このページの一部またはすべての情報は、S3NS の Cloud de Confiance に適用されない場合があります。詳細については、Google Cloud との違いをご確認ください。

セキュリティに関する公開情報

Compute Engine に関連するセキュリティ情報は随時リリースされます。ここには、Compute Engine に関するすべてのセキュリティ情報が記載されています。

この XML フィードを使用して、Compute Engine のセキュリティに関する情報に登録します。

GCP-2025-058

公開日: 2025 年 10 月 20 日

説明

説明重大度注

説明	重大度	注
AMD Zen 5 プロセッサ（Turin）の RDSEED 命令に欠陥が見つかりました。この命令は、暗号論的に安全な乱数を生成するために使用されます。特定のシステム負荷条件下では、RDSEED の 16 ビット版と 32 ビット版が通知なしで失敗するため、乱数生成に依存するアプリケーションが侵害される可能性があります。64 ビット版の RDSEED を使用している場合、この問題の影響はありません。必要な対策 AMD はこの脆弱性を調査しています。 64 ビット Linux カーネルは、RDSEED 命令の安全な 64 ビット版を使用し、`/dev/[u]random` から取得した乱数をフィードします。これらの乱数は、この脆弱性の影響を受けません。 RDSEED 命令を使用して乱数を合成するアプリケーションコードがある場合は、この命令の 16 ビット版と 32 ビット版が安全でないことに注意してください。64 ビット版の命令は安全です。対処されている脆弱性この脆弱性により、攻撃者は RDSEED を通知なしで失敗させ、アプリケーションでの乱数生成を侵害する可能性があります。	高

AMD Zen 5 プロセッサ（Turin）の RDSEED 命令に欠陥が見つかりました。この命令は、暗号論的に安全な乱数を生成するために使用されます。特定のシステム負荷条件下では、RDSEED の 16 ビット版と 32 ビット版が通知なしで失敗するため、乱数生成に依存するアプリケーションが侵害される可能性があります。64 ビット版の RDSEED を使用している場合、この問題の影響はありません。

必要な対策

AMD はこの脆弱性を調査しています。

64 ビット Linux カーネルは、RDSEED 命令の安全な 64 ビット版を使用し、/dev/[u]random から取得した乱数をフィードします。これらの乱数は、この脆弱性の影響を受けません。

RDSEED 命令を使用して乱数を合成するアプリケーションコードがある場合は、この命令の 16 ビット版と 32 ビット版が安全でないことに注意してください。64 ビット版の命令は安全です。

対処されている脆弱性

この脆弱性により、攻撃者は RDSEED を通知なしで失敗させ、アプリケーションでの乱数生成を侵害する可能性があります。

高

GCP-2025-044

公開日: 2025 年 8 月 12 日

説明

説明	重大度	注
Intel は、2 つの新しいセキュリティの脆弱性を Google に通知しました。 CVE-2025-21090: この脆弱性は、次の Intel プロセッサに影響します。 Sapphire Rapids: C3、Z3、H3、A3、v5p VM ファミリー Emerald Rapids: N4、C4、M4、A3 Ultra、A4 VM ファミリー Granite Rapids: N4、C4 VM ファミリー CVE-2025-22840: この脆弱性は、次の Intel プロセッサに影響します。 Granite Rapids: N4、C4 VM ファミリー必要な対策どちらの脆弱性についても、お客様による対応は必要ありません。お客様のシステムの vTPM スタックは、お客様の標準のメンテナンスの時間枠内に Google がプロアクティブに更新します。現時点では、搾取された形跡はなく、Google に対する報告もありません。対処されている脆弱性脆弱性 CVE-2025-21090 により、権限のない攻撃者が AMX CPU 命令と AVX CPU 命令を組み合わせて使用することで、ホストマシンを動作不能にする可能性があります。脆弱性 CVE-2025-22840 により、権限のない攻撃者が prefetchit CPU 命令を使用して、本来アクセスできないメモリコンテンツを読み込み、リモートからコードを実行する可能性があります。	中	CVE-2025-21090 CVE-2025-22840

重大度

注

Intel は、2 つの新しいセキュリティの脆弱性を Google に通知しました。

CVE-2025-21090: この脆弱性は、次の Intel プロセッサに影響します。

Sapphire Rapids: C3、Z3、H3、A3、v5p VM ファミリー
Emerald Rapids: N4、C4、M4、A3 Ultra、A4 VM ファミリー
Granite Rapids: N4、C4 VM ファミリー

CVE-2025-22840: この脆弱性は、次の Intel プロセッサに影響します。

Granite Rapids: N4、C4 VM ファミリー

必要な対策

どちらの脆弱性についても、お客様による対応は必要ありません。お客様のシステムの vTPM スタックは、お客様の標準のメンテナンスの時間枠内に Google がプロアクティブに更新します。現時点では、搾取された形跡はなく、Google に対する報告もありません。

対処されている脆弱性

脆弱性 CVE-2025-21090 により、権限のない攻撃者が AMX CPU 命令と AVX CPU 命令を組み合わせて使用することで、ホストマシンを動作不能にする可能性があります。

脆弱性 CVE-2025-22840 により、権限のない攻撃者が prefetchit CPU 命令を使用して、本来アクセスできないメモリコンテンツを読み込み、リモートからコードを実行する可能性があります。

中

GCP-2025-042

公開日: 2025 年 8 月 11 日

説明

説明	重大度	注
研究者が特定の Intel CPU にセキュリティの脆弱性を発見しました。これには Skylake、Broadwell、Haswell マイクロアーキテクチャをベースにするものも含まれています。この脆弱性により、攻撃者がアクセス権のない CPU の L1 キャッシュから機密データを直接読み取る可能性があります。この脆弱性は、2018 年に CVE-2018-3646 として最初に公開されました。Google では、この脆弱性が公開されてすぐ、既知のリスクに対処する緩和策を実施しました。脆弱性と初期の修正に関するお知らせは、その時点で公開されました。それ以来、Google では残存リスクを調査し、アップストリームの Linux コミュニティと協力してこのリスクを軽減してきました。最近、Google は学術機関のセキュリティ研究者と協力して、CPU セキュリティの最新の緩和策と、2018 年当時は考慮されていなかった攻撃手法の可能性を評価しました。 Google では、この問題を緩和するため、 Cloud de Confiance by S3NSなど、影響を受けるアセットに修正を適用しています。必要な対策お客様による対応は必要ありません。Google サーバーフリートにはすでに緩和策が適用されています。対処されている脆弱性詳細については、Intel のアドバイザリ INTEL-SA-00161 と CVE-2018-3646 をご覧ください。	高	CVE-2018-3646

重大度

注

研究者が特定の Intel CPU にセキュリティの脆弱性を発見しました。これには Skylake、Broadwell、Haswell マイクロアーキテクチャをベースにするものも含まれています。この脆弱性により、攻撃者がアクセス権のない CPU の L1 キャッシュから機密データを直接読み取る可能性があります。

この脆弱性は、2018 年に CVE-2018-3646 として最初に公開されました。Google では、この脆弱性が公開されてすぐ、既知のリスクに対処する緩和策を実施しました。脆弱性と初期の修正に関するお知らせは、その時点で公開されました。それ以来、Google では残存リスクを調査し、アップストリームの Linux コミュニティと協力してこのリスクを軽減してきました。

最近、Google は学術機関のセキュリティ研究者と協力して、CPU セキュリティの最新の緩和策と、2018 年当時は考慮されていなかった攻撃手法の可能性を評価しました。

Google では、この問題を緩和するため、 Cloud de Confiance by S3NSなど、影響を受けるアセットに修正を適用しています。

必要な対策

お客様による対応は必要ありません。Google サーバーフリートにはすでに緩和策が適用されています。

対処されている脆弱性

詳細については、Intel のアドバイザリ INTEL-SA-00161 と CVE-2018-3646 をご覧ください。

高

CVE-2018-3646

GCP-2025-031

公開日: 2025 年 6 月 10 日

説明

説明	重大度	注
Trusted Computing Group（TCG）が、仮想 TPM（vTPM）を使用する Shielded VM に影響するトラステッドプラットフォームモジュール（TPM）ソフトウェアの脆弱性を報告しました。この脆弱性により、認証済みのローカル攻撃者が機密性の高い vTPM データを読み取ったり、vTPM の可用性に影響を与える可能性があります。通常、vTPM へのアクセスは特権アクセスです。ただし、構成によっては、vTPM へのアクセスが広範に許可されている場合があります。必要な対策お客様による対応は必要ありません。お客様のシステムの vTPM スタックは、お客様の標準のメンテナンスの時間枠内に Google がプロアクティブに更新します。ただし、vTPM へのアクセスを管理者（root）ユーザーに制限できます。この操作は、Shielded VM のリスク軽減に役立ちます。対処されている脆弱性脆弱性 CVE-2025-2884 により、vTPM インターフェースにアクセスできるローカル攻撃者が悪意のあるコマンドを送信する可能性があります。これらのコマンドは不一致を利用し、範囲外（OOB）の vTPM メモリを読み込みます。これにより、機密データが漏洩する可能性があります。	高	CVE-2025-2884

重大度

注

Trusted Computing Group（TCG）が、仮想 TPM（vTPM）を使用する Shielded VM に影響するトラステッドプラットフォームモジュール（TPM）ソフトウェアの脆弱性を報告しました。この脆弱性により、認証済みのローカル攻撃者が機密性の高い vTPM データを読み取ったり、vTPM の可用性に影響を与える可能性があります。

通常、vTPM へのアクセスは特権アクセスです。ただし、構成によっては、vTPM へのアクセスが広範に許可されている場合があります。

必要な対策

お客様による対応は必要ありません。お客様のシステムの vTPM スタックは、お客様の標準のメンテナンスの時間枠内に Google がプロアクティブに更新します。ただし、vTPM へのアクセスを管理者（root）ユーザーに制限できます。この操作は、Shielded VM のリスク軽減に役立ちます。

対処されている脆弱性

脆弱性 CVE-2025-2884 により、vTPM インターフェースにアクセスできるローカル攻撃者が悪意のあるコマンドを送信する可能性があります。これらのコマンドは不一致を利用し、範囲外（OOB）の vTPM メモリを読み込みます。これにより、機密データが漏洩する可能性があります。

高

CVE-2025-2884

GCP-2025-025

公開日: 2025-05-13

説明

説明	重大度	注
Intel は、Cascade Lake、Ice Lake XeonSP、Ice Lake XeonD、Sapphire Rapids、Emerald Rapids の Intel プロセッサに影響する新しいサイドチャネルの脆弱性について Google に通知しました。 Google では、お客様を保護するため、 Cloud de Confiance by S3NSを含む影響を受けるアセットに修正を適用しています。現時点では、搾取された形跡はなく、Google に対する報告もありません。必要な対策お客様による対応は必要ありません。お客様を保護するため、Google サーバーフリートにはすでに修正が適用されています。対処されている脆弱性 CVE-2024-45332。詳細については、Intel advisory INTEL-SA-01247 をご覧ください。サポートのご案内ご質問がある場合やサポートが必要な場合は、Cloud カスタマーケアまでお問い合わせいただき、管理番号「417536835」をお伝えください。	高	CVE-2024-45332

重大度

注

Intel は、Cascade Lake、Ice Lake XeonSP、Ice Lake XeonD、Sapphire Rapids、Emerald Rapids の Intel プロセッサに影響する新しいサイドチャネルの脆弱性について Google に通知しました。

Google では、お客様を保護するため、 Cloud de Confiance by S3NSを含む影響を受けるアセットに修正を適用しています。現時点では、搾取された形跡はなく、Google に対する報告もありません。

必要な対策

お客様による対応は必要ありません。お客様を保護するため、Google サーバーフリートにはすでに修正が適用されています。

対処されている脆弱性

CVE-2024-45332。詳細については、Intel advisory INTEL-SA-01247 をご覧ください。

サポートのご案内

ご質問がある場合やサポートが必要な場合は、Cloud カスタマーケアまでお問い合わせいただき、管理番号「417536835」をお伝えください。

高

CVE-2024-45332

GCP-2025-024

公開日: 2025 年 5 月 12 日

最終更新: 2025 年 5 月 13 日

説明

説明	重大度	注
2025 年 5 月 13 日更新: ご質問がある場合やサポートが必要な場合は、Cloud カスタマーケアまでお問い合わせいただき、管理番号「417458390」をお伝えください。 Intel は、Intel Cascade Lake プロセッサと Intel Ice Lake プロセッサに影響する新しい投機的実行の脆弱性について Google に通知しました。 Google では、お客様を保護するため、 Cloud de Confiance by S3NSを含む影響を受けるアセットに修正を適用しています。現時点では、搾取された形跡はなく、Google に対する報告もありません。必要な対策お客様による対応は必要ありません。Google サーバーフリートにはすでに緩和策が適用されています。 Intel の相手先ブランド製品製造企業（OEM）や他のオペレーティングシステムパートナーによるさらなる緩和策は、同じモードの間接的ターゲット選択（ITS）の脆弱性を軽減するために、利用可能になり次第デプロイされます。オペレーティングシステムの緩和策が適用された後、長時間実行されている第 3 世代以降の VM では、意図しないパフォーマンスの低下が発生する可能性があります。対処されている脆弱性 CVE-2024-28956。詳細については、Intel security advisory INTEL-SA-01153 をご覧ください。	高	CVE-2024-28956

重大度

注

2025 年 5 月 13 日更新: ご質問がある場合やサポートが必要な場合は、Cloud カスタマーケアまでお問い合わせいただき、管理番号「417458390」をお伝えください。

Intel は、Intel Cascade Lake プロセッサと Intel Ice Lake プロセッサに影響する新しい投機的実行の脆弱性について Google に通知しました。

必要な対策

お客様による対応は必要ありません。Google サーバーフリートにはすでに緩和策が適用されています。

Intel の相手先ブランド製品製造企業（OEM）や他のオペレーティングシステムパートナーによるさらなる緩和策は、同じモードの間接的ターゲット選択（ITS）の脆弱性を軽減するために、利用可能になり次第デプロイされます。

オペレーティングシステムの緩和策が適用された後、長時間実行されている第 3 世代以降の VM では、意図しないパフォーマンスの低下が発生する可能性があります。

対処されている脆弱性

CVE-2024-28956。詳細については、Intel security advisory INTEL-SA-01153 をご覧ください。

高

CVE-2024-28956

GCP-2024-040

公開日: 2024 年 7 月 1 日
更新日: 2024 年 8 月 20 日

説明重大度注

更新日: 2024 年 8 月 20 日 重大 CVE-2024-6387

説明	重大度	注
更新日: 2024 年 8 月 20 日	重大	CVE-2024-6387
2024 年 8 月 20 日: TPU のパッチが含まれます。Linux ディストリビューションの更新が利用可能になり次第、これを適用します。Linux ディストリビューションのガイダンスをご覧ください。 TPU を使用している場合は、次のパッチバージョンのいずれかに更新してください。 tpu-ubuntu2204-base v2-alpha-tpuv5 v2-alpha-tpuv5-lite OpenSSH で脆弱性（CVE-2024-6387）が見つかりました。この脆弱性を悪用すると、認証されていないリモートの攻撃者が、ターゲットのマシンに対してルート権限で任意のコードを実行できるようになります。 glibc ベースの Linux ディストリビューションを使用し、OpenSSH が公開されているすべての Compute Engine VM で、バージョンの脆弱性を分析することをおすすめします。必要な対策 Linux ディストリビューションの更新が利用可能になり次第、これを適用します。Linux ディストリビューションのガイダンスをご覧ください。 Google の Container-Optimized OS の場合は、次のいずれかのパッチバージョンに更新してください。 cos-113-18244-85-49 cos-109-17800-218-69 cos-105-17412-370-67 cos-101-17162-463-55 Google マネージドサービス（GKE など）を介して Container-Optimized OS を使用している場合は、パッチの可用性について、そのサービスのセキュリティに関する公開情報をご確認ください。更新できない場合は、パッチが適用されるまで OpenSSH を無効にすることを検討してください。デフォルトネットワークには、公共のインターネットからの ssh アクセスを許可する `default-allow-ssh` ファイアウォールルールが事前入力されています。このアクセス権を削除するには、次の操作を行います。必要に応じて、信頼できるネットワークからプロジェクト内の GKE ノードまたは他の Compute Engine VM への必要な SSH アクセスを許可するルールを作成します。次のコマンドを使用して、デフォルトのファイアウォールルールを無効にします。 gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT ポート 22 の TCP 経由で SSH を許可する可能性のある他のファイアウォールルールを作成した場合は、それらを無効にするか、送信元 IP を信頼できるネットワークに制限します。インターネットから VM に ssh 接続できなくなったことを確認します。このファイアウォール構成により、脆弱性が緩和されます。 OpenSSH を有効にしておく必要がある場合は、構成の更新を実行することで、悪用される競合状態を回避できます。これはランタイムの緩和策です。sshd 構成で変更を適用するために、このスクリプトは sshd サービスを再起動します。 #!/bin/bash set -e SSHD_CONFIG_FILE=/etc/ssh/sshd_config # -c: count the matches # -q: don't print to console # -i: sshd_config keywords are case insensitive. if [[ "$(grep -ci '^LoginGraceTime' $SSHD_CONFIG_FILE)" -eq 0 ]]; then echo "LoginGraceTime 0" >> "$SSHD_CONFIG_FILE" echo "Set the LoginGraceTime to 0 in $SSHD_CONFIG_FILE" else sed -i 's/^LoginGraceTime.*$/LoginGraceTime 0/' /etc/ssh/sshd_config echo "Changed the LoginGraceTime to 0 in $SSHD_CONFIG_FILE" fi # Restart the sshd service to apply the new config. systemctl restart sshd 最後に、SSH サーバーに関連する異常なネットワークアクティビティをモニタリングします。	重大	CVE-2024-6387

2024 年 8 月 20 日: TPU のパッチが含まれます。Linux ディストリビューションの更新が利用可能になり次第、これを適用します。Linux ディストリビューションのガイダンスをご覧ください。 TPU を使用している場合は、次のパッチバージョンのいずれかに更新してください。

tpu-ubuntu2204-base
v2-alpha-tpuv5
v2-alpha-tpuv5-lite

OpenSSH で脆弱性（CVE-2024-6387）が見つかりました。この脆弱性を悪用すると、認証されていないリモートの攻撃者が、ターゲットのマシンに対してルート権限で任意のコードを実行できるようになります。

glibc ベースの Linux ディストリビューションを使用し、OpenSSH が公開されているすべての Compute Engine VM で、バージョンの脆弱性を分析することをおすすめします。

必要な対策

Linux ディストリビューションの更新が利用可能になり次第、これを適用します。Linux ディストリビューションのガイダンスをご覧ください。 Google の Container-Optimized OS の場合は、次のいずれかのパッチバージョンに更新してください。
- cos-113-18244-85-49
- cos-109-17800-218-69
- cos-105-17412-370-67
- cos-101-17162-463-55
Google マネージドサービス（GKE など）を介して Container-Optimized OS を使用している場合は、パッチの可用性について、そのサービスのセキュリティに関する公開情報をご確認ください。
更新できない場合は、パッチが適用されるまで OpenSSH を無効にすることを検討してください。デフォルトネットワークには、公共のインターネットからの ssh アクセスを許可する default-allow-ssh ファイアウォールルールが事前入力されています。このアクセス権を削除するには、次の操作を行います。
1. 必要に応じて、信頼できるネットワークからプロジェクト内の GKE ノードまたは他の Compute Engine VM への必要な SSH アクセスを許可するルールを作成します。
2. 次のコマンドを使用して、デフォルトのファイアウォールルールを無効にします。
```
gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT
      
```
ポート 22 の TCP 経由で SSH を許可する可能性のある他のファイアウォールルールを作成した場合は、それらを無効にするか、送信元 IP を信頼できるネットワークに制限します。

インターネットから VM に ssh 接続できなくなったことを確認します。このファイアウォール構成により、脆弱性が緩和されます。

OpenSSH を有効にしておく必要がある場合は、構成の更新を実行することで、悪用される競合状態を回避できます。これはランタイムの緩和策です。sshd 構成で変更を適用するために、このスクリプトは sshd サービスを再起動します。

#!/bin/bash
set -e

SSHD_CONFIG_FILE=/etc/ssh/sshd_config
# -c: count the matches
# -q: don't print to console
# -i: sshd_config keywords are case insensitive.
if [[ "$(grep -ci '^LoginGraceTime' $SSHD_CONFIG_FILE)" -eq 0 ]]; then
    echo "LoginGraceTime 0" >> "$SSHD_CONFIG_FILE"
    echo "Set the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
else
    sed -i 's/^LoginGraceTime.*$/LoginGraceTime 0/' /etc/ssh/sshd_config
    echo "Changed the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
fi
# Restart the sshd service to apply the new config.
systemctl restart sshd

最後に、SSH サーバーに関連する異常なネットワークアクティビティをモニタリングします。

重大

CVE-2024-6387

GCP-2024-021

公開日: 2024 年 4 月 3 日

説明	重大度	注
Compute Engine は、liblzma ライブラリの xz-utils パッケージのバージョン 5.6.0 と 5.6.1 に影響を与える CVE-2024-3094 の影響を受けません。これにより、OpenSSH ユーティリティが侵害される可能性があります。必要な対策 Compute Engine で提供されているサポート対象の公開イメージは、この CVE の影響を受けません。VM に Compute Engine の公開イメージを使用している場合は、対応の必要はありません。次のようなオペレーティングシステムで、xz-utils パッケージのバージョン 5.6.0 と 5.6.1 を使用するカスタムイメージを作成した場合、リスクが生じる可能性があります。 Fedora 41 と Fedora Rawhide Debian testing/unstable openSUSE tumbleweed このリスクを軽減するには、これらのオペレーティングシステムを使用している VM、または影響を受けるオペレーティングシステムを使用している可能性のある VM をすべて停止します。他のオペレーティングシステムのカスタムイメージからビルドされた VM がある場合は、OS ベンダーに問い合わせて、VM が影響を受けるかどうかを確認してください。対処されている脆弱性 CVE-2024-3094	中	CVE-2024-3094

説明

重大度

注

Compute Engine は、liblzma ライブラリの xz-utils パッケージのバージョン 5.6.0 と 5.6.1 に影響を与える CVE-2024-3094 の影響を受けません。これにより、OpenSSH ユーティリティが侵害される可能性があります。

必要な対策

Compute Engine で提供されているサポート対象の公開イメージは、この CVE の影響を受けません。VM に Compute Engine の公開イメージを使用している場合は、対応の必要はありません。

次のようなオペレーティングシステムで、xz-utils パッケージのバージョン 5.6.0 と 5.6.1 を使用するカスタムイメージを作成した場合、リスクが生じる可能性があります。

このリスクを軽減するには、これらのオペレーティングシステムを使用している VM、または影響を受けるオペレーティングシステムを使用している可能性のある VM をすべて停止します。他のオペレーティングシステムのカスタムイメージからビルドされた VM がある場合は、OS ベンダーに問い合わせて、VM が影響を受けるかどうかを確認してください。

対処されている脆弱性

CVE-2024-3094

中

CVE-2024-3094

GCP-2024-001

公開日: 2024-01-09

説明	重大度	注
TianoCore EDK II UEFI ファームウェアで複数の脆弱性が見つかりました。このファームウェアは Google Compute Engine VM で使用されています。悪用されると、脆弱性によりセキュアブートがバイパスされ、Shielded VM で使用されている場合も含め、セキュアブートプロセスで誤った測定値が提供される可能性があります。必要な対策ご対応は必要ありません。Google は、Compute Engine 全体でこの脆弱性にパッチを適用し、すべての VM を脆弱性から保護しました。このパッチで対処される脆弱性このパッチで緩和された脆弱性は以下のとおりです。 CVE-2022-36763 CVE-2022-36764 CVE-2022-36765	中	CVE-2022-36763 CVE-2022-36764 CVE-2022-36765

説明

重大度

注

TianoCore EDK II UEFI ファームウェアで複数の脆弱性が見つかりました。このファームウェアは Google Compute Engine VM で使用されています。悪用されると、脆弱性によりセキュアブートがバイパスされ、Shielded VM で使用されている場合も含め、セキュアブートプロセスで誤った測定値が提供される可能性があります。

必要な対策

ご対応は必要ありません。Google は、Compute Engine 全体でこの脆弱性にパッチを適用し、すべての VM を脆弱性から保護しました。

このパッチで対処される脆弱性

このパッチで緩和された脆弱性は以下のとおりです。

CVE-2022-36763
CVE-2022-36764
CVE-2022-36765

中

GCP-2023-44

公開日: 2023 年 11 月 15 日

説明	重大度	注
11 月 14 日、AMD は、さまざまな AMD サーバー CPU に影響を与える複数の脆弱性を開示しました。具体的には、この脆弱性は Zen コア第 2 世代 Rome、第 3 世代 Milan、第 4 世代 Genoa を利用する EPYC サーバー CPU に影響を与えます。 Google では、お客様を保護するため、 Cloud de Confiance by S3NSを含む影響を受けるアセットに修正を適用しています。現時点では、搾取された形跡はなく、Google に対する報告もありません。必要な対策お客様による対応は必要ありません。 Google Compute Engine を含む Cloud de Confiance by S3NSの Google サーバーフリートには、すでに修正が適用されています。このパッチで対処される脆弱性このパッチで緩和された脆弱性は以下のとおりです。 CVE-2022-23820 CVE-2021-46774 CVE-2023-20533 CVE-2023-20519 CVE-2023-20592 CVE-2023-20566 CVE-2023-20521 CVE-2021-46766 CVE-2022-23830 CVE-2023-20526 CVE-2021-26345 詳細については、CacheWarp としても公開されている AMD のセキュリティアドバイザリ AMD-SN-3005: AMD INVD Instruction Security Notice、AMD-SN-3002: AMD Server Vulnerabilities – November 2023 をご覧ください。	中	CVE-2022-23820 CVE-2021-46774 CVE-2023-20533 CVE-2023-20519 CVE-2023-20592 CVE-2023-20566 CVE-2022-23830 CVE-2023-20526 CVE-2021-26345

説明

重大度

注

11 月 14 日、AMD は、さまざまな AMD サーバー CPU に影響を与える複数の脆弱性を開示しました。具体的には、この脆弱性は Zen コア第 2 世代 Rome、第 3 世代 Milan、第 4 世代 Genoa を利用する EPYC サーバー CPU に影響を与えます。

必要な対策

お客様による対応は必要ありません。

Google Compute Engine を含む Cloud de Confiance by S3NSの Google サーバーフリートには、すでに修正が適用されています。

このパッチで対処される脆弱性

このパッチで緩和された脆弱性は以下のとおりです。

CVE-2022-23820
CVE-2021-46774
CVE-2023-20533
CVE-2023-20519
CVE-2023-20592
CVE-2023-20566
CVE-2023-20521
CVE-2021-46766
CVE-2022-23830
CVE-2023-20526
CVE-2021-26345

詳細については、CacheWarp としても公開されている AMD のセキュリティアドバイザリ AMD-SN-3005: AMD INVD Instruction Security Notice、AMD-SN-3002: AMD Server Vulnerabilities – November 2023 をご覧ください。

中

GCP-2023-004

公開日: 2023 年 4 月 26 日

説明	重大度	注
トラステッドプラットフォームモジュール（TPM）2.0 で 2 つの脆弱性（CVE-2023-1017 と CVE-2023-1018）が見つかりました。この脆弱性のため、巧妙な攻撃者により、特定の Compute Engine VM で 2 バイトの境界外読み取りおよび境界外書き込みが悪用されるおそれがあります。必要な対策脆弱性のあるすべての VM にパッチが自動的に適用されました。お客様による対応は必要ありません。このパッチで対処される脆弱性このパッチで緩和された脆弱性は以下のとおりです。 CVE-2023-1017 CVE-2023-2017 により、vTPM パラメータの復号ルーチンでバッファオーバーランがトリガーされる可能性があります。脆弱な VM で実行されているローカルの攻撃者が、これを利用してサービス拒否をトリガーしたり、vTPM コンテキストで任意のコードを実行する可能性があります。 CVE-2023-1018 CVE-2023-2018 により、vTPM パラメータの復号ルーチンで範囲外の読み取りが実行される可能性があります。脆弱な VM で実行されているローカルの攻撃者が、これを使用して vTPM コンテキストから限定的なデータを間接的に漏洩させる可能性があります。	中	CVE-2023-1017 CVE-2023-1018

説明

重大度

注

トラステッドプラットフォームモジュール（TPM）2.0 で 2 つの脆弱性（CVE-2023-1017 と CVE-2023-1018）が見つかりました。

この脆弱性のため、巧妙な攻撃者により、特定の Compute Engine VM で 2 バイトの境界外読み取りおよび境界外書き込みが悪用されるおそれがあります。

必要な対策

脆弱性のあるすべての VM にパッチが自動的に適用されました。お客様による対応は必要ありません。

このパッチで対処される脆弱性

このパッチで緩和された脆弱性は以下のとおりです。

CVE-2023-1017

CVE-2023-2017 により、vTPM パラメータの復号ルーチンでバッファオーバーランがトリガーされる可能性があります。脆弱な VM で実行されているローカルの攻撃者が、これを利用してサービス拒否をトリガーしたり、vTPM コンテキストで任意のコードを実行する可能性があります。

CVE-2023-1018

CVE-2023-2018 により、vTPM パラメータの復号ルーチンで範囲外の読み取りが実行される可能性があります。脆弱な VM で実行されているローカルの攻撃者が、これを使用して vTPM コンテキストから限定的なデータを間接的に漏洩させる可能性があります。

中

GCP-2021-026

公開日: 2021 年 12 月 14 日

説明	重大度	注
Apache Log4j ユーティリティは、リクエストのロギングによく使われるコンポーネントです。2021 年 12 月 9 日に、Apache Log4j のバージョン 2.14.1 以下を実行しているシステムが侵害され、攻撃者によって任意のコードが実行される可能性があるという脆弱性が報告されました。 2021 年 12 月 10 日、NIST は重大な共通脆弱性識別子（CVE）アラート、CVE-2021-44228 を公開しました。具体的には、構成、ログメッセージ、パラメータで使用される Java Naming Directory Interface（JNDI）機能が、攻撃者が制御する LDAP や他の JNDI 関連エンドポイントから保護されないというものです。ログメッセージやログメッセージパラメータを制御できる攻撃者は、メッセージの検索置換が有効な場合に、リモートサーバーから読み込んだ任意のコードを実行できます。必要な対策 M4CE v4.x: Migrate for Compute Engine（M4CE）チームは、2021 年 12 月 13 日に新しいバージョンを提供しました。プロジェクトマネージャーは、クラウド内 M4CE Manager と M4CE のオンプレミスバックエンドを含む既存のデプロイを新しいバージョンに置き換える必要があります。バージョン 4.11 のデプロイの詳細については、入門ガイドをご覧ください。 M2VM v5.x: M2VM v5.0 以降は修正済みであり、対応は不要です。	重大	CVE-2021-44228

説明

重大度

注

Apache Log4j ユーティリティは、リクエストのロギングによく使われるコンポーネントです。2021 年 12 月 9 日に、Apache Log4j のバージョン 2.14.1 以下を実行しているシステムが侵害され、攻撃者によって任意のコードが実行される可能性があるという脆弱性が報告されました。

2021 年 12 月 10 日、NIST は重大な共通脆弱性識別子（CVE）アラート、CVE-2021-44228 を公開しました。具体的には、構成、ログメッセージ、パラメータで使用される Java Naming Directory Interface（JNDI）機能が、攻撃者が制御する LDAP や他の JNDI 関連エンドポイントから保護されないというものです。ログメッセージやログメッセージパラメータを制御できる攻撃者は、メッセージの検索置換が有効な場合に、リモートサーバーから読み込んだ任意のコードを実行できます。

必要な対策

M4CE v4.x: Migrate for Compute Engine（M4CE）チームは、2021 年 12 月 13 日に新しいバージョンを提供しました。プロジェクトマネージャーは、クラウド内 M4CE Manager と M4CE のオンプレミスバックエンドを含む既存のデプロイを新しいバージョンに置き換える必要があります。バージョン 4.11 のデプロイの詳細については、入門ガイドをご覧ください。
M2VM v5.x: M2VM v5.0 以降は修正済みであり、対応は不要です。

重大

CVE-2021-44228

GCP-2021-001

公開日: 2021 年 1 月 28 日

説明重大度注

説明	重大度	注
先ごろ、Linux ユーティリティ `sudo` に脆弱性（CVE-2021-3156 に記載）が発見されました。この脆弱性により、特権を持たないローカルシェルセッションの攻撃者がインストールされている `sudo` を使用してシステムにアクセスし、権限をシステムの root に昇格させるおそれがあります。 Compute Engine への影響 Compute Engine を実行する基盤となるインフラストラクチャは、この脆弱性の影響を受けません。Linux を実行している Compute Engine VM では、ゲストオペレーティングシステムの更新を検討する必要があります。たとえば、Container-Optimized OS を使用している場合は、cos-85-13310-1209-7、cos-81-12871-1245-6、cos-dev-89-16091-0-0 以降のいずれかのイメージに更新することをおすすめします。	なし	CVE-2021-3156

先ごろ、Linux ユーティリティ sudo に脆弱性（CVE-2021-3156 に記載）が発見されました。この脆弱性により、特権を持たないローカルシェルセッションの攻撃者がインストールされている sudo を使用してシステムにアクセスし、権限をシステムの root に昇格させるおそれがあります。

Compute Engine への影響

Compute Engine を実行する基盤となるインフラストラクチャは、この脆弱性の影響を受けません。Linux を実行している Compute Engine VM では、ゲストオペレーティングシステムの更新を検討する必要があります。たとえば、Container-Optimized OS を使用している場合は、cos-85-13310-1209-7、cos-81-12871-1245-6、cos-dev-89-16091-0-0 以降のいずれかのイメージに更新することをおすすめします。

なし

CVE-2021-3156

公開日: 2020 年 8 月 27 日

説明重大度注

説明	重大度	注
Eclypsium が、CVE-2020-10713 を公表しました。脆弱性最初の脆弱性レポートに対応して、GRUB2 コードの追加の精査が行われ、Canonical によって次の追加の脆弱性が発見されました。 CVE-2020-14308 CVE-2020-14309 CVE-2020-14310 CVE-2020-14311 CVE-2020-15705 CVE-2020-15706 CVE-2020-15707 BootHole と総称されるこれらの脆弱性により、攻撃者が管理者権限で未署名のバイナリを読み込み、セキュアブートの適用を無効にする可能性があります。 Compute Engine への影響 Compute Engine を実行するホストインフラストラクチャは、既知の攻撃から保護されています。 Compute Engine でセキュアブートを使用している場合は、ゲスト環境内での悪用の可能性を回避するため、インスタンスのゲストオペレーティングシステムを更新することをおすすめします。詳細については、ゲスト OS ベンダーが推奨する緩和策をご確認ください。パッチ適用済みイメージとベンダーのリソース各オペレーティングシステムベンダーからパッチが入手可能になると、ここにパッチ情報へのリンクが表示されます。これらの公開イメージの旧バージョンにはこうしたパッチが含まれないため、攻撃される可能性を軽減できません。プロジェクト `centos-cloud`: CentOS のパッチ情報 `centos-7-v20200811` `centos-8-v20200811` プロジェクト `cos-cloud`: `cos-77-12371-1072-0` `cos-81-12871-1185-0` `cos-rc-85-13310-1028-0` `cos-dev-86-15103-0-0` マネージドサービス（GKE など）を介して COS を使用している場合は、そのサービスのガイダンスに従って更新を適用してください。プロジェクト `debian-cloud`: DSA-4753 `debian-10-buster-v20200805` プロジェクト `coreos-cloud`: `coreos-alpha-2163-2-1-v20190617` `coreos-beta-2135-3-1-v20190617` `coreos-stable-2079-6-0-v20190617` プロジェクト `rhel-cloud/rhel-sap-cloud:` Red Hat の脆弱性対応 `rhel-7-v20200811` `rhel-7-4-sap-v20200811` `rhel-7-6-sap-v20200811` `rhel-7-7-sap-v20200811` `rhel-8-v20200811` プロジェクト `suse-cloud/suse-sap-cloud:`: SUSE KB `sles-12-sp5-v20200813` `sles-15-sp2-v20200804` `sles-12-sp4-sap-v20200804` `sles-12-sp5-sap-v20200813` `sles-15-sap-v20200803` `sles-15-sp1-sap-v20200803` `Sles-15-sp2-sap-v20200804` プロジェクト `ubuntu-os-cloud`: Ubuntu Wiki `ubuntu-1604-xenial-v20200729` `ubuntu-1804-bionic-v20200729` `ubuntu-2004-focal-v20200729`	高	CVE-2020-10713 CVE-2020-14308 CVE-2020-14309 CVE-2020-14310 CVE-2020-14311 CVE-2020-15705 CVE-2020-15706 CVE-2020-15707

Eclypsium が、CVE-2020-10713 を公表しました。

脆弱性

最初の脆弱性レポートに対応して、GRUB2 コードの追加の精査が行われ、Canonical によって次の追加の脆弱性が発見されました。

BootHole と総称されるこれらの脆弱性により、攻撃者が管理者権限で未署名のバイナリを読み込み、セキュアブートの適用を無効にする可能性があります。

Compute Engine への影響

Compute Engine を実行するホストインフラストラクチャは、既知の攻撃から保護されています。

Compute Engine でセキュアブートを使用している場合は、ゲスト環境内での悪用の可能性を回避するため、インスタンスのゲストオペレーティングシステムを更新することをおすすめします。詳細については、ゲスト OS ベンダーが推奨する緩和策をご確認ください。

パッチ適用済みイメージとベンダーのリソース

各オペレーティングシステムベンダーからパッチが入手可能になると、ここにパッチ情報へのリンクが表示されます。これらの公開イメージの旧バージョンにはこうしたパッチが含まれないため、攻撃される可能性を軽減できません。

プロジェクト centos-cloud: CentOS のパッチ情報
- centos-7-v20200811
- centos-8-v20200811
プロジェクト cos-cloud:
- cos-77-12371-1072-0
- cos-81-12871-1185-0
- cos-rc-85-13310-1028-0
- cos-dev-86-15103-0-0
マネージドサービス（GKE など）を介して COS を使用している場合は、そのサービスのガイダンスに従って更新を適用してください。
プロジェクト debian-cloud: DSA-4753
- debian-10-buster-v20200805
プロジェクト coreos-cloud:
- coreos-alpha-2163-2-1-v20190617
- coreos-beta-2135-3-1-v20190617
- coreos-stable-2079-6-0-v20190617
プロジェクト rhel-cloud/rhel-sap-cloud: Red Hat の脆弱性対応
- rhel-7-v20200811
- rhel-7-4-sap-v20200811
- rhel-7-6-sap-v20200811
- rhel-7-7-sap-v20200811
- rhel-8-v20200811
プロジェクト suse-cloud/suse-sap-cloud:: SUSE KB
- sles-12-sp5-v20200813
- sles-15-sp2-v20200804
- sles-12-sp4-sap-v20200804
- sles-12-sp5-sap-v20200813
- sles-15-sap-v20200803
- sles-15-sp1-sap-v20200803
- Sles-15-sp2-sap-v20200804
プロジェクト ubuntu-os-cloud: Ubuntu Wiki
- ubuntu-1604-xenial-v20200729
- ubuntu-1804-bionic-v20200729
- ubuntu-2004-focal-v20200729

高

公開日: 2020 年 6 月 19 日

説明重大度注

説明	重大度	注
OS Login が有効になっている VM は、権限昇格の脆弱性の影響を受ける可能性があります。これらの脆弱性により、OS Login 権限を付与されたユーザー（ただし、管理者権限は付与されていない）が VM で root アクセス権を取得する可能性があります。脆弱性 Compute Engine イメージでは、デフォルトのグループメンバーシップに過剰な権限が付与されているため、次の 3 つの脆弱性が確認されています。 CVE-2020-8903: `adm` ユーザーを使用して DHCP XID を利用することで管理者権限を取得できます。 CVE-2020-8907: `docker` ユーザーを使用してホスト OS ファイルシステムをマウントし、変更することで、管理者権限を取得できます。 CVE-2020-8933: `lxd` ユーザーを使用して、ホスト OS のファイルシステムを関連付けることで、管理者権限を取得できます。パッチ適用済みイメージと修正 `v20200506` 以降に作成されたすべての Compute Engine 公開イメージにパッチが適用されています。イメージの新しいバージョンに更新せずにこの問題を解決する必要がある場合は、`/etc/security/group.conf` ファイルを編集して、デフォルトの OS Login エントリから `adm`、`lxd`、`docker` ユーザーを削除します。	高	CVE-2020-8903 CVE-2020-8907 CVE-2020-8933

OS Login が有効になっている VM は、権限昇格の脆弱性の影響を受ける可能性があります。これらの脆弱性により、OS Login 権限を付与されたユーザー（ただし、管理者権限は付与されていない）が VM で root アクセス権を取得する可能性があります。

脆弱性

Compute Engine イメージでは、デフォルトのグループメンバーシップに過剰な権限が付与されているため、次の 3 つの脆弱性が確認されています。

CVE-2020-8903: adm ユーザーを使用して DHCP XID を利用することで管理者権限を取得できます。
CVE-2020-8907: docker ユーザーを使用してホスト OS ファイルシステムをマウントし、変更することで、管理者権限を取得できます。
CVE-2020-8933: lxd ユーザーを使用して、ホスト OS のファイルシステムを関連付けることで、管理者権限を取得できます。

パッチ適用済みイメージと修正

v20200506 以降に作成されたすべての Compute Engine 公開イメージにパッチが適用されています。

イメージの新しいバージョンに更新せずにこの問題を解決する必要がある場合は、/etc/security/group.conf ファイルを編集して、デフォルトの OS Login エントリから adm、lxd、docker ユーザーを削除します。

高

公開日: 2020 年 1 月 21 日

説明重大度注

説明	重大度	注
Microsoft により次の脆弱性が公表されました。 CVE-2020-0601 - この脆弱性は Windows Crypto API のなりすましの脆弱性とも呼ばれます。これを悪用すると、悪意ある実行可能ファイルを信頼されたもののように見せかけることができます。また、攻撃者が中間者攻撃を行って標的ソフトウェアへの接続上で機密情報を復号することも可能です。 Compute Engine への影響 Compute Engine を実行する基盤となるインフラストラクチャは、この脆弱性の影響を受けません。Compute Engine 仮想マシンで Windows Server を実行していない限り、これ以上の対応は必要ありません。Windows Server を実行している Compute Engine VM を使用している場合は、インスタンスに最新の Windows パッチが適用されていることを確認する必要があります。パッチ適用済みイメージとベンダーのリソース Windows 公開イメージの旧バージョンには、次のパッチが含まれていないため、攻撃を受ける可能性は緩和されません。プロジェクト `windows-cloud` と `windows-sql-cloud` v20200114 以降のすべての Windows Server と SQL Server の公開イメージ	中	CVE-2020-0601

Microsoft により次の脆弱性が公表されました。

CVE-2020-0601 - この脆弱性は Windows Crypto API のなりすましの脆弱性とも呼ばれます。これを悪用すると、悪意ある実行可能ファイルを信頼されたもののように見せかけることができます。また、攻撃者が中間者攻撃を行って標的ソフトウェアへの接続上で機密情報を復号することも可能です。

Compute Engine への影響

Compute Engine を実行する基盤となるインフラストラクチャは、この脆弱性の影響を受けません。Compute Engine 仮想マシンで Windows Server を実行していない限り、これ以上の対応は必要ありません。Windows Server を実行している Compute Engine VM を使用している場合は、インスタンスに最新の Windows パッチが適用されていることを確認する必要があります。

パッチ適用済みイメージとベンダーのリソース

Windows 公開イメージの旧バージョンには、次のパッチが含まれていないため、攻撃を受ける可能性は緩和されません。

プロジェクト windows-cloud と windows-sql-cloud
- v20200114 以降のすべての Windows Server と SQL Server の公開イメージ

中

CVE-2020-0601

公開日: 2019 年 11 月 12 日

説明	重大度	注
次の CVE が Intel により公表されました。 CVE-2019-11135 - この CVE は TSX 非同期アボート（TAA）とも呼ばれます。TAA により、マイクロアーキテクチャデータサンプリング（MDS）で悪用されていたのと同じマイクロアーキテクチャデータ構造を使用してデータを引き出すことも可能になります。 CVE-2018-12207 - この CVE は「ページサイズ変更時のマシンチェックエラー」とも呼ばれます。これは仮想マシンホストを対象としたサービス拒否攻撃（DoS）の脆弱性です。悪意のあるゲストにより、保護されていないホストがクラッシュする可能性があります。 Compute Engine への影響 CVE-2019-11135 Compute Engine を実行するホストインフラストラクチャは、お客様のワークロードを分離します。N2、C2、M2 VM 内で信頼できないコードを実行していない限り、これ以上の対応は必要ありません。 Compute Engine 仮想マシン内の独自のマルチテナントサービスで信頼できないコードを実行している N2、C2、M2 のお客様は、VM をいったん停止してから再起動して、最新のセキュリティ対策が適用された状態にする必要があります。停止 / 開始なしの再起動では不十分です。このガイダンスは、MDS の脆弱性に対処するリリース済みのアップデートがすでに適用されていることを前提としています。そうでない場合は、手順に沿って適切なアップデートを適用してください。 N1 マシンタイプを実行している場合、この脆弱性は以前に開示された MDS 脆弱性を超える新たな露出ではないため、対応は不要です。 CVE-2018-12207 Compute Engine を実行するホストインフラストラクチャは、この脆弱性から保護されています。これ以上の対応は必要ありません。	中	CVE-2019-11135 CVE-2018-12207

説明

重大度

注

次の CVE が Intel により公表されました。

CVE-2019-11135 - この CVE は TSX 非同期アボート（TAA）とも呼ばれます。TAA により、マイクロアーキテクチャデータサンプリング（MDS）で悪用されていたのと同じマイクロアーキテクチャデータ構造を使用してデータを引き出すことも可能になります。
CVE-2018-12207 - この CVE は「ページサイズ変更時のマシンチェックエラー」とも呼ばれます。これは仮想マシンホストを対象としたサービス拒否攻撃（DoS）の脆弱性です。悪意のあるゲストにより、保護されていないホストがクラッシュする可能性があります。

Compute Engine への影響

CVE-2019-11135

Compute Engine を実行するホストインフラストラクチャは、お客様のワークロードを分離します。N2、C2、M2 VM 内で信頼できないコードを実行していない限り、これ以上の対応は必要ありません。

Compute Engine 仮想マシン内の独自のマルチテナントサービスで信頼できないコードを実行している N2、C2、M2 のお客様は、VM をいったん停止してから再起動して、最新のセキュリティ対策が適用された状態にする必要があります。停止 / 開始なしの再起動では不十分です。このガイダンスは、MDS の脆弱性に対処するリリース済みのアップデートがすでに適用されていることを前提としています。そうでない場合は、手順に沿って適切なアップデートを適用してください。

N1 マシンタイプを実行している場合、この脆弱性は以前に開示された MDS 脆弱性を超える新たな露出ではないため、対応は不要です。

CVE-2018-12207

Compute Engine を実行するホストインフラストラクチャは、この脆弱性から保護されています。これ以上の対応は必要ありません。

中

公開日: 2019 年 6 月 18 日

最終更新日時: 2019 年 6 月 25 日 6:30（太平洋標準時間）

説明重大度注

説明	重大度	注
先ごろ Netflix は、Linux カーネルにおける 3 件の TCP の脆弱性を公表しました。 CVE-2019-11477 CVE-2019-11478 CVE-2019-11479 これらの CVE は NFLX-2019-001 と総称されます。 Compute Engine への影響 Compute Engine をホストするインフラストラクチャは、この脆弱性から保護されています。 Compute Engine VM が、パッチを適用していない Linux オペレーティングシステムを実行しており、信頼されていないネットワークトラフィックを送受信する場合は、この DoS 攻撃に対する脆弱性が存在します。お使いのオペレーティングシステム用のパッチが利用可能になったら、すぐに VM インスタンスを更新してください。 TCP 接続を終了するロードバランサには、この脆弱性に対するパッチが適用されています。信頼されていないトラフィックでも、このようなロードバランサ経由でのみ受信する Compute Engine インスタンスは脆弱ではありません。そのようなインスタンスとしては、HTTP ロードバランサ、SSL プロキシロードバランサ、TCP プロキシロードバランサなどが挙げられます。ネットワークロードバランサと内部ロードバランサは、TCP 接続を終了しません。パッチを適用していない Compute Engine インスタンスのうち、これらのロードバランサ経由で信頼されていないトラフィックを受信するインスタンスは脆弱です。パッチ適用済みイメージとベンダーのリソース各オペレーティングシステムベンダーからパッチが入手可能になると、ここにパッチ情報へのリンクが表示されます。また、各 CVE に関するステータスも表示されます。これらの公開イメージの旧バージョンにはこうしたパッチが含まれないため、攻撃を受ける可能性は軽減されません。プロジェクト `debian-cloud`: `debian-9-stretch-v20190618` プロジェクト `centos-cloud`: `centos-6-v20190619` `centos-7-v20190619` プロジェクト `cos-cloud`: `cos-dev-77-12293-0-0` `cos-beta-76-12239-21-0` `cos-stable-75-12105-77-0` `cos-73-11647-217-0` `cos-69-10895-277-0` プロジェクト `coreos-cloud`: `coreos-alpha-2163-2-1-v20190617` `coreos-beta-2135-3-1-v20190617` `coreos-stable-2079-6-0-v20190617` プロジェクト `rhel-cloud`: `rhel-6-v20190618` `rhel-7-v20190618` `rhel-8-v20190618` プロジェクト `rhel-sap-cloud`: `rhel-7-4-sap-v20190618` `rhel-7-6-sap-v20190618` プロジェクト `suse-cloud`: `sles-12-sp4-v20190617` `sles-15-v20190617` プロジェクト `suse-sap-cloud`: `sles-12-sp1-sap-v20190617` `sles-12-sp2-sap-v20190617` `sles-12-sp3-sap-v20190617` `sles-12-sp4-sap-v20190617` `sles-15-sap-v20190617` プロジェクト `ubuntu-cloud`: `ubuntu-1604-xenial-v20190617` `ubuntu-1804-bionic-v20190617` `ubuntu-1810-cosmic-v20190618` `ubuntu-1904-disco-v20190619` `ubuntu-minimal-1604-xenial-v20190618` `ubuntu-minimal-1804-bionic-v20190617` `ubuntu-minimal-1810-cosmic-v20190618` `ubuntu-minimal-1904-disco-v20190618`	中	CVE-2019-11477 CVE-2019-11478 CVE-2019-11479

先ごろ Netflix は、Linux カーネルにおける 3 件の TCP の脆弱性を公表しました。

これらの CVE は NFLX-2019-001 と総称されます。

Compute Engine への影響

Compute Engine をホストするインフラストラクチャは、この脆弱性から保護されています。

Compute Engine VM が、パッチを適用していない Linux オペレーティングシステムを実行しており、信頼されていないネットワークトラフィックを送受信する場合は、この DoS 攻撃に対する脆弱性が存在します。お使いのオペレーティングシステム用のパッチが利用可能になったら、すぐに VM インスタンスを更新してください。

TCP 接続を終了するロードバランサには、この脆弱性に対するパッチが適用されています。信頼されていないトラフィックでも、このようなロードバランサ経由でのみ受信する Compute Engine インスタンスは脆弱ではありません。そのようなインスタンスとしては、HTTP ロードバランサ、SSL プロキシロードバランサ、TCP プロキシロードバランサなどが挙げられます。

ネットワークロードバランサと内部ロードバランサは、TCP 接続を終了しません。パッチを適用していない Compute Engine インスタンスのうち、これらのロードバランサ経由で信頼されていないトラフィックを受信するインスタンスは脆弱です。

パッチ適用済みイメージとベンダーのリソース

各オペレーティングシステムベンダーからパッチが入手可能になると、ここにパッチ情報へのリンクが表示されます。また、各 CVE に関するステータスも表示されます。これらの公開イメージの旧バージョンにはこうしたパッチが含まれないため、攻撃を受ける可能性は軽減されません。

プロジェクト debian-cloud:
- debian-9-stretch-v20190618
プロジェクト centos-cloud:
- centos-6-v20190619
- centos-7-v20190619
プロジェクト cos-cloud:
- cos-dev-77-12293-0-0
- cos-beta-76-12239-21-0
- cos-stable-75-12105-77-0
- cos-73-11647-217-0
- cos-69-10895-277-0
プロジェクト coreos-cloud:
- coreos-alpha-2163-2-1-v20190617
- coreos-beta-2135-3-1-v20190617
- coreos-stable-2079-6-0-v20190617
プロジェクト rhel-cloud:
- rhel-6-v20190618
- rhel-7-v20190618
- rhel-8-v20190618
プロジェクト rhel-sap-cloud:
- rhel-7-4-sap-v20190618
- rhel-7-6-sap-v20190618
プロジェクト suse-cloud:
- sles-12-sp4-v20190617
- sles-15-v20190617
プロジェクト suse-sap-cloud:
- sles-12-sp1-sap-v20190617
- sles-12-sp2-sap-v20190617
- sles-12-sp3-sap-v20190617
- sles-12-sp4-sap-v20190617
- sles-15-sap-v20190617
プロジェクト ubuntu-cloud:
- ubuntu-1604-xenial-v20190617
- ubuntu-1804-bionic-v20190617
- ubuntu-1810-cosmic-v20190618
- ubuntu-1904-disco-v20190619
- ubuntu-minimal-1604-xenial-v20190618
- ubuntu-minimal-1804-bionic-v20190617
- ubuntu-minimal-1810-cosmic-v20190618
- ubuntu-minimal-1904-disco-v20190618

中

公開日: 2019 年 5 月 14 日

最終更新日時: 2019 年 5 月 20 日 17:00（太平洋標準時間）

説明重大度注

説明	重大度	注
次の CVE が Intel により公表されました。 CVE-2018-12126 CVE-2018-12127 CVE-2018-12130 CVE-2019-11091 これらの CVE は Microarchitectural Data Sampling（MDS）と総称されます。これらの脆弱性により、マイクロアーキテクチャ状態での投機的実行の操作を通じてデータが公開されてしまう可能性があります。 Compute Engine への影響 Compute Engine を実行するホストインフラストラクチャは、お客様のワークロードを相互に分離します。信頼できないコードを VM 内で実行していない限り、以後の対応は特に必要ありません。 Compute Engine 仮想マシン内の独自のマルチテナントサービスで信頼できないコードを実行しているお客様は、お使いのゲスト OS ベンダーが提示する緩和策（Intel が提供するマイクロコード緩和機能の使用を含む）を参照してください。Google では、新しいフラッシュ機能に対するゲストのパススルーアクセスをデプロイ済みです。次に示すのは、一般的なゲストイメージで実施できる緩和策の手順の概要です。パッチ適用済みイメージとベンダーのリソース各オペレーティングシステムベンダーからパッチが入手可能になると、ここにパッチ情報へのリンクが表示されます。これには各 CVE に関するステータスが含まれます。これらのイメージを使用して、VM インスタンスを作成してください。これらの公開イメージの旧バージョンにはこうしたパッチが含まれないため、攻撃を受ける可能性は緩和されません。プロジェクト `centos-cloud`: CESA-2019:1169、CESA-2019:1168 `centos-6-v20190515` `centos-7-v20190515` プロジェクト `coreos-cloud`: CoreOS Container Linux に対応した MDS 緩和策 `coreos-stable-2079-4-0-v20190515` `coreos-beta-2107-3-0-v20190515` `coreos-alpha-2135-1-0-v20190515` プロジェクト `cos-cloud` `cos-69-10895-242-0` `cos-73-11647-182-0` プロジェクト `debian-cloud`: DSA-4444 `debian-9-stretch-v20190514` プロジェクト `rhel-cloud`: Red Hat MDS ナレッジベースの記事 `rhel-6-v20190515` `rhel-7-v20190517` `rhel-8-v20190515` プロジェクト `rhel-sap-cloud`: Red Hat MDS ナレッジベースの記事 `rhel-7-4-sap-v20190515` `rhel-7-6-sap-v20190517` プロジェクト `suse-cloud`: SUSE MDS KB `sles-12-sp4-v20190520` `sles-15-v20190520` プロジェクト `suse-sap-cloud` `sles-12-sp4-sap-v20190520` `sles-15-sap-v20190520` プロジェクト `ubuntu-os-cloud`: Ubuntu MDS Wiki `ubuntu-1404-trusty-v20190514` `ubuntu-1604-xenial-v20190514` `ubuntu-1804-bionic-v20190514` `ubuntu-1810-cosmic-v20190514` `ubuntu-1904-disco-v20190514` `ubuntu-minimal-1604-xenial-v20190514` `ubuntu-minimal-1804-bionic-v20190514` `ubuntu-minimal-1810-cosmic-v20190514` `ubuntu-minimal-1904-disco-v20190514` プロジェクト `windows-cloud`、`windows-sql-cloud`: Microsoft ADV190013 バージョン番号 `v20190514` を持つすべての Windows Server および SQL Server の公開イメージ。プロジェクト `gce-uefi-images` `centos-7-v20190515` `cos-69-10895-242-0` `cos-73-11647-182-0` `rhel-7-v20190517` `ubuntu-1804-bionic-v20190514` バージョン番号 `v20190514` を持つすべての Windows Server 公開イメージ。 Container-Optimized OS ゲスト OS として Container Optimized OS（COS）を使用し、仮想マシン内で信頼できないマルチテナントワークロードを実行している場合は、次のことをおすすめします。カーネルコマンドラインで `nosmt` を設定して、ハイパースレッディングを無効にします。既存の COS VM については、次のように `grub.cfg` を修正することで `nosmt` オプションを設定できます。設定したら、システムを再起動します。 # Run as root: dir="$(mktemp -d)" mount /dev/sda12 "${dir}" sed -i -e "s\|cros_efi\|cros_efi nosmt\|g" "${dir}/efi/boot/grub.cfg" umount "${dir}" rmdir "${dir}" reboot 便宜上、以下のスクリプトを実行して、上記のコマンドを実行した場合と同じ結果を得ることができます。このスクリプトは、cloud-config の一部とするか、起動スクリプトまたはインスタンステンプレートとして作成し、新しい VM では必ず新しいパラメータが使用されるようにします。このスクリプトを実行する cloud-config の例は、以下に示すとおりです。警告: このコマンドの初回実行時は、インスタンスが直ちに再起動されます。その後、ハイパースレッディングが無効になっているインスタンスで実行しても、何も起こりません。 # Run as root /bin/bash <(curl -s https://storage.googleapis.com/cos-tools/scripts/disable_smt.sh) このスクリプトを cloud-config の一部として含めるには: #cloud-config bootcmd: - /bin/bash -c "/bin/bash <(curl -s https://storage.googleapis.com/cos-tools/scripts/disable_smt.sh)" インスタンスでハイパースレッディングが無効になっているかどうか確認するには、`/sys/devices/system/cpu/smt/active` ファイルと `/sys/devices/system/cpu/smt/control` ファイルの出力を確認します。`active` に対して `0`、`control` に対して `off` が返されている場合、ハイパースレッディングは無効になっています。 cat /sys/devices/system/cpu/smt/active cat /sys/devices/system/cpu/smt/control 注: インスタンスで UEFI セキュアブートを有効にしている場合は、UEFI セキュアブートを無効にした状態でインスタンスを再作成し、UEFI セキュアブートを無効にした状態で上記のコマンドを実行してから、新しいインスタンスで UEFI セキュアブートを有効にする必要があります。新しいバージョンの COS イメージを使用します。上記のようにハイパースレッディングを無効にすることに加え、上述の更新済みイメージか、さらに新しいバージョン（使用できる場合）の Container-Optimized OS イメージを使用してインスタンスを再作成し、脆弱性から完全に保護する必要があります。	中	CVE-2018-12126 CVE-2018-12127 CVE-2018-12130 CVE-2019-11091

次の CVE が Intel により公表されました。

これらの CVE は Microarchitectural Data Sampling（MDS）と総称されます。これらの脆弱性により、マイクロアーキテクチャ状態での投機的実行の操作を通じてデータが公開されてしまう可能性があります。

Compute Engine への影響

Compute Engine を実行するホストインフラストラクチャは、お客様のワークロードを相互に分離します。信頼できないコードを VM 内で実行していない限り、以後の対応は特に必要ありません。

Compute Engine 仮想マシン内の独自のマルチテナントサービスで信頼できないコードを実行しているお客様は、お使いのゲスト OS ベンダーが提示する緩和策（Intel が提供するマイクロコード緩和機能の使用を含む）を参照してください。Google では、新しいフラッシュ機能に対するゲストのパススルーアクセスをデプロイ済みです。次に示すのは、一般的なゲストイメージで実施できる緩和策の手順の概要です。

パッチ適用済みイメージとベンダーのリソース

各オペレーティングシステムベンダーからパッチが入手可能になると、ここにパッチ情報へのリンクが表示されます。これには各 CVE に関するステータスが含まれます。これらのイメージを使用して、VM インスタンスを作成してください。これらの公開イメージの旧バージョンにはこうしたパッチが含まれないため、攻撃を受ける可能性は緩和されません。

プロジェクト centos-cloud: CESA-2019:1169、CESA-2019:1168

centos-6-v20190515
centos-7-v20190515

プロジェクト coreos-cloud: CoreOS Container Linux に対応した MDS 緩和策

coreos-stable-2079-4-0-v20190515
coreos-beta-2107-3-0-v20190515
coreos-alpha-2135-1-0-v20190515

プロジェクト cos-cloud

cos-69-10895-242-0
cos-73-11647-182-0

プロジェクト debian-cloud: DSA-4444

debian-9-stretch-v20190514

プロジェクト rhel-cloud: Red Hat MDS ナレッジベースの記事

rhel-6-v20190515
rhel-7-v20190517
rhel-8-v20190515

プロジェクト rhel-sap-cloud: Red Hat MDS ナレッジベースの記事

rhel-7-4-sap-v20190515
rhel-7-6-sap-v20190517

プロジェクト suse-cloud: SUSE MDS KB

sles-12-sp4-v20190520
sles-15-v20190520

プロジェクト suse-sap-cloud

sles-12-sp4-sap-v20190520
sles-15-sap-v20190520

プロジェクト ubuntu-os-cloud: Ubuntu MDS Wiki

ubuntu-1404-trusty-v20190514
ubuntu-1604-xenial-v20190514
ubuntu-1804-bionic-v20190514
ubuntu-1810-cosmic-v20190514
ubuntu-1904-disco-v20190514
ubuntu-minimal-1604-xenial-v20190514
ubuntu-minimal-1804-bionic-v20190514
ubuntu-minimal-1810-cosmic-v20190514
ubuntu-minimal-1904-disco-v20190514

プロジェクト windows-cloud、windows-sql-cloud: Microsoft ADV190013

バージョン番号 v20190514 を持つすべての Windows Server および SQL Server の公開イメージ。

プロジェクト gce-uefi-images

centos-7-v20190515
cos-69-10895-242-0
cos-73-11647-182-0
rhel-7-v20190517
ubuntu-1804-bionic-v20190514
バージョン番号 v20190514 を持つすべての Windows Server 公開イメージ。

Container-Optimized OS

ゲスト OS として Container Optimized OS（COS）を使用し、仮想マシン内で信頼できないマルチテナントワークロードを実行している場合は、次のことをおすすめします。

カーネルコマンドラインで nosmt を設定して、ハイパースレッディングを無効にします。
既存の COS VM については、次のように grub.cfg を修正することで nosmt オプションを設定できます。設定したら、システムを再起動します。
```
# Run as root:
dir="$(mktemp -d)"
mount /dev/sda12 "${dir}"
sed -i -e "s|cros_efi|cros_efi nosmt|g" "${dir}/efi/boot/grub.cfg"
umount "${dir}"
rmdir "${dir}"

reboot
```
便宜上、以下のスクリプトを実行して、上記のコマンドを実行した場合と同じ結果を得ることができます。このスクリプトは、cloud-config の一部とするか、起動スクリプトまたはインスタンステンプレートとして作成し、新しい VM では必ず新しいパラメータが使用されるようにします。このスクリプトを実行する cloud-config の例は、以下に示すとおりです。

警告: このコマンドの初回実行時は、インスタンスが直ちに再起動されます。その後、ハイパースレッディングが無効になっているインスタンスで実行しても、何も起こりません。
```
# Run as root
/bin/bash <(curl -s https://storage.googleapis.com/cos-tools/scripts/disable_smt.sh)
```
このスクリプトを cloud-config の一部として含めるには:
```
#cloud-config

bootcmd:
- /bin/bash -c "/bin/bash <(curl -s https://storage.googleapis.com/cos-tools/scripts/disable_smt.sh)"
```
インスタンスでハイパースレッディングが無効になっているかどうか確認するには、/sys/devices/system/cpu/smt/active ファイルと /sys/devices/system/cpu/smt/control ファイルの出力を確認します。active に対して 0、control に対して off が返されている場合、ハイパースレッディングは無効になっています。
```
cat /sys/devices/system/cpu/smt/active
cat /sys/devices/system/cpu/smt/control
```
注: インスタンスで UEFI セキュアブートを有効にしている場合は、UEFI セキュアブートを無効にした状態でインスタンスを再作成し、UEFI セキュアブートを無効にした状態で上記のコマンドを実行してから、新しいインスタンスで UEFI セキュアブートを有効にする必要があります。
新しいバージョンの COS イメージを使用します。

上記のようにハイパースレッディングを無効にすることに加え、上述の更新済みイメージか、さらに新しいバージョン（使用できる場合）の Container-Optimized OS イメージを使用してインスタンスを再作成し、脆弱性から完全に保護する必要があります。

中

公開日: 2018 年 8 月 14 日

最終更新日時: 2018 年 8 月 20 日 17:00（太平洋標準時間）

説明重大度注

説明	重大度	注
説明次の CVE が Intel により開示されました。 CVE-2018-3615（SGX 関連） CVE-2018-3620（オペレーティングシステムと SMT に関連） CVE-2018-3646（仮想化関連）これらの CVE は「L1 Terminal Fault（L1TF）」と総称されます。これらの L1TF 脆弱性は、投機的実行を悪用してプロセッサレベルのデータ構造の構成を攻撃します。「L1」とは、レベル 1 データキャッシュ（L1D）と呼ばれるコア内の小さなリソースで、メモリアクセスを高速化するために使用されます。これらの脆弱性と Compute Engine の緩和策の詳細については、Cloud de Confiance by S3NS のブログ投稿をご覧ください。 Compute Engine への影響 Compute Engine を実行しお客様のワークロードを相互に分離するホストインフラストラクチャは、既知の攻撃から保護されています。 Compute Engine をご利用のお客様は、ゲスト環境内で間接的に悪用される可能性を防ぐために、イメージを更新することをおすすめします。これは、Compute Engine 仮想マシンで独自のマルチテナントサービスを実行している場合には特に重要です。 Compute Engine をお使いのお客様は、次のいずれかのオプションを使用して、インスタンスのゲストオペレーティングシステムを更新できます。パッチ適用済みの公開イメージを使用して、既存の VM インスタンスを再作成する。オペレーティングシステムベンダーからパッチを入手して既存のインスタンスにインストールし、パッチ適用済みのインスタンスを再起動する。パッチ適用済みイメージとベンダーのリソース各オペレーティングシステムベンダーからパッチが入手可能になると、ここにパッチ情報へのリンクが表示されます。これには各 CVE に関するステータスが含まれます。これらのイメージを使用して、VM インスタンスを作成してください。これらの公開イメージの旧バージョンにはこうしたパッチが含まれないため、攻撃を受ける可能性は軽減されません。プロジェクト `centos-cloud`: `centos-7-v20180815` `centos-6-v20180815` プロジェクト `coreos-cloud`: `coreos-stable-1800-7-0-v20180816` `coreos-beta-1855-2-0-v20180816` `coreos-alpha-1871-0-0-v20180816` プロジェクト `cos-cloud`: `cos-stable-66-10452-110-0` `cos-stable-67-10575-66-0` `cos-beta-68-10718-81-0` `cos-dev-69-10895-23-0` プロジェクト `debian-cloud`: `debian-9-stretch-v20180820` プロジェクト `rhel-cloud`: `rhel-7-v20180814` `rhel-6-v20180814` プロジェクト `rhel-sap-cloud`: `rhel-7-sap-apps-v20180814` `rhel-7-sap-hana-v20180814` プロジェクト `suse-cloud`: `sles-15-v20180816` `sles-12-sp3-v20180814` `sles-11-sp4-v20180816` プロジェクト `suse-sap-cloud`: `sles-15-sap-v20180816` `sles-12-sp3-sap-v20180814` `sles-12-sp2-sap-v20180816` プロジェクト `ubuntu-os-cloud`: `ubuntu-1804-bionic-v20180814` `ubuntu-1604-xenial-v20180814` `ubuntu-1404-trusty-v20180814` `ubuntu-minimal-1804-bionic-v20180814` `ubuntu-minimal-1604-xenial-v20180814` プロジェクト `windows-cloud`、`gce-uefi-images`、`windows-sql-cloud`: バージョン番号 `-v201800814` 以降のすべての Windows Server と SQL Server の公開イメージにパッチが含まれています。	高	CVE-2018-3615 CVE-2018-3620 CVE-2018-3646

説明

次の CVE が Intel により開示されました。

CVE-2018-3615（SGX 関連）
CVE-2018-3620（オペレーティングシステムと SMT に関連）
CVE-2018-3646（仮想化関連）

これらの CVE は「L1 Terminal Fault（L1TF）」と総称されます。

これらの L1TF 脆弱性は、投機的実行を悪用してプロセッサレベルのデータ構造の構成を攻撃します。「L1」とは、レベル 1 データキャッシュ（L1D）と呼ばれるコア内の小さなリソースで、メモリアクセスを高速化するために使用されます。

これらの脆弱性と Compute Engine の緩和策の詳細については、Cloud de Confiance by S3NS のブログ投稿をご覧ください。

Compute Engine への影響

Compute Engine を実行しお客様のワークロードを相互に分離するホストインフラストラクチャは、既知の攻撃から保護されています。

Compute Engine をご利用のお客様は、ゲスト環境内で間接的に悪用される可能性を防ぐために、イメージを更新することをおすすめします。これは、Compute Engine 仮想マシンで独自のマルチテナントサービスを実行している場合には特に重要です。

Compute Engine をお使いのお客様は、次のいずれかのオプションを使用して、インスタンスのゲストオペレーティングシステムを更新できます。

パッチ適用済みの公開イメージを使用して、既存の VM インスタンスを再作成する。
オペレーティングシステムベンダーからパッチを入手して既存のインスタンスにインストールし、パッチ適用済みのインスタンスを再起動する。

パッチ適用済みイメージとベンダーのリソース

プロジェクト centos-cloud:
- centos-7-v20180815
- centos-6-v20180815
プロジェクト coreos-cloud:
- coreos-stable-1800-7-0-v20180816
- coreos-beta-1855-2-0-v20180816
- coreos-alpha-1871-0-0-v20180816
プロジェクト cos-cloud:
- cos-stable-66-10452-110-0
- cos-stable-67-10575-66-0
- cos-beta-68-10718-81-0
- cos-dev-69-10895-23-0
プロジェクト debian-cloud:
- debian-9-stretch-v20180820
プロジェクト rhel-cloud:
- rhel-7-v20180814
- rhel-6-v20180814
プロジェクト rhel-sap-cloud:
- rhel-7-sap-apps-v20180814
- rhel-7-sap-hana-v20180814
プロジェクト suse-cloud:
- sles-15-v20180816
- sles-12-sp3-v20180814
- sles-11-sp4-v20180816
プロジェクト suse-sap-cloud:
- sles-15-sap-v20180816
- sles-12-sp3-sap-v20180814
- sles-12-sp2-sap-v20180816
プロジェクト ubuntu-os-cloud:
- ubuntu-1804-bionic-v20180814
- ubuntu-1604-xenial-v20180814
- ubuntu-1404-trusty-v20180814
- ubuntu-minimal-1804-bionic-v20180814
- ubuntu-minimal-1604-xenial-v20180814
プロジェクト windows-cloud、gce-uefi-images、windows-sql-cloud:
- バージョン番号 -v201800814 以降のすべての Windows Server と SQL Server の公開イメージにパッチが含まれています。

高

公開日: 2018 年 8 月 6 日

最終更新日時: 2018 年 9 月 5 日 17:00（太平洋標準時間）

説明重大度注

説明	重大度	注
2018 年 9 月 5 日更新 CVE-2018-5391 は、US-CERT により 2018 年 8 月 14 日に開示されました。これは、CVE-2018-5390 と同様にカーネルレベルのネットワーク脆弱性で、脆弱性のあるシステムがサービス拒否（DoS）攻撃を受ける可能性が高まります。主な違いは、CVE-2018-5391 は IP 接続上で悪用されることです。両方の脆弱性が対象となるように、この情報を更新しました。説明 CVE-2018-5390（「SegmentSmack」）はカーネルレベルのネットワーク脆弱性で、脆弱性のあるシステムが TCP 接続でサービス拒否（DoS）攻撃を受ける可能性が高まります。 CVE-2018-5391（「FragmentSmack」）はカーネルレベルのネットワーク脆弱性で、脆弱性のあるシステムが IP 接続でサービス拒否（DoS）攻撃を受ける可能性が高まります。 Compute Engine への影響 Compute Engine VM を実行するホストインフラストラクチャには影響はありません。 Compute Engine VM との間のトラフィックを処理するネットワークインフラストラクチャは、この脆弱性から保護されています。信頼されていないネットワークトラフィックでも、Compute Engine VM が HTTP(S)、SSL、TCP ロードバランサ経由でのみ送受信する場合は、この脆弱性から保護されています。 Compute Engine VM が、パッチを適用していないオペレーティングシステムを実行しており、信頼されていないネットワークトラフィックを直接またはネットワークロードバランサ経由で送受信する場合は、この DoS 攻撃に対する脆弱性が存在します。お使いのオペレーティングシステム用のパッチが利用可能になったら、すぐに VM インスタンスを更新してください。 Compute Engine をお使いのお客様は、次のいずれかのオプションを使用して、インスタンスのゲストオペレーティングシステムを更新できます。パッチ適用済みの公開イメージを使用して、既存の VM インスタンスを再作成する。パッチ適用済みの公開イメージは下のリストでご確認ください。オペレーティングシステムベンダーからパッチを入手して既存のインスタンスにインストールし、パッチ適用済みのインスタンスを再起動する。パッチ適用済みイメージとベンダーのリソース各オペレーティングシステムベンダーからパッチが入手可能になると、ここにパッチ情報へのリンクが表示されます。プロジェクト `centos-cloud`（CVE-2018-5390 のみ）: `centos-7-v20180815` `centos-6-v20180815` プロジェクト `coreos-cloud`（CVE-2018-5390、CVE-2018-5391）: `coreos-stable-1800-7-0-v20180816` `coreos-beta-1855-2-0-v20180816` `coreos-alpha-1871-0-0-v20180816` プロジェクト `cos-cloud`（CVE-2018-5390、CVE-2018-5391）: `cos-stable-65-10323-98-0` `cos-stable-66-10452-109-0` `cos-stable-67-10575-65-0` `cos-beta-68-10718-76-0` `cos-dev-69-10895-16-0` プロジェクト `debian-cloud`（CVE-2018-5390、CVE-2018-5391）: `debian-9-stretch-v20180814` プロジェクト `rhel-cloud`（CVE-2018-5390 のみ）: `rhel-7-v20180814` `rhel-6-v20180814` プロジェクト `suse-cloud`（CVE-2018-5390、CVE-2018-5391）: `sles-15-v20180816` `sles-12-sp3-v20180814` プロジェクト `suse-sap-cloud`（CVE-2018-5390、CVE-2018-5391）: `sles-15-sap-v20180816` `sles-12-sp3-sap-v20180814` `sles-12-sp2-sap-v20180816` プロジェクト `ubuntu-os-cloud`（CVE-2018-5390、CVE-2018-5391）: `ubuntu-1804-bionic-v20180814` `ubuntu-1604-xenial-v20180814` `ubuntu-1404-trusty-v20180814` `ubuntu-minimal-1804-bionic-v20180814` `ubuntu-minimal-1604-xenial-v20180814`	高	CVE-2018-5390 CVE-2018-5391

2018 年 9 月 5 日更新

CVE-2018-5391 は、US-CERT により 2018 年 8 月 14 日に開示されました。これは、CVE-2018-5390 と同様にカーネルレベルのネットワーク脆弱性で、脆弱性のあるシステムがサービス拒否（DoS）攻撃を受ける可能性が高まります。主な違いは、CVE-2018-5391 は IP 接続上で悪用されることです。両方の脆弱性が対象となるように、この情報を更新しました。

説明

CVE-2018-5390（「SegmentSmack」）はカーネルレベルのネットワーク脆弱性で、脆弱性のあるシステムが TCP 接続でサービス拒否（DoS）攻撃を受ける可能性が高まります。

CVE-2018-5391（「FragmentSmack」）はカーネルレベルのネットワーク脆弱性で、脆弱性のあるシステムが IP 接続でサービス拒否（DoS）攻撃を受ける可能性が高まります。

Compute Engine への影響

Compute Engine VM を実行するホストインフラストラクチャには影響はありません。 Compute Engine VM との間のトラフィックを処理するネットワークインフラストラクチャは、この脆弱性から保護されています。信頼されていないネットワークトラフィックでも、Compute Engine VM が HTTP(S)、SSL、TCP ロードバランサ経由でのみ送受信する場合は、この脆弱性から保護されています。

Compute Engine VM が、パッチを適用していないオペレーティングシステムを実行しており、信頼されていないネットワークトラフィックを直接またはネットワークロードバランサ経由で送受信する場合は、この DoS 攻撃に対する脆弱性が存在します。

お使いのオペレーティングシステム用のパッチが利用可能になったら、すぐに VM インスタンスを更新してください。

Compute Engine をお使いのお客様は、次のいずれかのオプションを使用して、インスタンスのゲストオペレーティングシステムを更新できます。

パッチ適用済みの公開イメージを使用して、既存の VM インスタンスを再作成する。パッチ適用済みの公開イメージは下のリストでご確認ください。
オペレーティングシステムベンダーからパッチを入手して既存のインスタンスにインストールし、パッチ適用済みのインスタンスを再起動する。

パッチ適用済みイメージとベンダーのリソース

各オペレーティングシステムベンダーからパッチが入手可能になると、ここにパッチ情報へのリンクが表示されます。

プロジェクト centos-cloud（CVE-2018-5390 のみ）:
- centos-7-v20180815
- centos-6-v20180815
プロジェクト coreos-cloud（CVE-2018-5390、CVE-2018-5391）:
- coreos-stable-1800-7-0-v20180816
- coreos-beta-1855-2-0-v20180816
- coreos-alpha-1871-0-0-v20180816
プロジェクト cos-cloud（CVE-2018-5390、CVE-2018-5391）:
- cos-stable-65-10323-98-0
- cos-stable-66-10452-109-0
- cos-stable-67-10575-65-0
- cos-beta-68-10718-76-0
- cos-dev-69-10895-16-0
プロジェクト debian-cloud（CVE-2018-5390、CVE-2018-5391）:
- debian-9-stretch-v20180814
プロジェクト rhel-cloud（CVE-2018-5390 のみ）:
- rhel-7-v20180814
- rhel-6-v20180814
プロジェクト suse-cloud（CVE-2018-5390、CVE-2018-5391）:
- sles-15-v20180816
- sles-12-sp3-v20180814
プロジェクト suse-sap-cloud（CVE-2018-5390、CVE-2018-5391）:
- sles-15-sap-v20180816
- sles-12-sp3-sap-v20180814
- sles-12-sp2-sap-v20180816
プロジェクト ubuntu-os-cloud（CVE-2018-5390、CVE-2018-5391）:
- ubuntu-1804-bionic-v20180814
- ubuntu-1604-xenial-v20180814
- ubuntu-1404-trusty-v20180814
- ubuntu-minimal-1804-bionic-v20180814
- ubuntu-minimal-1604-xenial-v20180814

高

公開日: 2018 年 1 月 3 日

最終更新日時: 2018 年 5 月 21 日 15:00（太平洋標準時間）

説明重大度注

説明	重大度	注
2018 年 5 月 21 日更新 CVE-2018-3640 と CVE-2018-3639（それぞれバリアント 3a と 4）は、Intel によって開示されました。Spectre と Meltdown の最初の 3 つのバリアントと同様に、Compute Engine VM インスタンスを実行するインフラストラクチャは保護されており、お客様の VM インスタンスは相互に分離されて保護されています。さらに、Compute Engine では、Intel のマイクロコードパッチをインフラストラクチャにデプロイする予定であり、これにより、単一の VM インスタンス内で信頼できないワークロードまたはマルチテナントワークロードを実行するお客様は、オペレーティングシステムのベンダーやプロバイダによって提供される VM 内追加対策を有効にできます。マイクロコードパッチは、Intel によって認定され、Compute Engine で本番環境に対してテストおよび認定された後、Compute Engine にデプロイされます。パッチが使用可能になった際には、このページでより詳細なタイムラインと更新情報が提供されます。説明これらの CVE は、多くのプロセッサに搭載されている投機的実行テクノロジーを悪用する新しいクラスの攻撃のバリアントです。このクラスの攻撃を受けると、さまざまな状況下でメモリデータへの不正な読み取り専用アクセスが可能になるおそれがあります。 Compute Engine では、VM Live Migration テクノロジーを使用してホストシステムとハイパーバイザを更新しました。これによるユーザーへの影響はなく、メンテナンスの時間枠を確保する必要も、大量の再起動も必要ありませんでした。ただし、この新しいクラスの攻撃からシステムを保護するには、その実行場所に関係なく、すべてのゲストオペレーティングシステムとバージョンにパッチを適用する必要があります。この攻撃の手法に関する詳しい技術情報については、Project Zero のブログ記事をご覧ください。Google が実施している対策の詳しい内容とすべてのサービス固有の情報は、Google のセキュリティブログの記事にまとめられています。 Compute Engine への影響 Compute Engine を実行しお客様の VM インスタンスを相互に分離するインフラストラクチャは、既知の攻撃から保護されています。 Google は、VM インスタンス内で実行されているアプリケーションから Google のホストシステムへの不正アクセスを防止する対策を講じました。この対策により、同じホストシステム上で実行されている VM インスタンス間の不正アクセスも防止されます。仮想マシンインスタンス内での不正アクセスを防止するには、次のいずれかの方法で VM インスタンスのゲストオペレーティングシステムを更新する必要があります。パッチ適用済みの公開イメージを使用して、既存の VM インスタンスを再作成する。パッチ適用済みの公開イメージは下のリストでご確認ください。使用しているディストリビューションのパッチをオペレーティングシステムベンダーから入手して既存のインスタンスにインストールし、パッチ適用済みのインスタンスを再起動する。各オペレーティングシステムベンダーのパッチに関する情報は、下のリンクからご覧ください。パッチ適用済みイメージとベンダーのリソース注: パッチ適用済みであっても、このセキュリティに関する公開情報に記載されているすべての CVE の修正が含まれていない場合があります。また、この種の攻撃への防御策として、イメージごとに異なる手法が使用されている場合があります。パッチが対応している CVE と使用されている防御策については、オペレーティングシステムのベンダーに問い合わせて確認してください。プロジェクト `cos-cloud`: バリアント 2（CVE-2017-5715）とバリアント 3（CVE-2017-5754）の攻撃を防ぐパッチが含まれています。これらのイメージでは、バリアント 2 の攻撃対策として Retpoline が使用されています。 `cos-stable-63-10032-71-0` またはイメージファミリー `cos-stable` プロジェクト `centos-cloud`: CentOS のパッチ情報 `centos-7-v20180104` またはイメージファミリー `centos-7` `centos-6-v20180104` またはイメージファミリー `centos-6` プロジェクト `coreos-cloud`: CoreOS のパッチ情報 `coreos-stable-1576-5-0-v20180105` またはイメージファミリー `coreos-stable` `coreos-beta-1632-1-0-v20180105` またはイメージファミリー `coreos-beta` `coreos-alpha-1649-0-0-v20180105` またはイメージファミリー `coreos-alpha` プロジェクト `debian-cloud`: Debian のパッチ情報 `debian-9-stretch-v20180105` またはイメージファミリー `debian-9` `debian-8-jessie-v20180109` またはイメージファミリー `debian-8` プロジェクト `rhel-cloud`: RHEL のパッチ情報 `rhel-7-v20180104` またはイメージファミリー `rhel-7` `rhel-6-v20180104` またはイメージファミリー `rhel-6` プロジェクト `suse-cloud`: SUSE のパッチ情報 `sles-12-sp3-v20180104` またはイメージファミリー `sles-12` `sles-11-sp4-v20180104` またはイメージファミリー `sles-11` プロジェクト `suse-sap-cloud`: SUSE のパッチ情報 `sles-12-sp3-sap-v20180104` またはイメージファミリー `sles-12-sp3-sap` `sles-12-sp2-sap-v20180104` またはイメージファミリー `sles-12-sp2-sap` プロジェクト `ubuntu-os-cloud`: Ubuntu のパッチ情報 `ubuntu-1710-artful-v20180109` またはイメージファミリー `ubuntu-1710` `ubuntu-1604-xenial-v20180109` またはイメージファミリー `ubuntu-1604-lts` `ubuntu-1404-trusty-v20180110` またはイメージファミリー `ubuntu-1404-lts` プロジェクト `windows-cloud`、`windows-sql-cloud`: バージョン番号 `-v20180109` 以降のすべての Windows Server と SQL Server の公開イメージにパッチが含まれています。ただし、Microsoft サポートページの Windows Server に関するガイダンスに掲載されている「推奨される操作」を行い、既存のインスタンスと新たに作成したインスタンスの両方でこれらの対策を有効にして検証する必要があります。これらのイメージを使用して、VM インスタンスを再作成してください。これらの公開イメージの旧バージョンにはこうしたパッチが含まれないため、攻撃を受ける可能性は緩和されません。ハードウェアベンダーが提供するパッチ NVIDIA は、NVIDIA® ドライバソフトウェアがインストールされているシステムが攻撃される可能性を軽減するパッチを適用したドライバを提供しています。パッチ適用済みのドライババージョンについては、NVIDIA が提供しているセキュリティに関する公開情報、NVIDIA GPU ディスプレイドライバのセキュリティ更新でご確認ください。変更履歴: 2018 年 5 月 21 日 T 14:00（太平洋標準時間）: 2018 年 5 月 21 日に開示された 2 つの新しいバリアントに関する情報を追加しました。 2018 年 1 月 10 日 T 15:00（太平洋標準時間）: Windows Server および SQL Server のパッチ適用済みの公開イメージに関する情報を追加しました。 2018 年 1 月 10 日 T 10:15（太平洋標準時間）: パッチ適用済みの公開イメージのリストに複数の Ubuntu イメージを追加しました。 2018 年 1 月 10 日 T 09:50（太平洋標準時間）: ハードウェアベンダーが提供するパッチに関するガイダンスを追加しました。 2018 年 1 月 3 日〜2018 年 1 月 9 日: パッチ適用済みの公開イメージのリストに複数の変更を加えました。	高	CVE-2017-5753 CVE-2017-5715 CVE-2017-5754 CVE-2018-3640 CVE-2018-3639

2018 年 5 月 21 日更新

CVE-2018-3640 と CVE-2018-3639（それぞれバリアント 3a と 4）は、Intel によって開示されました。Spectre と Meltdown の最初の 3 つのバリアントと同様に、Compute Engine VM インスタンスを実行するインフラストラクチャは保護されており、お客様の VM インスタンスは相互に分離されて保護されています。さらに、Compute Engine では、Intel のマイクロコードパッチをインフラストラクチャにデプロイする予定であり、これにより、単一の VM インスタンス内で信頼できないワークロードまたはマルチテナントワークロードを実行するお客様は、オペレーティングシステムのベンダーやプロバイダによって提供される VM 内追加対策を有効にできます。マイクロコードパッチは、Intel によって認定され、Compute Engine で本番環境に対してテストおよび認定された後、Compute Engine にデプロイされます。パッチが使用可能になった際には、このページでより詳細なタイムラインと更新情報が提供されます。

説明

これらの CVE は、多くのプロセッサに搭載されている投機的実行テクノロジーを悪用する新しいクラスの攻撃のバリアントです。このクラスの攻撃を受けると、さまざまな状況下でメモリデータへの不正な読み取り専用アクセスが可能になるおそれがあります。

Compute Engine では、VM Live Migration テクノロジーを使用してホストシステムとハイパーバイザを更新しました。これによるユーザーへの影響はなく、メンテナンスの時間枠を確保する必要も、大量の再起動も必要ありませんでした。ただし、この新しいクラスの攻撃からシステムを保護するには、その実行場所に関係なく、すべてのゲストオペレーティングシステムとバージョンにパッチを適用する必要があります。

この攻撃の手法に関する詳しい技術情報については、Project Zero のブログ記事をご覧ください。Google が実施している対策の詳しい内容とすべてのサービス固有の情報は、Google のセキュリティブログの記事にまとめられています。

Compute Engine への影響

Compute Engine を実行しお客様の VM インスタンスを相互に分離するインフラストラクチャは、既知の攻撃から保護されています。 Google は、VM インスタンス内で実行されているアプリケーションから Google のホストシステムへの不正アクセスを防止する対策を講じました。この対策により、同じホストシステム上で実行されている VM インスタンス間の不正アクセスも防止されます。

仮想マシンインスタンス内での不正アクセスを防止するには、次のいずれかの方法で VM インスタンスのゲストオペレーティングシステムを更新する必要があります。

パッチ適用済みの公開イメージを使用して、既存の VM インスタンスを再作成する。パッチ適用済みの公開イメージは下のリストでご確認ください。
使用しているディストリビューションのパッチをオペレーティングシステムベンダーから入手して既存のインスタンスにインストールし、パッチ適用済みのインスタンスを再起動する。各オペレーティングシステムベンダーのパッチに関する情報は、下のリンクからご覧ください。

パッチ適用済みイメージとベンダーのリソース

注: パッチ適用済みであっても、このセキュリティに関する公開情報に記載されているすべての CVE の修正が含まれていない場合があります。また、この種の攻撃への防御策として、イメージごとに異なる手法が使用されている場合があります。パッチが対応している CVE と使用されている防御策については、オペレーティングシステムのベンダーに問い合わせて確認してください。

プロジェクト cos-cloud: バリアント 2（CVE-2017-5715）とバリアント 3（CVE-2017-5754）の攻撃を防ぐパッチが含まれています。これらのイメージでは、バリアント 2 の攻撃対策として Retpoline が使用されています。
- cos-stable-63-10032-71-0 またはイメージファミリー cos-stable
プロジェクト centos-cloud: CentOS のパッチ情報
- centos-7-v20180104 またはイメージファミリー centos-7
- centos-6-v20180104 またはイメージファミリー centos-6
プロジェクト coreos-cloud: CoreOS のパッチ情報
- coreos-stable-1576-5-0-v20180105 またはイメージファミリー coreos-stable
- coreos-beta-1632-1-0-v20180105 またはイメージファミリー coreos-beta
- coreos-alpha-1649-0-0-v20180105 またはイメージファミリー coreos-alpha
プロジェクト debian-cloud: Debian のパッチ情報
- debian-9-stretch-v20180105 またはイメージファミリー debian-9
- debian-8-jessie-v20180109 またはイメージファミリー debian-8
プロジェクト rhel-cloud: RHEL のパッチ情報
- rhel-7-v20180104 またはイメージファミリー rhel-7
- rhel-6-v20180104 またはイメージファミリー rhel-6
プロジェクト suse-cloud: SUSE のパッチ情報
- sles-12-sp3-v20180104 またはイメージファミリー sles-12
- sles-11-sp4-v20180104 またはイメージファミリー sles-11
プロジェクト suse-sap-cloud: SUSE のパッチ情報
- sles-12-sp3-sap-v20180104 またはイメージファミリー sles-12-sp3-sap
- sles-12-sp2-sap-v20180104 またはイメージファミリー sles-12-sp2-sap
プロジェクト ubuntu-os-cloud: Ubuntu のパッチ情報
- ubuntu-1710-artful-v20180109 またはイメージファミリー ubuntu-1710
- ubuntu-1604-xenial-v20180109 またはイメージファミリー ubuntu-1604-lts
- ubuntu-1404-trusty-v20180110 またはイメージファミリー ubuntu-1404-lts
プロジェクト windows-cloud、windows-sql-cloud:
- バージョン番号 -v20180109 以降のすべての Windows Server と SQL Server の公開イメージにパッチが含まれています。ただし、Microsoft サポートページの Windows Server に関するガイダンスに掲載されている「推奨される操作」を行い、既存のインスタンスと新たに作成したインスタンスの両方でこれらの対策を有効にして検証する必要があります。

これらのイメージを使用して、VM インスタンスを再作成してください。これらの公開イメージの旧バージョンにはこうしたパッチが含まれないため、攻撃を受ける可能性は緩和されません。

ハードウェアベンダーが提供するパッチ

NVIDIA は、NVIDIA® ドライバソフトウェアがインストールされているシステムが攻撃される可能性を軽減するパッチを適用したドライバを提供しています。パッチ適用済みのドライババージョンについては、NVIDIA が提供しているセキュリティに関する公開情報、NVIDIA GPU ディスプレイドライバのセキュリティ更新でご確認ください。

変更履歴:

2018 年 5 月 21 日 T 14:00（太平洋標準時間）: 2018 年 5 月 21 日に開示された 2 つの新しいバリアントに関する情報を追加しました。
2018 年 1 月 10 日 T 15:00（太平洋標準時間）: Windows Server および SQL Server のパッチ適用済みの公開イメージに関する情報を追加しました。
2018 年 1 月 10 日 T 10:15（太平洋標準時間）: パッチ適用済みの公開イメージのリストに複数の Ubuntu イメージを追加しました。
2018 年 1 月 10 日 T 09:50（太平洋標準時間）: ハードウェアベンダーが提供するパッチに関するガイダンスを追加しました。
2018 年 1 月 3 日〜2018 年 1 月 9 日: パッチ適用済みの公開イメージのリストに複数の変更を加えました。

高

公開日: 2017 年 10 月 2 日

説明	重大度	注
Dnsmasq は DNS、DHCP、ルーターアドバタイズメント、ネットワークブートの機能を提供します。通常、このソフトウェアはデスクトップ Linux ディストリビューション（Ubuntu など）、家庭用ルーター、IoT 端末など、さまざまなシステムにインストールされます。Dnsmasq は、オープンインターネットとプライベートネットワークの両方で広く使われています。 Google は、定期的な社内セキュリティ評価の過程で 7 個の問題を発見しました。こうした問題の重大性を判断したうえで、その影響と悪用される可能性について調査し、それぞれについて Google 内部で概念実証を作成しました。また、Dnsmasq の管理者である Simon Kelly と協力して、適切なパッチを作成し、問題を緩和しました。評価の際に、2017 年 9 月 5 日現在のプロジェクト git サーバーで、最新バージョンに影響を及ぼす 3 つの潜在的なリモートコード実行、1 つの情報漏洩、3 つのサービス拒否の脆弱性を発見しました。これらのパッチはアップストリームされ、プロジェクトの Git リポジトリに commit されています。 Compute Engine への影響デフォルトで、Dnsmasq は NetworkManager を使用するイメージのみにインストールされて非アクティブになっています。次の Compute Engine 公開イメージには、Dnsmasq がインストールされています。 Ubuntu 16.04、16.10、17.04 CentOS 7 RHEL 7 ただし、他のイメージでも、他のパッケージの依存関係として Dnsmasq がインストールされていることがあります。Debian、Ubuntu、CentOS、RHEL、SLES、OpenSUSE のインスタンスを、最新のオペレーティングシステムイメージを使用するように更新することをおすすめします。 CoreOS と Container-Optimized OS は影響を受けません。 Windows イメージにも影響はありません。 Debian と Ubuntu を実行するインスタンスの場合、インスタンスで次のコマンドを実行して、更新を行えます。 sudo apt-get -y update sudo apt-get -y dist-upgrade Red Hat Enterprise Linux と CentOS インスタンスの場合、次のコマンドを実行します。 sudo yum -y upgrade SLES と OpenSUSE イメージの場合、次のコマンドを実行します。 sudo zypper up 手動の更新コマンドを実行する代わりに、それぞれのオペレーティングシステムのイメージファミリーを使用して VM インスタンスを再作成できます。	高	CVE-2017-14491 CVE-2017-14492 CVE-2017-14493 CVE-2017-14494 CVE-2017-14495 CVE-2017-14496 CVE-2017-13704

説明

重大度

注

Dnsmasq は DNS、DHCP、ルーターアドバタイズメント、ネットワークブートの機能を提供します。通常、このソフトウェアはデスクトップ Linux ディストリビューション（Ubuntu など）、家庭用ルーター、IoT 端末など、さまざまなシステムにインストールされます。Dnsmasq は、オープンインターネットとプライベートネットワークの両方で広く使われています。

Google は、定期的な社内セキュリティ評価の過程で 7 個の問題を発見しました。こうした問題の重大性を判断したうえで、その影響と悪用される可能性について調査し、それぞれについて Google 内部で概念実証を作成しました。また、Dnsmasq の管理者である Simon Kelly と協力して、適切なパッチを作成し、問題を緩和しました。

評価の際に、2017 年 9 月 5 日現在のプロジェクト git サーバーで、最新バージョンに影響を及ぼす 3 つの潜在的なリモートコード実行、1 つの情報漏洩、3 つのサービス拒否の脆弱性を発見しました。

これらのパッチはアップストリームされ、プロジェクトの Git リポジトリに commit されています。

Compute Engine への影響

デフォルトで、Dnsmasq は NetworkManager を使用するイメージのみにインストールされて非アクティブになっています。次の Compute Engine 公開イメージには、Dnsmasq がインストールされています。

Ubuntu 16.04、16.10、17.04
CentOS 7
RHEL 7

ただし、他のイメージでも、他のパッケージの依存関係として Dnsmasq がインストールされていることがあります。Debian、Ubuntu、CentOS、RHEL、SLES、OpenSUSE のインスタンスを、最新のオペレーティングシステムイメージを使用するように更新することをおすすめします。 CoreOS と Container-Optimized OS は影響を受けません。 Windows イメージにも影響はありません。

Debian と Ubuntu を実行するインスタンスの場合、インスタンスで次のコマンドを実行して、更新を行えます。

sudo apt-get -y update

sudo apt-get -y dist-upgrade

Red Hat Enterprise Linux と CentOS インスタンスの場合、次のコマンドを実行します。

sudo yum -y upgrade

SLES と OpenSUSE イメージの場合、次のコマンドを実行します。

sudo zypper up

手動の更新コマンドを実行する代わりに、それぞれのオペレーティングシステムのイメージファミリーを使用して VM インスタンスを再作成できます。

高

公開日: 2016 年 10 月 26 日

説明重大度注

説明	重大度	注
CVE-2016-5195 は、プライベートな読み取り専用メモリマッピングにおける COW の破壊を Linux カーネルのメモリサブシステムが対処する過程で発生する競合状態です。権限のないローカルユーザーがこの不具合を悪用すると、本来は読み取り専用であるメモリマッピングへの書き込み権限を取得できるため、システム上で権限が昇格される可能性があります。詳細は Dirty COW FAQ をご覧ください。 Compute Engine への影響 Compute Engine 上のすべての Linux のディストリビューションとバージョンが影響を受けます。ほとんどのインスタンスは新しいカーネルを自動的にダウンロードしてインストールします。ただし、実行中のシステムにパッチを適用するには再起動する必要があります。次の Compute Engine イメージに基づく新しいインスタンスまたは再作成されたインスタンスには、パッチを適用したカーネルがすでにインストールされています。 `centos-6-v20161026` `centos-7-v20161025` `coreos-alpha-1192-2-0-v20161021` `coreos-beta-1185-2-0-v20161021` `coreos-stable-1122-3-0-v20161021` `debian-8-jessie-v20161020` `rhel-6-v20161026` `rhel-7-v20161024` `sles-11-sp4-v20161021` `sles-12-sp1-v20161021` `ubuntu-1204-precise-v20161020` `ubuntu-1404-trusty-v20161020` `ubuntu-1604-xenial-v20161020` `ubuntu-1610-yakkety-v20161020`	高	CVE-2016-5195

CVE-2016-5195 は、プライベートな読み取り専用メモリマッピングにおける COW の破壊を Linux カーネルのメモリサブシステムが対処する過程で発生する競合状態です。

権限のないローカルユーザーがこの不具合を悪用すると、本来は読み取り専用であるメモリマッピングへの書き込み権限を取得できるため、システム上で権限が昇格される可能性があります。

詳細は Dirty COW FAQ をご覧ください。

Compute Engine への影響

Compute Engine 上のすべての Linux のディストリビューションとバージョンが影響を受けます。ほとんどのインスタンスは新しいカーネルを自動的にダウンロードしてインストールします。ただし、実行中のシステムにパッチを適用するには再起動する必要があります。

次の Compute Engine イメージに基づく新しいインスタンスまたは再作成されたインスタンスには、パッチを適用したカーネルがすでにインストールされています。

centos-6-v20161026
centos-7-v20161025
coreos-alpha-1192-2-0-v20161021
coreos-beta-1185-2-0-v20161021
coreos-stable-1122-3-0-v20161021
debian-8-jessie-v20161020
rhel-6-v20161026
rhel-7-v20161024
sles-11-sp4-v20161021
sles-12-sp1-v20161021
ubuntu-1204-precise-v20161020
ubuntu-1404-trusty-v20161020
ubuntu-1604-xenial-v20161020
ubuntu-1610-yakkety-v20161020

高

CVE-2016-5195

公開日: 2016 年 2 月 16 日

最終更新日: 2016 年 2 月 22 日

説明重大度注

説明	重大度	注
CVE-2015-7547 は、`getaddrinfo()` ライブラリ関数の使用時に glibc DNS クライアント側のリゾルバによってスタックベースのバッファオーバーフローに対してソフトウェアが脆弱になるという脆弱性です。攻撃者は、この関数を使用してソフトウェアを利用し、攻撃者が制御するドメイン名、攻撃者が制御する DNS サーバー、中間者攻撃によってこの脆弱性を悪用できます。詳細については、Google のセキュリティに関するブログ投稿または CVE（共通脆弱性識別子）データベースをご覧ください。 Compute Engine への影響更新（2016 年 2 月 22 日）: 次の CoreOS、SLES、OpenSUSE イメージを使用して、インスタンスを再作成できます。 `coreos-alpha-962-0-0-v20160218` `coreos-beta-899-7-0-v20160218` `coreos-stable-835-13-0-v20160218` `opensuse-13-2-v20160222` `opensuse-leap-42-1-v20160222` `sles-11-sp4-v20160222` `sles-12-sp1-v20160222` 更新（2016 年 2 月 17 日）: 次のコマンドを実行して、Ubuntu 12.04 LTS、Ubuntu 14.04 LTS、Ubuntu 15.10 インスタンスに対する更新を実行できます。 `user@my-instance:~$ sudo apt-get -y update` `user@my-instance:~$ sudo apt-get -y dist-upgrade` `user@my-instance:~$ sudo reboot` 手動更新コマンドを実行する代わりに、次の新しいイメージを使用してインスタンスを再作成することもできます。 `backports-debian-7-wheezy-v20160216` `centos-6-v20160216` `centos-7-v20160216` `debian-7-wheezy-v20160216` `debian-8-jessie-v20160216` `rhel-6-v20160216` `rhel-7-v20160216` `ubuntu-1204-precise-v20160217a` `ubuntu-1404-trusty-v20160217a` `ubuntu-1510-wily-v20160217` デフォルトの glibc 構成を使用した Compute Engine の DNS リゾルバを介してこの脆弱性を悪用できる方法は確認されていません。ただし、他の新しい脆弱性のように、新たな悪用方法が今後発見される可能性もあるため、できる限り早く仮想マシンインスタンスにパッチを適用することをおすすめします。edns0 を有効にしている場合は（デフォルトでは無効）、無効にしてからインスタンスにパッチを適用する必要があります。元の情報: お使いの Linux ディストリビューションは脆弱である可能性があります。Compute Engine ユーザーは、Linux OS を実行している場合、インスタンスの OS イメージを更新して、この脆弱性を除去する必要があります。 Debian を実行するインスタンスの場合、インスタンスで次のコマンドを実行して更新できます。 `user@my-instance:~$ sudo apt-get -y update` `user@my-instance:~$ sudo apt-get -y dist-upgrade` `user@my-instance:~$ sudo reboot` また、Debian インスタンスに対して UnattendedUpgrades をインストールすることもおすすめします。 Red Hat Enterprise Linux インスタンスの場合: `user@my-instance:~$ sudo yum -y upgrade` `user@my-instance:~$ sudo reboot` 他のオペレーティングシステム管理者によるこの脆弱性に対するパッチの公開、また Compute Engine での更新版 OS イメージのリリースに伴い、この情報を引き続き更新します。	高	CVE-2015-7547

CVE-2015-7547 は、getaddrinfo() ライブラリ関数の使用時に glibc DNS クライアント側のリゾルバによってスタックベースのバッファオーバーフローに対してソフトウェアが脆弱になるという脆弱性です。攻撃者は、この関数を使用してソフトウェアを利用し、攻撃者が制御するドメイン名、攻撃者が制御する DNS サーバー、中間者攻撃によってこの脆弱性を悪用できます。

詳細については、Google のセキュリティに関するブログ投稿または CVE（共通脆弱性識別子）データベースをご覧ください。

Compute Engine への影響

更新（2016 年 2 月 22 日）:

次の CoreOS、SLES、OpenSUSE イメージを使用して、インスタンスを再作成できます。

coreos-alpha-962-0-0-v20160218
coreos-beta-899-7-0-v20160218
coreos-stable-835-13-0-v20160218
opensuse-13-2-v20160222
opensuse-leap-42-1-v20160222
sles-11-sp4-v20160222
sles-12-sp1-v20160222

更新（2016 年 2 月 17 日）:

次のコマンドを実行して、Ubuntu 12.04 LTS、Ubuntu 14.04 LTS、Ubuntu 15.10 インスタンスに対する更新を実行できます。

user@my-instance:~$ sudo apt-get -y update
user@my-instance:~$ sudo apt-get -y dist-upgrade
user@my-instance:~$ sudo reboot

手動更新コマンドを実行する代わりに、次の新しいイメージを使用してインスタンスを再作成することもできます。

backports-debian-7-wheezy-v20160216
centos-6-v20160216
centos-7-v20160216
debian-7-wheezy-v20160216
debian-8-jessie-v20160216
rhel-6-v20160216
rhel-7-v20160216
ubuntu-1204-precise-v20160217a
ubuntu-1404-trusty-v20160217a
ubuntu-1510-wily-v20160217

デフォルトの glibc 構成を使用した Compute Engine の DNS リゾルバを介してこの脆弱性を悪用できる方法は確認されていません。ただし、他の新しい脆弱性のように、新たな悪用方法が今後発見される可能性もあるため、できる限り早く仮想マシンインスタンスにパッチを適用することをおすすめします。edns0 を有効にしている場合は（デフォルトでは無効）、無効にしてからインスタンスにパッチを適用する必要があります。

元の情報:

お使いの Linux ディストリビューションは脆弱である可能性があります。Compute Engine ユーザーは、Linux OS を実行している場合、インスタンスの OS イメージを更新して、この脆弱性を除去する必要があります。

Debian を実行するインスタンスの場合、インスタンスで次のコマンドを実行して更新できます。

user@my-instance:~$ sudo apt-get -y update
user@my-instance:~$ sudo apt-get -y dist-upgrade
user@my-instance:~$ sudo reboot

また、Debian インスタンスに対して UnattendedUpgrades をインストールすることもおすすめします。

Red Hat Enterprise Linux インスタンスの場合:

user@my-instance:~$ sudo yum -y upgrade
user@my-instance:~$ sudo reboot

他のオペレーティングシステム管理者によるこの脆弱性に対するパッチの公開、また Compute Engine での更新版 OS イメージのリリースに伴い、この情報を引き続き更新します。

高

CVE-2015-7547

公開日: 2015 年 3 月 19 日

説明	重大度	注
CVE-2015-1427 は、バージョン 1.3.8 よりも前のバージョンと 1.4.3 よりも前のすべての 1.4.x バージョンの Elasticsearch の Groovy スクリプトエンジンではリモートの攻撃者がサンドボックス保護メカニズムをバイパスして任意のシェルコマンドを実行できるという脆弱性です。詳細については、NVD（脆弱性データベース）または CVE（共通脆弱性識別子）データベースをご覧ください。 Compute Engine への影響 Compute Engine インスタンスで Elasticsearch を実行している場合は、Elasticsearch のバージョンを 1.4.3 以上にアップグレードする必要があります。Elasticsearch ソフトウェアをすでにアップグレードしている場合は、この脆弱性から保護されています。 Elasticsearch 1.4.3 以上にアップグレードしていない場合は、ローリングアップグレードを実行できます。 Cloud de Confiance consoleでクリックデプロイを使用して Elasticsearch をデプロイした場合、デプロイを削除し、Elasticsearch を実行しているインスタンスを削除できます。 Cloud de Confiance by S3NS チームは、Elasticsearch の更新バージョンをデプロイするために修正に取り組んでいます。ただし、この修正は Cloud de Confiance consoleの「クリックしてデプロイ」機能ではまだ利用できません。	高	CVE-2015-1427

説明

重大度

注

CVE-2015-1427 は、バージョン 1.3.8 よりも前のバージョンと 1.4.3 よりも前のすべての 1.4.x バージョンの Elasticsearch の Groovy スクリプトエンジンではリモートの攻撃者がサンドボックス保護メカニズムをバイパスして任意のシェルコマンドを実行できるという脆弱性です。

詳細については、NVD（脆弱性データベース）または CVE（共通脆弱性識別子）データベースをご覧ください。

Compute Engine への影響

Compute Engine インスタンスで Elasticsearch を実行している場合は、Elasticsearch のバージョンを 1.4.3 以上にアップグレードする必要があります。Elasticsearch ソフトウェアをすでにアップグレードしている場合は、この脆弱性から保護されています。

Elasticsearch 1.4.3 以上にアップグレードしていない場合は、ローリングアップグレードを実行できます。

Cloud de Confiance consoleでクリックデプロイを使用して Elasticsearch をデプロイした場合、デプロイを削除し、Elasticsearch を実行しているインスタンスを削除できます。

Cloud de Confiance by S3NS チームは、Elasticsearch の更新バージョンをデプロイするために修正に取り組んでいます。ただし、この修正は Cloud de Confiance consoleの「クリックしてデプロイ」機能ではまだ利用できません。

高

CVE-2015-1427

公開日: 2015 年 1 月 29 日

説明重大度注

説明	重大度	注
CVE-2015-0235（Ghost）は glibc ライブラリの脆弱性です。 App Engine、Cloud Storage、BigQuery、Cloud SQL のお客様は、対応の必要はありません。Google のサーバーは更新されており、この脆弱性から保護されています。 Compute Engine のユーザーは OS イメージの更新が必要な場合があります。 Compute Engine への影響お使いの Linux ディストリビューションは脆弱である可能性があります。Compute Engine ユーザーは、Debian 7、Debian 7 バックポート、Ubuntu 12.04 LTS、Red Hat Enterprise Linux、CentOS、SUSE Linux Enterprise Server 11 SP3 を実行している場合、インスタンスの OS イメージを更新して、この脆弱性を除去する必要があります。この脆弱性は、Ubuntu 14.04 LTS、Ubuntu 14.10、SUSE Linux Enterprise Server 12 には影響を及ぼしません。 Linux ディストリビューションをアップグレードすることをおすすめします。Debian 7、Debian 7 バックポート、Ubuntu 12.04 LTS を実行しているインスタンスの場合、インスタンスで次のコマンドを実行して更新できます。 `user@my-instance:~$ sudo apt-get update` `user@my-instance:~$ sudo apt-get -y upgrade` `user@my-instance:~$ sudo reboot` Red Hat Enterprise Linux または CentOS インスタンスの場合: `user@my-instance:~$ sudo yum -y upgrade` `user@my-instance:~$ sudo reboot` SUSE Linux Enterprise Server 11 SP3 インスタンスの場合: `user@my-instance:~$ sudo zypper --non-interactive up` `user@my-instance:~$ sudo reboot` 上のコマンドを実行して更新を行う代わりに、次の新しいイメージを使用してインスタンスを再作成することもできます。 `debian-7-wheezy-v20150127` `backports-debian-7-wheezy-v20150127` `centos-6-v20150127` `centos-7-v20150127` `rhel-6-v20150127` `rhel-7-v20150127` `sles-11-sp3-v20150127` `ubuntu-1204-precise-v20150127` Google マネージド VM への影響 `gcloud preview app deploy` を使用するマネージド VM ユーザーは、`gcloud preview app setup-managed-vms` でベース Docker コンテナを更新し、`gcloud preview app deploy` を使用して実行中の各アプリを再デプロイする必要があります。`appcfg` を使用してデプロイするユーザーは、何もする必要はありません。自動的にアップグレードされます。	高	CVE-2015-0235

CVE-2015-0235（Ghost）は glibc ライブラリの脆弱性です。

App Engine、Cloud Storage、BigQuery、Cloud SQL のお客様は、対応の必要はありません。Google のサーバーは更新されており、この脆弱性から保護されています。

Compute Engine のユーザーは OS イメージの更新が必要な場合があります。

Compute Engine への影響

お使いの Linux ディストリビューションは脆弱である可能性があります。Compute Engine ユーザーは、Debian 7、Debian 7 バックポート、Ubuntu 12.04 LTS、Red Hat Enterprise Linux、CentOS、SUSE Linux Enterprise Server 11 SP3 を実行している場合、インスタンスの OS イメージを更新して、この脆弱性を除去する必要があります。

この脆弱性は、Ubuntu 14.04 LTS、Ubuntu 14.10、SUSE Linux Enterprise Server 12 には影響を及ぼしません。

Linux ディストリビューションをアップグレードすることをおすすめします。Debian 7、Debian 7 バックポート、Ubuntu 12.04 LTS を実行しているインスタンスの場合、インスタンスで次のコマンドを実行して更新できます。

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade
user@my-instance:~$ sudo reboot

Red Hat Enterprise Linux または CentOS インスタンスの場合:

user@my-instance:~$ sudo yum -y upgrade
user@my-instance:~$ sudo reboot

SUSE Linux Enterprise Server 11 SP3 インスタンスの場合:

user@my-instance:~$ sudo zypper --non-interactive up
user@my-instance:~$ sudo reboot

上のコマンドを実行して更新を行う代わりに、次の新しいイメージを使用してインスタンスを再作成することもできます。

debian-7-wheezy-v20150127
backports-debian-7-wheezy-v20150127
centos-6-v20150127
centos-7-v20150127
rhel-6-v20150127
rhel-7-v20150127
sles-11-sp3-v20150127
ubuntu-1204-precise-v20150127

Google マネージド VM への影響

gcloud preview app deploy を使用するマネージド VM ユーザーは、gcloud preview app setup-managed-vms でベース Docker コンテナを更新し、gcloud preview app deploy を使用して実行中の各アプリを再デプロイする必要があります。appcfg を使用してデプロイするユーザーは、何もする必要はありません。自動的にアップグレードされます。

高

CVE-2015-0235

公開日: 2014 年 10 月 15 日

最終更新日: 2014 年 10 月 17 日

説明重大度注

説明	重大度	注
CVE-2014-3566（別名 POODLE）は、SSL バージョン 3.0 の設計上の脆弱性です。この脆弱性により、ネットワーク攻撃者はセキュアな接続の平文を計算できます。詳細については、この脆弱性に関するブログ投稿をご覧ください。 App Engine、Cloud Storage、BigQuery、Cloud SQL のお客様は、対応の必要はありません。Google のサーバーは更新されており、この脆弱性から保護されています。Compute Engine のユーザーは OS イメージを更新する必要があります。 Compute Engine への影響更新（2014 年 10 月 17 日）: SSLv3 を使用している場合、脆弱である可能性があります。Compute Engine ユーザーは、インスタンスの OS イメージを更新して、この脆弱性を除去する必要があります。 Linux ディストリビューションをアップグレードすることをおすすめします。Debian を実行するインスタンスの場合、インスタンスで次のコマンドを実行して更新できます。 user@my-instance:~$ sudo apt-get update user@my-instance:~$ sudo apt-get -y upgrade user@my-instance:~$ sudo reboot CentOS インスタンスの場合: user@my-instance:~$ sudo yum -y upgrade user@my-instance:~$ sudo reboot 上のコマンドを実行して更新を行う代わりに、次の新しいイメージを使用してインスタンスを再作成することもできます。 `centos-6-v20141016` `centos-7-v20141016` `debian-7-wheezy-v20141017` `backports-debian-7-wheezy-v20141017` RHEL と SLES イメージについては、イメージを用意でき次第、情報を更新します。その間、RHEL ユーザーは、詳細については Red Hat に直接お問い合わせください。元の情報: Compute Engine ユーザーは、インスタンスの OS イメージを更新して、この脆弱性を除去する必要があります。新しい OS イメージを用意でき次第、手順を含むこのセキュリティに関する公開情報を更新します。	中	CVE-2014-3566

CVE-2014-3566（別名 POODLE）は、SSL バージョン 3.0 の設計上の脆弱性です。この脆弱性により、ネットワーク攻撃者はセキュアな接続の平文を計算できます。詳細については、この脆弱性に関するブログ投稿をご覧ください。

App Engine、Cloud Storage、BigQuery、Cloud SQL のお客様は、対応の必要はありません。Google のサーバーは更新されており、この脆弱性から保護されています。Compute Engine のユーザーは OS イメージを更新する必要があります。

Compute Engine への影響

更新（2014 年 10 月 17 日）:

SSLv3 を使用している場合、脆弱である可能性があります。Compute Engine ユーザーは、インスタンスの OS イメージを更新して、この脆弱性を除去する必要があります。

Linux ディストリビューションをアップグレードすることをおすすめします。Debian を実行するインスタンスの場合、インスタンスで次のコマンドを実行して更新できます。

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade
user@my-instance:~$ sudo reboot

CentOS インスタンスの場合:

user@my-instance:~$ sudo yum -y upgrade
user@my-instance:~$ sudo reboot

上のコマンドを実行して更新を行う代わりに、次の新しいイメージを使用してインスタンスを再作成することもできます。

centos-6-v20141016
centos-7-v20141016
debian-7-wheezy-v20141017
backports-debian-7-wheezy-v20141017

RHEL と SLES イメージについては、イメージを用意でき次第、情報を更新します。その間、RHEL ユーザーは、詳細については Red Hat に直接お問い合わせください。

元の情報:

Compute Engine ユーザーは、インスタンスの OS イメージを更新して、この脆弱性を除去する必要があります。新しい OS イメージを用意でき次第、手順を含むこのセキュリティに関する公開情報を更新します。

中

CVE-2014-3566

公開日: 2014 年 9 月 24 日

最終更新日: 2014 年 9 月 29 日

説明重大度注

説明	重大度	注
攻撃者が制御する環境変数の解析に基づくリモートコード実行が可能となる bash のバグ（CVE-2014-6271）があります。悪用の手口として最も考えられるのは、ウェブサーバーで公開されている CGI スクリプトに対して行われる悪意のある HTTP リクエストを介する方法です。詳細については、バグに関する説明をご覧ください。 20140926 より前の Compute Engine ゲスト OS イメージを除く、 Cloud de Confiance by S3NS プロダクトの bash バグは緩和されています。お使いの Compute Engine イメージのバグを緩和するための手順については、以下をご覧ください。 Compute Engine への影響このバグは、CGI スクリプトを使用する実質的にすべてのウェブサイトに影響を及ぼす可能性があります。また、PHP、Perl、Python、SSI、Java、C++ などのサーブレットに依存するウェブサイトで、`popen`、`system`、`shell_exec` などの呼び出しを使用してシェルコマンドを呼び出す場合にも影響する可能性があります。さらに、SSH コマンド制限や bash 制限付きシェルなどのメカニズムによって、制限されたユーザーに対して制御されたログインアクセスを許可するシステムに影響を及ぼす可能性もあります。更新（2014 年 9 月 29 日）: 下記の手動更新コマンドを実行する代わりに、bash のセキュリティ上のバグに関連する追加の脆弱性（CVE-2014-7169、CVE-2014-6277、CVE-2014-6278、CVE-2014-7186、CVE-2014-7187）を緩和するイメージを使用して、インスタンスを再作成することもできます。次の新しいイメージを使用して、インスタンスを再作成してください。 `centos-6-v20140926` `centos-7-v20140926` `debian-7-wheezy-v20140926` `backports-debian-7-wheezy-v20140926` `rhel-6-v20140926` 更新（2014 年 9 月 25 日）: ユーザーは、手動更新を実行する代わりに、インスタンスを再作成することを選択できます。インスタンスを再作成するには、このセキュリティバグに対する修正を含む次の新しいイメージを使用します。 `backports-debian-7-wheezy-v20140924` `debian-7-wheezy-v20140924` `rhel-6-v20140924` `centos-6-v20140924` `centos-7-v20140924` RHEL と SUSE イメージについては、インスタンスで次のコマンドを実行して、更新を手動で行うこともできます。 # RHEL instances user@my-instance:~$ sudo yum -y upgrade # SUSE instances user@my-instance:~$ sudo zypper --non-interactive up 元の情報: Linux ディストリビューションをアップグレードすることをおすすめします。Debian を実行するインスタンスの場合、インスタンスで次のコマンドを実行して更新できます。 user@my-instance:~$ sudo apt-get update user@my-instance:~$ sudo apt-get -y upgrade CentOS インスタンスの場合: user@my-instance:~$ sudo yum -y upgrade 詳細については、各 Linux ディストリビューションに関する告知を確認してください。元のパッチ: http://ftp.gnu.org/gnu/bash/（適切なバージョンについては、*-patches の最後のエントリを参照してください） Debian: [SECURITY] [DSA 3032-1] bash セキュリティ更新プログラム RHEL: RHSA-2014:1293-01 RHSA-2014:1294-01 CentOS 5: [CentOS-announce] CESA-2014:1293 CentOS 6: [CentOS-announce] CESA-2014:1293 CentOS 7: [CentOS-announce] CESA-2014:1293	高	CVE-2014-7169、CVE-2014-6271、CVE-2014-6277、CVE-2014-6278、CVE-2014-7186、CVE-2014-7187

攻撃者が制御する環境変数の解析に基づくリモートコード実行が可能となる bash のバグ（CVE-2014-6271）があります。悪用の手口として最も考えられるのは、ウェブサーバーで公開されている CGI スクリプトに対して行われる悪意のある HTTP リクエストを介する方法です。詳細については、バグに関する説明をご覧ください。

20140926 より前の Compute Engine ゲスト OS イメージを除く、 Cloud de Confiance by S3NS プロダクトの bash バグは緩和されています。お使いの Compute Engine イメージのバグを緩和するための手順については、以下をご覧ください。

Compute Engine への影響

このバグは、CGI スクリプトを使用する実質的にすべてのウェブサイトに影響を及ぼす可能性があります。また、PHP、Perl、Python、SSI、Java、C++ などのサーブレットに依存するウェブサイトで、popen、system、shell_exec などの呼び出しを使用してシェルコマンドを呼び出す場合にも影響する可能性があります。さらに、SSH コマンド制限や bash 制限付きシェルなどのメカニズムによって、制限されたユーザーに対して制御されたログインアクセスを許可するシステムに影響を及ぼす可能性もあります。

更新（2014 年 9 月 29 日）:

下記の手動更新コマンドを実行する代わりに、bash のセキュリティ上のバグに関連する追加の脆弱性（CVE-2014-7169、CVE-2014-6277、CVE-2014-6278、CVE-2014-7186、CVE-2014-7187）を緩和するイメージを使用して、インスタンスを再作成することもできます。次の新しいイメージを使用して、インスタンスを再作成してください。

centos-6-v20140926
centos-7-v20140926
debian-7-wheezy-v20140926
backports-debian-7-wheezy-v20140926
rhel-6-v20140926

更新（2014 年 9 月 25 日）:

ユーザーは、手動更新を実行する代わりに、インスタンスを再作成することを選択できます。インスタンスを再作成するには、このセキュリティバグに対する修正を含む次の新しいイメージを使用します。

backports-debian-7-wheezy-v20140924
debian-7-wheezy-v20140924
rhel-6-v20140924
centos-6-v20140924
centos-7-v20140924

RHEL と SUSE イメージについては、インスタンスで次のコマンドを実行して、更新を手動で行うこともできます。

# RHEL instances
user@my-instance:~$ sudo yum -y upgrade

# SUSE instances
user@my-instance:~$ sudo zypper --non-interactive up

元の情報:

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade

CentOS インスタンスの場合:

user@my-instance:~$ sudo yum -y upgrade

詳細については、各 Linux ディストリビューションに関する告知を確認してください。

元のパッチ: http://ftp.gnu.org/gnu/bash/（適切なバージョンについては、*-patches の最後のエントリを参照してください）
Debian: [SECURITY] [DSA 3032-1] bash セキュリティ更新プログラム
RHEL:
- RHSA-2014:1293-01
- RHSA-2014:1294-01
CentOS 5: [CentOS-announce] CESA-2014:1293
CentOS 6: [CentOS-announce] CESA-2014:1293
CentOS 7: [CentOS-announce] CESA-2014:1293

高

CVE-2014-7169、CVE-2014-6271、CVE-2014-6277、CVE-2014-6278、CVE-2014-7186、CVE-2014-7187

公開日: 2014 年 7 月 25 日

説明重大度注

説明	重大度	注
Elasticsearch Logstash は、不正な変更やデータの開示を可能にする可能性がある OS コマンドインジェクションの脆弱性です。攻撃者は、細工したイベントを Logstash のデータソースに送信して、Logstash プロセスの権限でコマンドを実行できます。 Compute Engine への影響この脆弱性は、zabbix または nagios_nsca の出力が有効になった 1.4.2 よりも前の Elasticsearch Logstash のバージョンを実行しているすべての Compute Engine インスタンスに影響を及ぼします。攻撃を防ぐために、次のいずれかを実行できます。 Logstash 1.4.2 にアップグレードするバージョン 1.3.x のパッチを適用する `zabbix` と `nagios_nsca` の出力を無効にします。詳細については、Logstash ブログをご覧ください。 Elasticsearch では、ファイアウォールを使用して信頼できない IP によるリモートアクセスを防ぐことも推奨しています。	高	CVE-2014-4326

Elasticsearch Logstash は、不正な変更やデータの開示を可能にする可能性がある OS コマンドインジェクションの脆弱性です。攻撃者は、細工したイベントを Logstash のデータソースに送信して、Logstash プロセスの権限でコマンドを実行できます。

Compute Engine への影響

この脆弱性は、zabbix または nagios_nsca の出力が有効になった 1.4.2 よりも前の Elasticsearch Logstash のバージョンを実行しているすべての Compute Engine インスタンスに影響を及ぼします。攻撃を防ぐために、次のいずれかを実行できます。

Logstash 1.4.2 にアップグレードする
バージョン 1.3.x のパッチを適用する
zabbix と nagios_nsca の出力を無効にします。

詳細については、Logstash ブログをご覧ください。

Elasticsearch では、ファイアウォールを使用して信頼できない IP によるリモートアクセスを防ぐことも推奨しています。

高

CVE-2014-4326

公開日: 2014 年 6 月 18 日

説明	重大度	注
Cloud de Confiance by S3NS上での実行時における Docker コンテナのセキュリティに関するユーザーのあらゆる懸念に対応できるよう、現在取り組み中です。これには、Docker コンテナ、コンテナに最適化された仮想マシン、オープンソースの Kubernetes スケジューラをサポートする App Engine の拡張機能を使用するユーザーが含まれます。 Docker はこの問題に適切に対応しており、それに関するブログ記事をここで確認できます。記事で説明されているように、明らかになった問題は本番環境版前の古いバージョンである Docker 0.11 にのみ該当することに注意してください。コンテナのセキュリティについて世界中で検討されていますが、 Cloud de Confiance by S3NS上では、Linux アプリケーションコンテナベースのソリューション（特に Docker コンテナ）は完全な仮想マシン（Compute Engine）で実行されることにご注意ください。Google では、Linux アプリケーションコンテナスタックを強化する Docker コミュニティの努力を支持していますが、このテクノロジーは新しく、境界面が大きいことを認識しています。現時点では、完全なハイパーバイザ（仮想マシン）はよりコンパクトで防御しやすい境界面を提供すると Google は考えています。仮想マシンは、もともと、悪意のあるワークロードを分離し、コードバグの可能性と影響を最小限に抑えるように設計されています。 Google のお客様は、第三者、そして潜在的に悪意のあるコードとの間に完全なハイパーバイザ境界が存在することを確実に確保できます。Linux アプリケーションコンテナスタックが十分に堅牢でマルチテナントワークロードをサポートできると考えられる段階になった場合には、Google はコミュニティに報告します。現時点では、Linux アプリケーションコンテナは仮想マシンに代わるものではありません。あくまでも機能を拡張する方法です。	低	Docker ブログの投稿

説明

重大度

注

Cloud de Confiance by S3NS上での実行時における Docker コンテナのセキュリティに関するユーザーのあらゆる懸念に対応できるよう、現在取り組み中です。これには、Docker コンテナ、コンテナに最適化された仮想マシン、オープンソースの Kubernetes スケジューラをサポートする App Engine の拡張機能を使用するユーザーが含まれます。

Docker はこの問題に適切に対応しており、それに関するブログ記事をここで確認できます。記事で説明されているように、明らかになった問題は本番環境版前の古いバージョンである Docker 0.11 にのみ該当することに注意してください。

コンテナのセキュリティについて世界中で検討されていますが、 Cloud de Confiance by S3NS上では、Linux アプリケーションコンテナベースのソリューション（特に Docker コンテナ）は完全な仮想マシン（Compute Engine）で実行されることにご注意ください。Google では、Linux アプリケーションコンテナスタックを強化する Docker コミュニティの努力を支持していますが、このテクノロジーは新しく、境界面が大きいことを認識しています。現時点では、完全なハイパーバイザ（仮想マシン）はよりコンパクトで防御しやすい境界面を提供すると Google は考えています。仮想マシンは、もともと、悪意のあるワークロードを分離し、コードバグの可能性と影響を最小限に抑えるように設計されています。

Google のお客様は、第三者、そして潜在的に悪意のあるコードとの間に完全なハイパーバイザ境界が存在することを確実に確保できます。Linux アプリケーションコンテナスタックが十分に堅牢でマルチテナントワークロードをサポートできると考えられる段階になった場合には、Google はコミュニティに報告します。現時点では、Linux アプリケーションコンテナは仮想マシンに代わるものではありません。あくまでも機能を拡張する方法です。

低

Docker ブログの投稿

公開日: 2014 年 6 月 5 日

最終更新日: 2014 年 6 月 9 日

説明重大度注

説明	重大度	注
OpenSSL には、`ChangeCipherSpec` メッセージが handshake ステートマシンに正しくバインドされないという問題があります。これにより、handshake への早期の注入が可能となります。攻撃者は、巧妙に細工した handshake を使用して、OpenSSL SSL/TLS クライアントとサーバーで弱いキーイングマテリアルの使用を強制できます。これは中間者（PITM）攻撃によって悪用される可能性があり、攻撃者は攻撃対象のクライアントとサーバーからのトラフィックを復号して変更できます。この問題は CVE-2014-0224 として識別されています。OpenSSL チームは、この問題を修正済みであり、OpenSSL を更新するよう OpenSSL コミュニティに注意を喚起しています。 Compute Engine への影響この脆弱性は、Debian、CentOS、Red Hat Enterprise Linux、SUSE Linux Enterprise Server など、OpenSSL を使用するすべての Compute Engine インスタンスに影響を及ぼします。新しいイメージでインスタンスを再作成するか、インスタンスのパッケージを手動で更新することで、インスタンスを更新できます。更新（2014 年 6 月 9 日）: 新しいイメージで SUSE Linux Enterprise Server を実行しているインスタンスを更新するには、次のバージョン以上のイメージを使用して、インスタンスを再作成します。 `sles-11-sp3-v20140609` 元の投稿: 新しいイメージを使用して Debian インスタンスと CentOS インスタンスを更新するには、次のバージョン以上のいずれかのイメージを使用してインスタンスを再作成します。 `debian-7-wheezy-v20140605` `backports-debian-7-wheezy-v20140605` `centos-6-v20140605` `rhel-6-v20140605` インスタンス上の OpenSSL を手動で更新するには、次のコマンドを実行して適切なパッケージを更新します。CentOS と RHEL を実行するインスタンスの場合、インスタンスでこれらのコマンドを実行して、OpenSSL を更新できます。 user@my-instance:~$ sudo yum -y update user@my-instance:~$ sudo reboot Debian を実行するインスタンスの場合、インスタンスで次のコマンドを実行して、OpenSSL を更新できます。 user@my-instance:~$ sudo apt-get update user@my-instance:~$ sudo apt-get -y upgrade user@my-instance:~$ sudo reboot SUSE Linux Enterprise Server を実行するインスタンスの場合、インスタンスでこれらのコマンドを実行して、OpenSSL を最新の状態できます。 user@my-instance:~$ sudo zypper --non-interactive up user@my-instance:~$ sudo reboot	中	CVE-2014-0224

OpenSSL には、ChangeCipherSpec メッセージが handshake ステートマシンに正しくバインドされないという問題があります。これにより、handshake への早期の注入が可能となります。攻撃者は、巧妙に細工した handshake を使用して、OpenSSL SSL/TLS クライアントとサーバーで弱いキーイングマテリアルの使用を強制できます。これは中間者（PITM）攻撃によって悪用される可能性があり、攻撃者は攻撃対象のクライアントとサーバーからのトラフィックを復号して変更できます。

この問題は CVE-2014-0224 として識別されています。OpenSSL チームは、この問題を修正済みであり、OpenSSL を更新するよう OpenSSL コミュニティに注意を喚起しています。

Compute Engine への影響

この脆弱性は、Debian、CentOS、Red Hat Enterprise Linux、SUSE Linux Enterprise Server など、OpenSSL を使用するすべての Compute Engine インスタンスに影響を及ぼします。新しいイメージでインスタンスを再作成するか、インスタンスのパッケージを手動で更新することで、インスタンスを更新できます。

更新（2014 年 6 月 9 日）: 新しいイメージで SUSE Linux Enterprise Server を実行しているインスタンスを更新するには、次のバージョン以上のイメージを使用して、インスタンスを再作成します。

sles-11-sp3-v20140609

元の投稿:

新しいイメージを使用して Debian インスタンスと CentOS インスタンスを更新するには、次のバージョン以上のいずれかのイメージを使用してインスタンスを再作成します。

debian-7-wheezy-v20140605
backports-debian-7-wheezy-v20140605
centos-6-v20140605
rhel-6-v20140605

インスタンス上の OpenSSL を手動で更新するには、次のコマンドを実行して適切なパッケージを更新します。CentOS と RHEL を実行するインスタンスの場合、インスタンスでこれらのコマンドを実行して、OpenSSL を更新できます。

user@my-instance:~$ sudo yum -y update
user@my-instance:~$ sudo reboot

Debian を実行するインスタンスの場合、インスタンスで次のコマンドを実行して、OpenSSL を更新できます。

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade
user@my-instance:~$ sudo reboot

SUSE Linux Enterprise Server を実行するインスタンスの場合、インスタンスでこれらのコマンドを実行して、OpenSSL を最新の状態できます。

user@my-instance:~$ sudo zypper --non-interactive up
user@my-instance:~$ sudo reboot

中

CVE-2014-0224

公開日: 2014 年 4 月 8 日

説明重大度注

説明	重大度	注
1.0.1g よりも前の OpenSSL 1.0.1 での（1）TLS と（2）DTLS の実装では、Heartbeat Extension パケットが適切に処理されません。このため、リモートの攻撃者がバッファオーバーリードを誘発する不正なパケットによりプロセスメモリから機密情報を入手する可能性があります。これは Heartbleed バグとも呼ばれる脆弱性で、`d1_both.c` と `t1_lib.c` に関連する秘密鍵を読み取ることで実証されています。 Compute Engine への影響この脆弱性は、OpenSSL の最新バージョンを使用していないすべての Compute Engine Debian、RHEL、CentOS インスタンスに影響を及ぼします。新しいイメージでインスタンスを再作成するか、インスタンスのパッケージを手動で更新することで、インスタンスを更新できます。新しいイメージを使用してインスタンスを更新するには、次のバージョン以上のいずれかのイメージを使用してインスタンスを再作成します。 `debian-7-wheezy-v20140408` `backports-debian-7-wheezy-v20140408` `centos-6-v20140408` `rhel-6-v20140408` インスタンス上の OpenSSL を手動で更新するには、次のコマンドを実行して適切なパッケージを更新します。CentOS と RHEL を実行するインスタンスの場合、インスタンスでこれらのコマンドを実行して、OpenSSL を最新の状態にできます。 user@my-instance:~$ sudo yum update user@my-instance:~$ sudo reboot Debian を実行するインスタンスの場合、インスタンスで次のコマンドを実行して、OpenSSL を更新できます。 user@my-instance:~$ sudo apt-get update user@my-instance:~$ sudo apt-get upgrade user@my-instance:~$ sudo reboot SUSE Linux を実行しているインスタンスは影響を受けません。 2014 年 4 月 14 日更新: Heartbleed バグを利用した鍵の抽出に関する新たな調査に基づいて、Compute Engine では、影響を受けるすべての SSL サービスについて新しい鍵を作成するよう Compute Engine ユーザーに推奨しています。	中	CVE-2014-0160

1.0.1g よりも前の OpenSSL 1.0.1 での（1）TLS と（2）DTLS の実装では、Heartbeat Extension パケットが適切に処理されません。このため、リモートの攻撃者がバッファオーバーリードを誘発する不正なパケットによりプロセスメモリから機密情報を入手する可能性があります。これは Heartbleed バグとも呼ばれる脆弱性で、d1_both.c と t1_lib.c に関連する秘密鍵を読み取ることで実証されています。

Compute Engine への影響

この脆弱性は、OpenSSL の最新バージョンを使用していないすべての Compute Engine Debian、RHEL、CentOS インスタンスに影響を及ぼします。新しいイメージでインスタンスを再作成するか、インスタンスのパッケージを手動で更新することで、インスタンスを更新できます。

新しいイメージを使用してインスタンスを更新するには、次のバージョン以上のいずれかのイメージを使用してインスタンスを再作成します。

debian-7-wheezy-v20140408
backports-debian-7-wheezy-v20140408
centos-6-v20140408
rhel-6-v20140408

インスタンス上の OpenSSL を手動で更新するには、次のコマンドを実行して適切なパッケージを更新します。CentOS と RHEL を実行するインスタンスの場合、インスタンスでこれらのコマンドを実行して、OpenSSL を最新の状態にできます。

user@my-instance:~$ sudo yum update
user@my-instance:~$ sudo reboot

Debian を実行するインスタンスの場合、インスタンスで次のコマンドを実行して、OpenSSL を更新できます。

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get upgrade
user@my-instance:~$ sudo reboot

SUSE Linux を実行しているインスタンスは影響を受けません。

2014 年 4 月 14 日更新: Heartbleed バグを利用した鍵の抽出に関する新たな調査に基づいて、Compute Engine では、影響を受けるすべての SSL サービスについて新しい鍵を作成するよう Compute Engine ユーザーに推奨しています。

中

CVE-2014-0160

公開日: 2013 年 6 月 7 日

説明重大度注

説明	重大度	注
注: この脆弱性が該当するのは、API バージョン v1 以降では非推奨となり削除されているカーネルのみです。 3.9.4 までの Linux カーネルの Broadcom B43 ワイヤレスドライバの `drivers/net/wireless/b43/main.c` の `b43_request_firmware` 関数にある書式文字列の脆弱性により、ルートアクセス権を利用し、書式文字列指定子を `fwpostfix` modprobe パラメータに含めてエラーメッセージの不適切な作成を発生させることで、ローカルユーザーが特権を取得する可能性があります。 Compute Engine への影響この脆弱性は、`gcg-3.3.8-201305291443` よりも前のすべての Compute Engine カーネルに影響を及ぼします。対応として、Compute Engine では以前のすべてのカーネルを非推奨としました。インスタンスとイメージを更新して Compute Engine カーネル `gce-v20130603` を使用することをおすすめします。`gce-v20130603` には、この脆弱性のパッチを含むカーネル `gcg-3.3.8-201305291443` が含まれています。自分のインスタンスが使用しているカーネルのバージョンを確認するには: ssh を使用してインスタンスに接続します。 `uname -r` を実行します。	中	CVE-2013-2852

注: この脆弱性が該当するのは、API バージョン v1 以降では非推奨となり削除されているカーネルのみです。

3.9.4 までの Linux カーネルの Broadcom B43 ワイヤレスドライバの drivers/net/wireless/b43/main.c の b43_request_firmware 関数にある書式文字列の脆弱性により、ルートアクセス権を利用し、書式文字列指定子を fwpostfix modprobe パラメータに含めてエラーメッセージの不適切な作成を発生させることで、ローカルユーザーが特権を取得する可能性があります。

Compute Engine への影響

この脆弱性は、gcg-3.3.8-201305291443 よりも前のすべての Compute Engine カーネルに影響を及ぼします。対応として、Compute Engine では以前のすべてのカーネルを非推奨としました。インスタンスとイメージを更新して Compute Engine カーネル gce-v20130603 を使用することをおすすめします。gce-v20130603 には、この脆弱性のパッチを含むカーネル gcg-3.3.8-201305291443 が含まれています。

自分のインスタンスが使用しているカーネルのバージョンを確認するには:

ssh を使用してインスタンスに接続します。
uname -r を実行します。

中

CVE-2013-2852

公開日: 2013 年 6 月 7 日

説明重大度注

説明	重大度	注
注: この脆弱性が該当するのは、API バージョン v1 以降では非推奨となり削除されているカーネルのみです。 3.9.4 までの Linux カーネルの `block/genhd.c` の register_disk 関数にある書式文字列の脆弱性により、ルートアクセス権を利用して書式文字列指定子を `/sys/module/md_mod/parameters/new_array` に書き込み、不正な `/dev/md` デバイス名を作成することで、ローカルユーザーが特権を取得する可能性があります。 Compute Engine への影響この脆弱性は、`gcg-3.3.8-201305291443` よりも前のすべての Compute Engine カーネルに影響を及ぼします。対応として、Compute Engine では以前のすべてのカーネルを非推奨としました。インスタンスとイメージを更新して Compute Engine カーネル `gce-v20130603` を使用することをおすすめします。`gce-v20130603` には、この脆弱性のパッチを含むカーネル `gcg-3.3.8-201305291443` が含まれています。自分のインスタンスが使用しているカーネルのバージョンを確認するには: ssh を使用してインスタンスに接続します。 `uname -r` を実行します。	中	CVE-2013-2851

注: この脆弱性が該当するのは、API バージョン v1 以降では非推奨となり削除されているカーネルのみです。

3.9.4 までの Linux カーネルの block/genhd.c の register_disk 関数にある書式文字列の脆弱性により、ルートアクセス権を利用して書式文字列指定子を /sys/module/md_mod/parameters/new_array に書き込み、不正な /dev/md デバイス名を作成することで、ローカルユーザーが特権を取得する可能性があります。

Compute Engine への影響

自分のインスタンスが使用しているカーネルのバージョンを確認するには:

ssh を使用してインスタンスに接続します。
uname -r を実行します。

中

CVE-2013-2851

公開日: 2013 年 5 月 14 日

説明重大度注

説明	重大度	注
注: この脆弱性が該当するのは、API バージョン v1 以降では非推奨となり削除されているカーネルのみです。 3.8.9 よりも前の Linux カーネルの `kernel/events/core.c` の perf_swevent_init 関数では、不適切な `integer` データ型が使用されています。このため、細工した `perf_event_open` システム呼び出しを介してローカルユーザーが特権を取得する可能性があります。 Compute Engine への影響この脆弱性は、`gcg-3.3.8-201305211623` よりも前のすべての Compute Engine カーネルに影響を及ぼします。対応として、Compute Engine では以前のすべてのカーネルを非推奨としました。インスタンスとイメージを更新して Compute Engine カーネル `gce-v20130521` を使用することをおすすめします。`gce-v20130521` には、この脆弱性のパッチを含むカーネル `gcg-3.3.8-201305211623` が含まれています。自分のインスタンスが使用しているカーネルのバージョンを確認するには: ssh を使用してインスタンスに接続します。 `uname -r` を実行します。	高	CVE-2013-2094

注: この脆弱性が該当するのは、API バージョン v1 以降では非推奨となり削除されているカーネルのみです。

3.8.9 よりも前の Linux カーネルの kernel/events/core.c の perf_swevent_init 関数では、不適切な integer データ型が使用されています。このため、細工した perf_event_open システム呼び出しを介してローカルユーザーが特権を取得する可能性があります。

Compute Engine への影響

この脆弱性は、gcg-3.3.8-201305211623 よりも前のすべての Compute Engine カーネルに影響を及ぼします。対応として、Compute Engine では以前のすべてのカーネルを非推奨としました。インスタンスとイメージを更新して Compute Engine カーネル gce-v20130521 を使用することをおすすめします。gce-v20130521 には、この脆弱性のパッチを含むカーネル gcg-3.3.8-201305211623 が含まれています。

自分のインスタンスが使用しているカーネルのバージョンを確認するには:

ssh を使用してインスタンスに接続します。
uname -r を実行します。

高

CVE-2013-2094

公開日: 2013 年 2 月 18 日

説明重大度注

説明	重大度	注
注: この脆弱性が該当するのは、API バージョン v1 以降では非推奨となり削除されているカーネルのみです。 3.7.5 よりも前の Linux カーネルの ptrace 機能の競合状態により、細工したアプリケーションで `PTRACE_SETREGS ptrace` システム呼び出しを介してローカルユーザーが特権を取得する可能性があります。 Compute Engine への影響この脆弱性は、Compute Engine カーネル `2.6.x-gcg-<date>` に影響を及ぼします。対応として、Compute Engine では 2.6.x カーネルを非推奨としました。Compute Engine カーネル `gce-v20130225` を使用するようにインスタンスとイメージを更新することをおすすめします。`gce-v20130225` には、この脆弱性のパッチを含むカーネル `3.3.8-gcg-201302081521` が含まれています。自分のインスタンスが使用しているカーネルのバージョンを確認するには: ssh を使用してインスタンスに接続します。 `uname -r` を実行します。	中	CVE-2013-0871

注: この脆弱性が該当するのは、API バージョン v1 以降では非推奨となり削除されているカーネルのみです。

3.7.5 よりも前の Linux カーネルの ptrace 機能の競合状態により、細工したアプリケーションで PTRACE_SETREGS ptrace システム呼び出しを介してローカルユーザーが特権を取得する可能性があります。

Compute Engine への影響

この脆弱性は、Compute Engine カーネル 2.6.x-gcg-<date> に影響を及ぼします。対応として、Compute Engine では 2.6.x カーネルを非推奨としました。Compute Engine カーネル gce-v20130225 を使用するようにインスタンスとイメージを更新することをおすすめします。gce-v20130225 には、この脆弱性のパッチを含むカーネル 3.3.8-gcg-201302081521 が含まれています。

自分のインスタンスが使用しているカーネルのバージョンを確認するには:

ssh を使用してインスタンスに接続します。
uname -r を実行します。

中

CVE-2013-0871