Cette page décrit tous les bulletins de sécurité liés à Cloud SQL.
Pour obtenir les derniers bulletins de sécurité, effectuez l'une des opérations suivantes :
- Ajoutez l'URL de cette page à votre lecteur de flux.
Ajoutez directement l'URL de flux suivante à votre lecteur de flux :
https://cloud.google.com/feeds/cloud-sql-security-bulletins.xml
GCP-2023-007
Date de publication : 02/06/2023
Description
Description | Gravité | Remarques |
---|---|---|
Un chercheur tiers a identifié une faille dans Cloud SQL pour SQL Server, et l'instance sur laquelle cette faille a été déclenchée a été détectée automatiquement par Google Cloud via une alerte de sécurité. Après détection, Google Cloud a contacté le chercheur et celui-ci a signalé le problème via le programme VRP de Google Cloud. Google Cloud a résolu le problème en corrigeant la faille de sécurité avant le 1er mars 2023. Google Cloud n'a trouvé aucune instance client compromise. Que dois-je faire ?Aucune action supplémentaire n'est requise pour les clients. Cloud SQL pour SQL Server a été mis à jour pour corriger cette faille. Le correctif a été déployé sur toutes les instances en mars 2023. Aucune action n'est requise. Quelles failles sont corrigées ?Cette faille a permis aux comptes administrateur du client de créer des déclencheurs dans la base de données Étant donné que l'attaque nécessite un accès à un compte administrateur client, cette faille n'a exposé aucune des données client auxquelles l'auteur de l'attaque n'avait pas déjà accès. De plus, cette faille n'a pas permis au pirate informatique d'accéder à d'autres instances Cloud SQL pour SQL Server. Ce problème n'était pas un incident de sécurité et aucune donnée n'a été compromise. |
Élevé |