安全公告 | 计算引擎 | 谷歌云文档

我们会不定期发布与计算引擎相关的安全公告。所有计算引擎的安全公告均在此处描述。

使用此 XML 订阅源订阅计算引擎安全公告。

GCP-2025-058

发布日期： 2025-10-20

描述

描述	严重性	备注
在 AMD Zen 5 处理器（Turin）的 RDSEED 指令中发现一个缺陷。该指令用于生成加密随机数。在特定系统负载条件下，16位和32位版本的 RDSEED 可能会静默失败，这可能会损害依赖随机数生成的应用程序。使用64位版本 RDSEED 的客户不受影响。	高

我该怎么做？ AMD 正在调查此漏洞。

需要注意的是，64位 Linux 内核使用安全的64位版本 RDSEED 指令，并且该指令为从 /dev/[u]random 获取的随机数提供数据。这些随机数不受此漏洞影响。

如果您有应用程序代码使用 RDSEED 指令自行合成随机数，请注意16位和32位版本的指令是不安全的。64位版本的指令是安全的。

正在解决哪些漏洞？

此漏洞允许攻击者导致 RDSEED 静默失败，可能损害应用程序中的随机数生成。

GCP-2025-044

发布日期： 2025-08-12

描述

描述	严重性	备注
Intel 已通知谷歌两个新的安全漏洞。CVE-2025-21090：此漏洞影响以下 Intel 处理器：Sapphire Rapids（C3、Z3、H3、A3、v5p VM 系列）、Emerald Rapids（N4、C4、M4、A3 Ultra、A4 VM 系列）、Granite Rapids（N4、C4 VM 系列）。CVE-2025-22840：此漏洞影响以下 Intel 处理器：Granite Rapids（N4、C4 VM 系列）。	中	CVE-2025-21090 CVE-2025-22840

我该怎么做？ 对于任一漏洞，客户无需采取任何措施。谷歌将在您的标准和计划维护窗口期间主动更新您的系统。目前，尚未发现或向谷歌报告任何利用证据。

正在解决哪些漏洞？ 漏洞 CVE-2025-21090 允许未授权参与者利用 AMX CPU 指令，结合 AVX CPU 指令，使主机机器无法运行。漏洞 CVE-2025-22840 允许未授权参与者利用 prefetchit CPU 指令加载其本无法访问的内存内容，可能导致远程代码执行。

GCP-2025-042

发布日期： 2025-08-11

描述

描述	严重性	备注
研究人员在特定的 Intel CPU 中发现了一个安全漏洞，包括基于 Skylake、Broadwell 和 Haswell 微架构的 CPU。此漏洞允许攻击者可能直接从 CPU 的 L1 缓存中读取他们未经授权的敏感数据。此漏洞最初于2018年在 CVE-2018-3646 中披露。发现此漏洞后，谷歌立即实施了缓解措施以解决已知风险。当时发布了有关该漏洞和初始修复的通信。此后，我们一直在研究剩余风险，并与上游 Linux 社区合作修复此风险。最近，我们与学术界的 security 研究人员合作评估了 CPU 安全缓解措施的最新状态以及2018年未考虑的潜在攻击技术。谷歌已对受影响资产（包括谷歌云）应用了修复程序以缓解此问题。	高	CVE-2018-3646

我该怎么做？ 客户无需采取任何措施。缓解措施已应用于谷歌服务器群。

正在解决哪些漏洞？ 有关更多信息，请参阅 Intel 公告 INTEL-SA-00161 和 CVE-2018-3646。

GCP-2025-031

发布日期： 2025-06-10

描述

描述	严重性	备注
可信计算组（TCG）报告了一个可信平台模块（TPM）软件漏洞，该漏洞影响使用虚拟 TPM（vTPM）的 Shielded VM。此漏洞允许经过身份验证的本地攻击者读取敏感的 vTPM 数据或影响 vTPM 可用性。vTPM 访问通常是特权操作。但是，某些配置可能允许更广泛的 vTPM 访问。	高	CVE-2025-2884

我该怎么做？ 客户无需采取任何措施。谷歌将在您的标准和计划维护窗口期间主动更新您的系统。但是，您可以将 vTPM 访问限制为管理（root）用户；此操作有助于降低您的 Shielded VM 的风险。

正在解决哪些漏洞？ 漏洞 CVE-2025-2884 允许具有 vTPM 接口访问权限的本地攻击者发送恶意命令。这些命令利用了一个不匹配问题，从而读取越界（OOB）的 vTPM 内存。此操作可能暴露敏感数据。

GCP-2025-025

发布日期： 2025-05-13

描述

描述	严重性	备注
Intel 已通知谷歌一个影响以下 Intel 处理器的新侧信道漏洞：CascadeLake、Ice Lake XeonSP、Ice Lake XeonD、Sapphire Rapids 和 Emerald Rapids。谷歌已对受影响资产（包括谷歌云）应用了修复程序，以确保客户受到保护。目前，尚未发现或向谷歌报告任何利用证据。	高	CVE-2024-45332

我该怎么做？ 客户无需采取任何措施。修复程序已应用于谷歌服务器群以保护客户。

正在解决哪些漏洞？ CVE-2024-45332。有关更多信息，请参阅 Intel 公告 INTEL-SA-01247。

我们在此提供帮助 如果您有任何问题或需要帮助，请联系云客户关怀并引用问题编号 417536835。

GCP-2025-024

发布日期： 2025-05-12 更新日期： 2025-05-13

描述

描述	严重性	备注
2025-05-13 更新：如果您有任何问题或需要帮助，请联系云客户关怀并引用问题编号 417458390。Intel 已通知谷歌一个影响 Intel Cascade Lake 处理器和 Intel Ice Lake 处理器的新推测执行漏洞。谷歌已对受影响资产（包括谷歌云）应用了修复程序，以确保客户受到保护。目前，尚未发现或向谷歌报告任何利用证据。	高	CVE-2024-28956

我该怎么做？ 客户无需采取任何措施。缓解措施已应用于谷歌服务器群。来自 Intel 原始设备制造商（OEM）和其他操作系统合作伙伴的进一步缓解措施将在可用后尽快部署，以缓解同模式间接目标选择（ITS）漏洞。应用操作系统缓解措施后，运行长时间运行的第三代或更高版本 VM 的客户可能会遇到一些意外的性能下降。

正在解决哪些漏洞？ CVE-2024-28956。有关更多信息，请参阅 Intel 安全公告 INTEL-SA-01153。

GCP-2024-040

发布日期： 2024-07-01 更新日期： 2024-08-20

描述

描述	严重性	备注
更新：2024-08-20 包含 TPU 补丁。应用 Linux 发行版提供的更新。请参考 Linux 发行版的指南。如果您使用 TPU，请更新到以下修补版本之一：tpu-ubuntu2204-base、v2-alpha-tpuv5、v2-alpha-tpuv5-lite。在 OpenSSH 中发现了一个漏洞（CVE-2024-6387）。成功利用此漏洞允许远程未授权攻击者在目标机器上以 root 权限执行任意代码。建议分析所有使用基于 glibc 的 Linux 发行版并暴露 OpenSSH 的计算引擎 VM 是否存在易受攻击的版本。	严重	CVE-2024-6387

我该怎么做？

应用 Linux 发行版提供的更新。请参考 Linux 发行版的指南。对于谷歌的 Container-Optimized OS，请更新到以下修补版本之一：cos-113-18244-85-49、cos-109-17800-218-69、cos-105-17412-370-67、cos-101-17162-463-55。

如果您通过谷歌托管服务（例如 GKE）使用 Container-Optimized OS，请参考该服务的安全公告以获取补丁可用性信息。

如果无法更新，考虑在可以打补丁之前关闭 OpenSSH。默认网络预填充了 default-allow-ssh 防火墙规则，以允许来自公共互联网的 ssh 访问。要移除此访问，客户可以：

可选地创建规则，允许从受信任网络到 GKE 节点或项目中其他计算引擎 VM 的任何所需 SSH 访问；然后
使用以下命令禁用默认防火墙规则：gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT

如果您创建了任何其他可能允许通过 TCP 端口 22 进行 SSH 的防火墙规则，请禁用它们，或将源 IP 限制为受信任的网络。

验证您是否不再能从互联网 ssh 到您的 VM。此防火墙配置可以缓解该漏洞。

如果 OpenSSH 需要保持开启，您也可以执行配置更新以消除利用的竞争条件。这是一个运行时缓解措施。要在 sshd 配置中应用更改，此脚本将重新启动 sshd 服务。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


#!/bin/bash
set -e

SSHD_CONFIG_FILE=/etc/ssh/sshd_config
# -c: 计数匹配项
# -q: 不输出到控制台
# -i: sshd_config 关键字不区分大小写。
if [[ "$(grep -ci '^LoginGraceTime' $SSHD_CONFIG_FILE)" -eq 0 ]]; then
    echo "LoginGraceTime 0" >> "$SSHD_CONFIG_FILE"
    echo "Set the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
else
    sed -i 's/^LoginGraceTime.*$/LoginGraceTime 0/' /etc/ssh/sshd_config
    echo "Changed the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
fi
# 重新启动 sshd 服务以应用新配置。
systemctl restart sshd

最后，监控涉及 SSH 服务器的任何异常网络活动。

GCP-2024-021

发布日期： 2024-04-03

描述

描述	严重性	备注
计算引擎不受 CVE-2024-3094 的影响，该漏洞影响 xz-utils 软件包 5.6.0 和 5.6.1 版本中的 liblzma 库，并可能导致 OpenSSH 工具被入侵。	中	CVE-2024-3094

我该怎么做？ 计算引擎提供和支持的公共镜像不受此 CVE 影响。如果您为 VM 使用计算引擎公共镜像，则无需采取任何措施。

如果您创建了使用 xz-utils 软件包 5.6.0 和 5.6.1 版本的自定义镜像，则可能面临风险，例如以下操作系统：Fedora 41 和 Fedora Rawhide、Debian testing/unstable、openSUSE tumbleweed。

为了缓解此风险，请停止使用这些操作系统或可能使用受影响操作系统的 VM。如果您有从其他操作系统的自定义镜像构建的 VM，请咨询您的操作系统供应商以查看您的 VM 是否受影响。

正在解决哪些漏洞？ CVE-2024-3094

GCP-2024-001

发布日期： 2024-01-09

描述

描述	严重性	备注
在 TianoCore EDK II UEFI 固件中发现了几个漏洞。此固件用于谷歌计算引擎 VM。如果被利用，这些漏洞可能允许绕过安全启动，从而在安全启动过程中提供错误的测量值，包括在 Shielded VM 中使用时。	中	CVE-2022-36763 CVE-2022-36764 CVE-2022-36765

我该怎么做？ 无需采取任何措施。谷歌已在整个计算引擎中修补了此漏洞，所有 VM 都受到保护，不受此漏洞影响。

此补丁解决了哪些漏洞？ 该补丁缓解了以下漏洞：CVE-2022-36763、CVE-2022-36764、CVE-2022-36765。

GCP-2023-44

发布日期： 2023-11-15

描述

描述	严重性	备注
11月14日，AMD 披露了多个影响各种 AMD 服务器 CPU 的漏洞。具体来说，这些漏洞影响采用 Zen 核心第2代 “Rome”、第3代 “Milan” 和第4代 “Genoa” 的 EPYC 服务器 CPU。谷歌已对受影响资产（包括谷歌云）应用了修复程序，以确保客户受到保护。目前，尚未发现或向谷歌报告任何利用证据。	中	CVE-2022-23820 CVE-2021-46774 CVE-2023-20533 CVE-2023-20519 CVE-2023-20592 CVE-2023-20566 CVE-2022-23830 CVE-2023-20526 CVE-2021-26345

我该怎么做？ 客户无需采取任何措施。修复程序已应用于谷歌云服务器群，包括谷歌计算引擎。

此补丁解决了哪些漏洞？ 该补丁缓解了以下漏洞：CVE-2022-23820、CVE-2021-46774、CVE-2023-20533、CVE-2023-20519、CVE-2023-20592、CVE-2023-20566、CVE-2022-23830、CVE-2023-20526、CVE-2021-26345。有关更多信息，请参阅 AMD 安全公告 AMD-SN-3005：“AMD INVD Instruction Security Notice”（也作为 CacheWarp 发布）和 AMD-SN-3002：“AMD Server Vulnerabilities – November 2023”。

GCP-2023-004

发布日期： 2023-04-26

描述

描述	严重性	备注
在可信平台模块（TPM）2.0 中发现了两个漏洞（CVE-2023-1017 和 CVE-2023-1018）。这些漏洞可能允许复杂的攻击者在某些计算引擎 VM 上利用2字节的越界读/写。	中	CVE-2023-1017 CVE-2023-1018

我该怎么做？ 补丁已自动应用于所有易受攻击的 VM。客户无需采取任何措施。

此补丁解决了哪些漏洞？ 该补丁缓解了以下漏洞：

CVE-2023-1017：在 vTPM 参数解密例程中可能触发缓冲区溢出。在易受攻击的 VM 上运行的本地攻击者可能利用此漏洞触发拒绝服务或可能在 vTPM 上下文中执行任意代码。
CVE-2023-1018：在 vTPM 参数解密例程中存在越界读取。在易受攻击的 VM 上运行的本地攻击者可能利用此漏洞间接泄露 vTPM 上下文中的有限数据。

GCP-2021-026

发布日期： 2021-12-14

描述

描述	严重性	备注
Apache Log4j 工具是一个常用的日志记录请求组件。2021年12月9日，报告了一个漏洞，可能允许运行 Apache Log4j 2.14.1 或更低版本的系统被入侵，并允许攻击者执行任意代码。2021年12月10日，NIST 发布了一个关键的通用漏洞披露警报 CVE-2021-44228。更具体地说，配置、日志消息和参数中使用的 Java 命名目录接口（JNDI）功能不能防止攻击者控制的 LDAP 和其他 JNDI 相关端点。当启用消息查找替换时，能够控制日志消息或日志消息参数的攻击者可以执行从远程服务器加载的任意代码。	严重	CVE-2021-44228