Questa pagina è stata tradotta dall'API Cloud Translation.

Bollettini sulla sicurezza

Questa pagina descrive tutti i bollettini sulla sicurezza relativi a Cloud SQL.

Per ricevere gli ultimi bollettini sulla sicurezza, svolgi una delle seguenti operazioni:

Aggiungi l'URL di questa pagina al tuo lettore di feed.
Aggiungi il seguente URL del feed direttamente al lettore di feed:
```
https://cloud.google.com/feeds/cloud-sql-security-bulletins.xml
```

GCP-2023-007

Pubblicato: 02/06/2023

Descrizione

Descrizione Gravità Note

Descrizione	Gravità	Note
Un ricercatore di terze parti ha identificato un'istanza Cloud SQL per SQL Server la vulnerabilità e sull'istanza su cui hanno attivato la vulnerabilità è stato rilevato automaticamente da Google Cloud mediante un avviso di sicurezza. Dopo il rilevamento, Google Cloud ha contattato il ricercatore, che ha segnalato il problema tramite il programma VRP di Google Cloud. Google Cloud ha risolto il problema applicando una patch alla vulnerabilità di sicurezza entro il 1° marzo 2023. Google Cloud non ha trovato istanze dei clienti compromesse. Che cosa devo fare? Non è richiesta alcuna azione da parte dei clienti. Cloud SQL per SQL Server è stato aggiornato per correggere questa vulnerabilità e la correzione è stata implementata in tutte le istanze a marzo 2023. Non è richiesta alcuna azione da parte tua. Quali vulnerabilità vengono affrontate? La vulnerabilità ha consentito agli account amministratore del cliente di creare nel database `tempdb` e usali per acquisire `sysadmin` privilegi nell'istanza. I privilegi `sysadmin` darebbero all'attaccante l'accesso ai database di sistema e l'accesso parziale alla macchina che esegue l'istanza di SQL Server. Perché l'attacco richiede l'accesso all'amministratore del cliente l'account di servizio, questa vulnerabilità non ha esposto alcun dato dei clienti a cui l'autore dell'attacco non aveva ancora accesso. Inoltre, questa vulnerabilità non ha concesso all'utente malintenzionato l'accesso ad altri servizi Cloud SQL per SQL Server di Compute Engine. Questo problema non è stato un incidente di sicurezza e non è stato compromesso nessun dato.	Alta

Un ricercatore di terze parti ha identificato un'istanza Cloud SQL per SQL Server la vulnerabilità e sull'istanza su cui hanno attivato la vulnerabilità è stato rilevato automaticamente da Google Cloud mediante un avviso di sicurezza. Dopo il rilevamento, Google Cloud ha contattato il ricercatore, che ha segnalato il problema tramite il programma VRP di Google Cloud. Google Cloud ha risolto il problema applicando una patch alla vulnerabilità di sicurezza entro il 1° marzo 2023. Google Cloud non ha trovato istanze dei clienti compromesse.

Che cosa devo fare?

Non è richiesta alcuna azione da parte dei clienti.

Cloud SQL per SQL Server è stato aggiornato per correggere questa vulnerabilità e la correzione è stata implementata in tutte le istanze a marzo 2023. Non è richiesta alcuna azione da parte tua.

Quali vulnerabilità vengono affrontate?

La vulnerabilità ha consentito agli account amministratore del cliente di creare nel database tempdb e usali per acquisire sysadmin privilegi nell'istanza. I privilegi sysadmin darebbero all'attaccante l'accesso ai database di sistema e l'accesso parziale alla macchina che esegue l'istanza di SQL Server.

Perché l'attacco richiede l'accesso all'amministratore del cliente l'account di servizio, questa vulnerabilità non ha esposto alcun dato dei clienti a cui l'autore dell'attacco non aveva ancora accesso. Inoltre, questa vulnerabilità non ha concesso all'utente malintenzionato l'accesso ad altri servizi Cloud SQL per SQL Server di Compute Engine.

Questo problema non è stato un incidente di sicurezza e non è stato compromesso nessun dato.

Alta