Google увеличи размера на наградите за идентифициране на уязвимости в ядрото на Linux и Kubernetes

Google обяви разширяването на инициативата за изплащане на парични награди за идентифициране на проблеми със сигурността в ядрото на Linux, платформата за оркестрация на контейнери Kubernetes, двигателя GKE (Google Kubernetes Engine) и kCTF (Kubernetes Capture the Flag) състезателна среда за уязвимости.

Програмата за награди включва допълнителен бонус от $20 0 за 31337-дневни уязвимости, за експлойти, които не изискват поддръжка за потребителски пространства от имена (потребителски пространства от имена) и за демонстриране на нови методи за експлоатация. Базовото изплащане за демонстриране на работещ експлойт в kCTF е $XNUMX XNUMX (базовото изплащане отива при участника, който пръв демонстрира работещ експлойт, но бонус изплащанията могат да бъдат приложени към последващи експлойти за същата уязвимост).

Общо, като се вземат предвид бонусите, максималната награда за 1-дневен експлойт (проблеми, идентифицирани въз основа на анализа на корекции на грешки в кодовата база, които не са изрично маркирани като уязвимости) може да достигне до $71337 31337 (беше $0 91337), а за 50337-ден (проблемите все още не са отстранени) - $31 2022 (беше $XNUMX XNUMX). Програмата за плащане ще бъде валидна до XNUMX декември XNUMX г.

Отбелязва се, че през последните три месеца Google е обработил 9 приложения с информация за уязвимости, за които са платени 175 хиляди долара. Участващите изследователи са подготвили пет експлойта за 0-дневни уязвимости и два за 1-дневни уязвимости. Три проблема, които вече са коригирани в ядрото на Linux (CVE-2021-4154 в cgroup-v1, CVE-2021-22600 в af_packet и CVE-2022-0185 във VFS), са публично оповестени (тези проблеми вече са идентифицирани чрез Syzkaller и за корекции бяха добавени към ядрото две повреди).

Източник: opennet.ru