AntwortenVeröffentlichtvorgesternLast edited vorgestern16 Quellen

Google lobt „Guter Fang!“ – und verweigert dann die Prämie für eine kritische Sicherheitslücke, die bis heute ungepatcht ist

Sicherheitsforscher Justin O'Leary entdeckte einen schwerwiegenden Berechtigungsfehler im GCP Config Connector, der es jedem Kubernetes Namespace Benutzer ermöglicht, die IAM Kontrollen zu umgehen und die vollständige... O'Leary bewertete die Schwachstelle mit CVSS 10.0 – der maximal möglichen Schwere.

Suchen und Fakten prüfen mit Studio Global AI Mehr Trendseiten ansehen

37K0

Researcher Justin O'Leary found a CVSS 10.0 privilege escalation vulnerability in Google's Config Connector that could let any Kubernetes namespace user take full control of a GCP — Searching with cited sources for What is the full story behind Google denying a bug bounty for a critical, unfixed GCP Config Connector vulnGoogle initially accepted a critical IAM bypass bug in Config Connector before denying the bounty and leaving the flaw unfixed.
KI-Prompt
Create a landscape editorial hero image for this Studio Global article: Searching with cited sources for What is the full story behind Google denying a bug bounty for a critical, unfixed GCP Config Connector vuln. Article summary: Here is the full story, based primarily on The Register's exclusive report [8] and corroborated by other outlets [2][9].. Topic tags: general, general web, user generated, academic, documentation. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make i
openai.com

Hier ist die vollständige Geschichte, basierend auf dem exklusiven Bericht von The Register und ergänzt durch weitere Berichte .

Die Schwachstelle: Config Connector IAM-Autorisierungsumgehung

Der Sicherheitsforscher Justin O'Leary entdeckte einen kritischen Fehler in Googles Config Connector – einem Kubernetes-Operator, mit dem Unternehmen GCP-Ressourcen (wie Cloud-Speicher, Datenbanken, IAM-Richtlinien) über Kubernetes-Befehle verwalten können .

Technisches Detail: Der Fehler erlaubt es jedem Kubernetes-Namespace-Benutzer, die Identity and Access Management (IAM)-Kontrollen der Google Cloud Platform zu umgehen. Ein Entwickler mit grundlegendem Zugriff auf nur einen Kubernetes-Namespace könnte dies ausnutzen, um die vollständige administrative Kontrolle über die gesamte GCP-Umgebung einer Organisation zu erlangen – also effektiv das gesamte Cloud-Konto zu übernehmen . O'Leary bewertete diese Schwachstelle mit – der maximal möglichen Schwere .

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

Suchen und Fakten prüfen mit Studio Global AI

Die Leute fragen auch

Wie lautet die kurze Antwort auf „Google lobt „Guter Fang!“ – und verweigert dann die Prämie für eine kritische Sicherheitslücke, die bis heute ungepatcht ist“?

Was sind die wichtigsten Punkte, die zuerst validiert werden müssen?

Was soll ich als nächstes in der Praxis tun?

Wenige Tage später kehrte Google seine Entscheidung um, schloss den Bericht und erklärte das Verhalten für „working as intended“ – es handle sich nicht um eine gültige Schwachstelle.

Quellen

Comments

0 comments

Loading comments...