谷歌云计算引擎安全漏洞公告全解析

本文详细记录了谷歌云计算引擎历年安全漏洞公告,涵盖CPU架构漏洞、虚拟化安全、操作系统补丁等关键技术内容,提供了完整的安全威胁分析和修复方案。

安全公告

我们会不时发布与计算引擎相关的安全公告。所有计算引擎的安全公告都在此处描述。

使用此 XML 订阅源订阅计算引擎安全公告。

GCP-2025-058

发布日期: 2025-10-20

描述

描述 严重性 备注
在 AMD Zen 5 处理器(Turin)的 RDSEED 指令中发现一个缺陷。该指令用于生成加密随机数。在特定系统负载条件下,16 位和 32 位版本的 RDSEED 可能会静默失败,这可能危及依赖随机数生成的应用程序。使用 64 位版本 RDSEED 的客户不受影响。

我该怎么办? AMD 正在调查此漏洞。

需要注意的是,64 位 Linux 内核使用安全的 64 位版本 RDSEED 指令,并且该指令为 /dev/[u]random 提供随机数。这些随机数不受此漏洞影响。

如果您有应用程序代码使用 RDSEED 指令自行合成随机数,请注意 16 位和 32 位版本的指令是不安全的。64 位版本的指令是安全的。

正在解决哪些漏洞?

此漏洞允许攻击者导致 RDSEED 静默失败,可能危及应用程序中的随机数生成。

GCP-2025-044

发布日期: 2025-08-12

描述

描述 严重性 备注
Intel 已通知谷歌两个新的安全漏洞。CVE-2025-21090:此漏洞影响以下 Intel 处理器:Sapphire Rapids:C3、Z3、H3、A3、v5p VM 系列;Emerald Rapids:N4、C4、M4、A3 Ultra、A4 VM 系列;Granite Rapids:N4、C4 VM 系列。CVE-2025-22840:此漏洞影响以下 Intel 处理器:Granite Rapids:N4、C4 VM 系列。 CVE-2025-21090
CVE-2025-22840

我该怎么办? 对于任一漏洞,客户无需采取任何措施。谷歌将在您的标准和计划维护窗口期间主动更新您的系统。目前,尚未发现或向谷歌报告任何利用证据。

正在解决哪些漏洞? 漏洞 CVE-2025-21090 允许未授权参与者利用 AMX CPU 指令,结合 AVX CPU 指令,使主机机器无法运行。漏洞 CVE-2025-22840 允许未授权参与者利用预取 CPU 指令加载其原本无法访问的内存内容,可能导致远程代码执行。

GCP-2025-042

发布日期: 2025-08-11

描述

描述 严重性 备注
研究人员在特定的 Intel CPU 中发现了一个安全漏洞,包括基于 Skylake、Broadwell 和 Haswell 微架构的 CPU。此漏洞允许攻击者可能直接从 CPU 的 L1 缓存中读取他们无权访问的敏感数据。此漏洞最初于 2018 年在 CVE-2018-3646 中披露。发现此漏洞后,谷歌立即实施了缓解措施以解决已知风险。当时发布了有关该漏洞和初始修复的通信。自那时起,我们一直在研究剩余风险,并与上游 Linux 社区合作以修复此风险。最近,我们与学术界的 security 研究人员合作评估了 CPU 安全缓解措施的最新状态,以及 2018 年未考虑的潜在攻击技术。谷歌已对受影响资产(包括谷歌云)应用了修复以缓解此问题。 CVE-2018-3646

我该怎么办? 客户无需采取任何措施。缓解措施已应用于谷歌服务器群。

正在解决哪些漏洞? 有关更多信息,请参阅 Intel 公告 INTEL-SA-00161 和 CVE-2018-3646。

GCP-2025-031

发布日期: 2025-06-10

描述

描述 严重性 备注
可信计算组(TCG)报告了一个可信平台模块(TPM)软件漏洞,该漏洞影响使用虚拟 TPM(vTPM)的 Shielded VM。此漏洞允许经过身份验证的本地攻击者读取敏感的 vTPM 数据或影响 vTPM 的可用性。vTPM 访问通常是特权操作。但是,某些配置可能允许更广泛的 vTPM 访问。 CVE-2025-2884

我该怎么办? 客户无需采取任何措施。谷歌将在您的标准和计划维护窗口期间主动更新您的系统。但是,您可以将 vTPM 访问限制为管理(root)用户;此操作有助于降低您的 Shielded VM 的风险。

正在解决哪些漏洞? 漏洞 CVE-2025-2884 允许具有 vTPM 接口访问权限的本地攻击者发送恶意命令。这些命令利用不匹配,读取越界(OOB)vTPM 内存。此操作可能暴露敏感数据。

GCP-2025-025

发布日期: 2025-05-13

描述

描述 严重性 备注
Intel 已通知谷歌一个新的侧信道漏洞,影响以下 Intel 处理器:CascadeLake、Ice Lake XeonSP、Ice Lake XeonD、Sapphire Rapids 和 Emerald Rapids。谷歌已对受影响资产(包括谷歌云)应用了修复,以确保客户受到保护。目前,尚未发现或向谷歌报告任何利用证据。 CVE-2024-45332

我该怎么办? 客户无需采取任何措施。修复已应用于谷歌服务器群以保护客户。

正在解决哪些漏洞? CVE-2024-45332。有关更多信息,请参阅 Intel 公告 INTEL-SA-01247。

我们随时提供帮助 如果您有任何问题或需要帮助,请联系云客户关怀并引用问题编号 417536835。

GCP-2025-024

发布日期: 2025-05-12 更新日期: 2025-05-13

描述

描述 严重性 备注
2025-05-13 更新:如果您有任何问题或需要帮助,请联系云客户关怀并引用问题编号 417458390。Intel 已通知谷歌一个新的推测执行漏洞,影响 Intel Cascade Lake 处理器和 Intel Ice Lake 处理器。谷歌已对受影响资产(包括谷歌云)应用了修复,以确保客户受到保护。目前,尚未发现或向谷歌报告任何利用证据。 CVE-2024-28956

我该怎么办? 客户无需采取任何措施。缓解措施已应用于谷歌服务器群。来自 Intel 原始设备制造商(OEM)和其他操作系统合作伙伴的进一步缓解措施将在可用后尽快部署,以缓解同模式间接目标选择(ITS)漏洞。应用操作系统缓解措施后,运行长时间运行的第三代或更高版本 VM 的客户可能会遇到一些意外的性能下降。

正在解决哪些漏洞? CVE-2024-28956。有关更多信息,请参阅 Intel 安全公告 INTEL-SA-01153。

GCP-2024-040

发布日期: 2024-07-01 更新日期: 2024-08-20

描述

描述 严重性 备注
更新:2024-08-20:包含 TPU 的补丁。在 Linux 发行版提供更新后应用更新。请参考 Linux 发行版的指南。如果您使用 TPU,请更新到以下修补版本之一:tpu-ubuntu2204-base、v2-alpha-tpuv5、v2-alpha-tpuv5-lite。在 OpenSSH 中发现了一个漏洞(CVE-2024-6387)。成功利用此漏洞允许远程未授权攻击者在目标机器上以 root 身份执行任意代码。建议分析所有使用基于 glibc 的 Linux 发行版并暴露 OpenSSH 的计算引擎 VM 是否存在易受攻击的版本。 严重 CVE-2024-6387

我该怎么办?

在 Linux 发行版提供更新后应用更新。请参考 Linux 发行版的指南。对于谷歌的容器优化操作系统,请更新到以下修补版本之一:cos-113-18244-85-49、cos-109-17800-218-69、cos-105-17412-370-67、cos-101-17162-463-55。

如果您通过谷歌托管服务(例如 GKE)使用容器优化操作系统,请参考该服务的安全公告以获取补丁可用性。

如果无法更新,请考虑在可以打补丁之前关闭 OpenSSH。默认网络预填充了 default-allow-ssh 防火墙规则,以允许来自公共 Internet 的 ssh 访问。要删除此访问权限,客户可以:

  1. 可选地创建规则,允许从受信任网络到 GKE 节点或项目中其他计算引擎 VM 的任何所需 SSH 访问;然后
  2. 使用以下命令禁用默认防火墙规则:gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT

如果您创建了任何其他可能允许通过 TCP 端口 22 进行 SSH 的防火墙规则,请禁用它们,或将源 IP 限制为受信任的网络。

验证您是否不再可以从 Internet ssh 到您的 VM。此防火墙配置可缓解该漏洞。

如果 OpenSSH 需要保持开启,您也可以执行配置更新以消除漏洞利用的竞争条件。这是一个运行时缓解措施。要在 sshd 配置中应用更改,此脚本将重新启动 sshd 服务。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16

#!/bin/bash
set -e

SSHD_CONFIG_FILE=/etc/ssh/sshd_config
# -c: count the matches
# -q: don't print to console
# -i: sshd_config keywords are case insensitive.
if [[ "$(grep -ci '^LoginGraceTime' $SSHD_CONFIG_FILE)" -eq 0 ]]; then
    echo "LoginGraceTime 0" >> "$SSHD_CONFIG_FILE"
    echo "Set the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
else
    sed -i 's/^LoginGraceTime.*$/LoginGraceTime 0/' /etc/ssh/sshd_config
    echo "Changed the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
fi
# Restart the sshd service to apply the new config.
systemctl restart sshd

最后,监控涉及 SSH 服务器的任何异常网络活动。

GCP-2024-021

发布日期: 2024-04-03

描述

描述 严重性 备注
计算引擎不受 CVE-2024-3094 的影响,该漏洞影响 liblzma 库中 xz-utils 软件包的 5.6.0 和 5.6.1 版本,并可能导致 OpenSSH 实用程序被破坏。 CVE-2024-3094

我该怎么办? 计算引擎提供和支持的公共镜像不受此 CVE 影响。如果您为 VM 使用计算引擎公共镜像,则无需采取任何措施。

如果您创建了使用 xz-utils 软件包 5.6.0 和 5.6.1 版本的自定义镜像,例如以下操作系统,则可能存在风险:Fedora 41 和 Fedora Rawhide、Debian testing/unstable、openSUSE tumbleweed。

为降低此风险,请停止使用这些操作系统或可能使用受影响操作系统的 VM。如果您拥有基于其他操作系统的自定义镜像构建的 VM,请与您的操作系统供应商核实您的 VM 是否受影响。

正在解决哪些漏洞? CVE-2024-3094

GCP-2024-001

发布日期: 2024-01-09

描述

描述 严重性 备注
在 TianoCore EDK II UEFI 固件中发现了几个漏洞。此固件用于谷歌计算引擎 VM。如果被利用,这些漏洞可能允许绕过安全启动,从而在安全启动过程中提供错误的测量值,包括在 Shielded VM 中使用时。 CVE-2022-36763
CVE-2022-36764
CVE-2022-36765

我该怎么办? 无需采取任何措施。谷歌已在整个计算引擎中修补了此漏洞,所有 VM 都受到保护,免受此漏洞影响。

此补丁解决了哪些漏洞? 该补丁缓解了以下漏洞:CVE-2022-36763、CVE-2022-36764、CVE-2022-36765。

GCP-2023-44

发布日期: 2023-11-15

描述

描述 严重性 备注
11 月 14 日,AMD 披露了影响各种 AMD 服务器 CPU 的多个漏洞。具体来说,这些漏洞影响利用 Zen 核心第 2 代 “Rome”、第 3 代 “Milan” 和第 4 代 “Genoa” 的 EPYC 服务器 CPU。谷歌已对受影响资产(包括谷歌云)应用了修复,以确保客户受到保护。目前,尚未发现或向谷歌报告任何利用证据。 CVE-2022-23820
CVE-2021-46774
CVE-2023-20533
CVE-2023-20519
CVE-2023-20592
CVE-2023-20566
CVE-2022-23830
CVE-2023-20526
CVE-2021-26345

我该怎么办? 客户无需采取任何措施。修复已应用于谷歌云服务器群。

此补丁解决了哪些漏洞? 该补丁缓解了以下漏洞:CVE-2022-23820、CVE-2021-46774、CVE-2023-20533、CVE-2023-20519、CVE-2023-20592、CVE-2023-20566、CVE-2023-20521、CVE-2021-46766、CVE-2022-23830、CVE-2023-20526、CVE-2021-26345。

有关更多信息,请参阅 AMD 的安全公告 AMD-SN-3005:“AMD INVD Instruction Security Notice”(也发布为 CacheWarp)和 AMD-SN-3002:“AMD Server Vulnerabilities – November 2023”。

GCP-2023-004

发布日期: 2023-04-26

描述

描述 严重性 备注
在可信平台模块(TPM)2.0 中发现了两个漏洞(CVE-2023-1017 和 CVE-2023-1018)。这些漏洞可能允许复杂的攻击者利用某些计算引擎 VM 上的 2 字节越界读/写。 CVE-2023-1017
CVE-2023-1018

我该怎么办? 补丁已自动应用于所有易受攻击的 VM。客户无需采取任何措施。

此补丁解决了哪些漏洞? 该补丁缓解了以下漏洞:

  • CVE-2023-1017:利用 CVE-2023-2017,可以在 vTPM 参数解密例程中触发缓冲区溢出。在易受攻击的 VM 上运行的本地攻击者可以利用此漏洞触发拒绝服务或可能在 vTPM 上下文中执行任意代码。
  • CVE-2023-1018:利用 CVE-2023-2018,vTPM 参数解密例程中存在越界读取。在易受攻击的 VM 上运行的本地攻击者可以利用此漏洞间接泄漏 vTPM 上下文中的有限数据。

GCP-2021-026

发布日期: 2021-12-14

描述

描述 严重性 备注
Apache Log4j 实用程序是一种常用的记录请求的组件。2021 年 12 月 9 日,报告了一个漏洞,该漏洞可能允许运行 Apache Log4j 2.14.1 或更低版本的系统被破坏,并允许攻击者执行任意代码。2021 年 12 月 10 日,NIST 发布了一个关键的通用漏洞披露警报 CVE-2021-44228。更具体地说,配置、日志消息和参数中使用的 Java 命名目录接口(JNDI)功能不防止攻击者控制的 LDAP 和其他 JNDI 相关端点。当启用消息查找替换时,可以控制日志消息或日志消息参数的攻击者可以从远程服务器加载执行任意代码。 严重 CVE-2021-44228

我该怎么办?

  • M4CE v4.x:Migrate for Compute Engine (M4CE) 团队于 2021 年 12 月 13 日提供了新版本。项目管理员需要使用新版本替换现有部署,包括云内 M4CE 管理器和 M4CE “本地"后端。有关版本 4.11 部署详细信息,请参阅操作指南。
  • M2VMs v5.x:M2VMs v5.0 及更高版本已修复,无需任何操作。

GCP-2021-001

发布日期: 2021-01-28

描述

描述 严重性 备注
最近在 Linux 实用程序 sudo 中发现了一个漏洞,描述于 CVE-2021-3156,该漏洞可能允许在安装了 sudo 的系统上具有未授权本地 shell 访问权限的攻击者将其权限提升到系统上的 root。 CVE-2021-3156

计算引擎影响 运行计算引擎的基础设施不受此漏洞影响。运行 Linux 的计算引擎 VM 应考虑更新其客户机操作系统。例如,如果您使用容器优化操作系统,我们建议您更新到以下镜像之一:cos-85-13310-1209-7、cos-81-12871-1245-6、cos-dev-89-16091-0-0 或更高版本。

发布日期:2020-08-27

描述

描述 严重性 备注
Eclypsium 披露了以下 CVE:CVE-2020-10713。根据初始漏洞报告,对 GRUB2 代码进行了额外审查,Canonical 发现了以下额外漏洞:CVE-2020-14308、CVE-2020-14309、CVE-2020-14310、CVE-2020-14311、CVE-2020-15705、CVE-2020-15706、CVE-2020-15707。这些漏洞统称为 BootHole,允许具有管理权限的攻击者加载未签名的二进制文件,从而禁用安全启动强制执行。 CVE-2020-10713
CVE-2020-14308
CVE-2020-14309
CVE-2020-14310
CVE-2020-14311
CVE-2020-15705
CVE-2020-15706
CVE-2020-15707

计算引擎影响 运行计算引擎的主机基础设施受到保护,免受已知攻击。使用安全启动的计算引擎客户鼓励更新其实例上的客户机操作系统,以防止其客户环境中可能被利用的可能性。有关详细信息,请参考您的客户机操作系统供应商推荐的缓解措施。

修补镜像和供应商资源 我们将在此处提供每个操作系统供应商的补丁信息链接(当它们可用时)。这些公共镜像的早期版本不包含这些补丁,也不缓解潜在攻击:

  • 项目 centos-cloud:CentOS 补丁信息 - centos-7-v20200811, centos-8-v20200811
  • 项目 cos-cloud:cos-77-12371-1072-0, cos-81-12871-1185-0, cos-rc-85-13310-1028-0, cos-dev-86-15103-0-0
  • 项目 debian-cloud:DSA-4753 - debian-10-buster-v20200805
  • 项目 coreos-cloud:coreos-alpha-2163-2-1-v20190617, coreos-beta-2135-3-1-v20190617, coreos-stable-2079-6-0-v20190617
  • 项目 rhel-cloud/rhel-sap-cloud:Red Hat 漏洞响应 - rhel-7-v20200811, rhel-7-4-sap-v20200811, rhel-7-6-sap-v20200811, rhel-7-7-sap-v20200811, rhel-8-v20200811
  • 项目 suse-cloud/suse-sap-cloud:SUSE KB - sles-12-sp5-v20200813, sles-15-sp2-v20200804, sles-12-sp4-sap-v20200804, sles-12-sp5-sap-v20200813, sles-15-sap-v20200803, sles-15-sp1-sap-v20200803, Sles-15-sp2-sap-v20200804
  • 项目 ubuntu-os-cloud:Ubuntu Wiki - ubuntu-1604-xenial-v20200729, ubuntu-1804-bionic-v20200729, ubuntu-2004-focal-v20200729

发布日期:2020-06-19

描述

描述 严重性 备注
启用了 OS Login 的 VM 可能容易受到权限提升漏洞的影响。这些漏洞使被授予 OS Login 权限(但未授予管理员访问权限)的用户能够将权限提升到 VM 中的 root 访问权限。 CVE-2020-8903
CVE-2020-8907
CVE-2020-8933

漏洞 为计算引擎镜像确定了以下三个由于过于宽松的默认组成员身份引起的漏洞:

  • CVE-2020-8903:通过使用 adm 用户,您可以利用 DHCP XID 获取管理权限。
  • CVE-2020-8907:通过使用 docker 用户,您可以挂载和修改主机操作系统文件系统以获取管理权限。
  • CVE-2020-8933:通过使用 lxd 用户,您可以附加主机操作系统文件系统并获取管理权限。

修补镜像和修复 在 v20200506 之后创建的所有计算引擎公共镜像都已修补。

如果您需要在更新到更高版本的镜像的情况下修复此问题,您可以编辑 /etc/security/group.conf 文件并从默认 OS Login 条目中删除 adm、lxd 和 docker 用户。

发布日期:2020-01-21

描述

描述 严重性 备注
Microsoft 披露了以下漏洞:CVE-2020-0601 — 此漏洞也称为 Windows Crypto API 欺骗漏洞,可能被利用使恶意可执行文件看起来受信任,或允许攻击者对受影响软件的用户连接进行中间人攻击并解密机密信息。 CVE-2020-0601

计算引擎影响 运行计算引擎的基础设施不受此漏洞影响。除非您在计算引擎虚拟机中运行 Windows Server,否则无需进一步操作。使用运行 Windows Server 的计算引擎 VM 的客户应确保其实例具有最新的 Windows 补丁。

修补镜像和供应商资源 早期版本的公共 Windows 镜像不包含以下补丁,也不缓解潜在攻击:

  • 项目 windows-cloud 和 windows-sql-cloud:所有 Windows Server 和 SQL Server 公共镜像,从 v20200114 开始。

发布日期:2019-11-12

描述

描述 严重性 备注
Intel 披露了以下 CVE:CVE-2019-11135 — 此 CVE 也称为 TSX 异步中止(TAA)。TAA 提供了另一种使用与微架构数据采样(MDS)利用的相同微架构数据结构进行数据渗出的途径。CVE-2018-12207 — 此 CVE 也称为"页面大小更改上的机器检查错误”。这是一个影响虚拟机主机的拒绝服务(DoS)漏洞,允许恶意客户机使未受保护的主机崩溃。 CVE-2019-11135
CVE-2018-12207

计算引擎影响 CVE-2019-11135:运行计算引擎的主机基础设施隔离了客户工作负载。除非您在 N2、C2 或 M2 VM 内运行不受信任的代码,否则无需进一步操作。在其计算引擎虚拟机内运行不受信任代码的 N2、C2 或 M2 客户应停止并启动其 VM,以确保他们拥有最新的安全缓解措施。重新启动(非停止/启动)是不够的。此指南假设您已应用先前发布的涵盖 MDS 漏洞的更新。如果没有,请按照说明应用适当的更新。对于运行 N1 机器类型的客户,无需任何操作,因为此漏洞不代表超出先前披露的 MDS 漏洞的新风险。 CVE-2018-12207:运行计算引擎的主机基础设施受保护,免受此漏洞影响。无需进一步操作。

发布日期:2019-06-18

最后更新: 2019-06-25 T 6:30 PST

描述

描述 严重性 备注
Netflix 最近披露了 Linux 内核中的三个 TCP 漏洞:CVE-2019-11477、CVE-2019-11478、CVE-2019-11479。这些 CVE 统称为 NFLX-2019-001。 CVE-2019-11477
CVE-2019-11478
CVE-2019-11479

计算引擎影响 托管计算引擎的基础设施受保护,免受此漏洞影响。运行未修补 Linux 操作系统并发送/接收不受信任网络流量的计算引擎 VM 容易受到此 DoS 攻击。考虑在操作系统补丁可用后尽快更新这些 VM 实例。关闭 TCP 连接的负载均衡器已针对此漏洞进行了修补。仅通过这些负载均衡器接收不受信任流量的计算引擎实例不易受攻击。这包括 HTTP 负载均衡器、SSL 代理负载均衡器和 TCP 代理负载均衡器。网络负载均衡器和内部负载均衡器不关闭 TCP 连接。通过这些负载均衡器接收不受信任流量的未修补计算引擎实例容易受到攻击。

修补镜像和供应商资源 我们将在此处提供每个操作系统供应商的补丁信息链接(当它们可用时),包括每个 CVE 的状态。这些公共镜像的早期版本不包含这些补丁,也不缓解潜在攻击:

  • 项目 debian-cloud:debian-9-stretch-v20190618
  • 项目 centos-cloud:centos-6-v20190619, centos-7-v20190619
  • 项目 cos-cloud:cos-dev-77-12293-0-0, cos-beta-76-12239-21-0, cos-stable-75-12105-77-0, cos-73-11647-217-0, cos-69-10895-277-0
  • 项目 coreos-cloud:coreos-alpha-2163-2-1-v20190617, coreos-beta-2135-3-1-v20190617, coreos-stable-2079-6-0-v20190617
  • 项目 rhel-cloud:rhel-6-v20190618, rhel-7-v20190618, rhel-8-v20190618
  • 项目 rhel-sap-cloud:rhel-7-4-sap-v20190618, rhel-7-6-sap-v20190618
  • 项目 suse-cloud:sles-12-sp4-v20190617, sles-15-v20190617
  • 项目 suse-sap-cloud:sles-12-sp1-sap-v20190617, sles-12-sp2-sap-v20190617, sles-12-sp3-sap-v20190617, sles-12-sp4-sap-v20190617, sles-15-sap-v20190617
  • 项目 ubuntu-cloud:ubuntu-1604-xenial-v20190617, ubuntu-1804-bionic-v20190617, ubuntu-1810-cosmic-v20190618, ubuntu-1904-disco-v20190619, ubuntu-minimal-1604-xenial-v20190618, ubuntu-minimal-1804-bionic-v20190617, ubuntu-minimal-1810-cosmic-v20190618, ubuntu-minimal-1904-disco-v20190618

发布日期:2019-05-14

最后更新: 2019-05-20 T 17:00 PST

描述

描述 严重性 备注
Intel 披露了以下 CVE:CVE-2018-12126、CVE-2018-12127、CVE-2018-12130、CVE-2019-11091。这些 CVE 统称为微架构数据采样(MDS)。这些漏洞可能允许通过利用推测执行与微架构状态的交互来暴露数据。 CVE-2018-12126
CVE-2018-12127
CVE-2018-12130
CVE-2019-11091

计算引擎影响 运行计算引擎并隔离客户工作负载的主机基础设施受到保护,免受已知攻击。除非您在 VM 内运行不受信任的代码,否则无需进一步操作。对于在其计算引擎虚拟机内运行不受信任代码的客户,请参考您的客户机操作系统供应商推荐的缓解措施,其中可能包括使用 Intel 的微码缓解功能。我们已部署了对新刷新功能的客户机直通访问。以下是常见客户机镜像可用缓解步骤的摘要。

修补镜像和供应商资源 我们将在此处提供每个操作系统供应商的补丁信息链接(当它们可用时),包括每个 CVE 的状态。使用这些镜像重新创建 VM 实例。这些公共镜像的早期版本不包含这些补丁,也不缓解潜在攻击:

  • 项目 centos-cloud:CESA-2019:1169, CESA-2019:1168 - centos-6-v20190515, centos-7-v20190515
  • 项目 coreos-cloud:CoreOS Container Linux 的 MDS 缓解措施 - coreos-stable-2079-4-0-v20190515, coreos-beta-2107-3-0-v20190515, coreos-alpha-2135-1-0-v20190515
  • 项目 cos-cloud:cos-69-10895-242-0, cos-73-11647-182-0
  • 项目 debian-cloud:DSA-4444 - debian-9-stretch-v20190514
  • 项目 rhel-cloud:Red Hat MDS 知识文章 - rhel-6-v20190515, rhel-7-v20190517, rhel-8-v20190515
  • 项目 rhel-sap-cloud:Red Hat MDS 知识文章 - rhel-7-4-sap-v20190515, rhel-7-6-sap-v20190517
  • 项目 suse-cloud:SUSE MDS KB - sles-12-sp4-v20190520, sles-15-v20190520
  • 项目 suse-sap-cloud:sles-12-sp4-sap-v20190520, sles-15-sap-v20190520
  • 项目 ubuntu-os-cloud:Ubuntu MDS Wiki - ubuntu-1404-trusty-v20190514, ubuntu-1604-xenial-v20190514, ubuntu-1804-bionic-v20190514, ubuntu-1810-cosmic-v20190514, ubuntu-1904-disco-v20190514, ubuntu-minimal-1604-xenial-v20190514, ubuntu-minimal-1804-bionic-v20190514, ubuntu-minimal-1810-cosmic-v20190514, ubuntu-minimal-1904-disco-v20190514
  • 项目 windows-cloud、windows-sql-cloud:Microsoft ADV190013 - 所有版本号为 v20190514 的 Windows Server 和 SQL Server 公共镜像。
  • 项目 gce-uefi-images:centos-7-v20190515, cos-69-10895-242-0, cos-73-11647-182-0, rhel-7-v20190517, ubuntu-1804-bionic-v20190514, 所有版本号为 v20190514 的 Windows Server 公共镜像。

容器优化操作系统 如果您使用容器优化操作系统(COS)作为客户机操作系统,并且在虚拟机中运行不受信任的多租户工作负载,我们建议您:

  1. 通过在内核命令行上设置 nosmt 来禁用超线程。
  2. 在现有的 COS VM 上,您可以修改 grub.cfg 如下以设置 nosmt 选项,然后重新启动系统: 
    1
2
3
4
5
6
7

    # Run as root:
dir="$(mktemp -d)"
mount /dev/sda12 "${dir}"
sed -i -e "s|cros_efi|cros_efi nosmt|g" "${dir}/efi/boot/grub.cfg"
umount "${dir}"
rmdir "${dir}"
reboot
    为方便起见,您可以运行以下脚本以实现与运行上述命令相同的结果。我们建议将此脚本作为 cloud-config、启动脚本或实例模板的一部分,以确保新 VM 使用此新参数。下面是一个运行此脚本的 cloud-config 示例。 警告: 此命令在首次运行时将导致实例立即重新启动。在已禁用超线程的实例上后续运行该命令将无效。 
    1
2

    # Run as root
/bin/bash <(curl -s https://storage.googleapis.com/cos-tools/scripts/disable_smt.sh)
    要将其包含在 cloud-config 中: 
    1
2
3

    #cloud-config
bootcmd:
- /bin/bash -c "/bin/bash <(curl -s https://storage.googleapis.com/cos-tools/scripts/disable_smt.sh)"
    要确认实例上是否禁用了超线程,请查看 /sys/devices/system/cpu/smt/active 和 /sys/devices/system/cpu/smt/control 文件的输出。如果 active 返回 0,control 返回 off,则超线程已禁用: 
    1
2

    cat /sys/devices/system/cpu/smt/active
cat /sys/devices/system/cpu/smt/control
    注意: 如果您在实例上启用了 UEFI 安全启动,您需要禁用 UEFI 安全启动重新创建实例,在禁用 UEFI 安全启动的情况下运行上述命令,然后在新实例上启用 UEFI 安全启动。
  3. 使用新版本的 COS 镜像:除了如上所述禁用超线程外,您还应使用上面列出的更新镜像或容器优化操作系统镜像的更新版本(当可用时)重新创建实例,以获得完全保护,免受漏洞影响。

发布日期:2018-08-14

最后更新: 2018-08-20 T 17:00 PST

描述

描述 严重性 备注
Intel 披露了以下 CVE:CVE-2018-3615(用于 SGX)、CVE-2018-3620(用于操作系统和 SMT)、CVE-2018-3646(用于虚拟化)。这些 CVE 统称为"L1 终端故障(L1TF)"。这些 L1TF 漏洞通过攻击处理器级数据结构的配置来利用推测执行。“L1"指的是 Level-1 数据缓存(L1D),一种用于加速内存访问的小型核心资源。 CVE-2018-3615
CVE-2018-3620
CVE-2018-3646

计算引擎影响 运行计算引擎并隔离客户工作负载的主机基础设施受到保护,免受已知攻击。计算引擎客户鼓励更新其镜像,以防止其客户环境中可能被间接利用的可能性。这对于在计算引擎虚拟机上运行自己的多租户服务的客户尤为重要。

计算引擎客户可以使用以下选项之一更新其实例上的客户机操作系统:

  • 使用修补的公共镜像重新创建现有 VM 实例。
  • 在现有实例上,安装操作系统供应商提供的补丁并重新启动修补后的实例。

**修补

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次