Questa pagina è stata tradotta dall'API Cloud Translation.

Bollettini sulla sicurezza

Questa pagina descrive tutti i bollettini sulla sicurezza relativi a Cloud SQL.

Per ricevere gli ultimi bollettini sulla sicurezza, svolgi una delle seguenti operazioni:

Aggiungi l'URL di questa pagina al tuo lettore di feed.
Aggiungi il seguente URL del feed direttamente al tuo aggregatore di feed:
```
https://cloud.google.com/feeds/cloud-sql-security-bulletins.xml
```

GCP-2023-007

Pubblicato: 02/06/2023

Descrizione

Descrizione Gravità Note

Descrizione	Gravità	Note
Un ricercatore di terze parti ha identificato un'istanza Cloud SQL per SQL Server la vulnerabilità e sull'istanza su cui hanno attivato la vulnerabilità è stato rilevato automaticamente da Google Cloud mediante un avviso di sicurezza. Dopo il rilevamento, Google Cloud ha contattato il ricercatore ricercatore ha segnalato il problema tramite Programma VRP Google Cloud. Google Cloud ha risolto il problema applicando una patch alla vulnerabilità di sicurezza entro il 1° marzo 2023. Google Cloud non ha rilevato alcuna compromissione le istanze dei clienti. Che cosa devo fare? Non è richiesta alcuna azione da parte dei clienti. Cloud SQL per SQL Server è stato aggiornato per correggere questa vulnerabilità e la correzione è stata implementata in tutte le istanze a marzo 2023. Non è richiesta alcuna azione da parte tua. Quali vulnerabilità vengono affrontate? La vulnerabilità ha consentito agli account amministratore del cliente di creare nel database `tempdb` e usali per acquisire `sysadmin` privilegi nell'istanza. La `sysadmin` di privilegi darebbero all'utente malintenzionato l'accesso a di sistema e accesso parziale alla macchina che esegue Istanza server. Poiché l'attacco richiede l'accesso a un account amministratore del cliente, questa vulnerabilità non ha esposto dati dei clienti a cui l'autore dell'attacco non aveva già accesso. Inoltre, questa vulnerabilità non ha concesso all'utente malintenzionato l'accesso ad altri servizi Cloud SQL per SQL Server di Compute Engine. Questo problema non è stato un incidente di sicurezza e non è stato compromesso nessun dato.	Alta

Un ricercatore di terze parti ha identificato un'istanza Cloud SQL per SQL Server la vulnerabilità e sull'istanza su cui hanno attivato la vulnerabilità è stato rilevato automaticamente da Google Cloud mediante un avviso di sicurezza. Dopo il rilevamento, Google Cloud ha contattato il ricercatore ricercatore ha segnalato il problema tramite Programma VRP Google Cloud. Google Cloud ha risolto il problema applicando una patch alla vulnerabilità di sicurezza entro il 1° marzo 2023. Google Cloud non ha rilevato alcuna compromissione le istanze dei clienti.

Che cosa devo fare?

Non è richiesta alcuna azione da parte dei clienti.

Cloud SQL per SQL Server è stato aggiornato per correggere questa vulnerabilità e la correzione è stata implementata in tutte le istanze a marzo 2023. Non è richiesta alcuna azione da parte tua.

Quali vulnerabilità vengono affrontate?

La vulnerabilità ha consentito agli account amministratore del cliente di creare nel database tempdb e usali per acquisire sysadmin privilegi nell'istanza. La sysadmin di privilegi darebbero all'utente malintenzionato l'accesso a di sistema e accesso parziale alla macchina che esegue Istanza server.

Poiché l'attacco richiede l'accesso a un account amministratore del cliente, questa vulnerabilità non ha esposto dati dei clienti a cui l'autore dell'attacco non aveva già accesso. Inoltre, questa vulnerabilità non ha concesso all'utente malintenzionato l'accesso ad altri servizi Cloud SQL per SQL Server di Compute Engine.

Questo problema non è stato un incidente di sicurezza e non è stato compromesso nessun dato.

Alta