Google on teatanud oma rahalise tasu algatuse laiendamisest Linuxi tuuma, Kubernetese konteineri orkestreerimisplatvormi, Google Kubernetes Engine'i (GKE) ja haavatavuse konkurentsikeskkonna kCTF (Kubernetes Capture the Flag) turvaprobleemide tuvastamiseks.
Preemiaprogramm sisaldab täiendavaid 20 0 dollari suuruseid boonusmakseid 31337-päevaste turvaaukude eest, ärakasutamiste eest, mis ei vaja kasutajanimeruumide tuge, ja uute ekspluateerimismeetodite demonstreerimise eest. Põhiväljamakse kCTF-is töötava ärakasutamise demonstreerimise eest on XNUMX XNUMX dollarit (põhiväljamakse tehakse esimesele osalejale, kes demonstreerib töötavat ärakasutamist, kuid boonusmakseid saab rakendada järgmistele sama haavatavuse korral).
Boonuseid arvesse võttes võib maksimaalne tasu 1-päevase ärakasutamise eest (koodibaasi veaparanduste analüüsi põhjal tuvastatud probleemid, mis ei ole otseselt haavatavusena märgitud) ulatuda kuni 71337 31337 dollarini (oli 0 91337 dollarit) ja 50337-päevaks (probleemid, millele pole veel lahendust leitud) - 31 2022 dollarit (oli XNUMX XNUMX dollarit). Makseprogramm kehtib kuni XNUMX.
Märgitakse, et viimase kolme kuu jooksul on Google töötlenud 9 haavatavuste infoga taotlust, mille eest maksti 175 tuhat dollarit. Osalevad teadlased valmistasid ette viis ärakasutamist 0-päevaste ja kaks 1-päevaste turvaaukude jaoks. Kolme Linuxi tuumas juba parandatud probleemi kohta (CVE-2021-4154 cgroup-v1-s, CVE-2021-22600 af_packetis ja CVE-2022-0185 VFS-is) on teave avalikustatud (need probleemid tuvastati varem Syzkaller ja for fixes lisati tuumale pärast kahte riket).
Allikas: opennet.ru