安全性公告

Cloud Logging 中的安全漏洞可能導致攻擊者在自己控制的專案中重新建立目標 Cloud Storage 值區，藉此劫持記錄檔接收器目的地。這個問題可能會導致系統持續將機密記錄傳送給未獲授權的第三方。

我該怎麼做？

您無須採取任何行動，Cloud Logging 已更新，可修正這項安全漏洞。因此，如果目的地 Cloud Storage 值區的父項專案在初始設定後有所變更，記錄接收器現在會傳回錯誤。如要還原記錄匯出作業，使用者必須刪除並重新建立受影響的記錄檔接收器。

最佳做法是，使用者應先刪除相關聯的記錄檔接收器，再移除目的地資源，以免出現懸置接收器。

這個修補程式修正了哪些安全漏洞？

有心人士可能會利用這個安全漏洞，入侵為 Cloud Storage 設定的記錄檔匯出作業。

Cloud Logging 接收器先前僅依賴全域不重複的 Cloud Storage bucket 名稱來傳送記錄。惡意行為人可能會在自己掌控的專案中，以相同名稱重建已刪除的 bucket。有效的記錄檔接收器會自動恢復匯出作業，將敏感記錄傳送至攻擊者的 bucket，導致未經授權的資料持續外洩。

如要執行這項攻擊，惡意行為人必須事先知道目標 Cloud Storage bucket 的名稱，以及要刪除的 Cloud Storage bucket。

實作的修正措施可確保目的地 bucket 位於與接收器初始建立時設定的相同父項專案中，藉此減輕這項安全漏洞的影響。現在，Cloud Logging 在將記錄資料寫入 Cloud Storage bucket 時，會持續執行這項檢查。

2026 年 1 月前版本的 Observability Analytics 使用者介面可設定為自動執行 SQL 查詢。攻擊者可利用這項安全漏洞精心設計查詢網址，只要有人以憑證開啟該網址，攻擊者就能存取資料表內容或產生查詢費用。

我該怎麼做？

使用者不必採取任何行動，我們已修復這項安全漏洞，並在 2026 年 1 月更新受影響的使用者介面，加入介入點，防止惡意 SQL 在使用者沒有檢查機會的情況下執行。

這個修補程式修正了哪些安全漏洞？

當目標執行攻擊者製作的 SQL 查詢時，攻擊者可利用這項安全漏洞存取目標的 Observability Analytics 或 BigQuery 資料表中的有限內容。

這項安全漏洞會利用 BigQuery 稽核記錄，將目標資料表內容的相關資訊傳送至攻擊者控管的 Google Cloud 專案。Observability Analytics 介面會自動執行內嵌在網址中的查詢，導致目標無法在執行攻擊者製作的查詢前檢查，因此加劇了這項安全漏洞。

這項安全漏洞會影響 2026 年 1 月前的 Observability Analytics 介面和 Cloud Monitoring 資訊主頁介面版本。

我該怎麼做？

使用者不必採取任何行動，我們已於 2026 年 1 月更新受影響的使用者介面，加入介入點，防止惡意 SQL 在使用者沒有檢查的機會下執行。

這個修補程式修正了哪些安全漏洞？

如果目標使用者查看攻擊者製作的資訊主頁，攻擊者就能利用這項安全漏洞存取目標使用者 Observability Analytics 或 BigQuery 資料表的部分內容。

這項安全漏洞會利用 BigQuery 中繼資料管道，將目標資料表內容的相關資訊傳送至攻擊者控制的 Google Cloud 專案。此外，系統會自動執行查詢來填入 SQL 支援的小工具，這項資訊主頁介面行為會加劇這項安全漏洞，因為目標在以自己的憑證執行查詢前，無法檢查攻擊者製作的查詢。