Google Linux ядросындағы, Kubernetes контейнерлік басқару платформасында, GKE (Google Kubernetes Engine) қозғалтқышында және kCTF (Kubernetes Capture the Flag) осалдық бәсекелестік ортасындағы қауіпсіздік мәселелерін анықтағаны үшін ақшалай сыйақы төлеу бастамасының кеңеюі туралы жариялады.
Сыйақы бағдарламасы 20 күндік осалдықтар үшін, пайдаланушы аттар кеңістігіне (пайдаланушы аттар кеңістігіне) қолдау көрсетуді қажет етпейтін эксплуатациялар үшін және пайдаланудың жаңа әдістерін көрсету үшін қосымша $0 31337 бонусты қамтиды. kCTF-де жұмыс істейтін эксплойт көрсету үшін базалық төлем XNUMX XNUMX АҚШ долларын құрайды (негізгі төлем бірінші рет жұмыс істейтін эксплойтті көрсеткен қатысушыға беріледі, бірақ бонус төлемдері сол осалдық үшін келесі эксплойттерге қолданылуы мүмкін).
Жалпы алғанда, бонустарды ескере отырып, 1 күндік эксплойт үшін максималды сыйақы (код базасындағы қателерді түзетуді талдау негізінде анықталған, осалдықтар ретінде анық белгіленбеген) $71337 31337 дейін жетуі мүмкін ($0 91337 болды) және 50337-күн (мәселелер әлі шешілмеген) - 31 2022 доллар (XNUMX XNUMX доллар болды). Төлем бағдарламасы XNUMX жылдың XNUMX желтоқсанына дейін әрекет етеді.
Атап өтілгендей, соңғы үш айда Google осалдықтар туралы ақпараты бар 9 қосымшаны өңдеп, оған 175 мың доллар төленген. Қатысушы зерттеушілер 0 күндік осалдықтар үшін бес және 1 күндік осалдықтар үшін екі эксплойт дайындады. Linux ядросында бұрыннан түзетілген үш мәселе (cgroup-v2021 жүйесінде CVE-4154-1, af_packet ішінде CVE-2021-22600 және VFS ішінде CVE-2022-0185) көпшілікке жарияланды (бұл мәселелер Syzkaller арқылы анықталған және түзетулер ядроға екі бұзылу қосылды).
Ақпарат көзі: opennet.ru