Az elmúlt hónapokban A Google kiemelt figyelmet fordított a biztonsági kérdésekre megtalálható a kernelben Linux és KubernetesTavaly novemberhez hasonlóan a Google megnövelte a kifizetések méretét, mivel a vállalat megháromszorozta a Linux kernel korábban ismeretlen hibáiért járó exploit-jutalomdíjakat.
Az ötlet az volt, hogy az emberek új módokat fedezhessenek fel a kernel kihasználására, különösen a felhőben futó Kubernetes kapcsán. A Google most arról számol be, hogy a hibakereső program sikeres volt, három hónap alatt kilenc jelentést kapott, és több mint 175,000 XNUMX dollárt fizetett ki a kutatóknak.
És ez egy blogbejegyzésen keresztül történik A Google ismét közleményt adott ki a kezdeményezés kiterjesztésével kapcsolatban pénzjutalom kifizetésére a Linux kernel, a Kubernetes konténer-rendezési platform, a Google Kubernetes Engine (GKE) és a Kubernetes Capture the Flag (kCTF) sebezhetőségi versenykörnyezet biztonsági problémáinak azonosításáért.
A poszt ezt említi most a jutalomprogram további bónuszt is tartalmaz 20,000 XNUMX dollár a nulladik napi sebezhetőségekért olyan kihasználásokért, amelyek nem igényelnek felhasználói névtér támogatást, valamint új kihasználási technikák bemutatásáért.
A kCTF-nél működő exploit demonstrálásának alapkifizetése 31 337 USD (az alapkifizetést az a belépő kapja, aki először demonstrál egy működő kizsákmányolást, de a bónusz kifizetések alkalmazhatók ugyanazon sebezhetőség miatti további kihasználásokra).
Növeltük jutalmainkat, mert felismertük, hogy a közösség figyelmének felkeltése érdekében jutalmakat össze kell hangolni az elvárásaival. Sikeresnek ítéljük a terjeszkedést, ezért legalább az év végéig (2022-ig) szeretnénk tovább hosszabbítani.
Az elmúlt három hónapban 9 beadványt kaptunk, és eddig több mint 175 000 dollárt fizettünk ki.
A kiadványban ezt láthatjuk teljes, figyelembe véve a bónuszokat, a maximális jutalom egy kizsákmányolásért (a kódbázisban található hibajavítások elemzése alapján azonosított problémák, amelyek nincsenek kifejezetten sebezhetőségként megjelölve) elérheti akár a 71 337 dollárt is (korábban a legmagasabb jutalom 31 337 dollár volt), a nulladik napi problémáért (olyan problémákért, amelyekre még nincs megoldás) pedig 91,337 50,337 dollárt fizetnek (korábban XNUMX XNUMX dollár volt a legmagasabb jutalom). A fizetési program 31. december 2022-ig érvényes.
Figyelemre méltó, hogy az elmúlt három hónapban A Google 9 kérelmet dolgozott fel csebezhetőségi információkkal, amiért 175 ezer dollárt fizettek.
A résztvevő kutatók öt exploitot készítettek elő a nulladik napi, kettőt pedig az 1 napos sebezhetőségekre. A Linux kernel három javított problémáját nyilvánosságra hozták (CVE-2021-4154 a cgroup-v1-ben, CVE-2021-22600 az af_packetben és CVE-2022-0185 a VFS-ben) (ezeket a problémákat a Syzkaller már azonosította, és két esetében is hibajavítások kerültek a kernelbe).
Ezek a változtatások néhány 1 napos kizsákmányolást 71 337 dollárra növelnek (szemben a 31 337 dollárral), és az egyetlen exploit maximális jutalma 91 337 dollárt tesz ki (50 337 dollárral szemben). Még a másolatokért is fizetünk legalább 20 000 dollárt, ha újszerű kihasználási technikákat mutatnak be (0 dollár helyett). Ugyanakkor az 1 napra járó jutalmak számát verziónként/összeállításonként csak egyre korlátozzuk.
Évente 12-18 GKE-kiadás jelenik meg minden csatornán, és két csoportunk van a különböző csatornákon, így akár 31-szor fizetjük ki a 337 36 USD-s alapjutalmat (bónuszokra nincs korlátozás). Bár nem várjuk el, hogy minden frissítés érvényes 1 napos kiszállítással járjon, szívesen hallanánk ennek ellenkezőjét.
Ennek megfelelően a közleményben szerepel, hogy a kifizetések összege több tényezőtől is függ: ha a talált probléma nulladik napi sebezhetőség, ha nem privilegizált felhasználói névtereket igényel, ha valamilyen új kiaknázási módszert használ. Ezen pontok mindegyikéhez jár egy bónusz $ 20,000, ami végül megemeli a munkavégzés díját $ 91,337.
Végül sHa érdekli, hogy többet tudjon róla a jegyzetről, a részleteket az eredeti bejegyzésben ellenőrizheti A következő linken.