Google palielina atlīdzību par Linux un Kubernetes ievainojamību identificēšanu

Pēdējo mēnešu laikā Google ir pievērsusi īpašu uzmanību drošības problēmām atrasts kodolā Linux un KubernetesTāpat kā pagājušā gada novembrī, Google palielināja izmaksu apmēru, jo uzņēmums trīskāršoja ekspluatācijas prēmijas par iepriekš nezināmām Linux kodola kļūdām.

Ideja bija tāda, ka cilvēki varētu atklāt jaunus veidus, kā izmantot kodolu, īpaši saistībā ar Kubernetes, kas darbojas mākonī. Google tagad ziņo, ka kļūdu meklēšanas programma ir bijusi veiksmīga, trīs mēnešu laikā saņemot deviņus ziņojumus un izmaksājot pētniekiem vairāk nekā 175,000 XNUMX USD.

Un tas notiek, izmantojot emuāra ierakstu Google atkal izlaida paziņojumu par iniciatīvas paplašināšanu maksāt naudas atlīdzību par drošības problēmu identificēšanu Linux kodolā, Kubernetes konteineru orķestrēšanas platformā, Google Kubernetes Engine (GKE) un Kubernetes Capture the Flag (kCTF) ievainojamības konkurences vidē.

Ziņojumā tas ir minēts tagad atlīdzības programmā ir iekļauts papildu bonuss 20,000 XNUMX USD par nulles dienas ievainojamību izmantošanu, kurām nav nepieciešams lietotāja vārdu telpas atbalsts, un jaunu izmantošanas metožu demonstrēšanai.

Pamata izmaksa par darba ekspluatācijas demonstrēšanu kCTF ir 31 337 USD (pamata izmaksa tiek piešķirta dalībniekam, kurš pirmais demonstrē darba izmantošanu, bet bonusa izmaksas var tikt piemērotas nākamajiem ekspluatācijas gadījumiem par to pašu ievainojamību).

Mēs palielinājām atlīdzību, jo apzinājāmies, ka, lai piesaistītu sabiedrības uzmanību, mums ir jāsaskaņo mūsu atlīdzības ar viņu cerībām. Mēs uzskatām, ka paplašināšanās ir bijusi veiksmīga, tāpēc mēs vēlētos to pagarināt vismaz līdz gada beigām (2022.
Pēdējo trīs mēnešu laikā esam saņēmuši 9 iesniegumus un līdz šim samaksājuši vairāk nekā 175 000 USD.

Publikācijā mēs to varam redzēt Kopā, ņemot vērā prēmijas, maksimālā atlīdzība par ekspluatāciju (problēmas, kas identificētas, pamatojoties uz kļūdu labojumu analīzi koda bāzē, kas nav skaidri atzīmētas kā ievainojamības) var sasniegt līdz 71 337 USD (iepriekš lielākā atlīdzība bija 31 337 USD), un par nulles dienas problēmu (problēmas, kurām vēl nav risinājuma) tiek maksāta līdz 91,337 50,337 USD (iepriekš lielākā atlīdzība bija USD XNUMX XNUMX). Maksājumu programma būs spēkā līdz 31. gada 2022. decembrim.

Jāatzīmē, ka pēdējo trīs mēnešu laikā Google ir apstrādājis 9 pieprasījumus car informāciju par ievainojamībām, par ko samaksāti 175 tūkstoši dolāru.

Pētnieki, kas piedalījās, sagatavoja piecus ekspluatācijas veidus nulles dienas ievainojamībām un divus vienas dienas ievainojamībām. Trīs Linux kodola novērstās problēmas ir publiski izpaustas (CVE-1-2021 cgroup-v4154, CVE-1-2021 af_packet un CVE-22600-2022 VFS) (šīs problēmas jau ir identificētas, izmantojot Syzkaller un divas kodolam tika pievienoti kļūdu labojumi).

Šīs izmaiņas palielina dažu vienas dienas ekspluatāciju skaitu līdz 1 71 USD (salīdzinājumā ar 337 31 USD) un nodrošina maksimālo atlīdzību par vienu ekspluatāciju USD 337 91 (salīdzinājumā ar USD 337 50). Mēs arī maksāsim pat par dublikātiem vismaz 337 20 USD, ja tie demonstrēs jaunas izmantošanas metodes (000 USD vietā). Tomēr mēs arī ierobežosim atlīdzību skaitu 0 dienā līdz vienai versijai/būvei.

Katrā kanālā ir 12–18 GKE izlaidumi gadā, un mums ir divas grupas dažādos kanālos, tāpēc mēs maksāsim bāzes atlīdzību 31 337 USD apmērā līdz 36 reizēm (bez bonusa ierobežojuma). Lai gan mēs negaidām, ka katram atjauninājumam būs derīga 1 dienas piegāde, mēs labprāt uzzinātu citādi.

Kā tāds paziņojumā minēts, ka maksājumu summa ir atkarīga no vairākiem faktoriem: ja konstatētā problēma ir nulles dienas ievainojamība, ja tai nepieciešamas nepriviliģētas lietotāju vārdu telpas, ja tiek izmantotas kādas jaunas ekspluatācijas metodes. Katrs no šiem punktiem nāk ar bonusu $ 20,000, kas galu galā palielina samaksu par darba izmantošanu $ 91,337.

Visbeidzot sJa jūs interesē uzzināt vairāk par to par piezīmi varat pārbaudīt informāciju sākotnējā ziņojumā Šajā saitē.


Raksta saturs atbilst mūsu principiem redakcijas ētika. Lai ziņotu par kļūdu, noklikšķiniet uz šeit.

Esi pirmais, kas komentārus

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta.

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.