उत्तरप्रकाशित17 स्रोत
गूगल का उल्टा-फेरा: पहले 'शाबाश' फिर 'यह कोई बग नहीं', CVSS 10.0 के गंभीर क्लाउड दोष पर सिक्योरिटी बाउंटी से किया मना
सिक्योरिटी रिसर्चर जस्टिन ओ'लेरी ने Google Cloud Config Connector में एक गंभीर IAM ऑथराइज़ेशन बाईपास की खोज की, जिसे ConfigConfusion नाम दिया गया तथा CVSS 10.0 रेटिंग दी गई। [4] गूगल ने पहले इस बग को 'Nice Catch' बताते हुए P1/S1 रैंक दी, लेकिन 11 दिन बाद इसे 'Working as Intended' कहकर बाउंटी देने से मना कर दिया। [4]...
10K0
AI संकेत
openai.comCreate a landscape editorial hero image for this Studio Global article: Searching with cited sources for What is the full story behind Google denying a bug bounty for a critical, unfixed GCP Config Connector vuln. Article summary: Here is the full story, drawn primarily from The Register's exclusive reporting and supporting sources.. Topic tags: general, government, documentation, general web, academic. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illust
यह वर्ष की सबसे हैरान करने वाली सुरक्षा नीति का उलटफेर है। गूगल ने अपने क्लाउड कॉन्फिग कनेक्टर में पाए गए एक गंभीर और अब तक अनफिक्स्ड बग (ConfigConfusion) के लिए सिक्योरिटी रिसर्चर को बग बाउंटी देने से इनकार कर दिया है - जबकि पहले कंपनी ने खुद इस फ्लॉ को सबसे गंभीर श्रेणी में रखा था। यह घटना सिक्योरिटी रिसर्चर जस्टिन ओ'लेरी द्वारा रिपोर्ट की गई है और इसने गूगल की रिसर्चर ट्रस्ट के प्रति प्रतिबद्धता और क्लाउड इंफ्रास्ट्रक्चर बग को संभालने के तरीके पर गंभीर सवाल खड़े कर दिए हैं। The Register की रिपोर्ट पर आधारित इस कहानी में कई विरोधाभास हैं।
ConfigConfusion: क्या है यह कमज़ोरी?
जस्टिन ओ'लेरी ने Config Connector (एक ओपन-सोर्स Kubernetes ऐड-ऑन) में एक गंभीर खामी खोजी। यह टूल कंपनियों को अपना पूरा Google Cloud एनवायरनमेंट Kubernetes से मैनेज करने देता है। ओ'लेरी ने इस बग का नाम ConfigConfusion रखा।
तकनीकी पहलू: Config Connector में ऑथराइज़ेशन चेक नहीं होता। इसका मतलब है कि कोई भी Kubernetes नेमस्पेस यूज़र GCP IAM कंट्रोल्स को बायपास करके roles/owner (सर्वोच्च नियंत्रण) तक पहुंच सकता है। इससे कंपनी के पूरे Google Cloud डेटा पर पूरी तरह कब्ज़ा संभव है। ओ'लेरी इसे CVSS 10.0 (अधिकतम खतरा) मानते हैं क्योंकि बेसिक एक्सेस वाला कोई भी हमलावर पूरे संगठन के क्लाउड एनवायरनमेंट पर कब्ज़ा कर सकता है।
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
लोग पूछते भी हैं
"गूगल का उल्टा-फेरा: पहले 'शाबाश' फिर 'यह कोई बग नहीं', CVSS 10.0 के गंभीर क्लाउड दोष पर सिक्योरिटी बाउंटी से किया मना" का संक्षिप्त उत्तर क्या है?
सिक्योरिटी रिसर्चर जस्टिन ओ'लेरी ने Google Cloud Config Connector में एक गंभीर IAM ऑथराइज़ेशन बाईपास की खोज की, जिसे ConfigConfusion नाम दिया गया तथा CVSS 10.0 रेटिंग दी गई। [4]
सबसे पहले सत्यापित करने योग्य मुख्य बिंदु क्या हैं?
सिक्योरिटी रिसर्चर जस्टिन ओ'लेरी ने Google Cloud Config Connector में एक गंभीर IAM ऑथराइज़ेशन बाईपास की खोज की, जिसे ConfigConfusion नाम दिया गया तथा CVSS 10.0 रेटिंग दी गई। [4] गूगल ने पहले इस बग को 'Nice Catch' बताते हुए P1/S1 रैंक दी, लेकिन 11 दिन बाद इसे 'Working as Intended' कहकर बाउंटी देने से मना कर दिया। [4]
मुझे अभ्यास में आगे क्या करना चाहिए?
तीन महीने से अधिक समय बीतने के बाद भी यह क्लाउड सिक्योरिटी फ्लॉ अनसॉल्व्ड है और गूगल का इंटरनल ट्रैकर अब भी इसे P1/S1 के 'इन प्रोग्रेस' में दिखाता है। [4][20]
सूत्र
- theregister.comGoogle told researcher 'Nice catch!' Then denied bug bounty for flaw ...
- pcper.comGreat, Now Google Is Getting Miserly On Bug Bounties - PC Perspective
- letsdatascience.comAI Powers Rapid Exploit Discovery, Outpacing Patch Response
- securityweek.comGoogle Adjusts Bug Bounties: Chrome Payouts Drop as ...
- androidauthority.comGoogle will pay you $1.5M if you can hack Pixel's Titan M2 chip
Loading comments...
Comments
0 comments