עדכוני אבטחה דחופים

בדף הזה מתוארים כל עדכוני האבטחה שקשורים ל-Cloud SQL.

כדי לקבל את העדכונים האחרונים בנושא אבטחה, אפשר לבצע אחת מהפעולות הבאות:

  • מוסיפים את כתובת ה-URL של הדף הזה לקורא הפידים.

  • מוסיפים את כתובת ה-URL הבאה של הפיד ישירות לקורא הפידים:

    https://cloud.google.com/feeds/cloud-sql-security-bulletins.xml

GCP-2023-007

תאריך פרסום: 2 ביוני 2023

תיאור

תיאור רמת סיכון הערות

חוקר מצד שלישי זיהה נקודת חולשה ב-Cloud SQL ל-SQL Server, והמכונה שבה הוא הפעיל את נקודת החולשה הזו זוהתה אוטומטית על ידי Google Cloud באמצעות התראת אבטחה. אחרי הזיהוי, Google Cloud יצרנו קשר עם החוקר והוא דיווח על הבעיה דרך Google Cloud תוכנית VRP. Google Cloud הבעיה נפתרה ב-Google Cloud באמצעות תיקון של נקודת החולשה באבטחה עד 1 במרץ 2023. Google Cloud לא נמצאו מכונות של לקוחות שנפרצו.

מה לעשות?

לא נדרשת פעולה נוספת מצד הלקוחות.

בוצע עדכון ב-Cloud SQL ל-SQL Server כדי לתקן את נקודת החולשה הזו, והתיקון הופץ לכל המכונות במרץ 2023. לא נדרשת כל פעולה.

אילו נקודות חולשה טופלו?

נקודת החולשה אפשרה לחשבונות אדמינים של לקוחות ליצור טריגרים במסד הנתונים tempdb ולהשתמש בהם כדי לקבל הרשאות sysadmin במכונה. ההרשאות sysadmin יכולות להעניק לתוקף גישה למסדי נתונים של המערכת וגישה חלקית למכונה שמפעילה את המכונה של שרת ה-SQL.

מכיוון שהמתקפה דורשת גישה לחשבון אדמין של לקוח, הפגיעות הזו לא חשפה נתוני לקוחות שהתוקף לא הייתה לו גישה אליהם כבר קודם. בנוסף, הפגיעות הזו לא העניקה לתוקף גישה למכונות אחרות של Cloud SQL ל-SQL Server.

הבעיה הזו לא הייתה אירוע אבטחה ולא נפרצו נתונים.

 גבוהה