本頁面由 Cloud Translation API 翻譯而成。

安全性公告

本頁面說明與 Cloud SQL 相關的所有安全性公告。

如要取得最新的安全性公告，請採取下列任一做法：

將本頁面的網址加入動態饋給閱讀器。
直接在動態消息閱讀器中加入下列動態消息網址：
```
https://cloud.google.com/feeds/cloud-sql-security-bulletins.xml
```

GCP-2023-007

發布日期：2023-06-02

說明

說明嚴重性附註

說明	嚴重性	附註
第三方研究人員發現 Cloud SQL for SQL Server 的安全漏洞， Google Cloud 並透過安全警示自動偵測到觸發此安全漏洞的執行個體。偵測到問題後， Google Cloud 就與研究人員聯絡，而研究人員則透過 Google Cloud VRP 計畫回報問題。 Google Cloud 已在 2023 年 3 月 1 日前修補安全漏洞，解決這個問題。 Google Cloud 未發現任何遭到入侵的客戶例項。該怎麼辦？客戶無須採取進一步行動。我們已更新 SQL Server 適用的 Cloud SQL 以修正這個安全漏洞，並在 2023 年 3 月將修正程式推送至所有執行個體。您無須採取任何行動。解決了哪些安全漏洞？這個安全漏洞允許客戶管理員帳戶在 `tempdb` 資料庫中建立觸發條件，並利用這些觸發條件取得例項中的 `sysadmin` 權限。`sysadmin` 權限可讓攻擊者存取系統資料庫，並部分存取執行該 SQL Server 執行個體的機器。由於攻擊者必須存取客戶管理員帳戶，因此這個漏洞並未洩漏任何攻擊者尚未存取的客戶資料。此外，這個安全漏洞不會讓攻擊者取得其他 SQL Server 適用的 Cloud SQL 執行個體存取權。這個問題並非安全事件，也沒有任何資料遭到入侵。	高

第三方研究人員發現 Cloud SQL for SQL Server 的安全漏洞， Google Cloud 並透過安全警示自動偵測到觸發此安全漏洞的執行個體。偵測到問題後， Google Cloud 就與研究人員聯絡，而研究人員則透過 Google Cloud VRP 計畫回報問題。 Google Cloud 已在 2023 年 3 月 1 日前修補安全漏洞，解決這個問題。 Google Cloud 未發現任何遭到入侵的客戶例項。

該怎麼辦？

客戶無須採取進一步行動。

我們已更新 SQL Server 適用的 Cloud SQL 以修正這個安全漏洞，並在 2023 年 3 月將修正程式推送至所有執行個體。您無須採取任何行動。

解決了哪些安全漏洞？

這個安全漏洞允許客戶管理員帳戶在 tempdb 資料庫中建立觸發條件，並利用這些觸發條件取得例項中的 sysadmin 權限。sysadmin 權限可讓攻擊者存取系統資料庫，並部分存取執行該 SQL Server 執行個體的機器。

由於攻擊者必須存取客戶管理員帳戶，因此這個漏洞並未洩漏任何攻擊者尚未存取的客戶資料。此外，這個安全漏洞不會讓攻擊者取得其他 SQL Server 適用的 Cloud SQL 執行個體存取權。

這個問題並非安全事件，也沒有任何資料遭到入侵。

高

安全性公告 透過集合功能整理內容 你可以依據偏好儲存及分類內容。

GCP-2023-007

說明

該怎麼辦？

解決了哪些安全漏洞？

安全性公告