Протягом останніх місяців Google приділяв особливу увагу питанням безпеки знайдено в ядрі Linux і KubernetesЯк і в листопаді минулого року, Google збільшив розмір виплат, оскільки компанія втричі збільшила винагороди за невідомі раніше помилки в ядрі Linux.
Ідея полягала в тому, щоб люди могли відкрити нові способи використання ядра, особливо щодо Kubernetes, що працює в хмарі. Тепер Google повідомляє, що програма пошуку помилок була успішною, отримавши дев’ять звітів за три місяці та виплативши дослідникам понад 175,000 XNUMX доларів.
І це через допис у блозі Google знову оприлюднив оголошення про розширення ініціативи виплачувати грошову винагороду за виявлення проблем безпеки в ядрі Linux, платформі оркестрування контейнерів Kubernetes, Google Kubernetes Engine (GKE) і середовищі конкуренції Kubernetes Capture the Flag (kCTF).
У пості згадується про це тепер програма винагород включає додатковий бонус 20,000 XNUMX доларів США за вразливості нульового дня для експлойтів, які не потребують підтримки простору імен користувача, і за демонстрацію нових методів використання експлойтів.
Базова виплата за демонстрацію робочого експлойту на kCTF становить 31 337 доларів США (базова виплата присуджується учаснику, який першим демонструє робочий експлойт, але бонусні виплати можуть бути застосовані до наступних експлойтів за ту саму вразливість).
Ми збільшили наші винагороди, оскільки усвідомили, що для привернення уваги спільноти нам потрібно відповідати наші нагороди їхнім очікуванням. Ми вважаємо розширення успішним, і тому ми хотіли б продовжити його принаймні до кінця року (2022).
Протягом останніх трьох місяців ми отримали 9 заявок і заплатили понад 175 000 доларів США.
У публікації ми це бачимо всього, з урахуванням бонусів, максимальна винагорода за подвиг (проблеми, виявлені на основі аналізу виправлень помилок у базі коду, які явно не позначені як уразливості) може досягати 71 337 доларів США (раніше найвища винагорода становила 31 337 доларів США), а за проблему нульового дня (проблеми, вирішення яких поки що немає) виплачується до 91,337 50,337 доларів (раніше найвища винагорода становила XNUMX XNUMX доларів). Платіжна програма діятиме до 31 грудня 2022 року.
Примітно, що за останні три місяці, Google обробив 9 запитів cз інформацією про вразливості, за які було сплачено 175 тис. дол.
Дослідники-учасники підготували п’ять експлойтів для вразливостей нульового дня і два для вразливостей 1 дня. Три виправлені проблеми в ядрі Linux були публічно оприлюднені (CVE-2021-4154 в cgroup-v1, CVE-2021-22600 в af_packet і CVE-2022-0185 у VFS) (ці проблеми вже виявлено через Syzkaller і для двох до ядра було додано виправлення помилок).
Ці зміни збільшують деякі 1-денні експлойти до 71 337 доларів США (проти 31 337 доларів США) і роблять максимальну винагороду за один експлойт 91 337 доларів США (проти 50 337 доларів США). Ми також заплатимо навіть за дублікати щонайменше 20 000 доларів США, якщо вони демонструють нові методи експлойту (замість 0 доларів). Однак ми також обмежимо кількість винагород за 1 день лише однією для кожної версії/складання.
Є 12-18 випусків GKE на рік на кожному каналі, і у нас є дві групи на різних каналах, тому ми виплатимо базову винагороду в розмірі 31 337 доларів США до 36 разів (без обмежень для бонусів). Хоча ми не очікуємо, що кожне оновлення матиме дійсну 1-денну доставку, ми б хотіли почути інше.
Тому в оголошенні зазначено, що сума платежів залежить від кількох факторів: якщо виявлена проблема є уразливістю нульового дня, якщо для неї потрібні простори імен непривілейованих користувачів, чи використовуються нові методи експлуатації. Кожен з цих балів отримує бонус у розмірі 20,000 XNUMX$, що в кінцевому підсумку підвищує плату за робочий експлойт до $ 91,337.
Нарешті сЯкщо вам цікаво дізнатися про це більше про нотатку, ви можете перевірити деталі в оригінальному дописі У наступному посиланні.