Linux kernel၊ Kubernetes container orchestration platform၊ Google Kubernetes Engine (GKE) နှင့် kCTF (Kubernetes Capture the Flag) အားနည်းချက် ယှဉ်ပြိုင်မှု မူဘောင်များတွင် လုံခြုံရေးပြဿနာများကို ဖော်ထုတ်ရန်အတွက် Google သည် ၎င်း၏ ငွေသားဆုကြေးငွေ ပဏာမခြေလှမ်းကို တိုးချဲ့လိုက်ကြောင်း ကြေညာခဲ့သည်။
ဆုလက်ဆောင်အစီအစဉ်တွင် 20 ရက်ကြာ အားနည်းချက်များအတွက် $0 အပိုဆုကြေးငွေများ ၊ အသုံးပြုသူ namespaces များအတွက် ပံ့ပိုးမှုမလိုအပ်သော exploits များအတွက် နှင့် exploitation method အသစ်များကို သရုပ်ပြခြင်း တို့ ပါဝင်သည်။ kCTF တွင် အလုပ်လုပ်သော အမြတ်ထုတ်မှုကို သရုပ်ပြခြင်းအတွက် အခြေခံ ပေးချေမှုမှာ $31337 (လုပ်ငန်းခွင်သုံး အမြတ်ထုတ်မှုကို သရုပ်ပြရန် ပထမဆုံးပါဝင်သူအား အခြေခံပေးချေမှုကို ပြုလုပ်ထားသော်လည်း တူညီသောအားနည်းချက်အတွက် နောက်ဆက်တွဲ အမြတ်ထုတ်မှုများတွင် အပိုဆုကြေးငွေများကို အသုံးချနိုင်သည်)။
စုစုပေါင်းအားဖြင့်၊ ဘောနပ်စ်များကိုထည့်သွင်းခြင်းဖြင့်၊ 1-ရက်အမြတ်ထုတ်မှုအတွက် အမြင့်ဆုံးဆုငွေ (အားနည်းချက်များအဖြစ် အထူးတလည်သတ်မှတ်ထားခြင်းမရှိသော ကုဒ်အခြေခံရှိ ချွတ်ယွင်းချက်ပြင်ဆင်ချက်များကို ခွဲခြမ်းစိတ်ဖြာမှုအပေါ်အခြေခံ၍ ဖော်ထုတ်ထားသောပြဿနာများ) သည် $71337 ($31337) အထိရောက်ရှိနိုင်ပြီး၊ 0-ရက်အတွက် (မဖြေရှင်းရသေးသည့် ပြဿနာများ) - $91337 ($50337)။ ငွေပေးချေမှု အစီအစဉ်သည် ဒီဇင်ဘာ ၃၁၊ ၂၀၂၂ အထိ အကျုံးဝင်မည်ဖြစ်သည်။
လွန်ခဲ့သည့်သုံးလအတွင်း၊ Google သည် အားနည်းချက်များအကြောင်း အချက်အလက်များဖြင့် အပလီကေးရှင်း ၉ ခုကို လုပ်ဆောင်ခဲ့ပြီး ဒေါ်လာ ၁၇၅ဝဝဝ ပေးချေခဲ့ကြောင်း မှတ်သားရပါသည်။ ပါဝင်သော သုတေသီများသည် 9 ရက်ကြာ အားနည်းချက်များအတွက် အသုံးချမှုငါးခုနှင့် 175 ရက်ကြာ အားနည်းချက်များအတွက် နှစ်ခုကို ပြင်ဆင်ခဲ့သည်။ Linux kernel တွင် ပြုပြင်ပြီးသား ပြဿနာ သုံးခုအတွက် (CVE-0-1 in cgroup-v2021၊ af_packet in CVE-4154-1 နှင့် VFS တွင် CVE-2021-22600)၊ အချက်အလက်များကို လူသိရှင်ကြား ထုတ်ဖော်ခဲ့သည် (ယခင်က ဤပြဿနာများမှတဆင့် ရှာဖွေဖော်ထုတ်ခဲ့ပြီး၊ Syzkaller နှင့် ပြုပြင်မှုများကို နှစ်ခုခွဲပြီးနောက် kernel သို့ ပေါင်းထည့်ခဲ့သည်)။
source: opennet.ru