Google компаниясы ядролук коопсуздук боюнча сыйлык демилгесин кеңейтерин жарыялады. Linux, Kubernetes контейнерлерин, GKE (Google Kubernetes Engine) кыймылдаткычын жана kCTF (Kubernetes Capture the Flag) аялуулугунун атаандаштык чөйрөсүн уюштуруу үчүн платформа.
Сыйлык программасы 20 күндүк алсыздыктар үчүн, колдонуучу аттар мейкиндигин колдоону талап кылбаган эксплуатациялар үчүн жана эксплуатациянын жаңы ыкмаларын көрсөтүү үчүн $0 өлчөмүндө кошумча бонустук төлөмдөрдү камтыйт. kCTFде жумушчу эксплойт көрсөтүү үчүн базалык төлөм 31337 XNUMX долларды түзөт (базалык төлөм жумушчу эксплойт көрсөткөн биринчи катышуучуга төлөнөт, бирок бонустук төлөмдөр ошол эле алсыздык үчүн кийинки эксплойттерге колдонулушу мүмкүн).
Жалпысынан, бонустарды эске алуу менен, 1 күндүк эксплуатация үчүн максималдуу сыйлык (код базасындагы каталарды оңдоолордун анализинин негизинде аныкталган, алар ачык түрдө аялуу катары белгиленбеген) 71337 31337 долларга чейин жетиши мүмкүн (0 91337 доллар болгон) жана 50337 күн үчүн (азырынча чечиле элек көйгөйлөр) - 31 2022 доллар (XNUMX XNUMX доллар болгон). Төлөм программасы XNUMX-жылдын XNUMX-декабрына чейин күчүндө болот.
Акыркы үч айдын ичинде Google тогуз алсыздык жөнүндө отчетторду иштеп чыгып, алар үчүн 175 000 доллар төлөнгөнү белгиленген. Катышуучу изилдөөчүлөр нөлдүк күндүк алсыздыктар үчүн беш эксплойт жана бир күндүк алсыздыктар үчүн эки эксплойт иштеп чыгышкан. Алардын үчөө ядродо буга чейин оңдолгон. Linux Көйгөйлөр жөнүндө маалымат (cgroup-v1 ичиндеги CVE-2021-4154, af_packet ичиндеги CVE-2021-22600 жана VFS ичиндеги CVE-2022-0185) ачык жарыяланды (бул көйгөйлөр Syzkaller аркылуу буга чейин аныкталган жана алардын экөөсүнө оңдоолор ядрого кошулган).
Source: opennet.ru
