En esta página, se describen todos los boletines de seguridad relacionados con Cloud SQL.
Para obtener los boletines de seguridad más recientes, realiza una de las siguientes acciones:
- Agrega la URL de esta página a tu lector de feeds.
Agrega la siguiente URL del feed directamente a tu lector de feeds:
https://cloud.google.com/feeds/cloud-sql-security-bulletins.xml
GCP-2023-007
Fecha de publicación: 2 de junio de 2023
Descripción
Descripción | Gravedad | Notas |
---|---|---|
Un investigador externo identificó una vulnerabilidad de Cloud SQL para SQL Server y la instancia en la que se activó esta vulnerabilidad se detectó automáticamente en Google Cloud mediante una alerta de seguridad. Después de la detección, Google Cloud se comunicó con el investigador y este informó el problema a través del programa VRP de Google Cloud. Google Cloud resolvió el problema mediante el parche de vulnerabilidad de seguridad para el 1 de marzo de 2023. Google Cloud no encontró ninguna instancia cliente comprometida. ¿Qué debo hacer?No se requiere ninguna otra acción para ningún cliente. Cloud SQL para SQL Server se actualizó para corregir esta vulnerabilidad, y la corrección se lanzó en todas las instancias en marzo de 2023. No necesitas realizar ninguna acción. ¿Qué vulnerabilidades se abordan?La vulnerabilidad permitió que las cuentas de administrador del cliente crearan activadores en la base de datos Debido a que el ataque requiere acceso a una cuenta de administrador de cliente, esta vulnerabilidad no expuso ningún dato del cliente al que el atacante no tenía acceso. Además, esta vulnerabilidad no le dio al atacante acceso a otras instancias de Cloud SQL para SQL Server. Este problema no fue un incidente de seguridad y no se comprometieron los datos. |
Alta |