Linux kernel, Kubernetes கண்டெய்னர் ஆர்கெஸ்ட்ரேஷன் இயங்குதளம், Google Kubernetes Engine (GKE) மற்றும் kCTF (Kubernetes Capture the Flag) பாதிப்பு போட்டி கட்டமைப்பில் உள்ள பாதுகாப்புச் சிக்கல்களைக் கண்டறிவதற்காக Google அதன் பண வெகுமதி முயற்சியை விரிவுபடுத்துவதாக அறிவித்துள்ளது.
வெகுமதிகள் திட்டத்தில் 20-நாள் பாதிப்புகள், பயனர் பெயர்வெளிகளுக்கான ஆதரவு தேவையில்லாத சுரண்டல்கள் மற்றும் புதிய சுரண்டல் முறைகளை நிரூபிக்க கூடுதல் போனஸ் செலுத்துதல்கள் $0 ஆகியவை அடங்கும். kCTF இல் ஒரு வேலைச் சுரண்டலைக் காட்டுவதற்கான அடிப்படைப் பணம் $31337 ஆகும் (அடிப்படைப் பேஅவுட் என்பது முதல் பங்கேற்பாளருக்கு உழைக்கும் சுரண்டலை வெளிப்படுத்தும், ஆனால் போனஸ் கொடுப்பனவுகள் அதே பாதிப்புக்கு அடுத்தடுத்த சுரண்டல்களுக்குப் பயன்படுத்தப்படலாம்).
மொத்தத்தில், போனஸைக் கணக்கில் கொண்டால், 1-நாள் சுரண்டலுக்கான அதிகபட்ச வெகுமதி (பாதிப்புகள் என வெளிப்படையாகக் குறிக்கப்படாத குறியீடு அடிப்படையில் பிழைத் திருத்தங்களின் பகுப்பாய்வின் அடிப்படையில் கண்டறியப்பட்ட சிக்கல்கள்) $71337 ($31337) வரை அடையலாம். 0-நாளுக்கு (சிக்கல்கள் இன்னும் சரி செய்யப்படவில்லை) - $91337 ($50337). கட்டணத் திட்டம் டிசம்பர் 31, 2022 வரை செல்லுபடியாகும்.
கடந்த மூன்று மாதங்களில், பாதிப்புகள் பற்றிய தகவல்களைக் கொண்ட 9 பயன்பாடுகளை கூகுள் செயலாக்கியுள்ளது, அதற்காக $175 ஆயிரம் செலுத்தப்பட்டது என்பது குறிப்பிடத்தக்கது. பங்கேற்கும் ஆராய்ச்சியாளர்கள் 0-நாள் பாதிப்புகளுக்கு ஐந்து சுரண்டல்களையும், 1-நாள் பாதிப்புகளுக்கு இரண்டையும் தயார் செய்தனர். லினக்ஸ் கர்னலில் ஏற்கனவே சரி செய்யப்பட்டுள்ள மூன்று சிக்கல்களுக்கு (cgroup-v2021 இல் CVE-4154-1, af_packet இல் CVE-2021-22600 மற்றும் VFS இல் CVE-2022-0185), தகவல் பகிரங்கமாக வெளியிடப்பட்டது (இந்தச் சிக்கல்கள் முன்பே அடையாளம் காணப்பட்டன. Syzkaller மற்றும் திருத்தங்களுக்கு இரண்டு முறிவுகளுக்குப் பிறகு கர்னலில் சேர்க்கப்பட்டது).
ஆதாரம்: opennet.ru