उत्तरप्रकाशित17 स्रोत
Google के Config Connector में CVSS 10.0 की खामी, रिसर्चर को बाउंटी से किया गया वंचित
सुरक्षा शोधकर्ता जस्टिन ओ'लियरी ने Google Config Connector में एक गंभीर IAM ऑथराइजेशन बायपास खामी खोजी, जिसे उन्होंने CVSS 10.0 रेटिंग दी [8][9]। यह खामी किसी भी Kubernetes नेमस्पेस उपयोगकर्ता को पूरे GCP एन्वायरनमेंट पर पूर्ण प्रशासनिक नियंत्रण प्राप्त करने की अनुमति देती है [8]। Google की बग बाउंटी टीम ने शुरू में...
37K0
AI संकेत
openai.comCreate a landscape editorial hero image for this Studio Global article: Searching with cited sources for What is the full story behind Google denying a bug bounty for a critical, unfixed GCP Config Connector vuln. Article summary: Here is the full story, based primarily on The Register's exclusive report [8] and corroborated by other outlets [2][9].. Topic tags: general, general web, user generated, academic, documentation. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make i
यह है पूरी कहानी, जो मुख्य रूप से द रजिस्टर की एक्सक्लूसिव रिपोर्ट और अन्य आउटलेट्स
पर आधारित है।
कमजोरी: Config Connector IAM ऑथराइजेशन बायपास
सुरक्षा शोधकर्ता जस्टिन ओ'लियरी ने Google के Config Connector में एक गंभीर विशेषाधिकार-वृद्धि (privilege-escalation) दोष की खोज की। Config Connector एक Kubernetes ऑपरेटर (एक टूल) है जो संगठनों को Kubernetes कमांड के माध्यम से GCP संसाधनों (जैसे क्लाउड स्टोरेज, डेटाबेस, IAM नीतियां) को प्रबंधित करने की अनुमति देता है ।
तकनीकी विवरण: यह दोष किसी भी Kubernetes नेमस्पेस उपयोगकर्ता को Google क्लाउड प्लेटफ़ॉर्म के Identity and Access Management (IAM) नियंत्रणों को बायपास करने की अनुमति देता है। एक डेवलपर जिसके पास सिर्फ एक Kubernetes नेमस्पेस तक बुनियादी पहुंच है, वह इसका फायदा उठाकर पूरे संगठन के GCP एन्वायरनमेंट पर पूर्ण प्रशासनिक नियंत्रण प्राप्त कर सकता है - प्रभावी रूप से पूरे क्लाउड अकाउंट पर कब्जा कर सकता है । ओ'लियरी ने इस भेद्यता को रेटिंग दी, जो अधिकतम संभव गंभीरता है ।
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
लोग पूछते भी हैं
"Google के Config Connector में CVSS 10.0 की खामी, रिसर्चर को बाउंटी से किया गया वंचित" का संक्षिप्त उत्तर क्या है?
सुरक्षा शोधकर्ता जस्टिन ओ'लियरी ने Google Config Connector में एक गंभीर IAM ऑथराइजेशन बायपास खामी खोजी, जिसे उन्होंने CVSS 10.0 रेटिंग दी [8][9]।
सबसे पहले सत्यापित करने योग्य मुख्य बिंदु क्या हैं?
सुरक्षा शोधकर्ता जस्टिन ओ'लियरी ने Google Config Connector में एक गंभीर IAM ऑथराइजेशन बायपास खामी खोजी, जिसे उन्होंने CVSS 10.0 रेटिंग दी [8][9]। यह खामी किसी भी Kubernetes नेमस्पेस उपयोगकर्ता को पूरे GCP एन्वायरनमेंट पर पूर्ण प्रशासनिक नियंत्रण प्राप्त करने की अनुमति देती है [8]।
मुझे अभ्यास में आगे क्या करना चाहिए?
Google की बग बाउंटी टीम ने शुरू में रिपोर्ट को 'उच्च प्राथमिकता' के रूप में स्वीकार किया और शोधकर्ता की तारीफ की, लेकिन बाद में इसे 'कार्यात्मक' बताकर इनकार कर दिया [2][8]।
सूत्र
- cloud.google.com使用 IAM 保护对资源的访问 | Config Connector Documentation | Google Cloud
- docs.cloud.google.comSecuring access to resources with IAM | Config Connector | Google Cloud Documentation
- cloud.google.com使用 IAM 控管存取權 | Config Connector Documentation | Google Cloud
- cloud.google.com使用IAM 进行访问权限控制| Config Connector
- cloud.google.com使用 IAM 保護資源存取權 | Config Connector Documentation | Google Cloud
Loading comments...
Comments
0 comments