Buletin keamanan

Halaman ini menjelaskan semua buletin keamanan yang terkait dengan Cloud SQL.

Untuk mendapatkan buletin keamanan terbaru, lakukan salah satu hal berikut:

Tambahkan URL halaman ini terhadap pembaca feed Anda.

Tambahkan URL feed berikut langsung ke pembaca feed Anda:

https://cloud.google.com/feeds/cloud-sql-security-bulletins.xml

GCP-2023-007

Dipublikasikan: 2023-06-02

Deskripsi

Deskripsi Keparahan Notes

Deskripsi	Keparahan	Notes
Seorang peneliti pihak ketiga mengidentifikasi kerentanan Cloud SQL untuk SQL Server, dan instance yang memicu kerentanan ini secara otomatis terdeteksi oleh Google Cloud melalui notifikasi keamanan. Setelah deteksi terdeteksi, Google Cloud menghubungi peneliti dan peneliti melaporkan masalah melalui program VRP Google Cloud. Google Cloud menyelesaikan masalah ini dengan mem-patch kerentanan keamanan paling lambat 1 Maret 2023. Google Cloud tidak menemukan instance pelanggan yang disusupi. Apa yang sebaiknya saya lakukan? Pelanggan tidak perlu mewajibkan melakukan tindakan lebih lanjut. Cloud SQL untuk SQL Server telah diupdate untuk memperbaiki kerentanan ini dan perbaikan telah diluncurkan ke semua instance pada Maret 2023. Anda tidak perlu melakukan tindakan apa pun. Kerentanan apa yang sedang ditangani? Kerentanan ini memungkinkan akun administrator pelanggan membuat pemicu di database `tempdb` dan menggunakannya untuk mendapatkan hak istimewa `sysadmin` di instance. Hak istimewa `sysadmin` akan memberi penyerang akses ke database sistem dan akses sebagian ke mesin yang menjalankan instance SQL Server tersebut. Karena serangan ini memerlukan akses ke akun administrator pelanggan, kerentanan ini tidak mengekspos data pelanggan apa pun yang belum dapat diakses oleh penyerang. Selain itu, kerentanan ini tidak memberi penyerang akses ke instance Cloud SQL untuk SQL Server lain. Masalah ini bukan insiden keamanan dan tidak ada data yang disusupi.	Tinggi

Seorang peneliti pihak ketiga mengidentifikasi kerentanan Cloud SQL untuk SQL Server, dan instance yang memicu kerentanan ini secara otomatis terdeteksi oleh Google Cloud melalui notifikasi keamanan. Setelah deteksi terdeteksi, Google Cloud menghubungi peneliti dan peneliti melaporkan masalah melalui program VRP Google Cloud. Google Cloud menyelesaikan masalah ini dengan mem-patch kerentanan keamanan paling lambat 1 Maret 2023. Google Cloud tidak menemukan instance pelanggan yang disusupi.

Apa yang sebaiknya saya lakukan?

Pelanggan tidak perlu mewajibkan melakukan tindakan lebih lanjut.

Cloud SQL untuk SQL Server telah diupdate untuk memperbaiki kerentanan ini dan perbaikan telah diluncurkan ke semua instance pada Maret 2023. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan apa yang sedang ditangani?

Kerentanan ini memungkinkan akun administrator pelanggan membuat pemicu di database tempdb dan menggunakannya untuk mendapatkan hak istimewa sysadmin di instance. Hak istimewa sysadmin akan memberi penyerang akses ke database sistem dan akses sebagian ke mesin yang menjalankan instance SQL Server tersebut.

Karena serangan ini memerlukan akses ke akun administrator pelanggan, kerentanan ini tidak mengekspos data pelanggan apa pun yang belum dapat diakses oleh penyerang. Selain itu, kerentanan ini tidak memberi penyerang akses ke instance Cloud SQL untuk SQL Server lain.

Masalah ini bukan insiden keamanan dan tidak ada data yang disusupi.

Tinggi