Google нь Линуксийн цөм, Кубернетес контейнер зохион байгуулах платформ, GKE (Google Kubernetes Engine) хөдөлгүүр болон kCTF (Kubernetes Capture the Flag) эмзэг байдлын өрсөлдөөний орчны аюулгүй байдлын асуудлыг илрүүлэхэд зориулж мөнгөн урамшуулал олгох санаачилгыг өргөжүүлж байгаагаа зарлав.
Шагналын хөтөлбөрт 20 өдрийн сул тал, хэрэглэгчийн нэрийн зай (хэрэглэгчийн нэрийн талбар)-д дэмжлэг шаарддаггүй мөлжлөгт болон ашиглалтын шинэ аргуудыг үзүүлэхэд зориулсан нэмэлт 0 долларын урамшуулал багтсан болно. kCTF-д ажиллаж буй мөлжлөгийг харуулах үндсэн төлбөр нь 31337 доллар (үндсэн төлбөр нь ажиллаж буй мөлжлөгийг анх харуулсан оролцогчдод ногддог, гэхдээ урамшууллын төлбөрийг ижил эмзэг байдлын дараа дараагийн мөлжлөгт ашиглаж болно).
Нийтдээ урамшууллыг тооцвол 1 өдрийн ашиглалтын урамшууллын дээд хэмжээ (эмзэг гэж тодорхой тэмдэглээгүй кодын сан дахь алдааны засварын дүн шинжилгээнд үндэслэн тодорхойлсон асуудлууд) 71337 доллар (31337 доллар байсан) хүрэх боломжтой. 0 өдөр (асуудал шийдэгдээгүй) - 91337 доллар (50337 доллар байсан). Төлбөрийн хөтөлбөр нь 31 оны 2022-р сарын XNUMX хүртэл хүчинтэй байх болно.
Сүүлийн гурван сарын хугацаанд Google эмзэг байдлын талаарх мэдээлэл бүхий 9 програмыг боловсруулж, 175 мянган доллар төлсөн гэж тэмдэглэжээ. Оролцогч судлаачид 0 өдрийн эмзэг байдлын тав, 1 өдрийн эмзэг байдлын хоёр ашиглалтыг бэлтгэсэн. Линукс цөмд аль хэдийн зассан гурван асуудлыг (cgroup-v2021 дэх CVE-4154-1, af_packet дахь CVE-2021-22600, VFS дэх CVE-2022-0185) олон нийтэд ил болгосон (эдгээр асуудлуудыг Syzkaller болон засваруудыг цөмд хоёр эвдрэлийг нэмсэн).
Эх сурвалж: opennet.ru