Google kiitis turvauurija leidu, kuid keeldus pearahast ja viga pole siiani parandatud

Turvauurija Justin O’Leary teatas, et Google võttis tema Config Connectori õiguste eskaleerimise raporti algselt vastu kõrge prioriteediga veana, kuid keeldus hiljem pearaha maksmast, kuulutades käitumise olevat ootuspärane. Google’i esindaja kiitis raportit sõnadega “Nice catch!”, enne kui ettevõte otsuse ümber pööras, väites, et turvanõrkust pole olemas ning seetõttu pole vaja ka parandust ega tasu.

ConfigConfusioniks ristitud nõrkus võimaldab Kubernetese nimeruumi kasutajal ära kasutada liigsete õigustega teenusekontot ja saada vaid mõne YAML-i reaga Google Cloud Platformi (GCP) organisatsiooni omanikuks, jättes vähe jälgi auditilogidesse. O’Leary sõnul ei tee Config Connector autoriseerimise kontrolli, mis lubab mööda minna IAM-i õiguste haldusest.

27. märtsil määras Google veale P1 prioriteedi ja S1 raskusastme. 11 päeva hiljem teatas Cloud Vulnerability Reward Programi paneel, et probleemi turvamõju ei vasta tasu kriteeriumitele ning tarkvara “töötab nii, nagu ette nähtud”. Ligi kolm kuud hiljem on juhtum endiselt P1/S1 staatuses, kuid Google pole määranud CVE numbrit ega väljastanud parandust. O’Leary sõnul on tegu korduva mustriga.

Loe täispikka artiklit: Slashdot

Lisa kommentaar