Sa mga huling buwan Ang Google ay nagbigay ng espesyal na atensyon sa mga isyu sa seguridad matatagpuan sa kernel Linux at KubernetesTulad noong Nobyembre noong nakaraang taon, pinalaki ng Google ang laki ng mga payout habang ang kumpanya ay nag-triple ng mga pabuya para sa mga dati nang hindi kilalang mga bug sa Linux kernel.
Ang ideya ay na ang mga tao ay maaaring tumuklas ng mga bagong paraan upang pagsamantalahan ang kernel, partikular na may kaugnayan sa mga Kubernetes na tumatakbo sa cloud. Iniuulat na ngayon ng Google na ang programa sa paghahanap ng bug ay naging matagumpay, nakatanggap ng siyam na ulat sa loob ng tatlong buwan at nag-disbursing ng higit sa $175,000 sa mga mananaliksik.
At ito ay sa pamamagitan ng isang post sa blog Muling naglabas ang Google ng anunsyo tungkol sa pagpapalawak ng inisyatiba para magbayad ng cash reward para sa pagtukoy ng mga isyu sa seguridad sa Linux kernel, Kubernetes container orchestration platform, Google Kubernetes Engine (GKE), at Kubernetes Capture the Flag (kCTF) vulnerability competition environment.
Binanggit iyon ng post ngayon ang rewards program ay may kasamang karagdagang bonus $20,000 para sa zero-day na mga kahinaan para sa mga pagsasamantala na hindi nangangailangan ng suporta sa namespace ng user at para sa pagpapakita ng mga bagong diskarte sa pagsasamantala.
Ang base payout para sa pagpapakita ng working exploit sa kCTF ay $31 (ang batayang payout ay iginagawad sa kalahok na unang nagpakita ng working exploit, ngunit ang mga bonus na payout ay maaaring ilapat sa mga susunod na exploit para sa parehong kahinaan).
Dinagdagan namin ang aming mga reward dahil nalaman namin na para maakit ang atensyon ng komunidad kailangan naming itugma ang aming mga reward sa kanilang mga inaasahan. Itinuturing naming matagumpay ang pagpapalawak, kaya gusto naming palawigin pa ito hanggang sa katapusan ng taon (2022).
Sa nakalipas na tatlong buwan, nakatanggap kami ng 9 na pagsusumite at nagbayad ng mahigit $175 sa ngayon.
Sa publikasyon ay makikita natin iyan kabuuan, isinasaalang-alang ang mga bonus, ang pinakamataas na gantimpala para sa isang pagsasamantala (mga isyung natukoy batay sa pagsusuri ng mga pag-aayos ng bug sa code base na hindi tahasang minarkahan bilang mga kahinaan) maaaring umabot ng hanggang $71 (dating ang pinakamataas na reward ay $31), at para sa isang zero-day na problema (mga problema na wala pang solusyon) hanggang $337 ang binabayaran (dati ang pinakamataas na reward ay $91,337). Magiging wasto ang programa sa pagbabayad hanggang Disyembre 31, 2022.
Kapansin-pansin na sa huling tatlong buwan, Nagproseso ang Google ng 9 na kahilingan cna may impormasyon tungkol sa mga kahinaan, kung saan binayaran ang 175 libong dolyar.
Ang mga kalahok na mananaliksik ay naghanda ng limang pagsasamantala para sa zero-day vulnerabilities at dalawa para sa 1-day vulnerabilities. Tatlong nakapirming isyu sa Linux kernel ang naihayag sa publiko (CVE-2021-4154 sa cgroup-v1, CVE-2021-22600 sa af_packet at CVE-2022-0185 sa VFS) (ang mga isyung ito ay natukoy na sa pamamagitan ng Syzkaller at para sa dalawa Ang mga pag-aayos ng bug ay idinagdag sa kernel).
Ang mga pagbabagong ito ay nagpapataas ng ilang 1 araw na pagsasamantala sa $71 (kumpara sa $337) at ginagawa ang maximum na reward para sa isang pagsasamantala na $31 (kumpara sa $337). Magbabayad din kami kahit na para sa mga duplicate ng hindi bababa sa $91 kung nagpapakita sila ng mga diskarte sa pagsasamantala ng nobela (sa halip na $337). Gayunpaman, lilimitahan din namin ang bilang ng mga reward sa loob ng 50 araw sa isa lang bawat bersyon/build.
Mayroong 12-18 GKE release bawat taon sa bawat channel, at mayroon kaming dalawang grupo sa magkaibang channel, kaya babayaran namin ang mga batayang reward na 31 USD hanggang 337 na beses (walang limitasyon para sa mga bonus). Bagama't hindi namin inaasahan na ang bawat update ay may wastong 36 araw na pagpapadala, gusto naming marinig kung hindi man.
Dahil dito, binanggit sa anunsyo na ang kabuuan ng mga pagbabayad ay nakasalalay sa ilang mga salik: kung ang nakitang problema ay isang zero-day na kahinaan, kung nangangailangan ito ng mga hindi privileged na namespace ng user, kung gumagamit ito ng ilang bagong paraan ng pagsasamantala. Ang bawat isa sa mga puntong ito ay may bonus na $ 20,000, na sa huli ay nagtataas ng bayad para sa isang gumaganang pagsasamantala sa $ 91,337.
Panghuli sKung interesado kang malaman ang tungkol dito tungkol sa tala, maaari mong suriin ang mga detalye sa orihinal na post Sa sumusunod na link.