详细内容或原文请订阅后点击阅览
先是胡萝卜,然后是大棒:为什么谷歌改变了为关键漏洞付费的错误猎人的决定
云端发现漏洞,奖励规则突然出现漏洞。
来源:安全实验室新闻频道先是胡萝卜,然后是大棒:为什么谷歌改变了为关键漏洞付费的错误猎人的决定
云端发现漏洞,奖励规则突然出现漏洞。
在云服务中,越来越多的争议不仅涉及漏洞,还涉及发现的问题是否被视为漏洞。这正是 Bughunter Justin O’Leary 发现自己所处的情况,当时他报告了 Google Cloud 的一个严重缺陷,并收到了来自 Google 的两个互斥的回复。
据 O'Leary 称,该问题影响开源 Config Connector 组件,该组件允许您通过 Kubernetes 管理 Google Cloud 资源。专家发现了一种名为 ConfigConfusion 的机制。根据他的描述,仅能访问一个 Kubernetes 命名空间的用户可以将权限提升至整个云组织的所有者级别,并获得对项目、机密、计费和其他资源的控制权。
收到报告后,Google 员工最初认为调查结果很严重。该票证被分配了最高优先级和 P1/S1 的关键级别,并指定产品团队来调查该问题。研究人员还获悉,奖励问题将被视为 Bug 赏金计划的一部分。
然而,几天后该公司的立场发生了变化。谷歌表示,该软件按预期运行,不包含任何漏洞。该公司解释说,要进行攻击,攻击者首先需要访问组织的基础设施,并使用具有扩展权限的 Config Connector 服务帐户。谷歌表示,这种级别的权限违反了最低必要权限原则和公司自己的建议。
O'Leary 指出他以前也遇到过类似的情况。今年早些时候,微软拒绝了他有关 Azure Backup for AKS 权限升级的报告,然后修复了该问题,但没有发布单独的安全通知。