Bollettini sulla sicurezza

Questa pagina descrive tutti i bollettini sulla sicurezza relativi a Cloud SQL.

Per ricevere gli ultimi bollettini sulla sicurezza, svolgi una delle seguenti operazioni:

  • Aggiungi l'URL di questa pagina al tuo aggregatore di feed.
  • Aggiungi il seguente URL del feed direttamente al tuo aggregatore di feed:

    https://cloud.google.com/feeds/cloud-sql-security-bulletins.xml

GCP-2023-007

Pubblicato il: 02/06/2023

Descrizione

Descrizione Gravità Note

Un ricercatore di terze parti ha identificato una vulnerabilità di Cloud SQL per SQL Server e l'istanza su cui ha attivato questa vulnerabilità è stata rilevata automaticamente da Google Cloud tramite un avviso di sicurezza. Dopo il rilevamento, Google Cloud ha contattato il ricercatore, che ha segnalato il problema tramite il programma VRP di Google Cloud. Google Cloud ha risolto il problema applicando una patch alla vulnerabilità di sicurezza entro il 1° marzo 2023. Google Cloud non ha trovato istanze dei clienti compromesse.

Che cosa devo fare?

Non è richiesta alcuna azione da parte dei clienti.

Cloud SQL per SQL Server è stato aggiornato per correggere questa vulnerabilità e la correzione è stata implementata in tutte le istanze a marzo 2023. Non è richiesta alcuna azione da parte tua.

Quali vulnerabilità vengono affrontate?

La vulnerabilità consentiva agli account amministratore dei clienti di creare trigger nel database tempdb e di utilizzarli per ottenere privilegi sysadmin nell'istanza. I privilegi sysadmin darebbero all'attaccante l'accesso ai database di sistema e l'accesso parziale alla macchina che esegue l'istanza di SQL Server.

Poiché l'attacco richiede l'accesso a un account amministratore del cliente, questa vulnerabilità non ha esposto dati dei clienti a cui l'autore dell'attacco non aveva già accesso. Inoltre, questa vulnerabilità non ha dato all'attaccante alcun accesso ad altre istanze Cloud SQL per SQL Server.

Non si è trattato di un incidente di sicurezza e nessun dato è stato compromesso.

Alta