I løpet av de siste månedene Google har lagt spesiell vekt på sikkerhetsproblemer funnet i kjernen Linux og KubernetesSom i november i fjor økte Google størrelsen på utbetalingene ettersom selskapet tredoblet utnyttelsespremiene for tidligere ukjente feil i Linux-kjernen.
Tanken var at folk kunne oppdage nye måter å utnytte kjernen på, spesielt i forhold til Kubernetes som kjører i skyen. Google rapporterer nå at feilsøkingsprogrammet har vært en suksess, og mottok ni rapporter på tre måneder og utbetalte mer enn $175,000 XNUMX til forskere.
Og det er det gjennom et blogginnlegg Google slapp igjen en kunngjøring om utvidelsen av initiativet å betale kontantbelønninger for å identifisere sikkerhetsproblemer i Linux-kjernen, Kubernetes container orkestreringsplattform, Google Kubernetes Engine (GKE) og Kubernetes Capture the Flag (kCTF) sårbarhetskonkurransemiljø.
Innlegget nevner det nå inkluderer belønningsprogrammet en ekstra bonus $20,000 XNUMX for nulldagers sårbarheter for utnyttelser som ikke krever brukernavnestøtte og for å demonstrere nye utnyttelsesteknikker.
Grunnutbetalingen for å demonstrere en fungerende utnyttelse på kCTF er $31 337 (grunnutbetalingen tildeles deltakeren som først demonstrerer en fungerende utnyttelse, men bonusutbetalinger kan brukes på etterfølgende utnyttelser for samme sårbarhet).
Vi økte belønningene våre fordi vi innså at for å tiltrekke oppmerksomheten til fellesskapet måtte vi matche belønningene våre med deres forventninger. Vi anser utvidelsen som en suksess, og derfor ønsker vi å forlenge den ytterligere i det minste til slutten av året (2022).
I løpet av de siste tre månedene har vi mottatt 9 bidrag og betalt over $175 000 så langt.
I publikasjonen kan vi se det Total, med tanke på bonusene, maksimal belønning for en utnyttelse (problemer identifisert basert på analyse av feilrettinger i kodebasen som ikke er eksplisitt merket som sårbarheter) kan nå opp til $71 337 (tidligere var den høyeste belønningen $31 337), og for et null-dagers problem (problemer som det ikke finnes noen løsning på ennå) utbetales opptil $91,337 50,337 (tidligere var den høyeste belønningen $XNUMX XNUMX). Betalingsprogrammet vil være gyldig til 31. desember 2022.
Det er bemerkelsesverdig at de siste tre månedene, Google har behandlet 9 forespørsler cmed informasjon om sårbarheter, som det ble betalt 175 tusen dollar for.
Deltakende forskere forberedte fem utnyttelser for nulldagssårbarheter og to for 1-dagssårbarheter. Tre fikse problemer i Linux-kjernen har blitt offentliggjort (CVE-2021-4154 i cgroup-v1, CVE-2021-22600 i af_packet og CVE-2022-0185 i VFS) (disse problemene er allerede identifisert via Syzkaller og for to feilrettinger ble lagt til kjernen).
Disse endringene øker noen 1-dags utnyttelser til $71 (mot $337) og gir maksimal belønning for en enkelt utnyttelse til $31 (mot $337). Vi vil også betale selv for duplikater minst $91 337 hvis de viser nye utnyttelsesteknikker (i stedet for $50). Vi vil imidlertid også begrense antall belønninger for 337 dag til kun én per versjon/bygg.
Det er 12-18 GKE-utgivelser per år på hver kanal, og vi har to grupper på forskjellige kanaler, så vi betaler grunnbelønningene på 31 337 USD opptil 36 ganger (ingen grense for bonuser). Selv om vi ikke forventer at hver oppdatering har gyldig 1-dagers frakt, vil vi gjerne høre noe annet.
Som sådan nevnes det i kunngjøringen at summen av betalingene avhenger av flere faktorer: om problemet som er funnet er en null-dagers sårbarhet, om det krever ikke-privilegerte brukernavneområder, om det bruker noen nye utnyttelsesmetoder. Hvert av disse punktene kommer med en bonus på $ 20,000, som til slutt øker betalingen for en fungerende utnyttelse til $ 91,337.
Endelig sHvis du er interessert i å vite mer om det om notatet, kan du sjekke detaljene i det opprinnelige innlegget I den følgende lenken.