Google Compute Engine 安全公告全集:CPU漏洞与云安全防护详解
安全公告
我们会定期发布与Compute Engine相关的安全公告。所有Compute Engine的安全公告均在此处描述。
使用此XML订阅源订阅Compute Engine安全公告。
GCP-2025-058
发布时间: 2025-10-20
| 描述 | 严重性 | 备注 |
|---|---|---|
| 在AMD Zen 5处理器(Turin)的RDSEED指令中发现一个缺陷。该指令用于生成加密随机数。在特定系统负载条件下,16位和32位版本的RDSEED可能会静默失败,这可能危及依赖随机数生成的应用程序。使用64位版本RDSEED的客户不受影响。 | 高 |
我该怎么办?
AMD正在调查此漏洞。
需要注意的是,64位Linux内核使用安全的64位版本RDSEED指令,并且该指令为/dev/[u]random提供随机数。这些随机数不受此漏洞影响。
如果您有应用程序代码使用RDSEED指令自行合成随机数,请注意16位和32位版本的指令不安全。64位版本的指令是安全的。
正在解决哪些漏洞?
此漏洞允许攻击者导致RDSEED静默失败,可能危及应用程序中的随机数生成。
GCP-2025-044
发布时间: 2025-08-12
| 描述 | 严重性 | 备注 |
|---|---|---|
| Intel已向Google通报了两个新的安全漏洞。CVE-2025-21090:此漏洞影响以下Intel处理器:Sapphire Rapids(C3、Z3、H3、A3、v5p VM系列)、Emerald Rapids(N4、C4、M4、A3 Ultra、A4 VM系列)、Granite Rapids(N4、C4 VM系列)。CVE-2025-22840:此漏洞影响以下Intel处理器:Granite Rapids(N4、C4 VM系列)。 | 中 | CVE-2025-21090 CVE-2025-22840 |
我该怎么办?
对于任一漏洞,客户无需采取任何措施。Google将在您的标准和计划维护窗口期间主动更新您的系统。目前,尚未发现或向Google报告任何利用证据。
正在解决哪些漏洞?
漏洞CVE-2025-21090允许未授权参与者利用AMX CPU指令,结合AVX CPU指令,使主机机器无法运行。漏洞CVE-2025-22840允许未授权参与者利用prefetchit CPU指令加载其本无法访问的内存内容,可能导致远程代码执行。
GCP-2025-042
发布时间: 2025-08-11
| 描述 | 严重性 | 备注 |
|---|---|---|
| 研究人员在特定Intel CPU中发现安全漏洞,包括基于Skylake、Broadwell和Haswell微架构的CPU。此漏洞允许攻击者可能直接从CPU的L1缓存中读取其无权访问的敏感数据。此漏洞最初于2018年在CVE-2018-3646中披露。发现此漏洞后,Google立即实施了缓解措施以解决已知风险。当时发布了有关该漏洞和初始修复的通信。此后,我们一直在研究剩余风险,并与上游Linux社区合作修复此风险。最近,我们与学术界的security研究人员合作评估CPU安全缓解措施的最新状态,以及2018年未考虑的潜在攻击技术。Google已对受影响资产(包括Google Cloud)应用修复以缓解此问题。 | 高 | CVE-2018-3646 |
我该怎么办?
客户无需采取任何措施。缓解措施已应用于Google服务器群。
正在解决哪些漏洞?
更多信息,请参阅Intel公告INTEL-SA-00161和CVE-2018-3646。
GCP-2025-031
发布时间: 2025-06-10
| 描述 | 严重性 | 备注 |
|---|---|---|
| 可信计算组(TCG)报告了可信平台模块(TPM)软件漏洞,该漏洞影响使用虚拟TPM(vTPM)的Shielded VM。此漏洞允许经过身份验证的本地攻击者读取敏感vTPM数据或影响vTPM可用性。vTPM访问通常是特权操作。但是,某些配置可能允许更广泛的vTPM访问。 | 高 | CVE-2025-2884 |
我该怎么办?
客户无需采取任何措施。Google将在您的标准和计划维护窗口期间主动更新您的系统。但是,您可以将vTPM访问限制为管理(root)用户;此操作有助于降低Shielded VM的风险。
正在解决哪些漏洞?
漏洞CVE-2025-2884允许具有vTPM接口访问权限的本地攻击者发送恶意命令。这些命令利用不匹配,读取越界(OOB)vTPM内存。此操作可能暴露敏感数据。
GCP-2025-025
发布时间: 2025-05-13
| 描述 | 严重性 | 备注 |
|---|---|---|
| Intel已向Google通报了一个影响以下Intel处理器的新侧信道漏洞:CascadeLake、Ice Lake XeonSP、Ice Lake XeonD、Sapphire Rapids和Emerald Rapids。Google已对受影响资产(包括Google Cloud)应用修复以确保客户受到保护。目前,尚未发现或向Google报告任何利用证据。 | 高 | CVE-2024-45332 |
我该怎么办?
客户无需采取任何措施。修复已应用于Google服务器群以保护客户。
正在解决哪些漏洞?
CVE-2024-45332。更多信息,请参阅Intel公告INTEL-SA-01247。
我们在此提供帮助
如果您有任何问题或需要帮助,请联系Cloud Customer Care并引用问题编号417536835。
GCP-2025-024
发布时间: 2025-05-12
更新时间: 2025-05-13
| 描述 | 严重性 | 备注 |
|---|---|---|
| 2025-05-13更新:如果您有任何问题或需要帮助,请联系Cloud Customer Care并引用问题编号417458390。Intel已向Google通报了一个影响Intel Cascade Lake处理器和Intel Ice Lake处理器的新推测执行漏洞。Google已对受影响资产(包括Google Cloud)应用修复以确保客户受到保护。目前,尚未发现或向Google报告任何利用证据。 | 高 | CVE-2024-28956 |
我该怎么办?
客户无需采取任何措施。缓解措施已应用于Google服务器群。来自Intel原始设备制造商(OEM)和其他操作系统合作伙伴的进一步缓解措施将在可用后尽快部署,以缓解同模式间接目标选择(ITS)漏洞。应用操作系统缓解措施后,运行长时间运行的第三代或更高版本VM的客户可能会遇到一些意外的性能下降。
正在解决哪些漏洞?
CVE-2024-28956。更多信息,请参阅Intel安全公告INTEL-SA-01153。
GCP-2024-040
发布时间: 2024-07-01
更新时间: 2024-08-20
| 描述 | 严重性 | 备注 |
|---|---|---|
| 更新:2024-08-20:包含TPU补丁。在Linux发行版提供更新后应用更新。请参考Linux发行版的指南。如果您使用TPU,请更新到以下修补版本之一:tpu-ubuntu2204-base、v2-alpha-tpuv5、v2-alpha-tpuv5-lite。在OpenSSH中发现了一个漏洞(CVE-2024-6387)。成功利用此漏洞允许远程未授权攻击者在目标机器上以root身份执行任意代码。建议分析所有使用基于glibc的Linux发行版并暴露OpenSSH的Compute Engine VM是否存在易受攻击的版本。 | 严重 | CVE-2024-6387 |
我该怎么办?
在Linux发行版提供更新后应用更新。请参考Linux发行版的指南。对于Google的Container-Optimized OS,请更新到以下修补版本之一:cos-113-18244-85-49、cos-109-17800-218-69、cos-105-17412-370-67、cos-101-17162-463-55。如果您通过Google托管服务(例如GKE)使用Container-Optimized OS,请参考该服务的安全公告以获取补丁可用性。
如果无法更新,考虑在可以打补丁之前关闭OpenSSH。默认网络预填充了default-allow-ssh防火墙规则以允许从公共Internet进行ssh访问。要删除此访问权限,客户可以:可选地创建规则以允许从受信任网络到GKE节点或项目中其他Compute Engine VM的任何所需SSH访问;然后使用以下命令禁用默认防火墙规则:gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT。如果您创建了任何其他可能通过TCP端口22允许SSH的防火墙规则,请禁用它们或将源IP限制为受信任的网络。验证您是否不再可以从Internet ssh到您的VM。此防火墙配置缓解了漏洞。
如果需要保持OpenSSH开启,您还可以执行配置更新以消除利用的竞争条件。这是一个运行时缓解措施。要在sshd配置中应用更改,此脚本将重新启动sshd服务。
#!/bin/bash
set -e
SSHD_CONFIG_FILE=/etc/ssh/sshd_config
if [[ "$(grep -ci '^LoginGraceTime' $SSHD_CONFIG_FILE)" -eq 0 ]]; then
echo "LoginGraceTime 0" >> "$SSHD_CONFIG_FILE"
echo "Set the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
else
sed -i 's/^LoginGraceTime.*$/LoginGraceTime 0/' /etc/ssh/sshd_config
echo "Changed the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
fi
systemctl restart sshd
最后,监控涉及SSH服务器的任何异常网络活动。
GCP-2024-021
发布时间: 2024-04-03
| 描述 | 严重性 | 备注 |
|---|---|---|
| Compute Engine不受CVE-2024-3094影响,该漏洞影响xz-utils包5.6.0和5.6.1版本中的liblzma库,并可能导致OpenSSH实用程序受损。 | 中 | CVE-2024-3094 |
我该怎么办?
Compute Engine提供和支持的公共镜像不受此CVE影响。如果您为VM使用Compute Engine公共镜像,则无需采取任何措施。如果您创建了使用xz-utils包5.6.0和5.6.1版本的自定义镜像,则可能面临风险,例如以下操作系统:Fedora 41和Fedora Rawhide、Debian testing/unstable、openSUSE tumbleweed。为缓解此风险,请停止使用这些操作系统或可能使用受影响操作系统的VM。如果您有基于其他操作系统的自定义镜像构建的VM,请检查您的OS供应商以查看您的VM是否受影响。
正在解决哪些漏洞?
CVE-2024-3094
GCP-2024-001
发布时间: 2024-01-09
| 描述 | 严重性 | 备注 |
|---|---|---|
| 在TianoCore EDK II UEFI固件中发现了多个漏洞。此固件用于Google Compute Engine VM。如果被利用,这些漏洞可能允许绕过安全启动,从而在安全启动过程中提供错误的测量值,包括在Shielded VM中使用时。 | 中 | CVE-2022-36763 CVE-2022-36764 CVE-2022-36765 |
我该怎么办?
无需采取任何措施。Google已在整个Compute Engine中修补了此漏洞,所有VM均受保护,免受此漏洞影响。
此补丁缓解了哪些漏洞?
该补丁缓解了以下漏洞:CVE-2022-36763、CVE-2022-36764、CVE-2022-36765。
GCP-2023-44
发布时间: 2023-11-15
| 描述 | 严重性 | 备注 |
|---|---|---|
| 11月14日,AMD披露了多个影响各种AMD服务器CPU的漏洞。具体来说,这些漏洞影响采用Zen核心第2代"Rome"、第3代"Milan"和第4代"Genoa"的EPYC服务器CPU。Google已对受影响资产(包括Google Cloud)应用修复以确保客户受到保护。目前,尚未发现或向Google报告任何利用证据。 | 中 | CVE-2022-23820 CVE-2021-46774 CVE-2023-20533 CVE-2023-20519 CVE-2023-20592 CVE-2023-20566 CVE-2022-23830 CVE-2023-20526 CVE-2021-26345 |
我该怎么办?
客户无需采取任何措施。修复已应用于Google Cloud的Google服务器群,包括Google Compute Engine。
此补丁缓解了哪些漏洞?
该补丁缓解了以下漏洞:CVE-2022-23820、CVE-2021-46774、CVE-2023-20533、CVE-2023-20519、CVE-2023-20592、CVE-2023-20566、CVE-2022-23830、CVE-2023-20526、CVE-2021-26345。更多信息,请参阅AMD安全公告AMD-SN-3005:"AMD INVD指令安全通知"(也发布为CacheWarp)和AMD-SN-3002:"AMD服务器漏洞 - 2023年11月"。
GCP-2023-004
发布时间: 2023-04-26
| 描述 | 严重性 | 备注 |
|---|---|---|
| 在可信平台模块(TPM)2.0中发现了两个漏洞(CVE-2023-1017和CVE-2023-1018)。这些漏洞可能允许复杂攻击者利用某些Compute Engine VM上的2字节越界读/写。 | 中 | CVE-2023-1017 CVE-2023-1018 |
我该怎么办?
补丁已自动应用于所有易受攻击的VM。客户无需采取任何措施。
此补丁缓解了哪些漏洞?
该补丁缓解了以下漏洞:
CVE-2023-1017:在vTPM参数解密例程中可能触发缓冲区溢出。在易受攻击的VM上运行的本地攻击者可能利用此漏洞触发拒绝服务或可能在vTPM上下文中执行任意代码。
CVE-2023-1018:在vTPM参数解密例程中存在越界读取。在易受攻击的VM上运行的本地攻击者可能利用此漏洞间接泄露vTPM上下文中的有限数据。
GCP-2021-026
发布时间: 2021-12-14
| 描述 | 严重性 | 备注 |
|---|---|---|
| Apache Log4j实用程序是用于记录请求的常用组件。2021年12月9日,报告了一个漏洞,可能允许运行Apache Log4j 2.14.1或以下版本的系统被入侵,并允许攻击者执行任意代码。2021年12月10日,NIST发布了一个关键的常见漏洞和暴露警报CVE-2021-44228。更具体地说,配置、日志消息和参数中使用的Java命名目录接口(JNDI)功能不防止攻击者控制的LDAP和其他JNDI相关端点。当启用消息查找替换时,可以控制日志消息或日志消息参数的攻击者可以从远程服务器加载执行任意代码。 | 严重 | CVE-2021-44228 |
我该怎么办?
M4CE v4.x:Migrate for Compute Engine(M4CE)团队于2021年12月13日提供了新版本。项目经理需要使用新版本替换现有部署,包括云内M4CE Manager和M4CE"本地"后端。有关版本4.11部署详细信息,请参阅操作指南。
M2VMs v5.x:M2VMs v5.0及更高版本已修复,无需任何操作。
GCP-2021-001
发布时间: 2021-01-28
| 描述 | 严重性 | 备注 |
|---|---|---|
| 最近在Linux实用程序sudo中发现了漏洞,描述为CVE-2021-3156,可能允许在安装了sudo的系统上具有未授权本地shell访问权限的攻击者将其权限提升到系统上的root。 | 无 | CVE-2021-3156 |
Compute Engine影响
运行Compute Engine的基础架构不受此漏洞影响。运行Linux的Compute Engine VM应考虑更新其客户操作系统。例如,如果您使用Container-Optimized OS,我们建议您更新到以下镜像之一:cos-85-13310-1209-7、cos-81-12871-1245-6、cos-dev-89-16091-0-0或更高版本。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
浙公网安备 33010602011771号