Boletins de segurança

Nesta página, você verá todos os boletins de segurança relacionados ao Cloud SQL.

Para receber os boletins de segurança mais recentes, siga um destes procedimentos:

  • Adicione o URL desta página ao seu leitor de feeds
  • Adicione o URL do feed diretamente ao seu leitor de feeds:

    https://cloud.google.com/feeds/cloud-sql-security-bulletins.xml

GCP-2023-007

Publicado02-06-2023

Descrição

Descrição Gravidade Observações

A third-party researcher identified a Cloud SQL for SQL Server vulnerability, and the instance they triggered this vulnerability on was automatically detected by Google Cloud through a security alert. Após a detecção, o Google Cloud entrou em contato com o pesquisador, que informou o problema por meio do programa VRP do Google Cloud. O Google Cloud resolveu o problema corrigindo a vulnerabilidade de segurança até 1o de março de 2023. O Google Cloud não encontrou instâncias de cliente comprometidas.

O que devo fazer?

Nenhuma outra ação é necessária para nenhum cliente.

O Cloud SQL para SQL Server foi atualizado para corrigir essa vulnerabilidade, e a correção foi implementada em todas as instâncias em março de 2023. Você não precisa fazer nada.

Quais vulnerabilidades estão sendo resolvidas?

A vulnerabilidade permitiu que contas de administrador de clientes criassem gatilhos no banco de dados tempdb e os usassem para receber privilégios sysadmin na instância. Os privilégios sysadmin concederiam ao invasor acesso aos bancos de dados do sistema e acesso parcial à máquina que executa essa instância do SQL Server.

Como o ataque requer acesso a uma conta de administrador de cliente, essa vulnerabilidade não expôs nenhum dado de cliente ao qual o invasor ainda não tinha acesso. Além disso, essa vulnerabilidade não deu ao invasor acesso a outras instâncias do Cloud SQL para SQL Server.

Este problema não foi um incidente de segurança e nenhum dado foi comprometido.

Alta