Google, Linux nüvəsi, Kubernetes konteyner orkestrasiyası platforması, Google Kubernetes Engine (GKE) və kCTF (Kubernetes Flag Capture) zəifliyi rəqabət mühitində təhlükəsizlik problemlərinin müəyyən edilməsi üçün pul mükafatı təşəbbüsünün genişləndirilməsini elan etdi.
Mükafat proqramına 20 günlük zəifliklər, istifadəçi adları üçün dəstək tələb etməyən istismarlar və yeni istismar üsullarının nümayişi üçün $0 əlavə bonus ödənişləri daxildir. kCTF-də işləyən istismarın nümayişi üçün əsas ödəniş 31337 ABŞ dollarıdır (baza ödənişi işləyən istismar nümayiş etdirən ilk iştirakçıya edilir, lakin bonus ödənişləri eyni zəifliyə görə sonrakı istismarlara tətbiq edilə bilər).
Ümumilikdə, bonuslar nəzərə alınmaqla, 1 günlük istismar üçün maksimum mükafat (kod bazasında açıq şəkildə zəiflik kimi qeyd olunmayan səhvlərin aradan qaldırılmasının təhlili əsasında müəyyən edilmiş problemlər) 71337 dollara (31337 dollar idi) çata bilər və 0 günlük (hələ həll olunmayan problemlər) - 91337 50337 dollar (31 2022 dollar idi). Ödəniş proqramı XNUMX dekabr XNUMX-ci il tarixinədək qüvvədə olacaq.
Qeyd olunur ki, son üç ay ərzində Google zəifliklər haqqında məlumat olan 9 tətbiqi emal edib və bunun üçün 175 min dollar ödənilib. İştirakçı tədqiqatçılar 0 günlük zəifliklər üçün beş, 1 günlük zəifliklər üçün iki istismar hazırlayıblar. Linux nüvəsində artıq həll edilmiş üç problem (cgroup-v2021-də CVE-4154-1, af_packet-də CVE-2021-22600 və VFS-də CVE-2022-0185) üçün məlumat açıqlanmışdır (bu problemlər əvvəllər bu proqramlar vasitəsilə müəyyən edilmişdi. Syzkaller və düzəlişlər üçün iki qəzadan sonra nüvəyə əlavə edildi).
Mənbə: opennet.ru