Google har tillkännagett en utökning av sitt kontantbelöningsinitiativ för att identifiera säkerhetsproblem i Linux-kärnan, Kubernetes containerorkestreringsplattform, Google Kubernetes Engine (GKE) och kCTF (Kubernetes Capture the Flag) konkurrensramverk för sårbarhet.
Belöningsprogrammet inkluderar ytterligare bonusbetalningar på $20 0 för 31337-dagars sårbarheter, för utnyttjanden som inte kräver stöd för användarnamnutrymmen och för att demonstrera nya exploateringsmetoder. Grundutbetalningen för att demonstrera en fungerande exploit i kCTF är $XNUMX XNUMX (basutbetalningen görs till den första deltagaren som visar en fungerande exploit, men bonusutbetalningar kan tillämpas på efterföljande exploateringar för samma sårbarhet).
Totalt, med hänsyn till bonusar, kan den maximala belöningen för en 1-dagars exploatering (problem som identifierats baserat på en analys av buggfixar i kodbasen som inte är explicit markerade som sårbarheter) nå upp till $71337 (var $31337), och för en 0-dagars (problem som det inte finns någon åtgärd för ännu) - $91337 (var $50337). Betalningsprogrammet kommer att gälla till den 31 december 2022.
Det noteras att Google under de senaste tre månaderna har behandlat 9 ansökningar med information om sårbarheter, för vilka $175 tusen betalades. De deltagande forskarna förberedde fem exploateringar för 0-dagars sårbarheter och två för 1-dagars sårbarheter. För tre problem som redan är åtgärdade i Linux-kärnan (CVE-2021-4154 i cgroup-v1, CVE-2021-22600 i af_packet och CVE-2022-0185 i VFS), har information offentliggjorts (dessa problem hade tidigare identifierats genom Syzkaller och för fixar lades till i kärnan efter två haverier).
Källa: opennet.ru