In questa pagina vengono descritti tutti i bollettini sulla sicurezza relativi a Cloud SQL.
Per ricevere gli ultimi bollettini sulla sicurezza, procedi in uno dei seguenti modi:
- Aggiungi l'URL di questa pagina al tuo lettore di feed.
Aggiungi il seguente URL del feed direttamente al lettore di feed:
https://cloud.google.com/feeds/cloud-sql-security-bulletins.xml
GCP-2023-007
Pubblicato: 02/06/2023
Descrizione
Descrizione | Gravità | Note |
---|---|---|
Un ricercatore di terze parti ha identificato una vulnerabilità di Cloud SQL per SQL Server e l'istanza su cui ha attivato questa vulnerabilità è stata rilevata automaticamente da Google Cloud tramite un avviso di sicurezza. Dopo il rilevamento, Google Cloud ha contattato il ricercatore e quest'ultimo ha segnalato il problema tramite il programma VRP di Google Cloud. Google Cloud ha risolto il problema correggendo la vulnerabilità della sicurezza entro il 1° marzo 2023. Google Cloud non ha rilevato istanze compromesse del cliente. Che cosa devo fare?Non sono richieste ulteriori azioni da parte dei clienti. Cloud SQL per SQL Server è stato aggiornato per correggere questa vulnerabilità e la correzione è stata implementata in tutte le istanze a marzo 2023. Non è richiesta alcuna azione da parte tua. Quali vulnerabilità vengono affrontate?La vulnerabilità ha consentito agli account amministratore del cliente di creare trigger nel database Poiché l'attacco richiede l'accesso all'account di un amministratore del cliente, questa vulnerabilità non ha esposto i dati dei clienti a cui l'utente malintenzionato non aveva già accesso. Inoltre, questa vulnerabilità non ha concesso all'utente malintenzionato alcun accesso ad altre istanze di Cloud SQL per SQL Server. Questo problema non è stato un incidente di sicurezza e nessun dato è stato compromesso. |
Alta |