谷歌宣布擴大為發現Linux內核、Kubernetes容器編排平台、GKE(Google Kubernetes Engine)引擎和kCTF(Kubernetes Capture the Flag)漏洞競賽環境中的安全問題而支付現金獎勵的舉措。
該賞金計劃包括針對 20day 漏洞、不需要用戶命名空間(usernamespace)支持的漏洞利用以及演示新的利用方法的額外 0 美元獎金。 在 kCTF 中演示有效利用的基本獎金為 31337 美元(基本獎金發放給首先演示有效利用的參與者,但獎金支出可應用於同一漏洞的後續利用)。
總的來說,考慮到獎金,1 天漏洞利用(根據對代碼庫中未明確標記為漏洞的錯誤修復的分析而識別的問題)的最高獎勵可達 71337 美元(原價 31337 美元), 0 天(問題尚未修復)- 91337 美元(原價50337 美元)。 付款計劃有效期至 31 年 2022 月 XNUMX 日。
值得注意的是,過去三個月,谷歌已處理了9個含有漏洞信息的申請,並支付了175萬美元。 參與研究的研究人員準備了五個針對 0day 漏洞的利用方法和兩個針對 1day 漏洞的利用方法。 Linux 內核中已修復的三個問題(cgroup-v2021 中的CVE-4154-1、af_packet 中的CVE-2021-22600 和VFS 中的CVE-2022-0185)已被公開披露(這些問題已通過Syzkaller 識別並用於修復已添加到內核中的兩個故障)。
來源: opennet.ru