Google Linux ядросунда, Kubernetes контейнерлерин башкаруу платформасында, Google Kubernetes Engine (GKE) жана kCTF (Kubernetes Capture the Flag) аялуу атаандаштык чөйрөсүндөгү коопсуздук маселелерин аныктоо үчүн акчалай сыйлык берүү демилгесин кеңейтүүнү жарыялады.
Сыйлык программасы 20 күндүк алсыздыктар үчүн, колдонуучу аттар мейкиндигин колдоону талап кылбаган эксплуатациялар үчүн жана эксплуатациянын жаңы ыкмаларын көрсөтүү үчүн $0 өлчөмүндө кошумча бонустук төлөмдөрдү камтыйт. kCTFде жумушчу эксплойт көрсөтүү үчүн базалык төлөм 31337 XNUMX долларды түзөт (базалык төлөм жумушчу эксплойт көрсөткөн биринчи катышуучуга төлөнөт, бирок бонустук төлөмдөр ошол эле алсыздык үчүн кийинки эксплойттерге колдонулушу мүмкүн).
Жалпысынан, бонустарды эске алуу менен, 1 күндүк эксплуатация үчүн максималдуу сыйлык (код базасындагы каталарды оңдоолордун анализинин негизинде аныкталган, алар ачык түрдө аялуу катары белгиленбеген) 71337 31337 долларга чейин жетиши мүмкүн (0 91337 доллар болгон) жана 50337 күн үчүн (азырынча чечиле элек көйгөйлөр) - 31 2022 доллар (XNUMX XNUMX доллар болгон). Төлөм программасы XNUMX-жылдын XNUMX-декабрына чейин күчүндө болот.
Белгиленгендей, акыркы үч айдын ичинде Google 9 тиркемени иштетип, ал үчүн 175 миң доллар төлөнгөн. Катышуучу изилдөөчүлөр 0 күндүк алсыздыктар үчүн беш эксплойт жана 1 күндүк алсыздыктар үчүн экөөнү даярдашкан. Linux ядросунда мурунтан эле чечилген үч көйгөй боюнча (cgroup-v2021де CVE-4154-1, af_packetде CVE-2021-22600 жана VFSде CVE-2022-0185) маалымат ачыкка чыгарылды (бул көйгөйлөр мурдараак аныкталган Syzkaller жана оңдоолор эки бузулуудан кийин ядрого кошулду).
Source: opennet.ru