安全公告
使用集合让一切井井有条
根据您的偏好保存内容并对其进行分类。
本页面介绍了与 Cloud SQL 相关的所有安全公告。
如需获取最新的安全公告,请执行以下操作之一:
GCP-2023-007
发布日期:2023-06-02
说明
说明 |
严重级别 |
备注 |
第三方研究人员发现了 Cloud SQL for SQL Server 漏洞,Google Cloud 通过安全提醒自动检测到其触发此漏洞的实例。检测后,Google Cloud 与研究人员联系,研究人员通过 Google Cloud VRP 计划报告了问题。 Google Cloud 在 2023 年 3 月 1 日之前修复了安全漏洞,从而解决了此问题。Google Cloud 未发现任何已破解的客户实例。
该怎么做?
任何客户都无需采取进一步行动。
Cloud SQL for SQL Server 已更新,以修复此漏洞,并在 2023 年 3 月向所有实例发布了修复。您无需采取任何行动。
解决哪些漏洞?
此漏洞允许客户管理员账号在 tempdb 数据库中创建触发器,并使用这些账号在实例中获取 sysadmin 特权。sysadmin 特权将允许攻击者访问系统数据库,并允许对运行该 SQL Server 实例的机器进行部分访问。
由于攻击需要访问客户管理员账号,因此此漏洞未公开攻击者无权访问的任何客户数据。此外,此漏洞并未授予攻击者对其他 Cloud SQL for SQL Server 实例的访问权限。
此问题不是安全事件,没有任何数据遭到破解。
|
高 |
|
如未另行说明,那么本页面中的内容已根据知识共享署名 4.0 许可获得了许可,并且代码示例已根据 Apache 2.0 许可获得了许可。有关详情,请参阅 Google 开发者网站政策。Java 是 Oracle 和/或其关联公司的注册商标。
最后更新时间 (UTC):2023-12-13。
[{
"type": "thumb-down",
"id": "hardToUnderstand",
"label":"Hard to understand"
},{
"type": "thumb-down",
"id": "incorrectInformationOrSampleCode",
"label":"Incorrect information or sample code"
},{
"type": "thumb-down",
"id": "missingTheInformationSamplesINeed",
"label":"Missing the information/samples I need"
},{
"type": "thumb-down",
"id": "translationIssue",
"label":"翻译问题"
},{
"type": "thumb-down",
"id": "otherDown",
"label":"其他"
}]
[{
"type": "thumb-up",
"id": "easyToUnderstand",
"label":"易于理解"
},{
"type": "thumb-up",
"id": "solvedMyProblem",
"label":"解决了我的问题"
},{
"type": "thumb-up",
"id": "otherUp",
"label":"其他"
}]