セキュリティに関する公開情報

このページでは、Cloud SQL に関連するすべてのセキュリティに関する公開情報について説明します。

最新のセキュリティに関する公開情報を取得するには、次のいずれかを行います。

  • このページの URL をフィード リーダーに追加する。
  • 次のフィードの URL をフィード リーダーに直接追加する。

    https://cloud.google.com/feeds/cloud-sql-security-bulletins.xml

GCP-2023-007

公開済み: 2023 年 6 月 2 日

説明

説明 重大度

サードパーティの調査担当者が Cloud SQL for SQL Server の脆弱性を特定し、その脆弱性がトリガーされたインスタンスを Google Cloud がセキュリティ アラートによって自動的に検出しました。検出後、Google Cloud から調査担当者に連絡すると、調査担当者によって Google Cloud VRP プログラムを通じて問題が報告されました。Google Cloud は、2023 年 3 月 1 日までにセキュリティの脆弱性にパッチを適用することでこの問題を解決しました。Google Cloud が調べた結果、不正使用された顧客インスタンスは見つかりませんでした。

必要な対策

他にお客様側でのご対応は必要ございません。

この脆弱性を修正するために Cloud SQL for SQL Server が更新されました。この修正は 2023 年 3 月にすべてのインスタンスにロールアウトされました。特に必要なお手続きはございません。

対処されている脆弱性

この脆弱性は、お客様の管理者アカウントが tempdb データベース内にトリガーを作成し、それらを使用してインスタンス内で sysadmin 権限を取得することを可能にするものでした。sysadmin 権限を持つ攻撃者は、システム データベースにアクセスし、その SQL Server インスタンスを実行しているマシンに部分的にアクセスできます。

攻撃にはお客様の管理者アカウントへのアクセス権が必要であるため、この脆弱性では、攻撃者がアクセス権を持っていない顧客データが漏洩することはありません。さらに、この脆弱性により、攻撃者に他の Cloud SQL for SQL Server インスタンスへのアクセス権が付与されることはありませんでした。

この問題はセキュリティ インシデントではなく、データの侵害はありません。