GCP-2025-058
发布日期: 2025-10-20
描述: 在AMD Zen 5处理器(Turin)的RDSEED指令中发现缺陷。该指令用于生成加密随机数。在特定系统负载条件下,16位和32位版本的RDSEED可能静默失败,可能危及依赖随机数生成的应用程序。使用64位版本RDSEED的客户不受影响。
应对措施: AMD正在调查此漏洞。需要注意的是,64位Linux内核使用安全的64位版本RDSEED指令,并为从/dev/[u]random获取的随机数提供支持,这些随机数不受此漏洞影响。
如果您的应用程序代码使用RDSEED指令自行合成随机数,请注意16位和32位版本的指令不安全。64位版本的指令是安全的。
漏洞详情: 此漏洞允许攻击者导致RDSEED静默失败,可能危及应用程序中的随机数生成。
严重性: 高
GCP-2025-044
发布日期: 2025-08-12
描述: 英特尔已通知谷歌两个新的安全漏洞:
- CVE-2025-21090:影响以下英特尔处理器:Sapphire Rapids、Emerald Rapids、Granite Rapids系列
- CVE-2025-22840:影响Granite Rapids系列处理器
应对措施: 两个漏洞均无需客户操作。谷歌将在标准计划维护窗口期间主动更新您的系统。
漏洞详情:
- CVE-2025-21090:允许非特权参与者利用AMX CPU指令与AVX CPU指令结合,使主机机器无法运行
- CVE-2025-22840:允许非特权参与者利用prefetchit CPU指令加载其本无法访问的内存内容,可能导致远程代码执行
严重性: 中
GCP-2025-042
发布日期: 2025-08-11
描述: 研究人员在特定英特尔CPU中发现安全漏洞,包括基于Skylake、Broadwell和Haswell微架构的CPU。此漏洞允许攻击者可能直接从CPU的L1缓存读取其未经授权访问的敏感数据。
此漏洞最初于2018年在CVE-2018-3646中披露。发现此漏洞后,谷歌立即实施了缓解措施。
应对措施: 无需客户操作。缓解措施已应用于谷歌服务器群。
严重性: 高
GCP-2025-031
发布日期: 2025-06-10
描述: 可信计算组(TCG)报告了可信平台模块(TPM)软件漏洞,影响使用虚拟TPM(vTPM)的Shielded VM。此漏洞允许经过身份验证的本地攻击者读取敏感vTPM数据或影响vTPM可用性。
应对措施: 无需客户操作。谷歌将在标准计划维护窗口期间主动更新您的系统。但您可以限制vTPM访问仅限管理(root)用户,这有助于降低风险。
漏洞详情: CVE-2025-2884允许具有vTPM接口访问权限的本地攻击者发送恶意命令,利用不匹配读取越界vTPM内存,可能暴露敏感数据。
严重性: 高
GCP-2025-025
发布日期: 2025-05-13
描述: 英特尔已通知谷歌关于影响以下英特尔处理器的新侧信道漏洞:CascadeLake、Ice Lake XeonSP、Ice Lake XeonD、Sapphire Rapids和Emerald Rapids。
应对措施: 无需客户操作。修复已应用于谷歌服务器群以保护客户。
漏洞详情: CVE-2024-45332。更多信息参见英特尔公告INTEL-SA-01247。
严重性: 高
GCP-2024-040
发布日期: 2024-07-01 更新日期: 2024-08-20
描述: 在OpenSSH中发现漏洞(CVE-2024-6387)。成功利用此漏洞允许远程未经身份验证的攻击者在目标机器上以root权限执行任意代码。
所有使用基于glibc的Linux发行版并暴露OpenSSH的Compute Engine VM建议分析是否存在易受攻击版本。
应对措施:
- 应用Linux发行版的更新
- 如无法更新,考虑关闭OpenSSH直到可以修补
- 可执行配置更新以消除利用的竞争条件情况
严重性: 严重
历史漏洞摘要
文章还详细记录了自2013年以来的多个历史安全公告,包括:
- Spectre和Meltdown漏洞(2018-01-03):利用处理器推测执行技术的新攻击类别
- Heartbleed漏洞(2014-04-08):OpenSSL中的缓冲区过读漏洞
- Shellshock漏洞(2014-09-24):bash中的远程代码执行漏洞
- Dirty COW漏洞(2016-10-26):Linux内核中的竞争条件漏洞
- Log4j漏洞(2021-12-14):Apache Log4j实用程序中的远程代码执行漏洞
每项公告均包含详细的技术描述、影响评估、缓解措施和修补镜像信息,为云计算环境的安全管理提供了完整的技术参考。