Algumas ou todas as informações nesta página podem não se aplicar ao Cloud de Confiance da S3NS. Consulte Diferenças do Google Cloud para saber mais.

Esta página foi traduzida pela API Cloud Translation.

Boletins de segurança

Nesta página, você verá todos os boletins de segurança relacionados ao Cloud SQL.

Para receber os boletins de segurança mais recentes, siga um destes procedimentos:

Adicione o URL desta página ao seu leitor de feeds

Adicione o URL do feed diretamente ao seu leitor de feeds:

https://cloud.google.com/feeds/cloud-sql-security-bulletins.xml

GCP-2023-007

Publicado02-06-2023

Descrição

Descrição Gravidade Observações

Descrição	Gravidade	Observações
A third-party researcher identified a Cloud SQL for SQL Server vulnerability, and the instance they triggered this vulnerability on was automatically detected by Cloud de Confiance by S3NS through a security alert. Após a detecção, Cloud de Confiance by S3NS entrou em contato com o pesquisador, que informou o problema por meio do programaCloud de Confiance by S3NS VRP. Cloud de Confiance by S3NS resolveu o problema corrigindo a vulnerabilidade de segurança até 1o de março de 2023. Cloud de Confiance by S3NS não encontrou nenhuma instância de cliente comprometida. O que devo fazer? Nenhuma outra ação é necessária para nenhum cliente. O Cloud SQL para SQL Server foi atualizado para corrigir essa vulnerabilidade, e a correção foi implementada em todas as instâncias em março de 2023. Você não precisa fazer nada. Quais vulnerabilidades estão sendo resolvidas? A vulnerabilidade permitiu que contas de administrador de clientes criassem gatilhos no banco de dados `tempdb` e os usassem para receber privilégios `sysadmin` na instância. Os privilégios `sysadmin` concederiam ao invasor acesso aos bancos de dados do sistema e acesso parcial à máquina que executa essa instância do SQL Server. Como o ataque requer acesso a uma conta de administrador de cliente, essa vulnerabilidade não expôs nenhum dado de cliente ao qual o invasor ainda não tinha acesso. Além disso, essa vulnerabilidade não deu ao invasor acesso a outras instâncias do Cloud SQL para SQL Server. Este problema não foi um incidente de segurança e nenhum dado foi comprometido.	Alta

A third-party researcher identified a Cloud SQL for SQL Server vulnerability, and the instance they triggered this vulnerability on was automatically detected by Cloud de Confiance by S3NS through a security alert. Após a detecção, Cloud de Confiance by S3NS entrou em contato com o pesquisador, que informou o problema por meio do programaCloud de Confiance by S3NS VRP. Cloud de Confiance by S3NS resolveu o problema corrigindo a vulnerabilidade de segurança até 1o de março de 2023. Cloud de Confiance by S3NS não encontrou nenhuma instância de cliente comprometida.

O que devo fazer?

Nenhuma outra ação é necessária para nenhum cliente.

O Cloud SQL para SQL Server foi atualizado para corrigir essa vulnerabilidade, e a correção foi implementada em todas as instâncias em março de 2023. Você não precisa fazer nada.

Quais vulnerabilidades estão sendo resolvidas?

A vulnerabilidade permitiu que contas de administrador de clientes criassem gatilhos no banco de dados tempdb e os usassem para receber privilégios sysadmin na instância. Os privilégios sysadmin concederiam ao invasor acesso aos bancos de dados do sistema e acesso parcial à máquina que executa essa instância do SQL Server.

Como o ataque requer acesso a uma conta de administrador de cliente, essa vulnerabilidade não expôs nenhum dado de cliente ao qual o invasor ainda não tinha acesso. Além disso, essa vulnerabilidade não deu ao invasor acesso a outras instâncias do Cloud SQL para SQL Server.

Este problema não foi um incidente de segurança e nenhum dado foi comprometido.

Alta