Google øger belønningen for at identificere sårbarheder i Linux og Kubernetes

I løbet af de sidste måneder Google har været særlig opmærksom på sikkerhedsproblemer findes i kernen Linux og KubernetesSom i november sidste år øgede Google størrelsen af ​​udbetalinger, da virksomheden tredoblede udnyttelsesudgifterne for hidtil ukendte fejl i Linux-kernen.

Tanken var, at folk kunne opdage nye måder at udnytte kernen på, især i forhold til Kubernetes, der kører i skyen. Google rapporterer nu, at fejlfindingsprogrammet har været en succes, der har modtaget ni rapporter på tre måneder og udbetalt mere end $175,000 til forskere.

Og det er det gennem et blogindlæg Google udgav igen en meddelelse om udvidelsen af ​​initiativet at betale kontante belønninger for at identificere sikkerhedsproblemer i Linux-kernen, Kubernetes containerorkestreringsplatform, Google Kubernetes Engine (GKE) og Kubernetes Capture the Flag (kCTF) sårbarhedskonkurrencemiljøet.

Opslaget nævner det nu inkluderer belønningsprogrammet en ekstra bonus $20,000 for nul-dages sårbarheder for udnyttelser, der ikke kræver understøttelse af brugernavne og for at demonstrere nye udnyttelsesteknikker.

Grundudbetalingen for at demonstrere en fungerende udnyttelse på kCTF er $31 (basisudbetalingen tildeles den deltager, der først demonstrerer en fungerende udnyttelse, men bonusudbetalinger kan anvendes på efterfølgende udnyttelser for den samme sårbarhed).

Vi øgede vores belønninger, fordi vi erkendte, at for at tiltrække fællesskabets opmærksomhed var vi nødt til at matche vores belønninger med deres forventninger. Vi anser udvidelsen for at have været en succes, og derfor vil vi gerne forlænge den yderligere i hvert fald indtil udgangen af ​​året (2022).
I løbet af de sidste tre måneder har vi modtaget 9 indsendelser og betalt over $175 indtil videre.

Det kan vi se i publikationen Total, under hensyntagen til bonusserne, den maksimale belønning for en udnyttelse (problemer identificeret baseret på analyse af fejlrettelser i kodebasen, der ikke udtrykkeligt er markeret som sårbarheder) kan nå op til $71 (tidligere var den højeste belønning $31), og for et nul-dages problem (problemer, som der ikke er nogen løsning på endnu) udbetales op til $337 (tidligere var den højeste belønning $91,337). Betalingsprogrammet vil være gyldigt indtil 31. december 2022.

Det er bemærkelsesværdigt, at i de sidste tre måneder, Google har behandlet 9 anmodninger cmed oplysninger om sårbarheder, som der blev betalt 175 tusind dollars for.

Deltagende forskere forberedte fem udnyttelser til nul-dages sårbarheder og to til 1-dags sårbarheder. Tre rettede problemer i Linux-kernen er blevet offentliggjort (CVE-2021-4154 i cgroup-v1, CVE-2021-22600 i af_packet og CVE-2022-0185 i VFS) (disse problemer er allerede blevet identificeret via Syzkaller og for to fejlrettelser blev tilføjet til kernen).

Disse ændringer øger nogle 1-dags udnyttelser til $71 (mod $337) og giver den maksimale belønning for en enkelt udnyttelse til $31 (mod $337). Vi betaler også selv for dubletter mindst $91, hvis de demonstrerer nye udnyttelsesteknikker (i stedet for $337). Vi vil dog også begrænse antallet af belønninger i 50 dag til kun én pr. version/bygning.

Der er 12-18 GKE-udgivelser om året på hver kanal, og vi har to grupper på forskellige kanaler, så vi betaler basisbelønningen på 31 USD op til 337 gange (ingen grænse for bonusser). Selvom vi ikke forventer, at hver opdatering har gyldig 36-dags forsendelse, vil vi meget gerne høre ellers.

Som sådan nævnes det i meddelelsen, at summen af ​​betalingerne afhænger af flere faktorer: om det fundne problem er en nul-dages sårbarhed, hvis det kræver ikke-privilegerede brugernavneområder, hvis det bruger nogle nye udnyttelsesmetoder. Hvert af disse point kommer med en bonus på $ 20,000, hvilket i sidste ende hæver betalingen for en arbejdsbedrift til $ 91,337.

Endelig sHvis du er interesseret i at vide mere om det om noten, kan du tjekke detaljerne i det originale indlæg I det følgende link.


Vær den første til at kommentere

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.