Bollettini sulla sicurezza

In questa pagina vengono descritti tutti i bollettini sulla sicurezza relativi a Cloud SQL.

Per ricevere gli ultimi bollettini sulla sicurezza, procedi in uno dei seguenti modi:

Aggiungi l'URL di questa pagina al tuo lettore di feed.
Aggiungi il seguente URL del feed direttamente al lettore di feed:
```
https://cloud.google.com/feeds/cloud-sql-security-bulletins.xml
```

GCP-2023-007

Pubblicato: 02/06/2023

Descrizione

Descrizione Gravità Note

Descrizione	Gravità	Note
Un ricercatore di terze parti ha identificato una vulnerabilità di Cloud SQL per SQL Server e l'istanza su cui ha attivato questa vulnerabilità è stata rilevata automaticamente da Google Cloud tramite un avviso di sicurezza. Dopo il rilevamento, Google Cloud ha contattato il ricercatore e quest'ultimo ha segnalato il problema tramite il programma VRP di Google Cloud. Google Cloud ha risolto il problema correggendo la vulnerabilità della sicurezza entro il 1° marzo 2023. Google Cloud non ha rilevato istanze compromesse del cliente. Che cosa devo fare? Non sono richieste ulteriori azioni da parte dei clienti. Cloud SQL per SQL Server è stato aggiornato per correggere questa vulnerabilità e la correzione è stata implementata in tutte le istanze a marzo 2023. Non è richiesta alcuna azione da parte tua. Quali vulnerabilità vengono affrontate? La vulnerabilità ha consentito agli account amministratore del cliente di creare trigger nel database `tempdb` e di utilizzarli per ottenere privilegi `sysadmin` nell'istanza. I privilegi `sysadmin` darebbero all'utente malintenzionato l'accesso ai database di sistema e un accesso parziale alla macchina su cui è in esecuzione l'istanza SQL Server. Poiché l'attacco richiede l'accesso all'account di un amministratore del cliente, questa vulnerabilità non ha esposto i dati dei clienti a cui l'utente malintenzionato non aveva già accesso. Inoltre, questa vulnerabilità non ha concesso all'utente malintenzionato alcun accesso ad altre istanze di Cloud SQL per SQL Server. Questo problema non è stato un incidente di sicurezza e nessun dato è stato compromesso.	Alta

Un ricercatore di terze parti ha identificato una vulnerabilità di Cloud SQL per SQL Server e l'istanza su cui ha attivato questa vulnerabilità è stata rilevata automaticamente da Google Cloud tramite un avviso di sicurezza. Dopo il rilevamento, Google Cloud ha contattato il ricercatore e quest'ultimo ha segnalato il problema tramite il programma VRP di Google Cloud. Google Cloud ha risolto il problema correggendo la vulnerabilità della sicurezza entro il 1° marzo 2023. Google Cloud non ha rilevato istanze compromesse del cliente.

Che cosa devo fare?

Non sono richieste ulteriori azioni da parte dei clienti.

Cloud SQL per SQL Server è stato aggiornato per correggere questa vulnerabilità e la correzione è stata implementata in tutte le istanze a marzo 2023. Non è richiesta alcuna azione da parte tua.

Quali vulnerabilità vengono affrontate?

La vulnerabilità ha consentito agli account amministratore del cliente di creare trigger nel database tempdb e di utilizzarli per ottenere privilegi sysadmin nell'istanza. I privilegi sysadmin darebbero all'utente malintenzionato l'accesso ai database di sistema e un accesso parziale alla macchina su cui è in esecuzione l'istanza SQL Server.

Poiché l'attacco richiede l'accesso all'account di un amministratore del cliente, questa vulnerabilità non ha esposto i dati dei clienti a cui l'utente malintenzionato non aveva già accesso. Inoltre, questa vulnerabilità non ha concesso all'utente malintenzionato alcun accesso ad altre istanze di Cloud SQL per SQL Server.

Questo problema non è stato un incidente di sicurezza e nessun dato è stato compromesso.

Alta