গত মাসগুলিতে নিরাপত্তা বিষয়ক বিশেষ মনোযোগ দিয়েছে গুগল কার্নেলে পাওয়া যায় লিনাক্স এবং কুবারনেটসগত বছরের নভেম্বরের মতো, গুগল পেআউটের আকার বাড়িয়েছে কারণ কোম্পানি লিনাক্স কার্নেলের পূর্বে অজানা বাগগুলির জন্য তিনগুণ এক্সপ্লয়েট বাউন্টি বাড়িয়েছে।
ধারণাটি ছিল যে লোকেরা কার্নেল শোষণের নতুন উপায় আবিষ্কার করতে পারে, বিশেষ করে ক্লাউডে চলমান কুবারনেটসের সাথে সম্পর্কিত। Google এখন রিপোর্ট করেছে যে বাগ-ফাইন্ডিং প্রোগ্রামটি সফল হয়েছে, তিন মাসে নয়টি রিপোর্ট পেয়েছে এবং গবেষকদের $175,000 এর বেশি বিতরণ করেছে।
এবং এটি একটি ব্লগ পোস্টের মাধ্যমে গুগল আবারও এই উদ্যোগ সম্প্রসারণের বিষয়ে একটি ঘোষণা প্রকাশ করেছে লিনাক্স কার্নেল, কুবারনেটেস কন্টেইনার অর্কেস্ট্রেশন প্ল্যাটফর্ম, গুগল কুবারনেটস ইঞ্জিন (জিকেই) এবং কুবারনেটস ক্যাপচার দ্য ফ্ল্যাগ (কেসিটিএফ) দুর্বলতা প্রতিযোগিতার পরিবেশে নিরাপত্তা সমস্যা চিহ্নিত করার জন্য নগদ পুরস্কার প্রদান করতে।
পোস্টে তা উল্লেখ করা হয়েছে এখন পুরষ্কার প্রোগ্রাম একটি অতিরিক্ত বোনাস অন্তর্ভুক্ত শূন্য-দিনের দুর্বলতার জন্য $20,000 যেগুলির জন্য ব্যবহারকারীর নামস্থান সমর্থনের প্রয়োজন নেই এবং নতুন শোষণ কৌশল প্রদর্শনের জন্য।
কেসিটিএফ-এ একটি কাজের শোষণ প্রদর্শনের জন্য বেস পেআউট হল $31 (বেস পেআউট সেই প্রবেশকারীকে দেওয়া হয় যে প্রথমে একটি কাজের শোষণ প্রদর্শন করে, কিন্তু বোনাস পেআউট একই দুর্বলতার জন্য পরবর্তী শোষণের ক্ষেত্রে প্রয়োগ করা যেতে পারে)।
আমরা আমাদের পুরষ্কার বাড়িয়েছি কারণ আমরা স্বীকার করেছি যে সম্প্রদায়ের দৃষ্টি আকর্ষণ করার জন্য আমাদের পুরষ্কারগুলিকে তাদের প্রত্যাশার সাথে মেলাতে হবে৷ আমরা সম্প্রসারণটিকে সফল বলে মনে করি, এবং তাই আমরা অন্তত বছরের শেষ পর্যন্ত (2022) এটিকে আরও বাড়ানো চাই।
গত তিন মাসে, আমরা 9টি জমা পেয়েছি এবং এখন পর্যন্ত $175 এর বেশি অর্থ প্রদান করেছি।
প্রকাশনায় আমরা তা দেখতে পাচ্ছি মোট, বোনাস বিবেচনায় নিয়ে, একটি শোষণের জন্য সর্বোচ্চ পুরস্কার (কোড বেসে বাগ ফিক্সের বিশ্লেষণের ভিত্তিতে চিহ্নিত সমস্যাগুলি যা স্পষ্টভাবে দুর্বলতা হিসাবে চিহ্নিত করা হয়নি) $71 পর্যন্ত পৌঁছতে পারে (আগে সর্বোচ্চ পুরষ্কার ছিল $31), এবং একটি শূন্য-দিনের সমস্যার জন্য (যে সমস্যাগুলির জন্য এখনও কোনও সমাধান নেই) $337 পর্যন্ত প্রদান করা হয় (আগে সর্বোচ্চ পুরস্কার ছিল $91,337)। পেমেন্ট প্রোগ্রামটি 31 ডিসেম্বর, 2022 পর্যন্ত বৈধ থাকবে।
উল্লেখ্য, গত তিন মাসে Google 9টি অনুরোধ প্রক্রিয়া করেছে গদুর্বলতার তথ্য সহ, যার জন্য 175 হাজার ডলার প্রদান করা হয়েছিল।
অংশগ্রহণকারী গবেষকরা শূন্য-দিনের দুর্বলতার জন্য পাঁচটি এবং 1-দিনের দুর্বলতার জন্য দুটি শোষণ প্রস্তুত করেছেন। লিনাক্স কার্নেলের তিনটি স্থির সমস্যা সর্বজনীনভাবে প্রকাশ করা হয়েছে (cgroup-v2021-এ CVE-4154-1, af_packet-এ CVE-2021-22600 এবং VFS-এ CVE-2022-0185) (এই সমস্যাগুলি ইতিমধ্যে Syzkaller-এর মাধ্যমে চিহ্নিত করা হয়েছে এবং দুটি সমস্যার জন্য সংশোধন যোগ করা হয়েছে)।
এই পরিবর্তনগুলি কিছু 1-দিনের শোষণকে $71 (বনাম $337) বাড়িয়ে দেয় এবং একটি একক শোষণের জন্য সর্বাধিক পুরষ্কার করে $31 (বনাম $337)। আমরা এমনকি নকলের জন্য কমপক্ষে $91 প্রদান করব যদি তারা অভিনব শোষণ কৌশল প্রদর্শন করে ($337 এর পরিবর্তে)। যাইহোক, আমরা প্রতি সংস্করণ/বিল্ড প্রতি 50 দিনের জন্য পুরষ্কারের সংখ্যা সীমাবদ্ধ করব।
প্রতিটি চ্যানেলে প্রতি বছর 12-18টি GKE রিলিজ হয়, এবং আমাদের বিভিন্ন চ্যানেলে দুটি গ্রুপ রয়েছে, তাই আমরা 31 বার পর্যন্ত 337 USD এর বেস পুরস্কার প্রদান করব (বোনাসের জন্য কোন সীমা নেই)। যদিও আমরা প্রতিটি আপডেটে বৈধ 36-দিনের শিপিং আশা করি না, আমরা অন্যথায় শুনতে চাই।
যেমন এটি ঘোষণায় উল্লেখ করা হয়েছে যে অর্থপ্রদানের যোগফল বিভিন্ন কারণের উপর নির্ভর করে: যদি পাওয়া সমস্যাটি একটি শূন্য-দিনের দুর্বলতা হয়, যদি এটির জন্য অ-সুবিধাপ্রাপ্ত ব্যবহারকারীর নামস্থানের প্রয়োজন হয়, যদি এটি কিছু নতুন শোষণ পদ্ধতি ব্যবহার করে। এই পয়েন্ট প্রতিটি একটি বোনাস সঙ্গে আসে $ 20,000, যা শেষ পর্যন্ত একটি কাজের শোষণের জন্য অর্থপ্রদান বাড়ায় $ 91,337।
অবশেষে এসআপনি যদি এটি সম্পর্কে আরও জানতে আগ্রহী হন নোট সম্পর্কে, আপনি মূল পোস্টে বিস্তারিত চেক করতে পারেন নীচের লিঙ্কে।