安全公告

本页介绍了与 Cloud SQL 相关的所有安全公告。

如需获取最新的安全公告,请执行以下操作之一:

  • 将此页面的网址添加到您的 Feed 阅读器
  • 直接将以下 Feed 网址添加到您的 Feed 阅读器:

    https://cloud.google.com/feeds/cloud-sql-security-bulletins.xml
    

GCP-2023-007

发布日期:2023-06-02

说明

说明 严重程度 备注

第三方研究人员发现了 Cloud SQL for SQL Server 漏洞,Google Cloud 通过安全提醒自动检测到其触发此漏洞的实例。 发现后,Google Cloud 联系了研究人员,研究人员通过 Google Cloud VRP 计划报告了此问题。Google Cloud 在 2023 年 3 月 1 日之前修复了安全漏洞,从而解决了此问题。Google Cloud 未发现任何已破解的客户实例。

该怎么做?

任何客户都无需采取进一步措施。

Cloud SQL for SQL Server 已更新以修复此漏洞,修复程序已于 2023 年 3 月面向所有实例推出。您无需采取任何行动。

解决了哪些漏洞?

此漏洞允许客户管理员账号在 tempdb 数据库中创建触发器,并使用这些账号在实例中获取 sysadmin 特权。sysadmin 特权将允许攻击者访问系统数据库,并允许对运行该 SQL Server 实例的机器进行部分访问。

由于攻击需要访问客户管理员账号,因此该漏洞不会泄露攻击者尚未访问的任何客户数据。此外,该漏洞未向攻击者授予对其他 Cloud SQL for SQL Server 实例的任何访问权限。

此问题不是安全事件,没有任何数据遭到破解。