Az OpenShift AI-t bárki feltörheti: komoly hiba veszélyeztet
A Red Hat OpenShift AI szolgáltatásában súlyos, 9,9-es veszélyességű sebezhetőséget fedeztek fel, amely lehetőséget ad távoli támadóknak arra, hogy minimális jogosultsággal is átvegyék az egész platform irányítását. Ez azt jelenti, hogy akár egy egyszerű felhasználói fiókkal (például ha egy adatelemző egy egyszerű Jupyter notebookot használ) bárki adminisztrátori jogosultságot szerezhet, hozzáférhet érzékeny adatokhoz, megzavarhatja a szolgáltatásokat, sőt, magát az infrastruktúrát is teljesen az irányítása alá vonhatja. Mindez könnyedén a platform, illetve minden ott futó alkalmazás totális kiszolgáltatottságához vezethet.
Kritikus hiba: CVE-2025-10725
A hibát a CVE-2025-10725 azonosítóval látták el. A Red Hat „fontosnak” értékelte, ennek ellenére szinte sehol nem kapott vészjelzést – részben azért, mert ugyan szükség van hitelesítésre, de ez is szinte formális. A probléma a ClusterRole „kueue-batch-user-role” szerepkör hibás hozzárendeléséből ered, amely automatikusan minden hitelesített felhasználói csoportnak széles jogköröket ad, többek között OpenShift-feladatok (OpenShift Jobs) indítását bármely névtérben (namespace). Egy rosszindulatú felhasználó ezt kihasználva jogosultságlopást hajthat végre, végül „root” szintű hozzáférést is szerezve az egész klaszterhez.
Mit tehetsz ellene?
A Red Hat azt javasolja, hogy törölni kell a ClusterRoleBindingot, amely a „kueue-batch-user-role” szerepet a „system:authenticated” csoporthoz rendeli. Ezen kívül a jogosultságokat csak szükség szerint, specifikus felhasználóknak vagy csoportoknak célszerű kiosztani, és kerülni kell a széles körű, rendszerszintű engedélyek adását.
A szakértők hangsúlyozzák: ezt a sebezhetőséget sürgősen javítani kell, és célszerű feltételezni, hogy a rendszert már kompromittálták. Az üzemeltetőknek nemcsak javítaniuk kell, hanem utólagos vizsgálatokat is folytatniuk annak eldöntésére, történt-e már visszaélés. Ez a sérülékenység tökéletes célpontot jelent a mesterséges intelligenciát és adatokat célzó hackerek számára, és gyors reagálást követel.
Fontos megérteni, hogy az utóbbi napokban tömeges támadássorozat indult a Magento Open Source és az Adobe Commerce rendszereket érintő, súlyos PolyShell-sebezhetőség kihasználására...
🔧 A Samsung Galaxy A57 5G-t már a bemutató előtt, néhány órával szét is szedték, és ami a leginkább feltűnő: a telefont végre a könnyű javíthatóság jegyében tervezték...
💸 Egy amerikai esküdtszék történelmi döntése értelmében a Meta és a YouTube összesen 6 millió dollár (közel 2,2 milliárd forint) kártérítést köteles fizetni egy ma 20 éves fiatal nőnek és édesanyjának...
🚀 Érdekes felvetés, hogy mi lesz a sorsa annak a több milliárd dollárért fejlesztett Hold körüli űrállomásnak, amelynek építését az Egyesült Államok most jegeli, hogy az erőforrásokat inkább más, nagyobb szabású célokra összpontosítsa...
A Ring új szintre emelte kültéri biztonsági eszközeit: elérhetővé váltak a vezeték nélküli, akkumulátoros verziók a 4K-s és 2K-s felbontású videócsengőkből is, már 29 000 Ft-tól...
💸 A kaliforniai bíróság most tényleg odacsapott: két techóriást, a Metát és a Google-t is felelőssé tették, amiért addiktív dizájnnal szippantották be a fiatalokat...
A dróntechnológia új korszakába lépett, amikor a BRINC bemutatta legújabb fejlesztését, a Guardian nevű, kifejezetten rendőrségi célokra szánt drónt...
😴 Éjszaka nemcsak testünk pihen, agyunk is különös utakat jár be. Egy friss kutatás szerint ugyanis a színes, élénk álmok nem csupán szórakoztatnak, hanem hozzájárulhatnak ahhoz is, hogy reggel valóban kipihentnek érezzük magunkat — sőt, az intenzív álmodás azoknak az éjszakáknak a titka, amikor a legmélyebbnek érezzük az alvást, függetlenül attól, mennyire aktív maradt közben az...
Az Apple évek óta kivár a mobilkamerák terén, de most végre felrázhatja a piacot: tesztelés alatt áll egy 200 megapixeles főkamera, amely nagyobb lehet, mint a Samsung Galaxy S26 Ultra 200 megapixeles érzékelője...
💬 Fontos kérdés, hogy mi történik akkor, amikor a tudományos élet válságba kerül, és azok is távoznak, akik egyszer a kutatás iránti elkötelezettséget mindennél előbbre valónak tartották...
Ilyen eset például, amikor a csalók nem valódi telefonokat, hanem virtuális okostelefonokat használnak, hogy teljesen hiteles felhasználónak tűnjenek...
Egy új, folyamatosan fejlődő kártevő, a Torg Grabber már 850 böngészőbővítményből képes érzékeny adatokat ellopni, ebből 728 kifejezetten kriptopénztárcákhoz kapcsolódik...
🔬 Az elmúlt évtizedekben a tömegspektrometria alapvető eszközzé vált a tudományos kutatásban, ám a technika egyik legnagyobb korlátja, hogy a legtöbb jelenleg használt műszer egyszerre csak néhány molekulát képes elemezni...
🛑 A szoftverellátási lánc sebezhetőségei eddig főként kártevők és zsarolóvírusok révén kerültek be a köztudatba, azonban most egy lényegesen egyszerűbb módszer is elérhetővé vált a támadóknak: rosszindulatú vagy hamisított API-dokumentációval is megvezethetők az MI-alapú kódoló ügynökök...
A bűnözők legújabb trükkje, hogy a Bubble nevű, no-code, MI-alapú alkalmazáskészítő platformot használják Microsoft-fiókok elleni adathalász támadásokhoz...
👤 A Reddit új lépést tett a gyanús aktivitás kiszűrésére: hamarosan arra kötelezi azokat a fiókokat, amelyek automatizált vagy egyébként gépies viselkedést mutatnak, hogy igazolják, valóban ember kezeli őket...
🗿 Egy váratlanul gazdag lelet került elő egy észak-új-zélandi barlang mélyéből: mintegy egymillió éves fosszíliák, amelyek között tucatnyi madárfaj és négy különböző béka is szerepel...
A nagy nyelvi modellek fejlődése hatalmas dokumentumok és összetett beszélgetések feldolgozására teszi képessé az MI-t, de ezzel együtt egy komoly hardveres akadály, a kulcs–érték (KV) gyorsítótár szűk keresztmetszete is egyre nyilvánvalóbbá válik...
🎵 Zenei ötletekből mostantól kész dalok születhetnek mindössze néhány pillanat alatt. A Gemini alkalmazás fizetős előfizetői számára most elérhető a Lyria 3 Pro, amely már háromperces zeneszámok generálására is képes...
