Boletines de seguridad

Un investigador externo ha identificado una vulnerabilidad de Cloud SQL para SQL Server y Google Cloud ha detectado automáticamente la instancia en la que se ha activado esta vulnerabilidad mediante una alerta de seguridad. Tras la detección, Google Cloud se puso en contacto con el investigador, que informó del problema a través del Google Cloud programa de VRP. Google Cloud resolvió el problema corrigiendo la vulnerabilidad de seguridad antes del 1 de marzo del 2023. Google Cloud No se ha detectado ninguna instancia de cliente que se haya visto comprometida.

¿Qué debo hacer?

No es necesario que los clientes hagan nada más.

Cloud SQL para SQL Server se ha actualizado para corregir esta vulnerabilidad y la corrección se implementó en todas las instancias en marzo del 2023. No es necesario que hagas nada.

¿Qué vulnerabilidades se están tratando?

La vulnerabilidad permitía que las cuentas de administrador de los clientes crearan activadores en la base de datos tempdb y los usaran para obtener privilegios sysadmin en la instancia. Los privilegios de sysadmin darían al atacante acceso a las bases de datos del sistema y acceso parcial a la máquina que ejecuta esa instancia de SQL Server.

Como el ataque requiere acceso a una cuenta de administrador de cliente, esta vulnerabilidad no ha expuesto ningún dato de cliente al que el atacante no tuviera acceso. Además, esta vulnerabilidad no dio al atacante acceso a otras instancias de Cloud SQL para SQL Server.

Este problema no ha sido un incidente de seguridad y no se han visto comprometidos los datos.