本页面上的部分或全部信息可能不适用于 Cloud de Confiance by S3NS。如需了解详情，请参阅与 Google Cloud 的区别。

安全公告

本页介绍了与 Cloud SQL 相关的所有安全公告。

如需获取最新的安全公告，请执行以下操作之一：

将此页面的网址添加到您的 Feed 阅读器。

直接将以下 Feed 网址添加到您的 Feed 阅读器：

https://cloud.google.com/feeds/cloud-sql-security-bulletins.xml

GCP-2023-007

发布日期：2023-06-02

说明

说明严重级别备注

说明	严重级别	备注
第三方研究人员发现了 Cloud SQL for SQL Server 漏洞， Cloud de Confiance by S3NS 通过安全提醒自动检测到其触发此漏洞的实例。发现后， Cloud de Confiance by S3NS 联系了研究人员，研究人员通过 Cloud de Confiance by S3NS VRP 计划报告了此问题。 Cloud de Confiance by S3NS 在 2023 年 3 月 1 日之前修复了安全漏洞，从而解决了此问题。 Cloud de Confiance by S3NS 未发现任何已破解的客户实例。该怎么做？任何客户都无需采取进一步措施。 Cloud SQL for SQL Server 已更新以修复此漏洞，修复程序已于 2023 年 3 月面向所有实例推出。您无需采取任何行动。解决了哪些漏洞？此漏洞允许客户管理员账号在 `tempdb` 数据库中创建触发器，并使用这些账号在实例中获取 `sysadmin` 特权。`sysadmin` 特权将允许攻击者访问系统数据库，并允许对运行该 SQL Server 实例的机器进行部分访问。由于攻击需要访问客户管理员账号，因此该漏洞不会泄露攻击者尚未访问的任何客户数据。此外，该漏洞未向攻击者授予对其他 Cloud SQL for SQL Server 实例的任何访问权限。此问题不是安全事件，没有任何数据遭到破解。	高

第三方研究人员发现了 Cloud SQL for SQL Server 漏洞， Cloud de Confiance by S3NS 通过安全提醒自动检测到其触发此漏洞的实例。发现后， Cloud de Confiance by S3NS 联系了研究人员，研究人员通过 Cloud de Confiance by S3NS VRP 计划报告了此问题。 Cloud de Confiance by S3NS 在 2023 年 3 月 1 日之前修复了安全漏洞，从而解决了此问题。 Cloud de Confiance by S3NS 未发现任何已破解的客户实例。

该怎么做？

任何客户都无需采取进一步措施。

Cloud SQL for SQL Server 已更新以修复此漏洞，修复程序已于 2023 年 3 月面向所有实例推出。您无需采取任何行动。

解决了哪些漏洞？

此漏洞允许客户管理员账号在 tempdb 数据库中创建触发器，并使用这些账号在实例中获取 sysadmin 特权。sysadmin 特权将允许攻击者访问系统数据库，并允许对运行该 SQL Server 实例的机器进行部分访问。

由于攻击需要访问客户管理员账号，因此该漏洞不会泄露攻击者尚未访问的任何客户数据。此外，该漏洞未向攻击者授予对其他 Cloud SQL for SQL Server 实例的任何访问权限。

此问题不是安全事件，没有任何数据遭到破解。

高