SUSE MDS KB
    • sles-12-sp4-v20190520
    • sles-15-v20190520
  • פרויקט suse-sap-cloud
    • sles-12-sp4-sap-v20190520
    • sles-15-sap-v20190520
  • פרויקט ubuntu-os-cloud: Ubuntu MDS Wiki
    • ubuntu-1404-trusty-v20190514
    • ubuntu-1604-xenial-v20190514
    • ubuntu-1804-bionic-v20190514
    • ubuntu-1810-cosmic-v20190514
    • ubuntu-1904-disco-v20190514
    • ubuntu-minimal-1604-xenial-v20190514
    • ubuntu-minimal-1804-bionic-v20190514
    • ubuntu-minimal-1810-cosmic-v20190514
    • ubuntu-minimal-1904-disco-v20190514
  • פרויקטים windows-cloud ו-windows-sql-cloud: Microsoft ADV190013
    • כל קובצי האימג' הציבוריים של Windows Server ו-SQL Server עם מספר הגרסה v20190514.
  • פרויקט gce-uefi-images
    • centos-7-v20190515
    • cos-69-10895-242-0
    • cos-73-11647-182-0
    • rhel-7-v20190517
    • ubuntu-1804-bionic-v20190514
    • כל התמונות הציבוריות של Windows Server עם מספר הגרסה v20190514.

מערכת הפעלה שמותאמת לקונטיינרים

אם אתם משתמשים ב-Container Optimized OS ‏ (COS) כמערכת ההפעלה של האורח, ואתם מפעילים עומסי עבודה לא מהימנים של דיירים מרובים במכונה הווירטואלית, מומלץ:

  1. משביתים את Hyper-Threading על ידי הגדרת nosmt בשורת הפקודה של ליבת המערכת.

    במכונות וירטואליות קיימות של COS, אפשר לשנות את grub.cfg באופן הבא כדי להגדיר את האפשרות nosmt ואז להפעיל מחדש את המערכת:

    # Run as root:
dir="$(mktemp -d)"
mount /dev/sda12 "${dir}"
sed -i -e "s|cros_efi|cros_efi nosmt|g" "${dir}/efi/boot/grub.cfg"
umount "${dir}"
rmdir "${dir}"

reboot

    לנוחותכם, תוכלו להריץ את הסקריפט שבהמשך כדי לקבל את אותה התוצאה כמו בהרצת הפקודות הקודמות. מומלץ להוסיף את הסקריפט הזה ל-cloud-config, לסקריפטים להפעלה או לתבניות של מכונות וירטואליות, כדי לוודא שמכונות וירטואליות חדשות ישתמשו בפרמטר החדש הזה. בהמשך מופיעה דוגמה ל-cloud-config שמריץ את הסקריפט הזה.

    אזהרה: הפעלת הפקודה הזו בפעם הראשונה תגרום להפעלה מחדש מיידית של המופע. אם תריצו את הפקודה שוב על מופע שבו Hyper-Threading כבר מושבת, לא תהיה לכך השפעה.

    # Run as root
/bin/bash <(curl -s https://storage.googleapis.com/cos-tools/scripts/disable_smt.sh)

    כדי לכלול את זה כחלק מ-cloud-config:

    #cloud-config

bootcmd:
- /bin/bash -c "/bin/bash <(curl -s https://storage.googleapis.com/cos-tools/scripts/disable_smt.sh)"

    כדי לוודא שההפעלה של Hyper-Threading מושבתת במופע, בודקים את הפלט של הקבצים /sys/devices/system/cpu/smt/active ו-/sys/devices/system/cpu/smt/control. אם הפקודה מחזירה את הערך 0 עבור active ואת הערך off עבור control, סימן שהתכונה Hyper-Threading מושבתת:

    cat /sys/devices/system/cpu/smt/active
cat /sys/devices/system/cpu/smt/control

    הערה: אם הפעלתם את האתחול המאובטח של UEFI במופע, תצטרכו ליצור מחדש את המופע עם השבתה של האתחול המאובטח של UEFI, להריץ את הפקודה שלמעלה עם השבתה של האתחול המאובטח של UEFI, ואז להפעיל את האתחול המאובטח של UEFI במופע החדש.

  2. שימוש בגרסה חדשה של תמונת COS

    בנוסף להשבתת Hyper-Threading כמו שמתואר למעלה, צריך גם ליצור מחדש את המכונות עם התמונות המעודכנות שרשומות למעלה או עם גרסאות חדשות יותר (אם יש כאלה) של תמונות של מערכת הפעלה שמותאמת לקונטיינרים, כדי לקבל הגנה מלאה מפני נקודת החולשה.

 בינוני

תאריך הפרסום: 14 באוגוסט 2018

עדכון אחרון: 2018-08-20 T 17:00 PST

תיאור רמת סיכון הערות

תיאור

Intel דיווחה על עדכוני ה-CVE הבאים:

ה-CVE האלה נקראים ביחד L1 Terminal Fault (L1TF).

נקודות החולשה האלה של L1TF מנצלות ביצוע ספקולטיבי על ידי תקיפת ההגדרה של מבני נתונים ברמת המעבד. ‫L1 מתייחס למטמון נתונים ברמה 1 (L1D), משאב קטן בתוך הליבה שמשמש להאצת הגישה לזיכרון.

לפרטים נוספים על נקודות החולשה האלה ועל הפתרונות של Compute Engine, אפשר לקרוא את Google Cloud הפוסט הזה בבלוג.

ההשפעה על Compute Engine

תשתית המארח שמריצה את Compute Engine ומבודדת את עומסי העבודה של הלקוחות אלה מאלה מוגנת מפני מתקפות ידועות.

מומלץ ללקוחות Compute Engine לעדכן את התמונות שלהם כדי למנוע אפשרות לניצול עקיף בסביבות האורח שלהם. זה חשוב במיוחד ללקוחות שמריצים שירותים מרובי-דיירים משלהם במכונות וירטואליות של Compute Engine.

לקוחות Compute Engine יכולים לעדכן את מערכות ההפעלה של האורחים במכונות שלהם באמצעות אחת מהאפשרויות הבאות:

תמונות עם תיקוני אבטחה ומשאבים של ספקים

כאן נספק קישורים למידע על תיקוני אבטחה מכל ספק של מערכת הפעלה, כשהמידע יהיה זמין, כולל סטטוס של שני ה-CVE. אפשר להשתמש בתמונות האלה כדי ליצור מחדש מכונות וירטואליות. גרסאות קודמות של התמונות הציבוריות האלה לא מכילות את התיקונים האלה ולא מצמצמות את הסיכון להתקפות פוטנציאליות:

  • פרויקט centos-cloud:
    • centos-7-v20180815
    • centos-6-v20180815
  • פרויקט coreos-cloud:
    • coreos-stable-1800-7-0-v20180816
    • coreos-beta-1855-2-0-v20180816
    • coreos-alpha-1871-0-0-v20180816
  • פרויקט cos-cloud:
    • cos-stable-66-10452-110-0
    • cos-stable-67-10575-66-0
    • cos-beta-68-10718-81-0
    • cos-dev-69-10895-23-0
  • פרויקט debian-cloud:
    • debian-9-stretch-v20180820
  • פרויקט rhel-cloud:
    • rhel-7-v20180814
    • rhel-6-v20180814
  • פרויקט rhel-sap-cloud:
    • rhel-7-sap-apps-v20180814
    • rhel-7-sap-hana-v20180814
  • פרויקט suse-cloud:
    • sles-15-v20180816
    • sles-12-sp3-v20180814
    • sles-11-sp4-v20180816
  • פרויקט suse-sap-cloud:
    • sles-15-sap-v20180816
    • sles-12-sp3-sap-v20180814
    • sles-12-sp2-sap-v20180816
  • פרויקט ubuntu-os-cloud:
    • ubuntu-1804-bionic-v20180814
    • ubuntu-1604-xenial-v20180814
    • ubuntu-1404-trusty-v20180814
    • ubuntu-minimal-1804-bionic-v20180814
    • ubuntu-minimal-1604-xenial-v20180814
  • פרויקטים windows-cloud gce-uefi-images ו-windows-sql-cloud:
גבוהה

תאריך הפרסום: 2018-08-06

עדכון אחרון: 2018-09-05 T 17:00 PST

תיאור רמת סיכון הערות

עדכון מ-2018-09-05

CVE-2018-5391 פורסם ב-2018-08-14 על ידי US-CERT. בדומה ל-CVE-2018-5390, זוהי נקודת חולשה ברשת ברמת הליבה שמגדילה את היעילות של התקפות מניעת שירות (DoS) נגד מערכות פגיעות. ההבדל העיקרי הוא שאפשר לנצל את CVE-2018-5391 דרך חיבורי IP. עדכנו את העלון הזה כדי לכלול את שתי הפגיעויות.

תיאור

CVE-2018-5390 (‏SegmentSmack) מתאר נקודת חולשה ברשת ברמת הליבה, שמגבירה את היעילות של התקפות מניעת שירות (DoS) נגד מערכות פגיעות בחיבורי TCP.

CVE-2018-5391 (‏FragmentSmack) מתאר נקודת חולשה ברשת ברמת הליבה, שמגבירה את היעילות של התקפות מניעת שירות (DoS) נגד מערכות פגיעות בחיבורי IP.

ההשפעה על Compute Engine

התשתית של המארח שמריצה מכונות וירטואליות ב-Compute Engine לא נמצאת בסיכון. תשתית הרשת שמטפלת בתנועה אל וממכונות וירטואליות ב-Compute Engine מוגנת מפני נקודת החולשה הזו. מכונות וירטואליות ב-Compute Engine שרק שולחות או מקבלות תעבורת נתונים לא מהימנה ברשת באמצעות HTTP(S),‏ SSL או מאזני עומסים של TCP מוגנות מפני הפגיעות הזו.

מכונות וירטואליות של Compute Engine שמריצות מערכות הפעלה שלא הותקנו בהן תיקוני אבטחה וששולחות או מקבלות תעבורת נתונים לא מהימנה ברשת ישירות, או באמצעות מאזני עומסים ברשת, חשופות למתקפת DoS.

מומלץ לעדכן את מופעי ה-VM ברגע שתיקונים זמינים למערכות ההפעלה שלהם.

לקוחות Compute Engine יכולים לעדכן את מערכות ההפעלה של האורחים במכונות שלהם באמצעות אחת מהאפשרויות הבאות:

  • להשתמש בתמונות ציבוריות עם תיקונים כדי ליצור מחדש מכונות וירטואליות קיימות. בהמשך מופיעה רשימה של תמונות ציבוריות שעברו תיקון.
  • במקרים קיימים, מתקינים תיקונים שסופקו על ידי ספק מערכת ההפעלה ומפעילים מחדש את המקרים המתוקנים.

תמונות עם תיקוני אבטחה ומשאבים של ספקים

כאן נספק קישורים למידע על תיקוני אבטחה מכל ספק של מערכת הפעלה, כשהמידע יהיה זמין.

  • פרויקט centos-cloud (ב-CVE-2018-5390 בלבד):
    • centos-7-v20180815
    • centos-6-v20180815
  • פרויקט coreos-cloud (CVE-2018-5390 ו-CVE-2018-5391):
    • coreos-stable-1800-7-0-v20180816
    • coreos-beta-1855-2-0-v20180816
    • coreos-alpha-1871-0-0-v20180816
  • פרויקט cos-cloud (CVE-2018-5390 ו-CVE-2018-5391):
    • cos-stable-65-10323-98-0
    • cos-stable-66-10452-109-0
    • cos-stable-67-10575-65-0
    • cos-beta-68-10718-76-0
    • cos-dev-69-10895-16-0
  • פרויקט debian-cloud (CVE-2018-5390 ו-CVE-2018-5391):
    • debian-9-stretch-v20180814
  • פרויקט rhel-cloud (ב-CVE-2018-5390 בלבד):
    • rhel-7-v20180814
    • rhel-6-v20180814
  • פרויקט suse-cloud (CVE-2018-5390 ו-CVE-2018-5391):
    • sles-15-v20180816
    • sles-12-sp3-v20180814
  • פרויקט suse-sap-cloud (CVE-2018-5390 ו-CVE-2018-5391):
    • sles-15-sap-v20180816
    • sles-12-sp3-sap-v20180814
    • sles-12-sp2-sap-v20180816
  • פרויקט ubuntu-os-cloud (CVE-2018-5390 ו-CVE-2018-5391):
    • ubuntu-1804-bionic-v20180814
    • ubuntu-1604-xenial-v20180814
    • ubuntu-1404-trusty-v20180814
    • ubuntu-minimal-1804-bionic-v20180814
    • ubuntu-minimal-1604-xenial-v20180814
 גבוהה

תאריך הפרסום: 2018-01-03

העדכון האחרון: 21 במאי 2018 בשעה 15:00 לפי שעון החוף המערבי

תיאור רמת סיכון הערות

2018-05-21 Update

CVE-2018-3640 ו-CVE-2018-3639, וריאנטים 3a ו-4 בהתאמה, נחשפו על ידי Intel. כמו בשלושת הווריאציות הראשונות של Spectre ו-Meltdown, התשתית שמריצה מכונות וירטואליות של Compute Engine מוגנת, והמכונות הווירטואליות של הלקוחות מבודדות ומוגנות זו מזו. בנוסף,‏ Compute Engine מתכננת לפרוס את תיקוני המיקרוקוד של Intel בתשתית שלנו, מה שיאפשר ללקוחות שמריצים עומסי עבודה לא מהימנים או מרובי-דיירים במכונה וירטואלית אחת להפעיל מיטיגציות נוספות בתוך המכונה הווירטואלית, כשהמיטיגציות האלה מסופקות על ידי ספקי מערכות הפעלה. ‫Compute Engine יפרוס את תיקוני המיקרוקוד אחרי ש-Intel תאשר אותם, ואחרי ש-Compute Engine יבדוק ויאשר את התיקונים לסביבת הייצור שלנו. נפרסם בדף הזה לוחות זמנים מפורטים יותר ועדכונים נוספים כשהם יהיו זמינים.

תיאור

מספרי ה-CVE האלה הם וריאציות של סוג חדש של מתקפה שמנצלת את טכנולוגיית הביצוע הספקולטיבי שזמינה במעבדים רבים. סוג המתקפה הזה יכול לאפשר גישה לא מורשית לקריאה בלבד לנתוני הזיכרון בנסיבות שונות.

‫Compute Engine השתמש בטכנולוגיית מיגרציה פעילה של מכונות וירטואליות כדי לבצע עדכונים של מערכת המארח וההיפר-ויזור בלי להשפיע על המשתמשים, בלי חלונות תחזוקה מאולצים ובלי צורך בהפעלה מחדש של מספר רב של מכונות. עם זאת, צריך לתקן את כל מערכות ההפעלה והגרסאות של האורחים כדי להגן מפני סוג חדש כזה של מתקפה, ללא קשר למקום שבו המערכות האלה פועלות.

פרטים טכניים מלאים על שיטת התקיפה הזו מופיעים בפוסט בבלוג של Project Zero. לפרטים מלאים על אמצעי ההגנה של Google, כולל מידע ספציפי על כל מוצר, אפשר לקרוא את הפוסט בבלוג האבטחה של Google.

ההשפעה על Compute Engine

התשתית שמריצה את Compute Engine ומבודדת את מכונות ה-VM של הלקוחות זו מזו מוגנת מפני התקפות מוכרות. אמצעי ההגנה שלנו מונעים גישה לא מורשית למערכות המארחות שלנו מאפליקציות שפועלות בתוך מכונות וירטואליות. אמצעי ההגנה האלה גם מונעים גישה לא מורשית בין מופעים של מכונות וירטואליות שפועלים באותה מערכת מארחת.

כדי למנוע גישה לא מורשית במופעים של מכונות וירטואליות, צריך לעדכן את מערכות ההפעלה של האורחים במופעים האלה באמצעות אחת מהאפשרויות הבאות:

  • משתמשים בתמונות ציבוריות עם תיקונים כדי ליצור מחדש את מכונות ה-VM הקיימות. בהמשך מופיעה רשימה של תמונות ציבוריות שעברו תיקון.
  • במופעים הקיימים, מתקינים תיקונים שסופקו על ידי ספק מערכת ההפעלה עבור ההפצה ומפעילים מחדש את המופעים המתוקנים. בהמשך מופיעים קישורים למידע על תיקוני אבטחה מכל ספק של מערכת הפעלה.

תמונות עם תיקוני אבטחה ומשאבים של ספקים

הערה: יכול להיות שהתמונות המתוקנות לא יכללו תיקונים לכל נקודות החולשה שמופיעות בהודעה הזו על עדכון אבטחה דחוף. בנוסף, תמונות שונות עשויות לכלול שיטות שונות למניעת התקפות מהסוגים האלה. כדאי לפנות לספק של מערכת ההפעלה כדי לברר אילו CVEs הוא מתקן בתיקונים שלו, ומהן שיטות המניעה שהוא משתמש בהן.

  • פרויקט cos-cloud: כולל תיקונים שמונעים התקפות של וריאציה 2 (CVE-2017-5715) וריאציה 3 (CVE-2017-5754) . ‫Google השתמשה ב-Retpoline בתמונות האלה כדי לצמצם את הסיכון להתקפות מסוג Variant 2.
    • cos-stable-63-10032-71-0 או משפחת תמונות cos-stable
  • פרויקט centos-cloud: CentOS patch information
    • centos-7-v20180104 או משפחת תמונות centos-7
    • centos-6-v20180104 או משפחת תמונות centos-6
  • פרויקט coreos-cloud: פרטי תיקון של CoreOS
    • coreos-stable-1576-5-0-v20180105 או משפחת תמונות coreos-stable
    • coreos-beta-1632-1-0-v20180105 או משפחת תמונות coreos-beta
    • coreos-alpha-1649-0-0-v20180105 או משפחת תמונות coreos-alpha
  • פרויקט debian-cloud: פרטי תיקון של Debian
    • debian-9-stretch-v20180105 או משפחת תמונות debian-9
    • debian-8-jessie-v20180109 או משפחת תמונות debian-8
  • פרויקט rhel-cloud: מידע על תיקון ל-RHEL
    • rhel-7-v20180104 או משפחת תמונות rhel-7
    • rhel-6-v20180104 או משפחת תמונות rhel-6
  • פרויקט suse-cloud: SUSE patch information
    • sles-12-sp3-v20180104 או משפחת תמונות sles-12
    • sles-11-sp4-v20180104 או משפחת תמונות sles-11
  • פרויקט suse-sap-cloud: SUSE patch information
    • sles-12-sp3-sap-v20180104 או משפחת תמונות sles-12-sp3-sap
    • sles-12-sp2-sap-v20180104 או משפחת תמונות sles-12-sp2-sap
  • פרויקט ubuntu-os-cloud: פרטי תיקון של Ubuntu
    • ubuntu-1710-artful-v20180109 או משפחת תמונות ubuntu-1710
    • ubuntu-1604-xenial-v20180109 או משפחת תמונות ubuntu-1604-lts
    • ubuntu-1404-trusty-v20180110 או משפחת תמונות ubuntu-1404-lts
  • פרויקטים windows-cloud ו- windows-sql-cloud:
    • כל התמונות הציבוריות של Windows Server ו-SQL Server עם מספר הגרסה -v20180109 ואילך כוללות תיקונים. עם זאת, כדי להפעיל ולאמת את אמצעי ההגנה האלה במכונות הקיימות ובמכונות החדשות, צריך לפעול לפי ההמלצות של מיקרוסופט שמופיעות בהנחיות ל-Windows Server.

אפשר להשתמש בתמונות האלה כדי ליצור מחדש את מופעי ה-VM. גרסאות קודמות של התמונות הציבוריות האלה לא מכילות את התיקונים האלה ולא מצמצמות את הסיכון להתקפות פוטנציאליות.

תיקוני אבטחה מספקי חומרה

חברת NVIDIA מספקת דרייברים עם תיקונים כדי לצמצם את הסיכון למתקפות פוטנציאליות על מערכות שמותקנת בהן תוכנת דרייבר של NVIDIA®. כדי לדעת אילו גרסאות של דרייברים תוקנו, אפשר לקרוא את עלון האבטחה NVIDIA GPU Display Driver Security Updates של NVIDIA.

היסטוריית גרסאות:

  • ‫21 במאי 2018, שעה 14:00 (לפי שעון החוף המערבי): נוסף מידע על 2 וריאציות חדשות שנחשפו ב-21 במאי 2018.
  • ‫2018-01-10 T 15:00 PST: נוסף מידע על תמונות ציבוריות של Windows Server ו-SQL Server שעברו תיקון.
  • ‫2018-01-10 T 10:15 PST: נוספו כמה תמונות של Ubuntu לרשימה של תמונות ציבוריות עם תיקונים.
  • ‫2018-01-10 T 09:50 PST: נוספו הנחיות לגבי תיקונים מספקים של חומרה.
  • ‫2018-01-03 עד 2018-01-09: בוצעו כמה שינויים ברשימה של תמונות ציבוריות עם תיקונים.
 גבוהה

תאריך הפרסום: 2017-10-02

תיאור רמת סיכון הערות

Dnsmasq מספק פונקציונליות להצגת DNS,‏ DHCP, הודעות של נתב ואתחול רשת. התוכנה הזו מותקנת בדרך כלל במערכות מגוונות כמו הפצות של Linux למחשבים (כמו Ubuntu), נתבים ביתיים ומכשירי IoT. Dnsmasq נמצא בשימוש נרחב באינטרנט הפתוח ובתוך רשתות פרטיות.

‫Google גילתה שבע בעיות שונות במהלך הערכות האבטחה הפנימיות הרגילות שלנו. אחרי שקבענו את חומרת הבעיות האלה, חקרנו את ההשפעה שלהן ואת האפשרות לנצל אותן, ואז יצרנו הוכחות פנימיות לכל אחת מהן. עבדנו גם עם סיימון קלי, האחראי על התחזוקה של Dnsmasq, כדי ליצור תיקונים מתאימים ולצמצם את הבעיה.

במהלך הבדיקה שלנו, הצוות מצא שלוש נקודות פוטנציאליות להרצת קוד מרחוק, נקודה אחת שדרכה יכול להיות מידע דולף ושלוש נקודות שדרכן יכולות להתבצע התקפות מניעת שירות (DoS) שמשפיעות על הגרסה האחרונה בשרת git של הפרויקט נכון ל-5 בספטמבר 2017.

התיקונים האלה מועברים ל-upstream ונשמרים ב מאגר Git של הפרויקט.

ההשפעה על Compute Engine

כברירת מחדל, Dnsmasq מותקן רק בתמונות שמשתמשות ב-NetworkManager, והוא לא פעיל כברירת מחדל. התמונות הציבוריות הבאות של Compute Engine כוללות את Dnsmasq:

  • ‫Ubuntu 16.04, ‏ 16.10, ‏ 17.04
  • ‫CentOS 7
  • RHEL 7

עם זאת, יכול להיות שבדימויים אחרים מותקן Dnsmasq כתלות בחבילות אחרות. מומלץ לעדכן את המופעים של Debian,‏ Ubuntu,‏ CentOS,‏ RHEL,‏ SLES ו-OpenSuse כדי להשתמש בתמונה העדכנית ביותר של מערכת ההפעלה. נקודת החולשה לא משפיעה על CoreOS ועל מערכת הפעלה שמותאמת לקונטיינרים. גם תמונות של Windows לא מושפעות.

במקרים שבהם מופעלות דוגמאות של Debian ו-Ubuntu, אפשר לבצע עדכון על ידי הרצת הפקודות הבאות בדוגמה:

sudo apt-get -y update
 
sudo apt-get -y dist-upgrade

במקרים של Red Hat Enterprise Linux ו-CentOS, מריצים את הפקודה:

sudo yum -y upgrade

לתמונות SLES ו-OpenSUSE, מריצים את הפקודה:

sudo zypper up

במקום להריץ את פקודות העדכון הידני, אפשר ליצור מחדש מכונות וירטואליות באמצעות משפחות התמונות של מערכת ההפעלה המתאימה.

 גבוהה

תאריך הפרסום: 2016-10-26

תיאור רמת סיכון הערות

‫CVE-2016-5195 הוא מרוץ תהליכים באופן שבו מערכת המשנה של הזיכרון של ליבת לינוקס טיפלה בשבירה של מיפויי קריאה בלבד של COW פרטי במצב של גישת כתיבה.

משתמש מקומי לא מורשה יכול לנצל את הפגם הזה כדי לקבל הרשאת כתיבה למיפויים של זיכרון לקריאה בלבד, וכך להגדיל את ההרשאות שלו במערכת.

מידע נוסף זמין בשאלות הנפוצות בנושא Dirty COW.

ההשפעה על Compute Engine

כל ההפצות והגרסאות של Linux ב-Compute Engine מושפעות. ברוב המקרים, יתבצעו הורדה והתקנה אוטומטיות של ליבת מערכת חדשה יותר. עם זאת, נדרשת הפעלה מחדש כדי לתקן את המערכת הפועלת.

במכונות חדשות או במכונות שנוצרו מחדש על סמך התמונות הבאות של Compute Engine, כבר מותקנים ליבות עם תיקונים.

  • centos-6-v20161026
  • centos-7-v20161025
  • coreos-alpha-1192-2-0-v20161021
  • coreos-beta-1185-2-0-v20161021
  • coreos-stable-1122-3-0-v20161021
  • debian-8-jessie-v20161020
  • rhel-6-v20161026
  • rhel-7-v20161024
  • sles-11-sp4-v20161021
  • sles-12-sp1-v20161021
  • ubuntu-1204-precise-v20161020
  • ubuntu-1404-trusty-v20161020
  • ubuntu-1604-xenial-v20161020
  • ubuntu-1610-yakkety-v20161020
 גבוהה CVE-2016-5195

תאריך הפרסום: 2016-02-16

העדכון האחרון: 22.2.2016

תיאור רמת סיכון הערות

‫CVE-2015-7547 היא נקודת חולשה שבה מפענח ה-DNS בצד הלקוח של glibc הופך את התוכנה לפגיעה לגלישת מאגר נתונים זמני מבוססת-סטאק כשמשתמשים בפונקציית הספרייה getaddrinfo(). תוקף יכול לנצל את התוכנה שמשתמשת בפונקציה כדי לנצל את נקודת החולשה הזו באמצעות שמות דומיינים בשליטת התוקף, שרתי DNS בשליטת התוקף או באמצעות התקפת אדם בתווך.

לפרטים נוספים, אפשר לעיין בפוסט בבלוג האבטחה של Google או במסד הנתונים של Common Vulnerabilities and Exposures (CVE).

ההשפעה על Compute Engine

עדכון (22 בפברואר 2016):

עכשיו אפשר ליצור מחדש את המופעים באמצעות התמונות הבאות של CoreOS,‏ SLES ו-OpenSUSE:

  • coreos-alpha-962-0-0-v20160218
  • coreos-beta-899-7-0-v20160218
  • coreos-stable-835-13-0-v20160218
  • opensuse-13-2-v20160222
  • opensuse-leap-42-1-v20160222
  • sles-11-sp4-v20160222
  • sles-12-sp1-v20160222

עדכון (17 בפברואר 2016):

עכשיו אפשר לבצע עדכון במופעי Ubuntu 12.04 LTS,‏ Ubuntu 14.04 LTS ו-Ubuntu 15.10 על ידי הרצת הפקודות הבאות:

  1. user@my-instance:~$ sudo apt-get -y update
  2. user@my-instance:~$ sudo apt-get -y dist-upgrade
  3. user@my-instance:~$ sudo reboot

במקום להריץ את פקודות העדכון הידני, אפשר ליצור מחדש את המכונות באמצעות קובצי האימג' החדשים הבאים:

  • backports-debian-7-wheezy-v20160216
  • centos-6-v20160216
  • centos-7-v20160216
  • debian-7-wheezy-v20160216
  • debian-8-jessie-v20160216
  • rhel-6-v20160216
  • rhel-7-v20160216
  • ubuntu-1204-precise-v20160217a
  • ubuntu-1404-trusty-v20160217a
  • ubuntu-1510-wily-v20160217

אנחנו לא מכירים שיטות שיכולות לנצל את נקודת החולשה הזו דרך מקודדי ה-DNS של Compute Engine עם הגדרת ברירת המחדל של glibc. מומלץ לתקן את המכונות הווירטואליות בהקדם האפשרי, כי כמו בכל פגיעות חדשה, יכול להיות שעם הזמן יתגלו שיטות ניצול חדשות. אם הפעלתם את edns0 (מושבת כברירת מחדל), אתם צריכים להשבית אותו עד שהמקרים שלכם יתוקנו.

הודעה מקורית:

יכול להיות שהפצת Linux שלכם פגיעה. לקוחות Compute Engine שמריצים מערכת הפעלה Linux צריכים לעדכן את תמונות מערכת ההפעלה של המכונות שלהם כדי לבטל את נקודת החולשה הזו.

במקרים שבהם פועל Debian, אפשר לבצע עדכון על ידי הרצת הפקודות הבאות במופע:

  1. user@my-instance:~$ sudo apt-get -y update
  2. user@my-instance:~$ sudo apt-get -y dist-upgrade
  3. user@my-instance:~$ sudo reboot

מומלץ גם להתקין את UnattendedUpgrades במכונות Debian.

במכונות Red Hat Enterprise Linux:

  • user@my-instance:~$ sudo yum -y upgrade
  • user@my-instance:~$ sudo reboot

נמשיך לעדכן את העלון הזה כשמנהלי מערכות הפעלה אחרים יפרסמו תיקונים לפגיעות הזו, וכש-Compute Engine יפרסם תמונות מעודכנות של מערכות הפעלה.

 גבוהה CVE-2015-7547

תאריך הפרסום: 19 במרץ 2015

תיאור רמת סיכון הערות

‫CVE-2015-1427 היא נקודת חולשה במנוע הסקריפטים של Groovy ב-Elasticsearch בגרסאות שלפני 1.3.8 ובכל גרסאות 1.4.x שלפני 1.4.3, שמאפשרת לתוקפים מרחוק לעקוף את מנגנון ההגנה של ארגז החול ולהריץ פקודות שרירותיות של מעטפת.

פרטים נוספים זמינים במאגר הנתונים הלאומי של פגיעויות (NVD) או במאגר הנתונים של פגיעויות וחשיפות נפוצות (CVE).

ההשפעה על Compute Engine

אם אתם מריצים Elasticsearch במופעים של Compute Engine, אתם צריכים לשדרג את גרסת Elasticsearch ל-1.4.3 או לגרסה מתקדמת יותר. אם כבר שדרגתם את תוכנת Elasticsearch, אתם מוגנים מפני נקודת החולשה הזו.

אם לא שדרגתם ל-Elasticsearch 1.4.3 ואילך, אתם יכולים לבצע שדרוג הדרגתי.

אם פרסתם את Elasticsearch באמצעות פריסה בקליק ב- Google Cloud console, תוכלו למחוק את הפריסה כדי להסיר מכונות של Elasticsearch שפועלות.

הצוות שלנו פועל לתיקון הבעיה כדי לפרוס גרסה מעודכנת של Elasticsearch. Google Cloud עם זאת, התיקון עדיין לא זמין לתכונה פריסה בקליק ב- Google Cloud console.

 גבוהה CVE-2015-1427

תאריך הפרסום: 29 בינואר 2015

תיאור רמת סיכון הערות

CVE-2015-0235 (Ghost) היא נקודת חולשה בספריית glibc.

לקוחות של App Engine‏, Cloud Storage‏, BigQuery ו-Cloud SQL לא צריכים לבצע שום פעולה. השרתים של Google עודכנו ומוגנים מפני נקודת החולשה הזו.

יכול להיות שלקוחות Compute Engine יצטרכו לעדכן את תמונות מערכת ההפעלה שלהם.

ההשפעה על Compute Engine

יכול להיות שהפצת Linux שלכם פגיעה. לקוחות Compute Engine שמשתמשים ב-Debian 7, ב-Debian 7 backports, ב-Ubuntu 12.04 LTS, ב-Red Hat Enterprise Linux, ב-CentOS או ב-SUSE Linux Enterprise Server 11 SP3 יצטרכו לעדכן את תמונות מערכת ההפעלה של המכונות שלהם כדי לבטל את נקודת החולשה הזו.

נקודת החולשה הזו לא משפיעה על Ubuntu 14.04 LTS,‏ Ubuntu 14.10 או SUSE Linux Enterprise Server 12.

מומלץ לשדרג את הפצות ה-Linux. במקרים שבהם מופעלות גרסאות Debian 7,‏ Debian 7 backports או Ubuntu 12.04 LTS, אפשר לבצע עדכון על ידי הרצת הפקודות הבאות במופע:

  1. user@my-instance:~$ sudo apt-get update
  2. user@my-instance:~$ sudo apt-get -y upgrade
  3. user@my-instance:~$ sudo reboot

במקרים של מכונות וירטואליות של Red Hat Enterprise Linux או CentOS:

  1. user@my-instance:~$ sudo yum -y upgrade
  2. user@my-instance:~$ sudo reboot

במופעים של SUSE Linux Enterprise Server 11 SP3:

  1. user@my-instance:~$ sudo zypper --non-interactive up
  2. user@my-instance:~$ sudo reboot

במקום להריץ את פקודות העדכון הידני שלמעלה, המשתמשים יכולים ליצור מחדש את המופעים שלהם באמצעות התמונות החדשות הבאות:

  • debian-7-wheezy-v20150127
  • backports-debian-7-wheezy-v20150127
  • centos-6-v20150127
  • centos-7-v20150127
  • rhel-6-v20150127
  • rhel-7-v20150127
  • sles-11-sp3-v20150127
  • ubuntu-1204-precise-v20150127

ההשפעה על מכונות וירטואליות בניהול Google

משתמשי מכונות וירטואליות מנוהלות שמשתמשים ב-gcloud preview app deploy צריכים לעדכן את קובצי ה-Docker הבסיסיים שלהם באמצעות gcloud preview app setup-managed-vms ולפרוס מחדש כל אחת מהאפליקציות הפועלות שלהם באמצעות gcloud preview app deploy. משתמשים שפורסים באמצעות appcfg לא צריכים לעשות שום דבר והשדרוג יתבצע באופן אוטומטי.

 גבוהה CVE-2015-0235

תאריך הפרסום: 15 באוקטובר 2014

העדכון האחרון: 17 באוקטובר 2014

תיאור רמת סיכון הערות

‫CVE-2014-3566 (שנקרא גם POODLE) הוא נקודת חולשה בתכנון של SSL גרסה 3.0. נקודת החולשה הזו מאפשרת לתוקף ברשת לחשב את הטקסט הרגיל של חיבורים מאובטחים. לפרטים נוספים, ראה פוסט בבלוג שלנו בנושא נקודת החולשה.

לקוחות של App Engine,‏ Cloud Storage,‏ BigQuery ו-Cloud SQL לא צריכים לבצע שום פעולה. השרתים של Google עודכנו ומוגנים מפני נקודת החולשה הזו. לקוחות של Compute Engine צריכים לעדכן את תמונות מערכת ההפעלה שלהם.

ההשפעה על Compute Engine

עדכון (17 באוקטובר 2014):

אם אתם משתמשים ב-SSLv3, יכול להיות שאתם חשופים לבעיה. לקוחות Compute Engine יצטרכו לעדכן את תמונות מערכת ההפעלה של המכונות שלהם כדי לבטל את נקודת החולשה הזו.

מומלץ לשדרג את הפצות ה-Linux. במקרים שבהם מריצים Debian, אפשר לבצע עדכון על ידי הרצת הפקודות הבאות במופע:

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade
user@my-instance:~$ sudo reboot

במופעי CentOS:

user@my-instance:~$ sudo yum -y upgrade
user@my-instance:~$ sudo reboot

במקום להריץ את פקודות העדכון הידניות שצוינו למעלה, המשתמשים יכולים עכשיו ליצור מחדש את המופעים שלהם באמצעות התמונות החדשות הבאות:

  • centos-6-v20141016
  • centos-7-v20141016
  • debian-7-wheezy-v20141017
  • backports-debian-7-wheezy-v20141017

אנחנו נעדכן את העלון לתמונות RHEL ו-SLES אחרי שנקבל את התמונות. בינתיים, משתמשי RHEL יכולים לפנות ישירות אל Red Hat לקבלת מידע נוסף.

הודעה מקורית:

לקוחות Compute Engine יצטרכו לעדכן את תמונות מערכת ההפעלה של המופעים שלהם כדי לבטל את נקודת החולשה הזו. אנחנו נעדכן את עדכון האבטחה הדחוף הזה עם הוראות ברגע שתמונות חדשות של מערכת ההפעלה יהיו זמינות.

בינוני CVE-2014-3566

תאריך הפרסום: 24 בספטמבר 2014

last updated: 2014-09-29

תיאור רמת סיכון הערות

יש באג ב-bash ‏ (CVE-2014-6271) שמאפשר הרצת קוד מרחוק על סמך ניתוח של משתני סביבה שנשלטים על ידי תוקף. הווקטור הסביר ביותר לניצול הוא שימוש בבקשות HTTP זדוניות שמופנות לסקריפטים של CGI שנחשפים בשרת אינטרנט. למידע נוסף, אפשר לעיין בתיאור הבאג.

הבאגים ב-Bash טופלו ב Google Cloud מוצרים חוץ מתמונות של מערכות הפעלה אורחות ב-Compute Engine שתאריך היצירה שלהן קודם ל-20140926. בהמשך מפורטים השלבים לצמצום הסיכון לניצול הבאגים בתמונות של Compute Engine.

ההשפעה על Compute Engine

יכול להיות שהבאג הזה ישפיע על כמעט כל האתרים שמשתמשים בסקריפטים של CGI. בנוסף, סביר להניח שהיא תשפיע על אתרים שמסתמכים על PHP,‏ Perl,‏ Python,‏ SSI,‏ Java,‏ C++‎ וסרוולטים דומים שיפעילו אי פעם פקודות של מעטפת באמצעות קריאות כמו popen,‏ system,‏ shell_exec או ממשקי API דומים. יכול להיות שהיא תשפיע גם על מערכות שמנסות לאפשר גישה מבוקרת להתחברות של משתמשים מוגבלים באמצעות מנגנונים כמו הגבלת פקודות SSH או מעטפת bash מוגבלת.

עדכון (29 בספטמבר 2014):

במקום להריץ את פקודות העדכון הידניות שבהמשך, המשתמשים יכולים ליצור מחדש את המופעים שלהם באמצעות תמונות שמפחיתות את הסיכון לנקודות חולשה נוספות שקשורות לבאג האבטחה ב-Bash, כולל CVE-2014-7169,‏ CVE-2014-6277,‏ CVE-2014-6278,‏ CVE-2014-7186 ו-CVE-2014-7187. כדי ליצור מחדש את המכונות, צריך להשתמש בתמונות החדשות הבאות:

  • centos-6-v20140926
  • centos-7-v20140926
  • debian-7-wheezy-v20140926
  • backports-debian-7-wheezy-v20140926
  • rhel-6-v20140926

עדכון (25 בספטמבר 2014):

המשתמשים יכולים עכשיו לבחור ליצור מחדש את המופעים שלהם במקום לבצע עדכון ידני. כדי ליצור מחדש את המקרים, משתמשים בתמונות החדשות הבאות שמכילות תיקונים לבאג האבטחה הזה:

  • backports-debian-7-wheezy-v20140924
  • debian-7-wheezy-v20140924
  • rhel-6-v20140924
  • centos-6-v20140924
  • centos-7-v20140924

בתמונות של RHEL ו-SUSE, אפשר גם לבצע עדכונים באופן ידני על ידי הרצת הפקודות הבאות במופעים:

# RHEL instances
user@my-instance:~$ sudo yum -y upgrade

# SUSE instances
user@my-instance:~$ sudo zypper --non-interactive up

הודעה מקורית:

מומלץ לשדרג את הפצות ה-Linux. במקרים שבהם מופעלת מערכת Debian, אפשר לבצע עדכון על ידי הרצת הפקודות הבאות במופע:

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade

במופעי CentOS:

user@my-instance:~$ sudo yum -y upgrade

למידע מפורט, אפשר לעיין בהודעה על הפצת Linux הרלוונטית:

 גבוהה CVE-2014-7169, CVE-2014-6271, CVE-2014-6277, CVE-2014-6278 CVE-2014-7186, CVE-2014-7187

תאריך הפרסום: 25 ביולי 2014

תיאור רמת סיכון הערות

Elasticsearch Logstash פגיע להחדרת פקודות למערכת ההפעלה שיכולה לאפשר שינוי לא מורשה של נתונים וחשיפה שלהם. תוקף יכול לשלוח אירועים שנוצרו במיוחד לכל אחד ממקורות הנתונים של Logstash, וכך לבצע פקודות עם ההרשאות של תהליך Logstash.

ההשפעה על Compute Engine

נקודת החולשה הזו משפיעה על כל המכונות של Compute Engine שפועלות בגרסאות של Elasticsearch Logstash לפני 1.4.2 עם פלט zabbix או nagios_nsca מופעל. כדי למנוע מתקפה, אפשר:

  • שדרוג ל-Logstash 1.4.2
  • החלת התיקון על גרסאות 1.3.x
  • משביתים את הפלט של zabbix ושל nagios_nsca.

מידע נוסף זמין בבלוג של Logstash.

ב-Elasticsearch מומלץ גם להשתמש בחומת אש כדי למנוע גישה מרחוק מכתובות IP לא מהימנות.

גבוהה CVE-2014-4326

תאריך הפרסום: 18 ביוני 2014

תיאור רמת סיכון הערות

אנחנו רוצים להקדיש רגע כדי להגיב לכל חשש אפשרי שיש ללקוחות לגבי האבטחה של קונטיינרים של Docker כשמפעילים אותם ב- Google Cloud. ההגדרה הזו כוללת לקוחות שמשתמשים בתוספים שלנו ל-App Engine שתומכים בקונטיינרים של Docker, במכונות וירטואליות שעברו אופטימיזציה לקונטיינרים או בתזמן Kubernetes בקוד פתוח.

חברת Docker הגיבה לבעיה בצורה מצוינת, ואפשר לראות את התגובה שלה בבלוג כאן. חשוב לשים לב: כפי שצוין בתשובה, הבעיה רלוונטית רק ל-Docker 0.11, גרסה ישנה יותר שלפני ייצור.

בזמן שבעולם חושבים על אבטחת קונטיינרים, אנחנו רוצים לציין שב- Google Cloud, פתרונות שמבוססים על קונטיינרים של אפליקציות Linux (במיוחד קונטיינרים של Docker) פועלים במכונות וירטואליות מלאות (Compute Engine). אנחנו תומכים במאמצים של קהילת Docker להקשחת מחסנית הקונטיינרים של אפליקציות Linux, אבל אנחנו מודעים לכך שהטכנולוגיה חדשה ושטח הפנים גדול. לדעתנו, נכון לעכשיו, היפרויזורים מלאים (מכונות וירטואליות) מספקים שטח פנים קומפקטי יותר וקל יותר להגנה. מכונות וירטואליות תוכננו מההתחלה כך שיבודדו עומסי עבודה זדוניים ויצמצמו את הסבירות לבאג בקוד ואת ההשפעה שלו.

הלקוחות שלנו יכולים להיות בטוחים שקיים גבול מלא של היפר-ויזורים בינם לבין כל צד שלישי, כולל קוד זדוני פוטנציאלי. אם נגיע למצב שבו נחשיב את מחסנית מאגרי האפליקציות של Linux כמספיק חזקה כדי לתמוך בעומסי עבודה של דיירים רבים, נודיע על כך לקהילה. בשלב הזה, מארז האפליקציות של Linux לא מחליף את המכונה הווירטואלית. זו דרך להפיק ממנו הרבה יותר.

נמוכה פוסט בבלוג של Docker

תאריך הפרסום: 2014-06-05

העדכון האחרון: 09.06.2014

תיאור רמת סיכון הערות

יש בעיה ב-OpenSSL שבה הודעות ChangeCipherSpec לא משויכות בצורה נכונה למכונת מצבים של לחיצת היד. כך אפשר להחדיר אותם מוקדם יותר לתהליך הלחיצה. תוקף שמשתמש בלחיצת יד מתוכננת בקפידה יכול לכפות שימוש בחומר מפתח חלש בלקוחות ובשרתים של OpenSSL SSL/TLS. אפשר לנצל את הפרצה הזו כדי לבצע התקפת אדם בתווך (PITM), שבה התוקף יכול לפענח ולשנות את התנועה מהלקוח ומהשרת המותקפים.

הבעיה הזו מזוהה כ- CVE-2014-0224. צוות OpenSSL תיקן את הבעיה והודיע לקהילת OpenSSL על הצורך לעדכן את OpenSSL.

ההשפעה על Compute Engine

נקודת החולשה הזו משפיעה על כל המכונות של Compute Engine שמשתמשות ב-OpenSSL, כולל Debian,‏ CentOS,‏ Red Hat Enterprise Linux ו-SUSE Linux Enterprise Server. אפשר לעדכן את המופעים על ידי יצירה מחדש שלהם עם תמונות חדשות, או על ידי עדכון ידני של חבילות במופעים.

עדכון (2014-06-09): כדי לעדכן את המכונות הווירטואליות שמריצות SUSE Linux Enterprise Server עם תמונות חדשות, צריך ליצור מחדש את המכונות הווירטואליות באמצעות גרסאות התמונה הבאות או גרסאות חדשות יותר:

  • sles-11-sp3-v20140609

הפוסט המקורי:

כדי לעדכן מכונות Debian ו-CentOS באמצעות תמונות חדשות, צריך ליצור מחדש את המכונות באמצעות אחת מגרסאות התמונות הבאות או גרסה מתקדמת יותר:

  • debian-7-wheezy-v20140605
  • backports-debian-7-wheezy-v20140605
  • centos-6-v20140605
  • rhel-6-v20140605

כדי לעדכן את OpenSSL באופן ידני במופעים, מריצים את הפקודות הבאות כדי לעדכן את החבילות המתאימות. במקרים שבהם מופעלים CentOS ו-RHEL, אפשר לעדכן את OpenSSL על ידי הרצת הפקודות הבאות במופע: 

user@my-instance:~$ sudo yum -y update
user@my-instance:~$ sudo reboot

במקרים שבהם מופעלת מערכת Debian, אפשר לעדכן את OpenSSL על ידי הרצת הפקודות הבאות במופע: 

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade
user@my-instance:~$ sudo reboot

במקרים שבהם פועל SUSE Linux Enterprise Server, אפשר לוודא ש-OpenSSL מעודכן על ידי הפעלת הפקודות הבאות במופע: 

user@my-instance:~$ sudo zypper --non-interactive up
user@my-instance:~$ sudo reboot
 		בינוני CVE-2014-0224

תאריך הפרסום: 08.04.2014

תיאור רמת סיכון הערות

היישומים של (1) TLS ו-(2) DTLS ב-OpenSSL 1.0.1 לפני 1.0.1g לא מטפלים בחבילות של Heartbeat Extension בצורה תקינה, מה שמאפשר לתוקפים מרוחקים להשיג מידע רגיש מזיכרון התהליך באמצעות חבילות שנוצרו במיוחד ומפעילות קריאה מעבר לגבולות המאגר, כפי שמוצג בקריאת מפתחות פרטיים, שקשור ל-d1_both.c ול-t1_lib.c, שנקרא גם באג Heartbleed.

ההשפעה על Compute Engine

נקודת החולשה הזו משפיעה על כל המכונות של Compute Engine Debian,‏ RHEL ו-CentOS שלא מותקנת בהן הגרסה העדכנית ביותר של OpenSSL. אפשר לעדכן את המופעים על ידי יצירה מחדש שלהם עם תמונות חדשות, או על ידי עדכון ידני של חבילות במופעים.

כדי לעדכן את המכונות שלכם באמצעות תמונות חדשות, צריך ליצור מחדש את המכונות באמצעות אחת מגרסאות התמונות הבאות או גרסה מתקדמת יותר:

  • debian-7-wheezy-v20140408
  • backports-debian-7-wheezy-v20140408
  • centos-6-v20140408
  • rhel-6-v20140408

כדי לעדכן את OpenSSL באופן ידני במופעים, מריצים את הפקודות הבאות כדי לעדכן את החבילות המתאימות. במקרים שבהם פועלות גרסאות של CentOS ו-RHEL, אפשר לוודא ש-OpenSSL מעודכן באמצעות הפעלת הפקודות הבאות במופע: 

user@my-instance:~$ sudo yum update
user@my-instance:~$ sudo reboot

במקרים שבהם מופעלת מערכת Debian, אפשר לעדכן את OpenSSL על ידי הרצת הפקודות הבאות במופע: 

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get upgrade
user@my-instance:~$ sudo reboot

השינוי לא משפיע על מקרים שבהם פועלת מערכת SUSE Linux.

עדכון מ-14 באפריל 2014: בעקבות מחקר חדש על חילוץ מפתחות באמצעות הבאג Heartbleed,‏ Compute Engine ממליץ ללקוחות Compute Engine ליצור מפתחות חדשים לכל שירות SSL שהושפע.

בינוני CVE-2014-0160

תאריך הפרסום: 2013-06-07

תיאור רמת סיכון הערות

הערה: הפגיעות הזו רלוונטית רק לליבות שהוצאו משימוש והוסרו מאז גרסת API v1.

נקודת חולשה במחרוזת פורמט בפונקציה b43_request_firmware ב-drivers/net/wireless/b43/main.c במנהל ההתקן האלחוטי Broadcom B43 בליבת לינוקס עד גרסה 3.9.4 מאפשרת למשתמשים מקומיים לקבל הרשאות על ידי ניצול גישת root וציון מפרטי מחרוזת פורמט בפרמטר fwpostfix modprobe, מה שמוביל ליצירה לא תקינה של הודעת שגיאה.

ההשפעה על Compute Engine

נקודת החולשה הזו משפיעה על כל ליבות Compute Engine בגרסאות קודמות ל-gcg-3.3.8-201305291443. בתגובה, הוצאנו משימוש את כל הגרעינים הקודמים ב-Compute Engine, ואנחנו ממליצים למשתמשים לעדכן את המכונות והתמונות שלהם כדי להשתמש בגרעין gce-v20130603 של Compute Engine. ‫gce-v20130603 מכיל את ליבת ‫gcg-3.3.8-201305291443, שכוללת את התיקון לנקודת החולשה הזו.

כדי לגלות איזו גרסת ליבה נמצאת בשימוש במופע:

  1. התחברות למופע באמצעות SSH
  2. מריצים את uname -r
 בינוני CVE-2013-2852

תאריך הפרסום: 2013-06-07

תיאור רמת סיכון הערות

הערה: הפגיעות הזו רלוונטית רק לליבות שהוצאו משימוש והוסרו מאז גרסת API‏ v1.

פגיעות במחרוזת פורמט בפונקציה register_disk ב-block/genhd.c בגרסה 3.9.4 של ליבת לינוקס מאפשרת למשתמשים מקומיים לקבל הרשאות על ידי ניצול גישת שורש וכתיבת מפרטים של מחרוזת פורמט ל-/sys/module/md_mod/parameters/new_array כדי ליצור שם מכשיר /dev/md שנוצר במיוחד.

ההשפעה על Compute Engine

נקודת החולשה הזו משפיעה על כל ליבות Compute Engine בגרסאות קודמות ל-gcg-3.3.8-201305291443. בתגובה, הוצאנו משימוש ב-Compute Engine את כל הגרעינים הקודמים, ואנחנו ממליצים למשתמשים לעדכן את המכונות והתמונות שלהם כדי להשתמש בגרעין gce-v20130603 של Compute Engine. ‫gce-v20130603 מכיל את ליבת ‫gcg-3.3.8-201305291443, שכוללת את התיקון לנקודת החולשה הזו.

כדי לגלות איזו גרסת ליבה נמצאת בשימוש במופע:

  1. התחברות למופע באמצעות SSH
  2. מריצים את uname -r
 בינוני CVE-2013-2851

תאריך הפרסום: 14 במאי 2013

תיאור רמת סיכון הערות

הערה: הפגיעות הזו רלוונטית רק לליבות שהוצאו משימוש והוסרו מאז גרסת API v1.

הפונקציה perf_swevent_init ב-kernel/events/core.c בליבת Linux לפני גרסה 3.8.9 משתמשת בסוג נתונים שגוי integer, שמאפשר למשתמשים מקומיים לקבל הרשאות באמצעות קריאה מתוכננת למערכת perf_event_open.

ההשפעה על Compute Engine

נקודת החולשה הזו משפיעה על כל ליבות Compute Engine בגרסאות קודמות ל-gcg-3.3.8-201305211623. בתגובה, הוצאנו משימוש את כל הגרעינים הקודמים ב-Compute Engine, ואנחנו ממליצים למשתמשים לעדכן את המכונות והתמונות שלהם כדי להשתמש בגרעין gce-v20130521 של Compute Engine. ‫gce-v20130521 מכיל את ליבת ‫gcg-3.3.8-201305211623, שכוללת את התיקון לנקודת החולשה הזו.

כדי לגלות איזו גרסת ליבה נמצאת בשימוש במופע:

  1. התחברות למופע באמצעות SSH
  2. מריצים את uname -r
 גבוהה CVE-2013-2094

תאריך הפרסום: 18 בפברואר 2013

תיאור רמת סיכון הערות

הערה: הפגיעות הזו רלוונטית רק לליבות שהוצאו משימוש והוסרו מאז גרסת API v1.

מרוץ תהליכים בפונקציונליות ptrace בליבת ה-Linux לפני גרסה 3.7.5 מאפשר למשתמשים מקומיים לקבל הרשאות באמצעות קריאת מערכת PTRACE_SETREGS ptrace באפליקציה שנוצרה במיוחד.

ההשפעה על Compute Engine

נקודת החולשה הזו משפיעה על ליבות Compute Engine‏ 2.6.x-gcg-<date>. בתגובה, הוצאנו משימוש את ליבות 2.6.x ב-Compute Engine, ואנחנו ממליצים למשתמשים לעדכן את המכונות והתמונות שלהם כדי להשתמש בליבת gce-v20130225 של Compute Engine. ‫gce-v20130225 מכיל את הקרנל 3.3.8-gcg-201302081521, שכולל את התיקון לנקודת החולשה הזו.

כדי לגלות איזו גרסת ליבה נמצאת בשימוש במופע:

  1. התחברות למופע באמצעות SSH
  2. מריצים את uname -r
 בינוני CVE-2013-0871