URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 137986
[ Назад ]
Исходное сообщение
"Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к узлам кластера"
Отправлено opennews , 03-Окт-25 08:15 
В платформе OpenShift AI Service, позволяющей организовать работу кластера для выполнения и обучения AI-моделей, выявлена уязвимость (CVE-2025-10725), позволяющая непривилегированному  пользователю получить права администратора кластера. После успешной атаки злоумышленник получает возможность управления кластером, полный доступ ко всем сервисам, данным и запускаемым в кластере приложениям, а также root-доступ к узлам кластера...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=63991

Содержание
Сообщения в этом обсуждении
"Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к..."
Отправлено Жироватт , 03-Окт-25 08:15 
Кто накосячил, девляпс при пятничном деплое или набранный по квоте Н1В индус-админ?
"Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к..."
Отправлено Аноним , 03-Окт-25 08:44 
Проблему решат Rust и AI.
"Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к..."
Отправлено Аноним , 03-Окт-25 23:58 
> Проблему решат Rust и AI.

В смысле, превратят софт в люто багованый треш не подлежащий майнтененсу - и проблема отпадет сама собой вместе с кончиной софта? :)

"Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к..."
Отправлено laindono , 04-Окт-25 07:47 
Люди, пытающиеся "вайбкодить" не умеют даже читать. Буквально. Смотрят код, но не видят ничего. Они уж точно не умеют решать проблемы, только создавать.

Rust помогает предотвращать ошибки, связанные с доступом памяти. От логических ошибок ни один язык не может помочь.

"Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к..."
Отправлено Аноним , 03-Окт-25 08:56 
Косяков нет, есть результат от: systemd, dbus, polkit...
"Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к..."
Отправлено Аноним , 03-Окт-25 10:58 
Идеальная модель разбилась о рифы реальности. ))
"Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к..."
Отправлено Аноним , 03-Окт-25 12:32 
> есть результат от: systemd, dbus, polkit.

да, все прекрасно и безопасно работает, очко локалхост-иксперда горит - как и должно

"Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к..."
Отправлено Аноним , 03-Окт-25 13:17 
Культура агента - или под агента - так и прёт. Светишься. Вброс не защитан.
"Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к..."
Отправлено OpenEcho , 03-Окт-25 15:11 
> девляпс при пятничном деплое или набранный по квоте Н1В индус-админ

А разве это не одни и теже H1B-шники?

"Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к..."
Отправлено Голдер и Рита , 03-Окт-25 08:18 
Нужно уволить всех сотрудников безопасности и нанять новых! Это позор для такой крупной корпорации, занимающейся разработкой ПО.
"Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к..."
Отправлено Голдер и Рита , 03-Окт-25 08:26 
Пусть IBM за большие деньги выкупит специалистов по безопасности из Google!

"Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к..."
Отправлено Аноним , 03-Окт-25 11:01 
"Разяв" оставить. Новым доверять нельзя.
"Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к..."
Отправлено Аноним , 03-Окт-25 15:03 
Уволить нужно всех сотрудников безопасности - это никчёмные, ненужные паразиты. Безопасностью должны заниматься инженеры, делающие продукт / инфру, а не какие-то специальные "безопасники".
"Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к..."
Отправлено OpenEcho , 03-Окт-25 15:13 
Это было смешно :))) спасибо
"Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к..."
Отправлено Аноним , 06-Окт-25 00:37 
"Беда, коль пироги начнет печи сапожник, а сапоги тачать пирожник"
Инженеры, делающие продукт соотносятся с инфо безопасниками примерно как стоматологи к гинекологам: и те и другие врачи, но не более того.
"Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к..."
Отправлено Аноним , 03-Окт-25 08:53 
Задумался на минуточку молчания о том что я предполагал тут увидеть первым написанное сообщение такого текста.
<<Classic>> что означает классика что пациент стреляет себе в ногу и говорит: Там и была уязвимость , так задумано , концерт закончен расходимся
"Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к..."
Отправлено Жироватт , 03-Окт-25 09:02 
Ты забыл про классическое ОНО САМО.
"Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к..."
Отправлено Аноним , 03-Окт-25 09:12 
> OpenShit AI

поправил

"Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к..."
Отправлено Аноним , 03-Окт-25 10:52 
Эпично. Слабая надежда на путаницу, вызванную недопониманием разницы роли для выполнения "скриптов системы" (batch) и роли для выполнения "скриптов пользователя" (user).
"Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к..."
Отправлено Аноним , 03-Окт-25 12:40 
А в чём проблема? Всё по GPL, весь код должен быть раскрыт. Оно же "не как пиво", торговать пивасиком РХЕЛу никто не позволит.
"Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к..."
Отправлено Аноним , 03-Окт-25 12:53 
Автотесты писать не модно что ли? Тем более с помощью ии.
"Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к..."
Отправлено Аноним , 03-Окт-25 14:38 
Надо было на безопасном языке писать, а не на дырявых.
"Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к..."
Отправлено Кошкажена , 03-Окт-25 14:55 
Телефонный звонок:

- IT-отдел, слушаю.
- Здравствуйте, вам нужно срочно все переписать на rust, потому что memory safety!
- Ну так перепишите.
- Кто?! Я?!

"Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к..."
Отправлено OpenEcho , 03-Окт-25 15:26 
> Телефонный звонок:

Этот шедевр надо приклеплять первым постом ко всем темам :)

"Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к..."
Отправлено OpenEcho , 03-Окт-25 15:29 
> Надо было на безопасном языке писать, а не на дырявых.

и упростить установку, как это сделано в проектах на безопастном языке:

    curl http://safe.programs/install.sh | sh

"Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к..."
Отправлено u235 , 03-Окт-25 16:12 
sudo
"Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к..."
Отправлено OpenEcho , 03-Окт-25 19:03 
> sudo

Угу, тоже не редкость...

"Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к..."
Отправлено 0xdeadbee , 04-Окт-25 12:10 
делов то. чтобы развивать навыки аналитика безопастности, скачайте вручную install.sh и посмотрите что там внутре. также полезно самому выполнить install.sh пошагово и вручную.
"Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к..."
Отправлено Кошкажена , 04-Окт-25 13:31 
>> Надо было на безопасном языке писать, а не на дырявых.
> и упростить установку, как это сделано в проектах на безопастном языке:
>     curl http://safe.programs/install.sh | sh

Хех. Думаю, если сделать сайт для "нового" языка, "духовного наследника" ржавчины, только лучше и главное БЕЗОПАСНЕЕ, и разместить там в install.sh завуалированный снос хомяка, а потом запостить ссылку на новостные сайты, то ждет "успех")

"Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к..."
Отправлено RM , 03-Окт-25 19:54 
"Я просто оставлю это здесь..."
https://cli.iflow.cn/
"YOLO mode" погуглите кто не знает что сокращение значит.
"А истшо ани такое" то бишь qwen cli, пропагандируют запускать в проде с полным доступом к kubectl, типа "оно вам все пофиксит, само". Прямо пресловутая кнопка счастья.
DevOps 2.0 $%^&*
"Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к..."
Отправлено 0xdeadbee , 04-Окт-25 05:20 
> любому пользователю сервиса создать работу (OpenShift Job)
> в любом пространстве имён.

crond, at и batch (ньюфаги не знают, олдфаги не помнят) такого не позволял.
что с тех времен изменилось ? как откатить изменения взад ?

ps: я видел систему джобов в php-вебне, характерный пример битрикс. там может быть все что угодно.