安全公告

本页面介绍了与 Cloud SQL 相关的所有安全公告。

如需获取最新的安全公告，请执行以下操作之一：

将此页面的网址添加到您的 Feed 阅读器。

直接将以下 Feed 网址添加到您的 Feed 阅读器：

https://cloud.google.com/feeds/cloud-sql-security-bulletins.xml

GCP-2023-007

发布日期：2023-06-02

说明

说明严重级别备注

说明	严重级别	备注
第三方研究人员发现了 Cloud SQL for SQL Server 漏洞，Google Cloud 通过安全提醒自动检测到其触发此漏洞的实例。检测后，Google Cloud 与研究人员联系，研究人员通过 Google Cloud VRP 计划报告了问题。 Google Cloud 在 2023 年 3 月 1 日之前修复了安全漏洞，从而解决了此问题。Google Cloud 未发现任何已破解的客户实例。该怎么做？任何客户都无需采取进一步行动。 Cloud SQL for SQL Server 已更新，以修复此漏洞，并在 2023 年 3 月向所有实例发布了修复。您无需采取任何行动。解决哪些漏洞？此漏洞允许客户管理员账号在 `tempdb` 数据库中创建触发器，并使用这些账号在实例中获取 `sysadmin` 特权。`sysadmin` 特权将允许攻击者访问系统数据库，并允许对运行该 SQL Server 实例的机器进行部分访问。由于攻击需要访问客户管理员账号，因此此漏洞未公开攻击者无权访问的任何客户数据。此外，此漏洞并未授予攻击者对其他 Cloud SQL for SQL Server 实例的访问权限。此问题不是安全事件，没有任何数据遭到破解。	高

第三方研究人员发现了 Cloud SQL for SQL Server 漏洞，Google Cloud 通过安全提醒自动检测到其触发此漏洞的实例。检测后，Google Cloud 与研究人员联系，研究人员通过 Google Cloud VRP 计划报告了问题。 Google Cloud 在 2023 年 3 月 1 日之前修复了安全漏洞，从而解决了此问题。Google Cloud 未发现任何已破解的客户实例。

该怎么做？

任何客户都无需采取进一步行动。

Cloud SQL for SQL Server 已更新，以修复此漏洞，并在 2023 年 3 月向所有实例发布了修复。您无需采取任何行动。

解决哪些漏洞？

此漏洞允许客户管理员账号在 tempdb 数据库中创建触发器，并使用这些账号在实例中获取 sysadmin 特权。sysadmin 特权将允许攻击者访问系统数据库，并允许对运行该 SQL Server 实例的机器进行部分访问。

由于攻击需要访问客户管理员账号，因此此漏洞未公开攻击者无权访问的任何客户数据。此外，此漏洞并未授予攻击者对其他 Cloud SQL for SQL Server 实例的访问权限。

此问题不是安全事件，没有任何数据遭到破解。

高