आखिरी महीनों के दौरान Google ने सुरक्षा मुद्दों पर विशेष ध्यान दिया है कर्नेल में पाया जाता है लिनक्स और कुबेरनेट्सपिछले साल नवंबर की तरह, Google ने पेआउट्स के आकार में वृद्धि की क्योंकि कंपनी ने लिनक्स कर्नेल में पहले से अज्ञात बग्स के लिए तीन गुना फायदा उठाया।
विचार यह था कि लोग कर्नेल के दोहन के नए तरीके खोज सकते हैं, विशेष रूप से क्लाउड में चल रहे कुबेरनेट्स के संबंध में। Google अब रिपोर्ट करता है कि बग-खोज कार्यक्रम सफल रहा है, तीन महीनों में नौ रिपोर्ट प्राप्त कर रहा है और शोधकर्ताओं को $ 175,000, XNUMX से अधिक का वितरण कर रहा है।
और यह है कि एक ब्लॉग पोस्ट के माध्यम से Google ने फिर से पहल के विस्तार के बारे में एक घोषणा जारी की Linux कर्नेल, Kubernetes कंटेनर ऑर्केस्ट्रेशन प्लेटफ़ॉर्म, Google Kubernetes Engine (GKE), और Kubernetes Capture the Flag (kCTF) भेद्यता प्रतिस्पर्धा वातावरण में सुरक्षा मुद्दों की पहचान के लिए नकद पुरस्कार का भुगतान करने के लिए।
पोस्ट का उल्लेख है कि अब पुरस्कार कार्यक्रम में एक अतिरिक्त बोनस शामिल है उन कारनामों के लिए शून्य-दिन की कमजोरियों के लिए $20,000 जिन्हें उपयोगकर्ता नामस्थान समर्थन की आवश्यकता नहीं है और नई शोषण तकनीकों का प्रदर्शन करने के लिए।
kCTF पर एक कामकाजी कारनामे का प्रदर्शन करने के लिए आधार भुगतान $31 है (आधार भुगतान उस प्रवेशकर्ता को दिया जाता है जो पहले एक कामकाजी शोषण का प्रदर्शन करता है, लेकिन बोनस भुगतान उसी भेद्यता के लिए बाद के कारनामों पर लागू किया जा सकता है)।
हमने अपने पुरस्कारों में वृद्धि की क्योंकि हमने माना कि समुदाय का ध्यान आकर्षित करने के लिए हमें अपने पुरस्कारों को उनकी अपेक्षाओं के साथ मिलाने की आवश्यकता है। हम विस्तार को सफल मानते हैं, और इसलिए हम इसे कम से कम वर्ष (2022) के अंत तक आगे बढ़ाना चाहेंगे।
पिछले तीन महीनों में, हमें 9 सबमिशन प्राप्त हुए हैं और अब तक $175, 000 से अधिक का भुगतान किया गया है।
प्रकाशन में हम देख सकते हैं कि संपूर्ण, बोनस को ध्यान में रखते हुए, एक शोषण के लिए अधिकतम इनाम (कोड बेस में बग फिक्स के विश्लेषण के आधार पर पहचाने गए मुद्दे जिन्हें स्पष्ट रूप से कमजोरियों के रूप में चिह्नित नहीं किया गया है) $71 . तक पहुंच सकता है (पहले उच्चतम इनाम $31 था), और शून्य-दिन की समस्या के लिए (ऐसी समस्याएं जिनके लिए अभी तक कोई समाधान नहीं है) $337 तक का भुगतान किया जाता है (पहले उच्चतम इनाम $91,337 था)। भुगतान कार्यक्रम 31 दिसंबर, 2022 तक वैध रहेगा।
गौरतलब है कि पिछले तीन महीनों में Google ने 9 अनुरोधों को संसाधित किया है cकमजोरियों की जानकारी के साथ, जिसके लिए 175 हजार डॉलर का भुगतान किया गया था।
भाग लेने वाले शोधकर्ताओं ने शून्य-दिन की कमजोरियों के लिए पांच और 1-दिवसीय कमजोरियों के लिए दो कारनामे तैयार किए। लिनक्स कर्नेल में तीन निश्चित मुद्दों को सार्वजनिक रूप से प्रकट किया गया है (CVE-2021-4154 cgroup-v1 में, CVE-2021-22600 af_packet में और CVE-2022-0185 VFS में) (इन मुद्दों को पहले से ही Syzkaller के माध्यम से और कर्नेल के लिए पहचाना जा चुका है) दो मुद्दों के लिए फिक्स जोड़े गए थे)।
ये परिवर्तन कुछ 1-दिन के कारनामों को बढ़ाकर $71 (बनाम $337) कर देते हैं और एकल शोषण के लिए अधिकतम इनाम $31 (बनाम $337) बनाते हैं। हम डुप्लीकेट के लिए भी कम से कम $91 का भुगतान करेंगे यदि वे नई शोषण तकनीकों ($337 के बजाय) का प्रदर्शन करते हैं। हालांकि, हम 50 दिन के लिए पुरस्कारों की संख्या को प्रति संस्करण/बिल्ड केवल एक तक सीमित कर देंगे।
प्रत्येक चैनल पर प्रति वर्ष 12-18 जीकेई रिलीज़ होते हैं, और विभिन्न चैनलों पर हमारे दो समूह हैं, इसलिए हम 31 अमरीकी डालर के मूल पुरस्कारों का 337 गुना तक भुगतान करेंगे (बोनस की कोई सीमा नहीं)। हालांकि हम यह उम्मीद नहीं करते हैं कि प्रत्येक अपडेट की वैध 36-दिन की शिपिंग हो, लेकिन हमें अन्यथा सुनना अच्छा लगेगा।
जैसे कि घोषणा में उल्लेख किया गया है कि भुगतान का योग कई कारकों पर निर्भर करता है: यदि समस्या शून्य-दिन की भेद्यता है, यदि इसके लिए गैर-विशेषाधिकार प्राप्त उपयोगकर्ता नामस्थान की आवश्यकता है, यदि यह कुछ नए शोषण विधियों का उपयोग करता है। इनमें से प्रत्येक अंक के बोनस के साथ आता है $ 20,000, जो अंततः एक काम कर रहे शोषण के लिए भुगतान बढ़ाता है $ 91,337।
अंत में एसयदि आप इसके बारे में अधिक जानने में रुचि रखते हैं नोट के बारे में, आप मूल पोस्ट में विवरण देख सकते हैं निम्नलिखित लिंक में