יכול להיות שחלק מהמידע בדף הזה או כולו לא רלוונטי ל-Cloud de Confiance by S3NS. פרטים נוספים מופיעים במאמר מה ההבדל מ-Google Cloud.

עדכוני אבטחה דחופים

בדף הזה מתוארים כל עדכוני האבטחה שקשורים ל-Cloud SQL.

כדי לקבל את העדכונים האחרונים בנושא אבטחה, אפשר לבצע אחת מהפעולות הבאות:

מוסיפים את כתובת ה-URL של הדף הזה לקורא הפידים.
מוסיפים את כתובת ה-URL הבאה של הפיד ישירות לקורא הפידים:
```
https://cloud.google.com/feeds/cloud-sql-security-bulletins.xml
```

GCP-2023-007

תאריך פרסום: 2 ביוני 2023

תיאור

תיאור רמת סיכון הערות

תיאור	רמת סיכון	הערות
חוקר מצד שלישי זיהה נקודת חולשה ב-Cloud SQL ל-SQL Server, והמכונה שבה הוא הפעיל את נקודת החולשה הזו זוהתה אוטומטית על ידי Cloud de Confiance by S3NS באמצעות התראת אבטחה. אחרי הזיהוי, Cloud de Confiance by S3NS יצרנו קשר עם החוקר והוא דיווח על הבעיה דרך Cloud de Confiance by S3NS תוכנית VRP. Cloud de Confiance by S3NS הבעיה נפתרה ב-Google Cloud באמצעות תיקון של נקודת החולשה באבטחה עד 1 במרץ 2023. Cloud de Confiance by S3NS לא נמצאו מכונות של לקוחות שנפרצו. מה לעשות? לא נדרשת פעולה נוספת מצד הלקוחות. בוצע עדכון ב-Cloud SQL ל-SQL Server כדי לתקן את נקודת החולשה הזו, והתיקון הופץ לכל המכונות במרץ 2023. לא נדרשת כל פעולה. אילו נקודות חולשה טופלו? נקודת החולשה אפשרה לחשבונות אדמינים של לקוחות ליצור טריגרים במסד הנתונים `tempdb` ולהשתמש בהם כדי לקבל הרשאות `sysadmin` במכונה. ההרשאות `sysadmin` יכולות להעניק לתוקף גישה למסדי נתונים של המערכת וגישה חלקית למכונה שמפעילה את המכונה של שרת ה-SQL. מכיוון שהמתקפה דורשת גישה לחשבון אדמין של לקוח, הפגיעות הזו לא חשפה נתוני לקוחות שהתוקף לא הייתה לו גישה אליהם כבר קודם. בנוסף, הפגיעות הזו לא העניקה לתוקף גישה למכונות אחרות של Cloud SQL ל-SQL Server. הבעיה הזו לא הייתה אירוע אבטחה ולא נפרצו נתונים.	גבוהה

חוקר מצד שלישי זיהה נקודת חולשה ב-Cloud SQL ל-SQL Server, והמכונה שבה הוא הפעיל את נקודת החולשה הזו זוהתה אוטומטית על ידי Cloud de Confiance by S3NS באמצעות התראת אבטחה. אחרי הזיהוי, Cloud de Confiance by S3NS יצרנו קשר עם החוקר והוא דיווח על הבעיה דרך Cloud de Confiance by S3NS תוכנית VRP. Cloud de Confiance by S3NS הבעיה נפתרה ב-Google Cloud באמצעות תיקון של נקודת החולשה באבטחה עד 1 במרץ 2023. Cloud de Confiance by S3NS לא נמצאו מכונות של לקוחות שנפרצו.

מה לעשות?

לא נדרשת פעולה נוספת מצד הלקוחות.

בוצע עדכון ב-Cloud SQL ל-SQL Server כדי לתקן את נקודת החולשה הזו, והתיקון הופץ לכל המכונות במרץ 2023. לא נדרשת כל פעולה.

אילו נקודות חולשה טופלו?

נקודת החולשה אפשרה לחשבונות אדמינים של לקוחות ליצור טריגרים במסד הנתונים tempdb ולהשתמש בהם כדי לקבל הרשאות sysadmin במכונה. ההרשאות sysadmin יכולות להעניק לתוקף גישה למסדי נתונים של המערכת וגישה חלקית למכונה שמפעילה את המכונה של שרת ה-SQL.

מכיוון שהמתקפה דורשת גישה לחשבון אדמין של לקוח, הפגיעות הזו לא חשפה נתוני לקוחות שהתוקף לא הייתה לו גישה אליהם כבר קודם. בנוסף, הפגיעות הזו לא העניקה לתוקף גישה למכונות אחרות של Cloud SQL ל-SQL Server.

הבעיה הזו לא הייתה אירוע אבטחה ולא נפרצו נתונים.

גבוהה