安全公告

本页介绍了与 Cloud SQL 相关的所有安全公告。

如需获取最新的安全公告，请执行以下操作之一：

将此页面的网址添加到您的 Feed 阅读器。

直接将以下 Feed 网址添加到您的 Feed 阅读器：

https://cloud.google.com/feeds/cloud-sql-security-bulletins.xml

GCP-2023-007

发布日期：2023-06-02

说明

说明严重程度备注

说明	严重程度	备注
第三方研究人员发现了 Cloud SQL for SQL Server 漏洞，Google Cloud 通过安全提醒自动检测到其触发此漏洞的实例。发现后，Google Cloud 联系了研究人员，研究人员通过 Google Cloud VRP 计划报告了此问题。Google Cloud 在 2023 年 3 月 1 日之前修复了安全漏洞，从而解决了此问题。Google Cloud 未发现任何已破解的客户实例。该怎么做？任何客户都无需采取进一步措施。 Cloud SQL for SQL Server 已更新以修复此漏洞，修复程序已于 2023 年 3 月面向所有实例推出。您无需采取任何行动。解决了哪些漏洞？此漏洞允许客户管理员账号在 `tempdb` 数据库中创建触发器，并使用这些账号在实例中获取 `sysadmin` 特权。`sysadmin` 特权将允许攻击者访问系统数据库，并允许对运行该 SQL Server 实例的机器进行部分访问。由于攻击需要访问客户管理员账号，因此该漏洞不会泄露攻击者尚未访问的任何客户数据。此外，该漏洞未向攻击者授予对其他 Cloud SQL for SQL Server 实例的任何访问权限。此问题不是安全事件，没有任何数据遭到破解。	高

第三方研究人员发现了 Cloud SQL for SQL Server 漏洞，Google Cloud 通过安全提醒自动检测到其触发此漏洞的实例。发现后，Google Cloud 联系了研究人员，研究人员通过 Google Cloud VRP 计划报告了此问题。Google Cloud 在 2023 年 3 月 1 日之前修复了安全漏洞，从而解决了此问题。Google Cloud 未发现任何已破解的客户实例。

该怎么做？

任何客户都无需采取进一步措施。

Cloud SQL for SQL Server 已更新以修复此漏洞，修复程序已于 2023 年 3 月面向所有实例推出。您无需采取任何行动。

解决了哪些漏洞？

此漏洞允许客户管理员账号在 tempdb 数据库中创建触发器，并使用这些账号在实例中获取 sysadmin 特权。sysadmin 特权将允许攻击者访问系统数据库，并允许对运行该 SQL Server 实例的机器进行部分访问。

由于攻击需要访问客户管理员账号，因此该漏洞不会泄露攻击者尚未访问的任何客户数据。此外，该漏洞未向攻击者授予对其他 Cloud SQL for SQL Server 实例的任何访问权限。

此问题不是安全事件，没有任何数据遭到破解。

高