A Google bejelentette a Linux kernel, a Kubernetes konténer hangszerelési platform, a GKE (Google Kubernetes Engine) motor és a kCTF (Kubernetes Capture the Flag) sebezhetőségi versenykörnyezet biztonsági problémáinak azonosításáért pénzjutalom kifizetésére irányuló kezdeményezés kiterjesztését.
A jutalomprogram további 20 0 dolláros bónuszt tartalmaz a 31337 napos sebezhetőségekért, a felhasználói névterek (felhasználói névterek) támogatását nem igénylő exploitokhoz, valamint új kizsákmányolási módszerek bemutatásához. A kCTF-ben működő kizsákmányolás bemutatásának alapkifizetése XNUMX XNUMX USD (az alapkifizetést az a résztvevő kapja, aki először demonstrál egy működő kizsákmányolást, de a bónusz kifizetések alkalmazhatók ugyanazon sebezhetőség további kihasználására).
Összességében, a bónuszokat is figyelembe véve, egy 1 napos exploit (a kódbázisban található hibajavítások elemzése alapján azonosított problémák, amelyek nincsenek kifejezetten sebezhetőségként megjelölve) maximális jutalma elérheti a 71337 31337 dollárt (0 91337 dollár volt), és 50337 napos (a problémák még nem javítottak) - 31 2022 USD (XNUMX XNUMX USD volt). A fizetési program XNUMX. december XNUMX-ig érvényes.
Megjegyzendő, hogy az elmúlt három hónapban a Google 9 olyan kérelmet dolgozott fel a sebezhetőségekre vonatkozó információkkal, amelyekért 175 ezer dollárt fizettek. A résztvevő kutatók öt exploitot készítettek elő 0 napos, kettőt pedig 1 napos sebezhetőségekre. A Linux kernelben már javított három probléma (CVE-2021-4154 a cgroup-v1-ben, CVE-2021-22600 af_packetben és CVE-2022-0185 VFS-ben) nyilvánosságra került (ezeket a problémákat a Syzkaller és a javításokat adtunk a kernel két bontásához).
Forrás: opennet.ru