Bulletins de sécurité

Cette page décrit tous les bulletins de sécurité liés à Cloud SQL.

Pour obtenir les derniers bulletins de sécurité, effectuez l'une des opérations suivantes :

  • Ajoutez l'URL de cette page à votre lecteur de flux.
  • Ajoutez directement l'URL de flux suivante à votre lecteur de flux :

    https://cloud.google.com/feeds/cloud-sql-security-bulletins.xml
    

GCP-2023-007

Date de publication : 02/06/2023

Description

Description Niveau de gravité Remarques

Un chercheur tiers a identifié une faille dans Cloud SQL pour SQL Server, et l'instance sur laquelle cette faille a été déclenchée a été détectée automatiquement par Google Cloud via une alerte de sécurité. Après détection, Google Cloud a contacté le chercheur et celui-ci a signalé le problème via le programme VRP de Google Cloud. Google Cloud a résolu le problème en corrigeant la faille de sécurité avant le 1er mars 2023. Google Cloud n'a trouvé aucune instance client compromise.

Que dois-je faire ?

Aucune action supplémentaire n'est requise pour les clients.

Cloud SQL pour SQL Server a été mis à jour pour corriger cette faille. Le correctif a été déployé sur toutes les instances en mars 2023. Aucune action n'est requise.

Quelles failles sont corrigées ?

Cette faille a permis aux comptes administrateur du client de créer des déclencheurs dans la base de données tempdb et de les utiliser pour obtenir les droits associés au rôle sysadmin sur l'instance. Les droits de sysadmin permettent au pirate informatique d'avoir accès aux bases de données système et un accès partiel à la machine exécutant cette instance SQL Server.

Étant donné que l'attaque nécessite un accès à un compte administrateur client, cette faille n'a exposé aucune des données client auxquelles l'auteur de l'attaque n'avait pas déjà accès. De plus, cette faille n'a pas permis au pirate informatique d'accéder à d'autres instances Cloud SQL pour SQL Server.

Ce problème n'était pas un incident de sécurité et aucune donnée n'a été compromise.

Élevée