Son aylarda Google, güvenlik sorunlarına özel önem verdi çekirdekte bulunan Linux ve KubernetesGeçen yıl Kasım ayında olduğu gibi, Google, Linux çekirdeğinde daha önce bilinmeyen hatalar için yararlanma ödüllerini üç katına çıkarırken ödemelerin boyutunu artırdı.
Buradaki fikir, insanların çekirdeği kullanmanın yeni yollarını keşfedebilecekleriydi. özellikle bulutta çalışan Kubernetes ile ilgili olarak. Google şimdi, hata bulma programının başarılı olduğunu, üç ayda dokuz rapor aldığını ve araştırmacılara 175,000 dolardan fazla ödediğini bildiriyor.
Ve bu bir blog yazısı aracılığıyla Google, girişimin genişletilmesi hakkında tekrar bir duyuru yayınladı Linux çekirdeği, Kubernetes kapsayıcı düzenleme platformu, Google Kubernetes Engine (GKE) ve Kubernetes Capture the Flag (kCTF) güvenlik açığı rekabet ortamındaki güvenlik sorunlarını belirlemek için nakit ödüller ödemek.
Gönderi bundan bahsediyor şimdi ödül programı ek bir bonus içeriyor Kullanıcı ad alanı desteği gerektirmeyen ve yeni açıklardan yararlanma tekniklerinin gösterilmesi için sıfırıncı gün güvenlik açıkları için 20,000 ABD doları.
kCTF'de çalışan bir istismarın gösterilmesi için temel ödeme 31 $'dır (temel ödeme, çalışan bir istismarı ilk gösteren katılımcıya verilir, ancak aynı güvenlik açığı için sonraki istismarlara ikramiye ödemeleri uygulanabilir).
Ödüllerimizi artırdık çünkü topluluğun dikkatini çekmek için ödüllerimizi onların beklentileriyle eşleştirmemiz gerektiğini anladık. Genişlemenin başarılı olduğunu düşünüyoruz ve bu nedenle en azından yıl sonuna kadar (2022) daha da uzatmak istiyoruz.
Son üç ayda 9 başvuru aldık ve şu ana kadar 175 doların üzerinde ödeme yaptık.
Yayında görüyoruz ki Toplam, ikramiyeleri dikkate alarak, bir istismar için maksimum ödül (açıkça güvenlik açığı olarak işaretlenmemiş kod tabanındaki hata düzeltmelerinin analizine dayalı olarak tanımlanan sorunlar) 71 dolara kadar çıkabilir (önceden en yüksek ödül 31 dolardı) ve sıfır gün sorunu (henüz çözümü olmayan sorunlar) için 337 dolara kadar ödeme yapılır (önceden en yüksek ödül 91,337 dolardı). Ödeme programı 31 Aralık 2022 tarihine kadar geçerli olacaktır.
Dikkat çekicidir ki, son üç ayda, Google 9 isteği işleme koydu c175 bin dolar ödenen güvenlik açıkları hakkında bilgi ile.
Katılan araştırmacılar, sıfır gün güvenlik açıkları için beş ve 1 günlük güvenlik açıkları için iki güvenlik açığı hazırladı. Linux çekirdeğindeki üç sabit sorun kamuya açıklandı (cgroup-v2021'de CVE-4154-1, af_packet'te CVE-2021-22600 ve VFS'de CVE-2022-0185) (bu sorunlar Syzkaller aracılığıyla zaten tanımlanmış ve iki çekirdeğe hata düzeltmeleri eklendi).
Bu değişiklikler, 1 günlük bazı istismarları 71$'a (337$'a karşı) yükseltiyor ve tek bir istismar için maksimum ödülü 31$'a (337$'a karşı) sağlıyor. Ayrıca, yeni istismar teknikleri gösterirlerse (91 $ yerine) yinelenenler için bile en az 337 $ ödeyeceğiz. Bununla birlikte, 50 günlük ödül sayısını da sürüm/yapı başına yalnızca bir tane ile sınırlayacağız.
Her kanalda yılda 12-18 GKE sürümü vardır ve farklı kanallarda iki grubumuz vardır, bu nedenle 31 USD'lik temel ödülleri 337 katına kadar ödeyeceğiz (bonuslar için sınır yok). Her güncellemenin 36 günlük geçerli gönderime sahip olmasını beklemesek de, aksini duymayı çok isteriz.
Bu nedenle duyuruda, ödemelerin toplamının birkaç faktöre bağlı olduğu belirtilir: Bulunan sorun sıfırıncı gün güvenlik açığı ise, ayrıcalıklı olmayan kullanıcı ad alanları gerektiriyorsa, bazı yeni istismar yöntemleri kullanıyorsa. Bu puanların her biri bir bonus ile birlikte gelir $20,000, bu da sonuçta çalışan bir istismarın ödemesini yükseltir. $ 91,337.
Sonunda sBu konuda daha fazla bilgi edinmek istiyorsanız not hakkında, orijinal gönderideki ayrıntıları kontrol edebilirsiniz. Aşağıdaki bağlantıda.