الإجاباتمنشورأول أمسLast edited أول أمس17 المصادر

جوجل ترفض مكافأة باحث أمني بعد اكتشافه ثغرة 'خطيرة جداً' في خدمة Config Connector السحابية

اكتشف باحث أمني يُدعى جاستن أوريلي ثغرة أمنية خطيرة (CVSS 10.0) في خدمة Config Connector من Google Cloud، تسمح بتجاوز صلاحيات IAM والوصول إلى كامل موارد المؤسسة السحابية. بعد أن أشادت به جوجل وأعطت الثغرة أعلى أولوية وخطورة، تراجعت فجأة ورفضت دفع أي مكافأة، مدعية أن البرنامج 'يعمل كما هو مقصود'.

ابحث وتحقق من الحقائق مع Studio Global AI تصفّح المزيد من الصفحات الرائجة

10K0

Abstract illustration of a Kubernetes cluster with a lock being bypassed by an unauthorized user, representing the ConfigConfusion IAM bypass vulnerability in Google Cloud Config C — Searching with cited sources for What is the full story behind Google denying a bug bounty for a critical, unfixed GCP Config Connector vulnThe ConfigConfusion vulnerability allows a Kubernetes namespace user to bypass GCP IAM controls and escalate to full organization-level admin rights.
موجّه الذكاء الاصطناعي
Create a landscape editorial hero image for this Studio Global article: Searching with cited sources for What is the full story behind Google denying a bug bounty for a critical, unfixed GCP Config Connector vuln. Article summary: Here is the full story, drawn primarily from The Register's exclusive reporting and supporting sources.. Topic tags: general, government, documentation, general web, academic. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illust
openai.com

في واحدة من أغرب وأكثر قرارات السياسات الأمنية إثارة للحيرة هذا العام، رفضت جوجل دفع مكافأة لباحث أمني اكتشف ثغرة خطيرة وغير مصلحة حتى الآن في خدمتها السحابية Config Connector، وذلك بعد أن أشادت في البداية بعمله ووصفت الثغرة بأنها 'خطيرة جداً' . القصة، التي نشرتها لأول مرة The Register، تثير تساؤلات جدية حول التزام جوجل بثقة الباحثين وطريقة تعاملها مع الثغرات في البنية التحتية السحابية.

ثغرة 'ConfigConfusion': صيد ثمين أم لا شيء؟

اكتشف الباحث الأمني جاستن أوريلي ثغرة خطيرة في أداة Config Connector، وهي إضافة مفتوحة المصدر (Open Source) لمنصة Kubernetes تتيح للمؤسسات إدارة بيئة Google Cloud بأكملها من خلال Kubernetes . أطلق على الثغرة اسم ConfigConfusion.

التفاصيل التقنية: لا تقوم أداة Config Connector بإجراء أي فحص للصلاحيات عندما يحاول مستخدم في Kubernetes إدارة موارد GCP. هذا يسمح لأي حساب خدمة تابع للأداة بصلاحيات على مستوى المؤسسة بـ تجاوز نظام إدارة الهوية والوصول (IAM) الخاص بجوجل، والارتقاء إلى أعلى مستوى صلاحيات (roles/owner) على كامل موارد المؤسسة في Google Cloud . يصنف أوريلي الثغرة بأنها CVSS 10.0، وهو أعلى تصنيف للخطورة، لأن أي مهاجم لديه وصول أساسي إلى Kubernetes يمكنه السيطرة الكاملة على البيئة السحابية للمؤسسة وكل البيانات المخزنة فيها .

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

ابحث وتحقق من الحقائق مع Studio Global AI

يسأل الناس أيضا

ما هي الإجابة المختصرة على "جوجل ترفض مكافأة باحث أمني بعد اكتشافه ثغرة 'خطيرة جداً' في خدمة Config Connector السحابية"؟

اكتشف باحث أمني يُدعى جاستن أوريلي ثغرة أمنية خطيرة (CVSS 10.0) في خدمة Config Connector من Google Cloud، تسمح بتجاوز صلاحيات IAM والوصول إلى كامل موارد المؤسسة السحابية.

ما هي النقاط الأساسية التي يجب التحقق منها أولاً؟

المصادر

Comments

0 comments

Loading comments...