Boletines de seguridad

En esta página, se describen todos los boletines de seguridad relacionados con Cloud SQL.

Para obtener los boletines de seguridad más recientes, realiza una de las siguientes acciones:

  • Agrega la URL de esta página a tu lector de feeds.
  • Agrega la siguiente URL del feed directamente a tu lector de feeds:

    https://cloud.google.com/feeds/cloud-sql-security-bulletins.xml

GCP-2023-007

Fecha de publicación: 2 de junio de 2023

Descripción

Descripción Gravedad Notas

Un investigador externo identificó una vulnerabilidad de Cloud SQL para SQL Server y la instancia en la que se activó esta vulnerabilidad se detectó automáticamente en Google Cloud mediante una alerta de seguridad. Después de la detección, Google Cloud se comunicó con el investigador y este informó el problema a través del programa VRP de Google Cloud. Google Cloud resolvió el problema mediante el parche de vulnerabilidad de seguridad para el 1 de marzo de 2023. Google Cloud no encontró ninguna instancia cliente comprometida.

¿Qué debo hacer?

No se requiere ninguna otra acción para ningún cliente.

Cloud SQL para SQL Server se actualizó para corregir esta vulnerabilidad, y la corrección se lanzó en todas las instancias en marzo de 2023. No necesitas realizar ninguna acción.

¿Qué vulnerabilidades se abordan?

La vulnerabilidad permitió que las cuentas de administrador del cliente crearan activadores en la base de datos tempdb y las usaran para obtener privilegios sysadmin en la instancia. Los privilegios sysadmin otorgarían al atacante acceso a las bases de datos del sistema y acceso parcial a la máquina que ejecuta esa instancia de SQL Server.

Debido a que el ataque requiere acceso a una cuenta de administrador de cliente, esta vulnerabilidad no expuso ningún dato del cliente al que el atacante no tenía acceso. Además, esta vulnerabilidad no le dio al atacante acceso a otras instancias de Cloud SQL para SQL Server.

Este problema no fue un incidente de seguridad y no se comprometieron los datos.

Alta